Digitale Fahrzeuge erfordern jetzt klare Regeln für Cybersicherheit

Die Reform des Computerstrafrechts verzögert sich weiter. Ein im November 2024 vorgelegter Gesetzentwurf des Bundes- justizministeriums, der nach der Verbändeanhörung zentrale Anliegen des VDA berücksichtigte, wurde infolge des vorzeitigen Regierungs- wechsels nicht in den parlamentarischen Prozess eingebracht. Zwar findet sich die Reform im Koalitionsvertrag 2025 wieder, konkrete Umsetzungs schritte stehen jedoch weiterhin aus. An der Dring lichkeit des Themas hat sich jedoch nichts geändert. Fahrzeuge werden zunehmend digitaler, vernetzter und automatisierter. Elektronik, Software und aktuelle Daten sind zentrale Voraussetzungen für moderne Fahrzeug funktionen und Fahrkomfort. Entsprechend wächst die Bedeutung der Automotive Cybersecurity, die Fahrzeu ge vor einer Vielzahl möglicher Angriffe schützen muss – vom Diebstahl ganzer Fahrzeuge oder einzelner Komponenten über den Zugriff auf sensible Fahrzeug daten bis hin zur Manipulation von Fahrzeugfunktionen. Cybersicherheit in der Automobilindustrie ist damit ein wesentlicher Bestandteil sowohl der individuellen als auch der gesellschaftlichen Sicherheit. Entsprechend treiben die Unternehmen ihre Schutz- maßnahmen kon tinuierlich voran, was sich auch in einer wachsenden Zahl regulatorischer Vorgaben und gesetzlicher Anfor derungen zur Automotive Cybersecurity widerspiegelt, die entlang der gesamten Wertschöpfungskette Anwendung finden.

Gleichzeitig führt die weiterhin ausstehende Anpassung des Computerstrafrechts zu rechtlicher Unsicherheit für unabhängige Sicherheitsforscher. Dies erschwert es den Akteuren der Automobilindustrie unnötig, die beste henden und zunehmenden Anforderungen im Bereich der Cybersicherheit effizient umzusetzen. Sicherheitsforscher müssen die Möglichkeit haben, Cyber- sicherheitslücken straffrei aufzudecken, sofern dies mit dem Ziel der Schadensabwehr erfolgt und die Ergebnisse verantwortungsvoll behandelt werden. Der Eindruck, mit den im Jahr 2024 angestoßenen Maß nahmen sei dieses Thema bereits abschließend gere gelt worden, ist jedoch nicht zutreffend. Der VDA setzt sich daher weiterhin für eine dringend erforderliche An passung des Computerstrafrechts ein.

EU Data Act: Neue Pflichten, bewährte Konzepte und wachsende Herausforderungen beim Datentransfer

Seit dem 12. September 2025 sind die umfangreichen Regelungen des EU Data Acts in Deutschland verbindlich anzuwenden. Damit sind Automobilhersteller verpflichtet, ihren Kunden eine Vielzahl von Fahrzeug daten bereitzustellen, sofern diese die Daten selbst oder für Angebote Dritter nutzen möchten. Der Verband der Automobilindustrie unterstützt diesen Ansatz mit dem bereits im Dezember 2021 veröffent lichten ADAXO-Konzept (Automotive Data Access, Ex tended and Open). ADAXO schafft einen Rahmen für eine vertrauenswürdige und transparente Datenweitergabe entlang der gesamten automobilen Wertschöpfungskette. Hersteller, Zulieferer, Dienstleister und Endnutzer können so von einer effizienten Datennutzung profitieren, während Datenschutz und Datensicherheit gewährleistet bleiben. Ein zentrales Element von ADAXO ist, dass ein direkter Zugriff Dritter auf Fahrzeugdaten nicht erforderlich ist; stattdessen werden die Daten durch den Hersteller außerhalb des Fahrzeugs bereitgestellt.

Über die EU-Ebene hinaus gewinnt auch der internatio nale Datentransfer weiter an Bedeutung. Für global tätige Automobilhersteller sind Daten aus Forschungs- und Entwicklungs- standorten im Ausland ebenso relevant wie Felddaten aus international genutzten Fahrzeugflotten. Die aktuellen geopolitischen Entwicklungen und der zunehmende Protektionismus stellen den internationalen Datentransfer jedoch vor neue Herausforderungen. Der VDA beobachtet diese Entwicklungen mit Sorge. Vor diesem Hintergrund ist eine enge Zusammenarbeit zwischen Industrie, Regulierungsbehörden und weite ren Stakeholdern erforderlich, um die Potenziale der Digitalisierung und der Datennutzung in einem verlässlichen rechtlichen Rahmen zu erschließen.

NIS-2-Umsetzung: Mehr Verantwortung und neue Pflichten für die Automobilindustrie

Mit der nationalen Umsetzung der europäischen NIS 2-Richtlinie durch die Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) wurde der Rahmen für Cybersicherheit in Deutschland deutlich erweitert. Das Gesetz ist im De zember 2025 in Kraft getreten und erfasst seitdem eine erheblich größere Zahl sogenannter wichtiger und be sonders wichtiger Einrichtungen. Für die Automobilindustrie bedeutet die BSIG-Novelle eine deutliche Ausweitung der regulatorischen Anfor derungen entlang der gesamten Wertschöpfungskette. Neben Fahrzeugherstellern können auch zahlreiche Zulieferer, Softwareanbieter und Mobilitätsdienstleister in den Anwendungsbereich fallen. Vorgesehen sind unter anderem verbindliche Maßnahmen zum Risiko management, Meldepflichten bei erheblichen Sicher heitsvorfällen sowie eine gestärkte Verantwortung der Unternehmensleitungen für die Cybersicherheit.

Der Verband der Automobilindustrie (VDA) hat die nati onale Umsetzung von NIS 2 im BSIG eng begleitet und die Perspektiven der Automobilindustrie in den politi schen Dialog eingebracht. Ziel ist eine praxisgerechte Anwendung, die bestehende branchenspezifische Regelungen berücksichtigt, Doppelregulierungen ver meidet und zugleich ein hohes Cybersicherheitsniveau sicherstellt.

Digitale Mobilität: Regulatorische Weichen- stellungen für vernetzten und automatisierten Verkehr

Die Digitalisierung des Straßenverkehrs stellt hohe Anforderungen an Recht, Verwaltung und Industrie. Vernetzte und automatisierte Fahrzeuge sind auf ver lässliche Daten, klare Zuständigkeiten und praxis taugliche Regelungen angewiesen. Der Verband der Automobilindustrie brachte sich im Berichtsjahr daher intensiv in zentrale Gesetzgebungsverfahren ein, um Verkehrssicherheit, Innovationsfähigkeit und internatio nale Wettbewerbsfähigkeit gleichermaßen zu stärken. Im Rahmen der Novellierung des Straßenverkehrs gesetzes begrüßte der VDA insbesondere die stärkere Nutzung digitaler Daten für die Unfallforschung. Zu gleich machte er deutlich, dass neue Untersuchungs- und Berichtspflichten verhältnismäßig ausgestaltet werden müssen. Eine Fokussierung auf sicher heitsrelevante Ereignisse, die Nutzung bestehender behördlicher Datenflüsse sowie der Verzicht auf Dop pelstrukturen sind entscheidend, um Bürokratie zu be grenzen und Ressourcen effizient einzusetzen. Auch die Neufassung des Gesetzes über Intelligente Verkehrssysteme begleitete der VDA konstruktiv. Klare Verantwortlichkeiten, interoperable Datenstrukturen und eine schrittweise Einführung neuer Datenpflichten schaffen Planungssicherheit für Hersteller. Gleichzeitig bleibt der Schutz proprietärer und sicherheitsrelevanter Daten eine zentrale Voraussetzung für Investitionen in vernetzte und automatisierte Mobilitätslösungen. Insgesamt setzte sich der VDA dafür ein, die regulato rischen Rahmenbedingungen so weiterzuentwickeln, dass Sicherheit, Datenverfügbarkeit und techno logische Innovation nachhaltig miteinander verbun den werden.