Das Jahr 2025 bringt bedeutende gesetzliche Neuerungen im IT-Bereich. Unternehmen sollten sich frühzeitig auf die neuen Regelungen einstellen, um Bußgelder und Haftungsrisiken zu vermeiden. Hier ein Überblick über die wichtigsten Änderungen:
1. Einführung der E-Rechnung im B2B-Bereich
Seit 01. Januar 2025 sind alle Unternehmen und Selbstständigen dazu verpflichtet, elektronische Rechnungen (E-Rechnung) empfangen und verarbeiten zu können. Sie müssen sicherstellen, dass ihre Systeme entsprechend angepasst sind.
Die Pflicht zur Ausstellung von E-Rechnungen greift gestaffelt:
- Ab 2027 für Unternehmen mit einem Vorjahresumsatz von über 800.000 €
- Ab 2028 für alle übrigen Unternehmen
Um den gesetzlichen Anforderungen zu entsprechen, sollten Unternehmen frühzeitig ihre internen Prozesse und IT-Systeme anpassen. Eine verspätete Umsetzung kann nicht nur zu Bußgeldern, sondern auch zum Verlust des Vorsteuerabzugs führen.
2. Die KI-Verordnung: Erste Regelungen treten in Kraft
Die neue EU-KI-Verordnung soll den Einsatz Künstlicher Intelligenz sicherer und transparenter gestalten. Ab dem 2. Februar 2025 gelten erste Verbote, darunter:
Unzulässige KI-Praktiken:
- Systeme zur unterschwelligen Verhaltensbeeinflussung
- Automatische Erstellung von Gesichtserkennungsdatenbanken
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Social-Scoring-Systeme
- KI-Systeme zur Vorhersage künftiger Straftaten basierend auf persönlichen Merkmalen
Pflichten für Unternehmen:
Unternehmen, die KI-Systeme nutzen, müssen ihre Mitarbeiter in der Handhabung dieser Technologien schulen. Verstöße gegen die Verbote können hohe Bußgelder nach sich ziehen – bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes.
Ab dem 2. August 2025 folgen weitere Transparenzpflichten, z. B.:
- Kennzeichnung von KI-generierten Inhalten und Deepfakes
- Offenlegung des KI-Einsatzes in Chatbots und Emotionserkennungssystemen
3. DORA: Neue Cybersicherheitsvorgaben für den Finanzsektor
Der Digital Operational Resilience Act (DORA) verpflichtet Banken und Finanzinstitute ab 17. Januar 2025 zu höheren Sicherheitsmaßnahmen. Dazu gehören:
- Regelmäßige Tests der IT-Resilienz
- Stärkere Kontrolle von IT-Dienstleistern
- Einführung eines umfassenden digitalen Risikomanagements
Ab 9. Oktober 2025 wird zudem der IBAN-Namen-Abgleich Pflicht: Banken müssen bei Überweisungen den Empfänger abgleichen. Fehlerhafte Zahlungen müssen sofort erstattet werden.
4. Barrierefreiheit wird zur Pflicht
Das Barrierefreiheitsstärkungsgesetz schreibt vor, dass ab dem 28. Juni 2025 bestimmte Produkte und Dienstleistungen barrierefrei sein müssen. Betroffen sind:
Produkte: Betriebssysteme, Fahrkartenautomaten, Geldautomaten, E-Book-Reader
Dienstleistungen: Webshops, Bankdienstleistungen, Telekommunikation, Personenbeförderung
Kleine Unternehmen mit weniger als 10 Mitarbeitern oder maximal 2 Mio. Euro Jahresumsatz sind von der Regelung ausgenommen.
5. Data Act: Neue Regeln für vernetzte Geräte
Der Data Act, eine Verordnung des Europäischen Parlaments und des Rates, der ab 12. September 2025 verbindlich wird, verbessert für Verbraucher und Unternehmen den Zugang zu und die Kontrolle über nicht-personenbezogene Daten. Ergänzend gilt weiterhin die Datenschutz-Grundverordnung (DSGVO) für personenbezogene Daten.
Dem Data Act unterliegen Hersteller vernetzter Produkte und Anbieter damit verbundener Dienste. Vernetzte Geräte sind physische Produkte, die Daten über ihre Nutzung oder Umgebung erfassen, senden oder empfangen. Dazu gehören:
- Smart-Home-Geräte (z. B. intelligente Thermostate, vernetzte Beleuchtung)
- Wearables (z. B. Smartwatches, Fitness-Tracker)
- Industrie-4.0-Maschinen (z. B. vernetzte Produktionsanlagen)
- Fahrzeuge mit digitalen Sensoren
- Medizinische Geräte mit Fernüberwachung
Diese Geräte erzeugen kontinuierlich Daten, die sowohl für die Nutzer als auch für Hersteller oder Drittanbieter von Interesse sind.
Welche neuen Pflichten bringt der Data Act?
Nutzerrechte:
- Kostenloser Zugriff auf eigene Nutzungsdaten
- Echtzeit-Abfrage der Daten, wenn technisch möglich
- Schutz vor missbräuchlichen Klauseln in Datennutzungsverträgen
Pflichten für Hersteller und Anbieter:
- Vorab-Information über Art und Umfang der erzeugten Daten
- Offenlegung der Zugriffsmöglichkeiten und Datenweitergabe
Regelungen für Cloud-Dienste:
- Kostenloser Anbieterwechsel
- Technische und organisatorische Unterstützung beim Wechsel
- 30-tägiges Kündigungsrecht
Für Klein- und Kleinstunternehmen gelten Ausnahmen.
6. Fazit
Die neuen Regelungen bringen umfangreiche Pflichten für Unternehmen mit sich. Wer sich frühzeitig darauf vorbereitet, kann Risiken minimieren.
Kommentar schreiben