Zur Umsetzung der digitalen Dekade hat die EU verschiedene Verordnungen (meist als Acts bezeichnet) erlassen; sie gelten direkt und unmittelbar. Als Big Five gelten (siehe Herb, Digitale Dekade der EU):
- DGA - Data-Governance-Act: Der Daten-Governance-Rechtsakt 2022/868 vom 30. Mai 2022 (ABl. L 152) regelt die Weitergabe von Daten durch öffentliche Stellen zum Wohle des Binnenmarktes und die Voraussetzungen für den Betrieb von Datennutzungsinfrastrukturen.
- DMA – Digital Markets Act: Das Gesetz über digitale Märkte 2022/1925 vom 12. September 2022 (ABl. L 265) beschränkt die Macht marktbeherrschender Digitalkonzerne und fördert den Wettbewerb auf den Plattformmärkten. Dazu insbesondere sog. Torwächtern (englisch Gatekeepers) detaillierte Pflichten auferlegt.
- DSA – Digital Services Act: Das Gesetz über digitale Dienste 2022/2065 (ABl. L 277) vom 27. Oktober 2022 reguliert das Verhältnis zwischen Vermittlungsdiensten (englisch intermediary services) und deren aktiven und passiven Nutzern durch grundlegende Vorgaben für Plattformen. Neu: Die Durchführungsverordnung 2024/2835 vom 4.11.2024 macht Vorgaben für die Transparenzberichtspflichten.
- Data Act: Die Datenverordnung vom 13. Dezember 2023 (ABl. 2023/2854) Gewährt Ansprüche auf Daten und Informationen durch einen fairen Datenzugang und die Nutzungsmöglichkeit durch Private und Unternehmen. Neu: Berichtigung von Art. 48 durch Verordnung 2024/90790 vom 9.12.2024
- AI-Act - Artificial Intelligence Act: Die KI-Verordnung vom 13. Juni 2024 (ABl. 2024/1689) reguliert die künstliche Intelligenz über einen risikobasierten Ansatz. Neu: Die EU-Kommission hat am 14.11.2024 einen ersten Entwurf eines Verhaltenskodexes für KI veröffentlicht: https://digital-strategy.ec.europa.eu/de/news/commission-publishes-first-draft-general-purpose-artificial-intelligence-code-practice Am 4.2.2025 hat sie rechtlich unverbindliche Leitlinien zum Einsatz von KI veröffentlicht (C(2025) 884 final). Neu: Mit der Durchführungsverordnung (EU) 2025/454 vom 7.3.2025 wurden Regelungen zur Einrichtung eines wissenschaftlichen Gremiums unabhängiger Sachverständiger auf dem Gebiet der KI geschaffen (ABl. vom 10.3.2025)
Daneben sind jedoch weitere Verordnungen und Richtlinien von Bedeutung:
Die P-2-B (Platform-to-Business) – Verordnung 2019/1150 vom 20. Juni 2020 (ABl. 2029, L 186/57) will (kleine) gewerbliche Anbieter vor (großen) Online-Vermittlungsdiensten und Suchmaschinen schützen.
Die eIDAS-Verordnung vom 11. April 2024 (ABl. 2024/1183) schafft einen europäischen Rahmen für eine digitale Identität durch eine digitale Brieftasche (englisch wallet); diese Verordnung hat die VO 910/2014 geändert und dazu sind jetzt -neu- im Amtsblatt vom 4.12.2024 fünf Durchführungsverordnungen (2024/ 2977 sowie 2979 bis 2982) verkündet worden..
Die DSGVO (Datenschutz-Grundverordnung) 2016/679 vom 17. April 2026 schützt das Persönlichkeitsrecht und regelt die Verarbeitung personenbezogener Daten (www.datenschutz-kommentar.de).
Der CRA – Cyber Resilience Act stellt horizontale Cybersicherheitsanforderungen an Produkte mit digitalen Elementen. Er ist jetzt - neu- im Amtsblatt vom 20.11.2024 als CRA-Act 2024/2847 vom 23. Oktober 2024 verkündet worden.
Die NIS-2 - Richtlinie 2022/2555 vom 27. Dezember 2022 (ABl. L 333/80) zur Cybersicherheit soll die betriebsbezogene Netzwerk- und Informationssicherheit erhöhen und gewährleisten: Sie muss jeweils in nationales Recht umgesetzt werden. Neu: Die EU hat mangels Umsetzung am 28.11.2024 ein Vertragsverletzungsverfahren u.a. gegen Deutschland eingeleitet.
DORA - Digital Operational Resilience Act 2022/2554 vom 14. Dezember 2022 (ABl. L 333), soll insbesondere im Finanzsektor die Daten- und IT-Sicherheit erhöhen und gewährleisten. Neu: Berichtigt durch EU-Verordnung 2024/90822 vom 19.12.2024. Neu: Durch die am 13. Februar 2025 veröffentlichte delegierte Verordnung 2025/295 (vom 24.10.2024) werden technische Regulierungsstandards für sog. "kritische IKT-Dienstleister" vorgegeben. Neu: Im Amtsblatt vom 20.2.2025 wurden die delegierten Verordnungen 2025/301 und 2025/302 (jeweils vom 23.10.2024) zur Meldung schwerwiegender IKT-bezogener Vorfälle veröffentlicht.
Die Richtlinie 2024/2853 vom 23. Oktober 2024 regelt die Haftung für fehlerhafte Produkte (worunter auch Software fällt), die nach dem 9. Dezember 2026 in Verkehr gebracht oder in Betrieb genommen werden.
Neu: Die bereits am 19.12.2024 erlassenen beiden Verordnungen zu personenbezogenen Fluggastdaten (Advance Passenger Information – API) sind am 8.1.2025 im Amtsblatt veröffentlicht worden. Die VO 2025/12 regelt die Verarbeitung vorab zu übermittelnder Fluggastdaten zur Kontrolle an den Außengrenzen; die VO 2025/13 soll terroristische Straftaten und schwere Kriminalität verhindern.
Neu: Die EU-Kommission plant für Ende 2025 einen Digital Networks Act (DNA) zur Regulierung der Märkte für Telekommunikation. Der DNA soll den regulatorischen Rahmen überarbeiten und vereinfachen. Es soll ein „gemeinsamer Markt für Konnektivität“ entstehen.
_ _Neu:_ Im Amtsblatt vom 15.1.2025 wurde die Cybersolidaritätsverordnung 2025/38 vom 19.12.2024 veröffentlicht und am 24.1.2025 durch das Corrigendum 2025/90063 berichtigt. Dort werden Maßnahmen zur Stärkung der Kapazitäten in der Union für die Erkennung von, Vorsorge für und Bewältigung von Cyberbedrohungen und Sicherheitsvorfällen festgelegt (Art. 1 Abs. 1).
Neu: Die EU-Kommission hat in ihrem Arbeitsprogramm (vom 12. Februar 2025) für das Jahr 2025 beschlossen, die ePrivacy-Verordnung zurückzuziehen und die KI-Haftungsrichtlinie (sie sollte einen Rechtsrahmen für die Haftung von KI-Anbietern schaffen) vorerst nicht weiter zu verfolgen.
Neu: Im Amtsblatt vom 5.3.2025 wurde die Verordnung (EU) 2025/327 vom 11. Februar 2025 „über den europäischen Gesundheitsdatenraum“ („European Health Data Space — EHDS“) veröffentlicht. Damit werden „gemeinsame Vorschriften, Standards und Infrastrukturen sowie ein Governance-Rahmen geschaffen, um den Zugang zu elektronischen Gesundheitsdaten für die Zwecke der Primärnutzung von Gesundheitsdaten sowie der Sekundärnutzung dieser Daten zu erleichtern“. Die 105 Artikel plus 4 Anhänge gelten ab dem 26. März 2027.