IT-Recht und Digitalisierung – was uns im Jahr 2025 erwartet

News

Bildquelle: Li Ding (Adobe Stock)

15/01/2025 | Recht und Regulierung

Was tut sich 2025? Entwicklungen, die Wirtschaftsprüferinnen und Wirtschaftsprüfer im Blick haben sollten

Mit der zunehmenden Digitalisierung und den wachsenden technologischen Fortschritten müssen Unternehmen und Wirtschaftsprüfer, sich intensiv mit den Entwicklungen und auch mit den rechtlichen Anforderungen auseinandersetzen, um Regeln einzuhalten und Risiken zu minimieren. Dieser Artikel beleuchtet Gesetzgebungsentwicklungen im IT- und Digitalisierungsrecht 2025, die für die Wirtschaftsprüfungsbranche interessant und relevant sind.

Von Kryptowährungen über KI bis zu Cybersicherheit, Barrierefreiheit und Cookie-Bannern – das Jahr 2025 wird umfassende Neuerungen im IT-Recht mit sich bringen. Während die Umsetzung der NIS-2-Richtlinie noch von politischen Prozessen abhängt, stehen bei zahlreichen neuen Gesetzen die Gültigkeitstermine bereits fest. Wirtschaftsprüfer stehen vor der Herausforderung, diese Entwicklungen nicht nur zu beobachten, sondern aktiv in ihre Arbeitsweise und Beratung zu integrieren. Wer sich frühzeitig mit den Änderungen auseinandersetzt, kann nicht nur rechtliche Risiken minimieren, sondern auch neue Beratungsfelder erschließen und somit Wettbewerbsvorteile sichern. Überblick und Unterstützung hierbei bieten die Tools und Services auf der Plattform SOLON X.

Kryptowerte

Die EU-Verordnung über Märkte für Kryptowerte (Markets in Crypto-Assets Regulation – MiCAR) verfolgt das Ziel, einen harmonisierten europäischen Regulierungsrahmen für Kryptowerte zu schaffen, der Innovationen fördert und die Nutzung des Potenzials von Kryptowerten unter Wahrung der Finanzstabilität und des Anlegerschutzes ermöglicht. Die Regelungen wurden zu verschiedenen Zeitpunkten wirksam, u.a. kürzlich zum 30. Dezember 2024.

In Deutschland dient vor allem das Finanzmarktdigitalisierungsgesetz (FinmadiG) dazu, die nationalen Rahmenbedingungen für das EU-Recht zu schaffen. Das Artikelgesetz führt in seinem Artikel 1 ein neues Kryptomärkteaufsichtsgesetz ein (KMAG). Der Bundesrat hat dem Gesetzentwurf in der letzten regulären Sitzung des Jahres 20204 am 20. Dezember 2024 zugestimmt, am 27.Dezember 2024 ist es im Bundesgesetzblatt veröffentlicht worden.

E-Rechnung

Mit dem Wachstumschancengesetz sind die Regelungen zur Ausstellung von Rechnungen nach § 14 UStG für nach dem 31. Dezember 2024 ausgeführte Umsätze neu gefasst worden. Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (E‑Rechnung) zu verwenden. Antworten auf häufige Fragen zur E-Rechnung sind im Webauftritt des Bundesfinanzministeriums zu finden.

Künstliche Intelligenz

Am 2. Februar 2025 wird der erste Teil der Vorschriften des EU AI Act wirksam. Dies betrifft allgemeine Bestimmungen sowie verbotene Praktiken im KI-Bereich. Nach Art. 5 sind das Inverkehrbringen, die Inbetriebnahme oder die Verwendung eines KI-Systems mit besonders hohem Risiko verboten. Darunter fallen u.a. Social-Scoring-Modelle, Datenbanken zur Gesichtserkennung oder Systeme zur Ableitung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen, jeweils unter bestimmten Voraussetzungen. Außerdem müssen Anbieter und Betreiber dafür sorgen, dass alle Mitarbeitenden über ein „ausreichendes Maß an KI-Kompetenz“ verfügen, wenn sie KI-Systeme betreiben oder nutzen (Art. 4).

Die Vorschriften des EU AI Act für KI-Systeme mit allgemeinem Verwendungszweck werden ab dem 2. August 2025 anwendbar sein. Hierunter fallen vor allem generative KI-Modelle, die Text-, Audio-, Bild- oder Videoinhalte erzeugen. Für Anbieter bzw. nachgelagerte Anbieter, die das Modell in ihr KI-System integrieren, gelten bestimmte technische Dokumentationspflichten. Wirtschaftsprüfer müssen sich mit den Anforderungen auseinandersetzen, sowohl beim Einsatz eigener KI-Systeme als auch bezogen auf KI in der Mandatsbearbeitung oder in Prüfungsprozessen.

Wirtschaftsprüfer sollten frühzeitig prüfen, inwiefern ihre eingesetzten Systeme betroffen sind, und entsprechende Maßnahmen ergreifen.

Cyberresilienz und Cybersicherheit

Digital Operational Resilience Act (DORA)

Bis zum 17. Januar 2025 müssen Finanzunternehmen und andere Dienstleister den Digital Operational Resilience Act (DORA) umgesetzt haben. Ziel ist ein besserer Schutz des Finanzsektors und der Marktteilnehmenden vor Cyberangriffen.

NIS-2-Richtlinie

Die EU-Richtlinie soll für mehr Cybersicherheit sorgen. Sie legt einheitliche Kriterien fest, um Unternehmen als Betreiber wesentlicher Dienste zu identifizieren, die im Bereich Cybersicherheit Risikomanagement-Maßnahmen umsetzen müssen. Sie betrifft die Cybersicherheitsanforderungen für kritische Infrastrukturen, aber auch für mittelständische Unternehmen und Dienstleister.

Generell gehören Unternehmen demnach zahlenmäßig zu den Betroffenen, wenn sie mindestens 50 Personen beschäftigen oder der Jahresumsatz und die Jahresbilanz zehn Millionen Euro übersteigen. Aber es gibt auch Ausnahmen von dem Größenkriterium, wenn Betriebe abschließend aufgezählte qualifizierende Anforderungen erfüllen, falls sie beispielsweise eine kritische Tätigkeit ausüben oder das IT-bedingte Nichtfunktionieren Auswirkungen auf die öffentliche Ordnung oder gar systemische Risiken zur Folge hat (Mehr zum Thema „Cybersecurity – Aktuelles in der Wirtschaftsprüfung“).

Bisher wurde mit der Umsetzung im März 2025 gerechnet. Dieser Termin wird sich wohl aufgrund der Neuwahlen verschieben, auch wenn die Frist zur Umsetzung eigentlich am 17. Oktober 2024 abgelaufen ist und die EU-Kommission im November 2024 wegen der Nichtumsetzung der Richtlinie ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet hat. Wirtschaftsprüferinnen und Wirtschaftsprüfer sollten betroffene Unternehmen für die NIS-2-Anfoderungen sensibilisieren und mit den Unternehmen bezogen auf die IT-Compliance zusammenarbeiten.

Barrierefreiheit

Gemäß dem Barrierefreiheitsstärkungsgesetz, das am 28. Juni 2025 in Kraft treten wird, müssen Produkte, Dienstleistungen und Apps digital barrierefrei sein Dies fördert die gleichberechtigte und diskriminierungsfreie Teilhabe von Menschen mit Behinderungen oder Einschränkungen sowie von älteren Menschen. In der Praxis betroffen sind vor allem Selbstbedienungsterminals (Zahlungsterminals, Geld- und Fahrausweisautomaten), Computer und Laptops sowie Smartphones und Smart-TV für Verbraucherinnen und Verbraucher, E-Books, Bankdienstleistungen und Personenbeförderungsdienste, aber auch Dienstleistungen im elektronischen Geschäftsverkehr wie z.B. Websites, Apps und Onlineshops, über welche Unternehmen ihre Produkte vertreiben. Das BFSG setzt die EU-Richtlinie zur Barrierefreiheit (European Accessibility Act, kurz: EAA) im deutschen Recht um.

Barrierefrei sind Produkte oder Dienstleistungen, wenn sie für Menschen mit Behinderungen ohne besondere Erschwernis und grundsätzlich ohne fremde Hilfe auffindbar, zugänglich und nutzbar sind – eine Wahrnehmung muss grundsätzlich immer über zwei Sinne möglich sein, beispielsweise das Sehen schriftlicher Informationen und das Hören als vorgelesener Text. Näheres regelt die Verordnung zum Barrierefreiheitsstärkungsgesetz (BFSGV).

Cookie-Banner

Der Bundesrat hat am 20. Dezember 2024 einer Verordnung zugestimmt, die die Verwaltung von Cookie-Zustimmungen im Internet einfacher macht und eine Alternative zu Cookie-Bannern schafft. Die Zahl der Einwilligungsbanner soll langfristig sinken, da sogenannte „anerkannte Dienste zur Einwilligungsverwaltung“ geschaffen werden. Diese sollen die Entscheidungen der Nutzerinnen und Nutzer zur (Nicht-)Einwilligung verwalten und den digitalen Diensteanbietern auf Nachfrage übermitteln, sodass letztere nicht mehr selbst nachfragen müssen. Die Einbindung dieser Dienste soll sowohl für die Nutzer als auch für die Anbieter digitaler Dienste freiwillig sein.

Die „Verordnung über Dienste zur Einwilligungsverwaltung“ tritt am ersten Tag des auf die Verkündung folgenden Quartals in Kraft, voraussichtlich am 1. April 2025.