Zurück

ctrl + law | Ausgabe 8

10.02.2026

ctrl + law – Wenn Regulierung praktisch wird | Gernot Fritz

Mit Ausgabe 8 von ctrl + law rückt die Praxisreife des europäischen Digital- und IP-Rechts stärker in den Fokus. Viele Regelwerke sind längst beschlossen – jetzt entscheidet sich, wie sie angewendet, ausgelegt und durchgesetzt werden. Die Beiträge dieser Ausgabe zeigen, dass es dabei weniger um abstrakte Prinzipien geht, sondern um konkrete Schwellenwerte, Kostenfragen und prozessuale Voraussetzungen, die über Erfolg oder Risiko entscheiden.

Einen Schwerpunkt bildet der Data Act und die Frage, was „angemessene Gegenleistung“ für Datenzugang tatsächlich bedeutet. Die von der Europäischen Kommission vorgelegten Leitlinien bringen hier erstmals substanzielle Klarheit. Sie ziehen eine klare Linie zwischen legitimer Kostendeckung und unzulässiger Monetarisierung von Datenzugang. Für Dateninhaber wie für Datenempfänger wird deutlich: Der Data Act eröffnet keinen neuen Umsatzkanal, zwingt aber zu sauber kalkulierten, transparenten und diskriminierungsfreien Vergütungsmodellen.

Dass rechtliche Durchsetzung nicht nur materiell, sondern auch zeitlich abgesichert sein muss, zeigt das aktuelle EuGH-Urteil im Markenrecht. Der Bestand des älteren Kennzeichenrechts ist keine bloße Formalität, sondern zwingende Prozessvoraussetzung bis zur Entscheidung. Wer Schutzrechte nicht aktiv aufrechterhält, kann selbst in inhaltlich starken Verfahren scheitern – ein Risiko, das in der Praxis häufig unterschätzt wird.

Im Datenschutzrecht verschiebt sich der Blick ebenfalls weg von Einzelfällen hin zu systematischen Prüfungen. Die angekündigte sektorübergreifende Schwerpunktprüfung der DSB macht deutlich, dass Aufsichtsbehörden ihre Aufmerksamkeit zunehmend auf wiederkehrende Strukturen und Querschnittsthemen richten – unabhängig von Branche oder Unternehmensgröße.

Daneben zeigt die Ausgabe, dass Regulierung nicht nur Pflichten, sondern auch gezielte Entlastungen kennt. Die KMU-Förderung 2026 erleichtert den Zugang zu Marken-, Design- und Patentschutz erheblich und eröffnet gerade innovativen Unternehmen Spielräume, Schutzrechtsstrategien frühzeitig und strukturiert aufzusetzen.

Schließlich konkretisiert die RKEV, ab wann Unternehmen als kritische Einrichtungen gelten und wann Sicherheitsvorfälle meldepflichtig werden. Die festgelegten Schwellenwerte machen Resilienz messbar – und zwingen betroffene Unternehmen, ihre Compliance- und Meldeprozesse rechtzeitig zu justieren, bevor aus abstrakter Regulierung konkrete Pflichten werden.

ctrl + law ordnet ein, wo Regulierung greift – nicht theoretisch, sondern praktisch.

Wir wünschen eine anregende Lektüre.

Trennstrich bunt

EU-Kommission konkretisiert Vergütung für Datenzugang im Data Act | Amina Kovacevic

Mit dem Data Act (Verordnung (EU) 2023/2854) schaffte die EU einen unionsweit harmonisierten Rahmen für den Zugang zu und die Nutzung von Daten im Zusammenhang mit vernetzten Produkten und verbundenen Diensten. Wenngleich der Data Act somit Nutzern und Dritten einen Anspruch auf Datenzugang ermöglicht, haben Dateninhaber bei der vom Nutzer begehrten Offenlegung von Daten an Dritte das Recht für die Bereitstellung von Daten eine “angemessene Gegenleistung” (“reasonable compensation”) zu verlangen.

Um den bislang offenen Begriff der „angemessenen Gegenleistung“ zu präzisieren, hat die Europäische Kommission am 2. Februar 2026 einen Entwurf zu den Leitlinien zur praktischen Berechnung der angemessenen Gegenleistung vorgelegt und zur öffentlichen Konsultation gestellt.

Die angemessene Gegenleistung soll einen Ausgleich zwischen fairem Datenzugang und dem Schutz der wirtschaftlichen Interessen der Dateninhaber schaffen. Eine Gegenleistung ist nicht zwingend geschuldet; wird sie vereinbart, muss sie aber angemessen, nicht-diskriminierend und transparent sein, und darf den Datenzugang nicht faktisch vereiteln. Sie darf, muss aber nicht, eine Gewinnmarge enthalten.

Ausgangspunkt der Berechnung sind ausschließlich inkrementelle und notwendige Kosten, die unmittelbar durch die konkrete Datenbereitstellung entstehen – etwa für Auswahl und Aufbereitung bestimmter Datensätze, technische Maßnahmen zur Übertragung und Zugangsgewährung, Anonymisierungs- oder Sicherheitsmaßnahmen sowie spezifische Schutzvorkehrungen für Geschäftsgeheimnisse. Allgemeine Overheads, ineffiziente Prozesse oder versunkene Kosten dürfen nicht weitergegeben werden.

Neben diesen Kosten können Investitionen in die Datenerhebung und -produktion berücksichtigt werden, allerdings nur über eine maßvolle Marge. Diese soll Anreize für Dateninvestitionen sichern, darf aber nicht dazu führen, dass Datenempfänger für Investitionen zahlen, die bereits über Produktpreise oder andere Erlösquellen amortisiert wurden. Bei ko-generierten Daten oder geringem Einfluss auf das Geschäftsmodell des Dateninhabers ist die Marge entsprechend zu reduzieren oder ganz auszuschließen.

Besonders restriktiv ist das Regime für KMU und gemeinnützige Forschungseinrichtungen: Sie dürfen ausschließlich mit den direkten Bereitstellungskosten belastet werden; Margen sind hier ausdrücklich unzulässig. Zudem dürfen nur antragsbezogene Kosten angesetzt werden, nicht aber Infrastruktur- oder Vorlaufkosten für den Aufbau von Datenzugangsmechanismen. Damit soll ein Datenzugang insbesondere für innovative Unternehmen wirtschaftlich praktikabel gestaltet werden.

Die Leitlinien befassen sich auch mit Datenbündelungen, die grundsätzlich zulässig sind, solange sie sachlich gerechtfertigt sind und den Datenzugang nicht verzerren oder erschweren. Zwangsbündelungen oder diskriminierende Modelle bleiben unzulässig. Flankierend betont die Kommission Transparenzpflichten: Datenempfänger können eine nachvollziehbare Erläuterung der Berechnungsgrundlagen verlangen – allerdings ohne Anspruch auf Offenlegung von Geschäftsgeheimnissen oder kartellrechtlich sensiblen Informationen.

Insgesamt schärfen die Leitlinien das Verständnis der „reasonable compensation“ deutlich: Datenzugang nach dem Data Act soll kein Nulltarif sein, aber auch kein neues Erlösmodell auf Kosten von Datenempfängern.

Key Take-Aways

  • "Reasonable compensation" ist kein Erlösmodell: Vergütungsfähig sind nur notwendige, inkrementelle Bereitstellungskosten; Overheads, ineffiziente Prozesse oder bereits amortisierte Investitionen sind tabu.
  • FRAND heißt auch Transparenz: Dateninhaber müssen ihre Berechnungslogik nachvollziehbar darlegen, ohne Geschäftsgeheimnisse preiszugeben; diskriminierende oder abschreckende Preisgestaltung verstößt gegen den Data Act.
  • Für Dateninhaber bedeutet das vor allem eines: Kostenstrukturen sauber trennen, Investitionen realistisch bewerten und Vergütungsmodelle frühzeitig FRAND-fest aufsetzen.
  • Das öffentliche Konsultationsverfahren läuft noch bis 20. Februar 2026.
Trennstrich bunt

EuGH: Bestand des älteren Kennzeichenrechts als Prozessvoraussetzung | Helmut Liebel

Der EuGH hat mit Urteil vom 05.02.2026 in der Rechtssache “APE TEES” (C-337/22 P) einen zentralen Grundsatz des europäischen Markenrechts bestätigt – mit erheblicher praktischer Tragweite.

Ausgangspunkt war ein Widerspruch gegen eine Unionsmarke, gestützt auf eine im geschäftlichen Verkehr benutzte, nicht eingetragene ältere britische Marke. Während des laufenden Verfahrens verlor dieses ältere Kennzeichenrecht jedoch infolge des Brexits seine Wirkung im Unionsrecht.

Die Frage: Reicht es, dass das ältere Recht bei Einlegung des Widerspruchs bestand, oder muss es auch bis zur Entscheidung fortbestehen?

Der EuGH stellte klar: Ein Widerspruch oder ein Antrag auf Erklärung der Nichtigkeit kann nur dann Erfolg haben, wenn das ältere Recht bis zur Entscheidung fortbesteht. Geht das ältere Recht im Laufe des Verfahrens unter – etwa durch Zeitablauf oder durch den Wegfall seiner unionsrechtlichen Wirkung –, fehlt es an einem fortdauernden Konflikt. Die jüngere Marke darf dann eingetragen bzw. bestehen bleiben.

Key Take-Aways

  • Fehlt ein zum Entscheidungszeitpunkt wirksames älteres Recht, entfällt die Grundlage, auf die ein Widerspruch oder Nichtigkeitsantrag gestützt werden kann.
  • Widerspruchsführer sind daher gehalten, ihre Schutzrechte nicht nur zu begründen, sondern auch während des gesamten Verfahrens aufrechtzuerhalten.
  • Wer dies außer Acht lässt, riskiert ein materiell aussichtsreiches Verfahren allein aus zeitlichen Gründen zu verlieren. Dies kann zudem erhebliche Kostenfolgen nach sich ziehen.
  • Urteilsveröffentlichung nur bei Bedarf: Ohne fortdauernde Rechtsverletzung oder Informationsinteresse der Öffentlichkeit ist sie nicht gerechtfertigt.
Trennstrich bunt

DSB-Schwerpunktprüfung 2026: Quer durch alle Branchen | Gernot Fritz

Mit der Schwerpunktprüfung 2026 schlägt die österreichische Datenschutzbehörde (DSB) einen neuen Kurs ein. Statt wie in den vergangenen Jahren einzelne Branchen oder Sektoren in den Fokus zu nehmen, richtet sich die Prüfung erstmals thematisch und sektorübergreifend aus. Im Zentrum stehen damit nicht mehr bestimmte Geschäftsmodelle, sondern grundlegende datenschutzrechtliche Pflichten (konkret: technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung, Verarbeitungsverzeichnis und Datenschutzfolgenabschätzung), die alle Verantwortlichen gleichermaßen betreffen.

Dieser Ansatz fügt sich in den europäischen Kontext ein. Der Europäische Datenschutzausschuss hat im Rahmen seines Coordinated Enforcement Framework für 2026 ebenfalls mit den Informationspflichten ein thematisches Prüffeld ausgewählt.

Für Unternehmen bedeutet dieser Paradigmenwechsel vor allem eines: Die Annahme, „nicht im Zielsektor“ zu sein, trägt nicht mehr. Unabhängig von Größe, Branche oder Geschäftsmodell kann jede Organisation Adressat einer Prüfung werden, wenn die ausgewählten Kernthemen betroffen sind.

Besondere praktische Relevanz hat in diesem Zusammenhang das Verzeichnis von Verarbeitungstätigkeiten. Es bleibt eines der zentralen Prüf- und Einstiegselemente der Aufsicht. Wer noch kein Verarbeitungsverzeichnis erstellt hat – oder es zuletzt im Jahr 2018 gesehen hat – sollte dringend handeln. In früheren Schwerpunktprüfungen hat die DSB teils sehr kurze Fristen gesetzt, eine Vorlagefrist von lediglich drei Tagen ist nicht ungewöhnlich. In solchen Konstellationen ist kein Raum mehr für Aufarbeitung „on the fly“.

Die thematische Schwerpunktprüfung zielt nicht primär auf spektakuläre Einzelfälle ab, sondern auf systematische Defizite. Unklare Verantwortlichkeiten, veraltete Dokumentation oder rein formale Compliance ohne tatsächliche Umsetzung werden damit rasch sichtbar. Gleichzeitig bietet der neue Ansatz Unternehmen die Chance, bestehende Strukturen gezielt zu überprüfen und vor einer behördlichen Anfrage belastbar aufzustellen.

Die Botschaft der DSB ist klar: Datenschutzaufsicht wird breiter, koordinierter und strukturierter – und damit für viele spürbarer als bisher.

Key Take-Aways

  • Weg vom Sektor, hin zum Thema: Die DSB prüft 2026 sektorübergreifend grundlegende Datenschutzpflichten – jedes Unternehmen kann betroffen sein.
  • Verarbeitungsverzeichnis im Fokus: Es bleibt zentrales Prüfungsinstrument; veraltete oder fehlende Verzeichnisse sind ein erhebliches Risiko.
  • Jetzt vorbereiten statt reagieren: Klare Zuständigkeiten, aktuelle Dokumentation und gelebte Prozesse sind entscheidend, bevor ab März 2026 die (kurzfristige) Anfrage kommt.
Trennstrich bunt

KMU-Förderung 2026: IP-Schutz einfacher und günstiger | Hannah Kercz

Patente, Marken und Designs sind für KMU längst mehr als reine Formalitäten. Sie sichern den Schutz von Innovationen, schaffen Wiedererkennungswert und stärken die eigene Marktposition. Damit der Aufbau eines rechtssicheren IP-Portfolios nicht an den Kosten scheitert, steht Unternehmen auch 2026 wieder der KMU-Fonds von EUIPO und Österreichischem Patentamt zur Verfügung.

Über den Fonds können KMU einen großen Teil der Gebühren für Schutzrechtsanmeldungen zurückerhalten. Gefördert werden insbesondere die Anmeldung von Marken und Designs auf nationaler und europäischer Ebene sowie Patentanmelde- und Recherchegebühren. In Summe sind Rückerstattungen von bis zu 75 % der Anmeldegebühren möglich, insgesamt jedoch maximal EUR 5.700 pro Unternehmen und Jahr.

Wichtig ist der richtige Zeitpunkt: Die Förderung muss vor der jeweiligen Schutzrechteanmeldung beantragt und bewilligt werden. Der Antrag kann zwischen 2. Februar und 4. Dezember 2026 direkt beim EUIPO gestellt werden. Nach der Förderzusage bleibt ein Monat Zeit, um das Schutzrecht tatsächlich anzumelden. Eine frühzeitige Planung zahlt sich daher aus.

Gerade vor dem Hintergrund der jüngsten Reformen im Marken- und Designrecht bietet der KMU-Fonds eine gute Gelegenheit, Schutzrechte gezielt aufzubauen. Unternehmen, die ihre Anmeldungen vorausschauend bündeln, reduzieren nicht nur Kosten, sondern verschaffen sich auch klare Vorteile im Wettbewerb und in Gesprächen mit Investoren oder Geschäftspartnern.

Key Take-Aways

  • Förderung rechtzeitig beantragen: Der Antrag muss vor der Schutzrechteanmeldung gestellt werden.
  • Hohe Kostenersparnis: Bis zu 75 % Erstattung für Patente, Marken und Designs – maximal EUR 5.700 pro Unternehmen und Jahr.
  • Strategisch nutzen: Frühzeitige Planung und Bündelung von Anmeldungen maximieren den Fördernutzen.
Trennstrich bunt

Was ist ein Vertrag nach der DSGVO? BGH erweitert Anwendungsbereich | Tanja Pfleger

Der deutsche Bundesgerichtshof hat mit Urteil vom 10. Dezember 2024 (Az. II ZR 132/24) eine wegweisende Entscheidung zur Auslegung des Vertragsbegriffs in Art 6 Abs 1 lit b DSGVO getroffen und widerspricht damit ausdrücklich der Position des Europäischen Datenschutzausschusses (EDSA).

Der Fall betraf einen Sportverein, bei dem ein Mitglied die Herausgabe von E-Mail-Adressen anderer Vereinsmitglieder verlangte, um diese vor einer Abstimmung über den Verkauf von Vereinsgrundstücken zu kontaktieren. Datenschutzrechtlich entscheidend war die Frage, ob die Übermittlung der E-Mail-Adressen zur Vertragserfüllung zwischen Mitglied und Verein erforderlich und damit nach Art 6 Abs 1 lit b DSGVO rechtmäßig ist.

Die Besonderheit: Nach den Vorgaben der Vereinssatzung war für den Vereinsbeitritt keine Willenserklärung seitens des Vereins erforderlich – es fehlten also die klassischen Merkmale eines Vertrages nach deutschem Bürgerlichem Gesetzbuch (BGB) mit zwei korrespondierenden Willenserklärungen. Der EDSA verlangt in seinen Leitlinien 2/2019 zu Art 6 Abs 1 lit b DSGVO ausdrücklich, dass der Verantwortliche nachweisen muss, dass ein Vertrag besteht, dieser nach dem geltenden nationalen Vertragsrecht gültig ist und die Verarbeitung objektiv erforderlich ist. Die Datenschutzbehörden fordern also einen nach nationalem Recht gültigen Vertrag – im deutschen Fall also einen Vertrag nach BGB.

Der BGH vertritt jedoch eine andere Ansicht: Der Begriff des Vertrags ist nicht zivilrechtlich auszulegen, sondern datenschutz­rechtlich und unionsautonom. Es kommt nicht darauf an, ob das Rechtsverhältnis ein Vertrag im Sinne des BGB  ist, sondern ob das datenschutzrechtliche Telos des Erlaubnistatbestands erfüllt ist. Für den BGH ist entscheidend, was der Zweck der Regelung bzw. des Begriffs “Vertrag” nach der DSGVO ist – nicht, wie dieser Vertrag geschlossen wird oder welche nationalen Vorgaben eventuell gelten würden.

Maßgeblich ist nach dem BGH allein, ob das Rechtsverhältnis privatautonom begründet ist und die maßgebliche Verpflichtung daher als Ausdruck der Selbstbestimmung legitimiert ist. Der Tatbestand ist auf all jene vertragsähnlichen Konstellationen anzuwenden, die gleichermaßen auf willentliche Entscheidungen des von der Verarbeitung Betroffenen zurückgehen. Der BGH nimmt daher an, dass Vereinsgründung und -beitritt einen Vertrag im Sinne von Art 6 Abs 1 lit b DSGVO begründen, dessen Inhalt durch die Vereinssatzung konkretisiert wird, da es sich um einen selbstbestimmt erklärten Beitritt zu einer privaten Vereinigung handelt.

Damit vertritt der BGH klar eine andere Ansicht als der EDSA, der in seinen Leitlinien ausdrücklich auf die Gültigkeit nach nationalem Vertragsrecht abstellt. Die Auslegung des BGH dürfte in der Praxis zu einem erweiterten Anwendungsbereich der Rechtsgrundlage des Art 6 Abs 1 lit b DSGVO führen, wenn man nicht ohnehin schon zuvor den Begriff “Vertrag” weiter verstanden hat.

Key Take-Aways

  • Der BGH legt den Vertragsbegriff nach Art 6 Abs 1 lit b DSGVO unionsautonom aus - nicht nach nationalem Zivilrecht.
  • Entscheidend ist die privatautonome Begründung des Rechtsverhältnisses als Ausdruck der Selbstbestimmung, nicht die Erfüllung nationaler Vertragsvoraussetzungen.
  • Für die Praxis bedeutet dies mehr Flexibilität bei der Berufung auf Vertragserfüllung als Rechtsgrundlage - auch für vertragsähnliche Rechtsverhältnisse ohne formalen Vertragsschluss nach nationalem Recht.
Trennstrich bunt

RKEV: Schwellenwerte für kritische Infrastrukturen - wann wird's kritisch? | Jakob Secklehner

Mit dem Entwurf der Resilienz kritischer Einrichtungen-Verordnung (RKEV) konkretisiert der Bundesminister für Inneres die Schwellenwerte zur Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen (RKE-RL), welche im RKEG national umgesetzt wurde. Die Verordnung legt fest, ab wann Einrichtungen in den unterschiedlichen Sektoren als “kritisch” eingestuft werden und wann Sicherheitsvorfälle meldepflichtig sind. Die RKEV etabliert dabei zwei Schwellenwert-Kategorien: Die erste bestimmt, ob eine Einrichtung überhaupt als “kritisch” eingestuft werden kann (§ 11 Abs 1 RKEG), die zweite legt fest, wann ein konkreter Sicherheitsvorfall die Meldepflicht binnen 24 Stunden auslöst (§ 17 Abs 2 RKEG).

Im Sektor Digitale Infrastruktur orientieren sich die Schwellenwerte an Nutzerzahlen, Marktanteilen und technischen Kapazitäten. Internet-Knoten-Betreiber werden ab 100 zusammengeschalteten autonomen Systemen erfasst, DNS-Resolver-Betreiber ab 250.000 Nutzern, autoritative DNS-Server ab 200.000 Domänen. Cloud-Computing-Dienste fallen ab einer Million Nutzern unter das Regime, Rechenzentren ab einer elektrischen Nennleistung von 5.000 kW. Bei Inhaltszustellnetzen, elektronischen Kommunikationsdiensten und -netzen gilt jeweils ein Marktanteil von mehr als 15 % als Schwelle. Für Vertrauensdienste sind kumulativ mehr als zwei Millionen Nutzer und ein Marktanteil über 25 % erforderlich. Top-Level-Domain-Namenregister werden ab 250.000 registrierten Domänen erfasst. Aufgrund der in § 18 Abs 3 RKEG vorgesehenen Regelung – wonach für den Sektor Digitale Infrastruktur bereits durch NIS2 ein ausreichendes Resilienzniveau gewährleistet ist – entfällt die Definition eines die Meldepflicht auslösenden Sicherheitsvorfalls.

Im Sektor Weltraum – für Österreich angesichts wachsender Weltraumaktivitäten besonders spannend – werden Betreiber von Bodeninfrastruktur erfasst, die weltraumgestützte Dienste unterstützen. Dazu zählen Positions-, Navigations- und Zeitdienste (PNT), öffentliche Satellitenkommunikation, Erdbeobachtungs­dienste sowie Space Surveillance and Tracking (SST). Die Schwelle liegt bei einem Marktanteil von mehr als 10 % im jeweiligen Tätigkeitsfeld. Ein Sicherheitsvorfall liegt vor, wenn der wesentliche Dienst mehr als 24 Stunden ausfällt oder nur eingeschränkt verfügbar ist. Beim Sektor Weltraum wird auch in Österreich erwartet, dass er in den nächsten Jahren stark an Bedeutung gewinnen wird – insbesondere für Verkehrssicherheit, Energie- und Netzsicherheit, Notfallmanagement sowie autonome Systeme.

In den weiteren Sektoren verfolgt die RKEV einen vergleichbaren Ansatz mit sektorspezifischen Kriterien: Im Energiesektor sind Zählpunkte und Zählpunktstunden maßgeblich (Stromlieferanten ab 88.000 Zählpunkten), im Verkehrssektor das Transeuropäische Verkehrsnetz (TEN) und Marktanteile, im Gesundheitssektor die flächendeckende Versorgung (90 % der Wohnbevölkerung binnen 60 Minuten erreichbar). Im Trinkwassersektor gilt eine Schwelle von 8 Millionen m³ Jahreslieferung, im Abwassersektor ein Einwohnerwert von 250. Die RKEV arbeitet dabei mit einheitlichen Messgrößen: “Nutzerstunden” multiplizieren betroffene Nutzer mit der Ausfalldauer, “Zählpunktstunden” funktionieren analog für Versorgungspunkte. Zentral ist die Unterscheidung zwischen “Ausfall” (ungeplante vollständige Unverfügbarkeit) und “eingeschränkter Verfügbarkeit” (signifikante Störung bei fortbestehender Teilfunktion). Die zehnmonatige Übergangsfrist nach Einstufung ermöglicht die erforderliche organisatorische Vorbereitung.

Die RKEV schafft damit einen differenzierten Rahmen für die Einstufung kritischer Einrichtungen und die Meldung von Sicherheitsvorfällen. Für betroffene Unternehmen empfiehlt sich eine frühzeitige Prüfung, ob die sektorspezifischen Schwellenwerte erreicht werden – die zehnmonatige Übergangsfrist nach Einstufung bietet zwar Zeit für organisatorische Vorbereitungen, erfordert aber rechtzeitige Weichenstellungen bei Compliance-Strukturen und Meldeprozessen.

Key Take-Aways

  • Zweistufiges System: Die RKEV unterscheidet zwischen Schwellenwerten für die Einstufung als kritische Einrichtung (§ 11 Abs 1 RKEG) und für meldepflichtige Sicherheitsvorfälle (§ 17 Abs 2 RKEG).
  • Sektor Digitale Infrastruktur: Schwellenwerte nach Nutzerzahlen (Cloud ab 1 Mio), Marktanteilen (Kommunikationsnetze ab 15 %) und technischen Kapazitäten (Rechenzentren ab 5.000 kW) – Meldepflicht entfällt wegen NIS2.
  • Sektor Weltraum: Betreiber von Bodeninfrastruktur für PNT-Dienste, Satellitenkommunikation und Space Surveillance ab 10 % Marktanteil erfasst; Meldepflicht eines Sicherheitsvorfalls nach 24 Stunden Ausfall.
Trennstrich bunt

ctrl + law – ordnet ein, was rechtlich relevant wird.

Klar, kompakt, praxisnah.

Jetzt abonnieren und dranbleiben.