Künstliche Intelligenz verändert Wirtschaft und Gesellschaft. Doch welche Chancen ergeben sich für Unternehmen in Österreich, und welche Herausforderungen müssen bewältigt werden? Das Event KI Made in Austria bietet eine exklusive Gelegenheit, sich über bahnbrechende KI-Technologien und die neuesten regulatorischen Anforderungen zu informieren! Gemeinsam mit Secur-Data und dem österreichischen KI-Anbieter goodguys GmbH beleuchtet die OCG:
AI-Act im Fokus – Expert*innen erklären die neuesten regulatorischen Entwicklungen und ihre Auswirkungen auf österreichische Unternehmen.
Revolutionäre KI in der Praxis – Der österreichische KI-Pionier präsentiert eine wegweisende Innovation und zeigt, wie sie DSGVO-konform Branchen transformiert.
Neben spannenden Fachvorträgen und Diskussionen bietet die Veranstaltung Networking-Möglichkeiten mit Branchenführern. KI Made in Austria richtet sich an Unternehmen, Start-ups und Entscheidungsträger*innen, die die Zukunft aktiv mitgestalten wollen.
Datum: 7. Mai 2025 Zeit: ab 16 Uhr Ort: OCG, Wollzeile 1, 1010 Wien
16:00 Uhr Begrüßung, OCG Präsident Wilfried Seyruck
16:10 Uhr Vortrag AI-Act und Schnittstellen zum Datenschutz, Judith Leschanz, Secur-Data
16:40 Uhr Vortrag KI-Lösungen in Anwendung, Josef Füricht, goodguys
17:10 Uhr Vortrag Ihr Einstieg in die Künstliche Intelligenz – Das OCG/ICDL KI Modul, Martin Kandlhofer, OCG
17:40 Uhr Get-together mit Brötchen und Wein
Vortragende:
Mag. Judith Leschanz ist studierte Juristin und seit mehr als 20 Jahren im Bereich Datenschutz tätig. Sie hatte mehrere Managementpositionen im In- und Ausland der A1 inne und ist aktuell Datenschutzbeauftragte der A1 und Geschäftsführerin der Secur-Data Betriebsberatungs-Ges.m.b.H., Vizepräsidentin des EFDPO (European expert network of data protection officers) sowie Vorstandsvorsitzende des Vereins der österreichischen betrieblichen und behördlichen Datenschutzbeauftragen.
Dr. Josef Füricht ist einer der Gründer der goodguys gmbh, einem Unternehmen, das mit modernster generativer KI die digitale Zukunft gestaltet. Als Partner und Impulsgeber verantwortet er Vertrieb, Business Development und Projektabwicklung – und sorgt dabei für höchste Effizienz, Qualität und Effektivität in der Nutzung der GenAI-Produkte. Bei goodguys stehen zukunftsweisende SaaS-Lösungen wie der AI-Concierge, eine generische Agentic-Pipeline und ein Email basierter Antwort-Service im Fokus, die mit Hilfe von Technologien wie OpenAI wie auch anderen Playern (Online und OnPremises) am Markt realisiert werden. Josef Füricht verbindet technologischen Fortschritt mit strenger Einhaltung von Datenschutz- und AI-Act-relevanten Vorgaben, um nachhaltige Lösungen für den digitalen Wandel zu schaffen. So ebnet er und die goodguys den Weg in eine spannende, digitalisierte Zukunft.
DI Dr. Martin Kandlhofer arbeitet im Bereich Forschung, Innovation und internationale Projekte bei der Österreichischen Computer Gesellschaft (OCG). Er beschäftigt sich mit der Umsetzung und Evaluierung von Lehrkonzepten speziell im Bereich Robotik und Künstliche Intelligenz. Neben seiner Forschungs-, Review-, Editor und Publikationstätigkeit im Rahmen von verschiedenen internationalen und nationalen Projekten zum Thema Educational Robotics und Education in Artificial Intelligence (u.a. als Senior Researcher und Projektkoordinator im EU Projekt ‚EDLRIS – European Driving License for Robots and Intelligent Systems‘) absolvierte er Forschungsaufenthalte in Irland und den USA.
Das kürzlich abgehaltene Datenschutz-Praxisseminar der Secur-Data bot Fach- und Führungskräften eine umfassende Schulung zur Datenschutz-Grundverordnung (DSGVO) sowie zur praktischen Umsetzung datenschutzrechtlicher Vorgaben. Die Veranstaltung richtete sich insbesondere an Datenschutzbeauftragte, IT-Manager, Compliance-Beauftragte, Juristen und Unternehmensberater.
Seminarinhalte und Schwerpunkte
Das Seminar gliederte sich in zwei thematische Blöcke. Der erste Tag konzentrierte sich auf die rechtlichen Entwicklungen der DSGVO sowie bewährte Best Practices. Die Teilnehmenden erhielten eine detaillierte Einführung in die gesetzlichen Anforderungen und wurden über die neuesten nationalen und europäischen Entwicklungen informiert. Besonders die jüngsten Änderungen und ihre Auswirkungen auf Unternehmen wurden intensiv diskutiert, um ein solides Verständnis für die rechtlichen Rahmenbedingungen zu gewährleisten.
Am zweiten Tag lag der Fokus auf der praktischen Anwendbarkeit der Datenschutzregelungen im Unternehmensalltag. Neben Themen wie Informationssicherheit und technischen und organisatorischen Maßnahmen (TOM) wurde auch das Verfahren vor der Datenschutzbehörde besprochen. Ein besonderes Highlight war die Auseinandersetzung mit der Schnittstelle zwischen DSGVO und Künstlicher Intelligenz (KI), die immer mehr an Bedeutung gewinnt.
Die Teilnehmenden konnten praxisnahes Wissen zur effektiven Umsetzung der DSGVO und zur Stärkung der Datensicherheit erwerben.
Fazit und Zitat der Geschäftsführerin
Das Seminar bot den Teilnehmern nicht nur wertvolle Einblicke in aktuelle Datenschutzregelungen, sondern auch praxisnahe Lösungsansätze für den Arbeitsalltag. Frau Mag. Leschanz, Geschäftsführerin der Secur-Data, betonte die Relevanz solcher Seminare: „Datenschutz ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Unser Seminar hilft Unternehmen, sich auf die dynamischen Herausforderungen des Datenschutzes vorzubereiten und innovative Lösungen zu entwickeln.“
Mit praxisnahen Fallbeispielen und interaktiven Diskussionen war das Datenschutz-Praxisseminar ein voller Erfolg und unterstrich die Bedeutung einer fundierten Datenschutzstrategie für Unternehmen aller Branchen.
Am 13. März fand in Luzern der 13. Privacy Ring zum hochaktuellen Thema Datenschutz und Künstliche Intelligenz (KI) statt. Expertinnen und Experten aus verschiedenen Bereichen beleuchteten in spannenden Vorträgen die Herausforderungen und Chancen, die KI für den Datenschutz mit sich bringt.
Von den Auswirkungen auf KMU über das Zusammenspiel von DSGVO und AI Act, das noch viele offene Fragen in der praktischen Umsetzung aufwirft, bis hin zu einer wertebasierten Datenkultur Schweizer Prägung wurden zentrale Aspekte diskutiert. Im Rahmen der Veranstaltung wurden auch erste Praxiserfahrungen aus dem Einsatz von KI in der Versicherungsbranche zur Schadenerfassung oder Prozessautomatisierung geteilt und mit dem Publikum diskutiert.
Den Abschluss bildete eine Podiumsdiskussion mit den Vortragenden, einem österreichischen KI-Anbieter und einer Rechtsanwältin – ein wertvoller Austausch über die Zukunft von KI und Datenschutz.
Save the Date!
Nach dieser erfolgreichen Veranstaltung geht es weiter: Der 14. Privacy Ring findet am 18.09.2025 in Wien statt! Weitere Details folgen in Kürze.
Das Informationsfreiheitsgesetz (IFG) wurde am 31. Jänner 2024 im Nationalrat beschlossen und tritt am 1. September 2025 in Kraft. Es markiert einen bedeutenden Schritt hin zu mehr Transparenz in Österreich und löst das bisher geltende Amtsgeheimnis weitgehend ab. Es wird ein moderner rechtlicher Rahmen für den Zugang zu Informationen geschaffen und das Vertrauen in staatliche Institutionen durch eine offene und transparente Verwaltung verstärkt.
Unser IFG Compliance-Paket unterstützt Sie umfassend bei der Umsetzung der gesetzlichen Vorgaben und sorgt dafür, dass Ihre Organisation optimal vorbereitet ist. Unsere Expertise vereint rechtliches Know-how, strategische Beratung und praxisnahe Lösungen.
Unsere Leistungen im Überblick:
Prozesse & Workflows: Analyse interner Anlaufstellen, Definition klarer Zuständigkeiten und Entwicklung effizienter Abläufe für Anträge nach dem Informationsfreiheitsgesetz
Schulung & Richtlinien: Erstellung praxisnaher Schulungsunterlagen und Checklisten zur schnellen Antragsprüfung
Antragsbearbeitung: Beratung zu Antwortstrategien und Bereitstellung von Musterdokumenten für unterschiedliche Szenarien
Dokumentation & Compliance: Entwicklung klarer Vorgaben zur Erfassung und Kategorisierung von Informationen
Strategische Beratung: Unterstützung bei der Begründung von Ausnahmen und der Interessenabwägung
Ihre Vorteile:
✔Sicherheit: Minimierung von Verfahrensrisiken durch klare Prozesse und strukturierte Dokumentation
✔Effizienz: Optimierte Workflows für die schnelle und einheitliche Bearbeitung von IFG-Anfragen
✔Mitarbeiterschulung: Sensibilisierung und Qualifizierung Ihres Teams für den professionellen Umgang mit Anträgen nach dem Informationsfreiheitsgesetz
Am 13. Jänner 2025 legte die Datenschutzbehörde den Entwurf eines Leitfadens zum Informationsfreiheitsgesetz (IFG) vor. Das IFG räumt der Datenschutzbehörde eine zentrale Rolle bei der Umsetzung des Gesetzes ein, indem sie „Leitfäden und Angebote zur Fortbildung in datenschutzrechtlichen Belangen der Vollziehung der Informationsfreiheit“ bereitstellt.
Das IFG tritt am 1. September 2025 in Kraft. Es soll für Transparenz im öffentlichen Bereich sorgen und den Zugang zu Informationen von allgemeinem Interesse erleichtern. Das Gesetz ist ein wichtiger Schritt in Richtung größerer Transparenz und Bürgerbeteiligung in Österreich. Es bringt aber auch neue Herausforderungen für die Adressaten, insbesondere im Hinblick auf Informationsmanagement, Sicherheit und Datenschutz.
Das IFG normiert eine Verpflichtung zur proaktiven Veröffentlichung, der u.a. Legislative, Verwaltungsbehörden und Gerichte unterliegen. Private Stellen wie Stiftungen, Fonds und Unternehmen, die der Kontrolle des Rechnungshofes oder eines Landesrechnungshofes unterliegen, sind von dieser Verpflichtung ausgenommen. Sie müssen jedoch Zugang zu Informationen gewähren, wenn ein entsprechender Antrag gestellt wird.
Das Gesetz sieht einige Ausnahmen vor, bei denen der Zugang zu Informationen verweigert werden kann. Besonders für private Stellen ist es unbedingt notwendig, diese Fragen im Vorfeld zu klären und Unsicherheiten auszuräumen. Antragsteller können sich zur Berufung an das zuständige Bundes- oder Landesverwaltungsgericht wenden, wenn sie mit der Beantwortung nicht einverstanden sind. Für die Verweigerung einer Information muss die betroffene Stelle daher eine stichhaltige und nachvollziehbare Begründung liefern. Ein klar definierter interner Arbeitsablauf ist besonders wichtig, da zur Bearbeitung nur vier Wochen zur Verfügung stehen.
Am 16. Jänner 2023 ist die VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Betriebsstabilität digitaler Systeme des Finanzsektors („Digital Operational Resilience Act“; DORA) in Kraft getreten. Sie ist von den betroffenen Unternehmen ab 17. Jänner 2025 verpflichtend anzuwenden. Mit DORA sollen bestehende regulatorische Lücken für den gesamten europäischen Finanzsektor geschlossen und die Betriebsstabilität im Finanzsektor gestärkt werden.
Aufgrund der in DORA enthaltenen Ermächtigung für die Europäische Kommission wurden noch folgende Rechtsakte erlassen:
DELEGIERTE VERORDNUNG (EU) 2024/1502 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der VO (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch
DELEGIERTE VERORDNUNG (EU) 2024/1505 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der VO (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren
Zum Wirksamwerden der DORA-VO wurde vom österreichischen Gesetzgeber am 18. April 2024 ein Vollzugsgesetz (DORA-Vollzugsgesetz, DORA-VG) veröffentlicht, das im Finanzausschuss am 27. Juni 2024 die Stimmenmehrheit von ÖVP, SPÖ, Grünen und Neos erhielt und am 3. Juli 2024 im NR beschlossen wurde. Das Gesetz soll insb. den Anwendungsbereich der DORA-VO in Bezug auf die nationalen Institute klarstellen. In Österreich ist die Finanzmarktaufsicht (FMA) für den Vollzug von DORA zuständig.
Durch die von den Unternehmen aufgrund der in DORA normierten Bestimmungen umzusetzenden Maßnahmen sollen folgende Ziele erreicht werden:
IKT-Risikomanagement (Kapitel II, Art. 5 bis 16)
Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Art. 17 bis 23)
Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Art. 24 bis 27)
Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Art. 28 bis 30)
Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Art. 31 bis 44)
Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen (Kapitel VI, Art. 45)
Grundsätzlich stellt sich die Frage, warum die EU zwei Rechtsvorschriften für Cybersicherheit, nämlich die NIS-2-RL und die DORA-VO erlassen hat, die auf den ersten Blick ähnlich anmuten. Bei näherer Betrachtung dieser beiden Rechtsvorschriften zeigen sich jedoch einige wesentliche Unterschiede. Während NIS-2 als RL in nationales Recht umgesetzt werden muss, handelt es sich bei DORA um eine VO, die zeitgleich in allen Mitgliedstaaten in Kraft tritt und unverändert in ihrer Gesamtheit durchgesetzt werden muss. Während die NIS-2-RL veröffentlicht wurde, um das allgemeine Niveau der Cybersicherheit in der EU zu vereinheitlichen (was durch NIS-1 nicht gelungen ist), soll die Umsetzung der Anforderungen der DORA-VO den europäischen Finanzsektor in die Lage versetzen, Cyberangriffen standzuhalten und betriebsfähig zu bleiben. Der Fokus von DORA liegt daher auf der Verfügbarkeit und Integrität von Finanzdienstleistungen.
Auch in Bezug auf den Umsetzungszeitpunkt sowie in der Behördenzuständigkeit ergeben sich Unterschiede. Während die Bußgelder in der NIS-2-RL festgelegt sind, wird die Festlegung und Bewertung der Sanktionen in DORA den Mitgliedstaaten überlassen.
DORA legt besonderen Wert auf die Sicherheit der Lieferkette und geht über die Anforderungen der NIS-2-RL weit hinaus. So müssen Finanzunternehmen die Risiken über die gesamte Lieferkette identifizieren und in entsprechenden Verzeichnissen dokumentieren. Verträge mit IKT-Dienstleistungsunternehmen dürfen nur mit Anbietern abgeschlossen werden, die über hohe und aktuelle Informationssicherheitsstandards verfügen.
DORA gilt – mit wenigen Ausnahmen – grundsätzlich für alle regulierten Finanzunternehmen in der EU und insbesondere auch für IKT-Dienstleister, die von diesen Unternehmen eingesetzt werden. Als lex specialis geht DORA der NIS-2-RL vor. Nichtsdestotrotz kann es zu Mehrfachregulierungen kommen, und zwar für Unternehmen im IT- und TK-Sektor, die sowohl als NIS-2-Einrichtungen als auch als kritische IKT-Dienstleister nach DORA gelten. Im Einzelnen sind gem. § 2 DORA-VG insbesondere folgende Unternehmen des Finanzsektors betroffen: Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Kryptowerte-Dienstleistungen und Emittenten von vermögenswertreferenzierten Token, Handelsplätze, Datenbereitstellungsdienste, Verwaltungsgesellschaften, Unternehmen gem § 1 Z 1 VAG sowie Pensionskassen. Somit fallen so gut wie alle beaufsichtigten Unternehmen des europäischen Finanzsektors unter die Bestimmungen von DORA. Darüber hinaus sind auch kritische IKT-Dienstleister, die für Finanzunternehmen tätig sind, von DORA betroffen, wobei die Einstufung als „kritisch“ vom Finanzunternehmen erfolgt.
Die Anforderungen, die DORA an Finanzunternehmen mit Geschäftstätigkeit in der EU festlegt, werden in technischen Regulierungsstandards (Regulatory Technical Standards, „RTS“) und Durchführungsstandards (Implementing Technical Standards, „ITS“) konkretisiert. Die drei europäischen Aufsichtsbehörden European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA) und die European Securities and Markets Authority (ESMA) haben im März und Juli 2024 die zwei finalen Pakete von RTS und ITS der Europäischen Kommission vorgelegt. Bisher wurden aber noch nicht alle dieser Standards von der Kommission angenommen.
Die NIS-2-RL (RL (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist die Nachfolgerin der ursprünglichen RL für die Netz- und Informationssicherheit aus dem Jahr 2016, die am 28. Dezember 2018 mit dem NISG umgesetzt wurde. Die aufgrund der Bestimmungen des § 4 Abs. 2 NISG erforderliche Netz- und Informationssystemsicherheitsverordnung (NISV) wurde am 17. Juli 2019 verlautbart.
Die Definition der neuen NIS-2-RL wurde notwendig, weil die ursprüngliche NIS-RL nicht einheitlich in den Mitgliedstaaten umgesetzt wurde und dadurch ein fragmentiertes Regelwerk entstand. Mit der NIS-2-RL sollen nun diese Unzulänglichkeiten durch folgende wesentliche Ansätze beseitigt werden:
Harmonisierung und Verbesserung des Sicherheitsniveaus in den Mitgliedstaaten
Definition und Umsetzung von Cybersicherheitsstrategien und Risikomanagement-Abläufen
Verschärfte Sanktionen bei Verstößen
Zuverlässige Meldung von Sicherheitsvorfällen bei den zuständigen Stellen
Gewährleistung der durchgängigen Bereitstellung kritischer Dienste
Definition und Umsetzung von Sicherheitsmaßnahmen für die Lieferkette, um die Sicherheit externer Anbieter zu überprüfen und zu gewährleisten
Implementierung eines Asset-Managements, um kritische Informationssysteme zu identifizieren und zu schützen
Darüber hinaus wurde der Anwendungsbereich wesentlich erweitert, wie die Tabelle unten zeigt. Im Unterschied zur ursprünglichen NIS-RL wurden die von der NIS-2-RL betroffenen Einrichtungen in „wesentliche Einrichtungen“, die einer strengen ex-ante- und ex-post-Aufsicht (Art. 32 NIS-2-RL) sowie in „wichtige Einrichtungen“, die nur einer ex-post-Aufsicht (Art. 33 NIS-2-RL) unterliegen, unterteilt. Des Weiteren wächst auch die Forderung nach mehr Cyber-Sicherheit stetig und erfordert neue Maßnahmen, um der Entwicklung der Bedrohungslandschaft und der steigenden Cyberkriminalität entgegenzuwirken. Waren von der NIS-RL noch rund 100 Organisationen und Unternehmen in Österreich betroffen, so gilt NIS-2 für mehr als 5.000 Organisationen und Unternehmen sowie für schätzungsweise 50.000 Unternehmen, die diese Gruppe als Lieferanten versorgen.
Betroffene Sektoren
Anhang I (= Sektoren mit hoher Kritikalität)
Anhang II (= sonstige kritische Sektoren)
Energie (Elektrizität, Fernwärme/Kälte, Öl, Gas und Wasserstoff)
Post- und Kurierdienste
Verkehr (Luft, Schiene, Schifffahrt, Straße)
Abfallbewirtschaftung
Bankwesen
Chemie (Herstellung und Handel)
Finanzmarktinfrastrukturen
Lebensmittel (Produktion, Verarbeitung, Vertrieb)
Gesundheitswesen
(Gesundheitsdienstleister, EU-Referenzlaboratorien, Forschung und Herstellung von pharmazeutischen und medizinischen Produkten und Geräte)
Verarbeitendes / Herstellendes Gewerbe
(Medizinprodukten; Datenverarbeitungs-, elektronische und optische Geräte und elektronische Ausrüstungen; Maschinenbau; Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau)
Trinkwasser
Anbieter digitaler Dienste (Suchmaschinen, Online-Marktplätze und soziale Netzwerke)
Abwasser
Forschung
Digitale Infrastruktur
(IXP, DNS, TLD, Cloud-Computing, Rechenzentren, CDN, TSP und Anbieter öffentlicher elektronischer Kommunikationsnetze- und dienste)
Betroffen sind mittlere und große Unternehmen bestimmter Sektoren, sowie die digitale Infrastruktur. Die Klassifizierung der Unternehmensgröße basiert auf Empfehlungen und Definitionen der EK für KMU.
Größenklasse
Mitarbeiter (VZÄ)
Jahresumsatz
Jahresbilanzsumme
Klein (KU)
< 50 und
≤ 10 Mio. EUR oder
≤ 10 Mio. EUR
Mittel (MU)
< 250 und
≤ 50 Mio. EUR oder
≤ 43 Mio. EUR
Groß (GU)
≥ 250 oder
> 50 Mio. EUR und
> 43 Mio. EUR
Kleinunternehmen fallen nicht unter die NIS-2-RL, außer es handelt sich um
Vertrauensdiensteanbieter,
Anbieter öffentlicher Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
TLD-Namensregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namensservern,
Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essentiell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.
Darüber hinaus sind auch Zulieferer und Dienstleister von NIS-2-Unternehmen durch die Verpflichtung zur Gewährleistung der Sicherheit der Lieferkette ihrer Kunden verpflichtet, Cybersecurity-Maßnahmen umzusetzen (Art. 22 NIS-2-RL).
Art. 21 Abs. 5 NIS-2-RL sieht vor, dass die Europäische Kommission Durchführungsrechtsakte[7] zu den in Art. 21 Abs. 2 NIS-2-RL angeführten zehn Maßnahmen zum Schutz der Netz- und Informationssysteme vor Sicherheitsvorfällen erlässt. Sie betreffen DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter.
Gem Art. 21 NIS-2-RL haben die Mitgliedstaaten sicherzustellen, dass die wesentlichen und wichtigen Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, und zwar unter Berücksichtigung des Stands der Technik, europäischer und internationaler Normen, sowie des bestehenden Risikos.
Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung
Verstöße gegen die Bestimmungen der NIS-2-RL können bei wesentlichen Einrichtungen mit einer maximalen Geldbuße in Höhe von 10 Mio. EUR oder 2 % des weltweiten Umsatzes sanktioniert werden, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen beträgt die maximale Höhe der Geldbuße 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.
Die NIS-2-RL ist am 16. Jänner 2023 in Kraft getreten und war von den EU-MS bis 17. Oktober 2024 in nationales Recht umzusetzen. Der österreichische Gesetzgeber legte am 3. April 2024 den Entwurf des Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) vor, der am 19. Juni 2024 mit den Stimmen der ÖVP und der Grünen mehrheitlich den Innenausschuss passierte. Bei der Abstimmung im Parlament am 3. Juli 2024 fand sich allerdings keine Zweidrittelmehrheit für das NISG 2024, das daher vorerst nicht beschlossen wurde. Bedingt durch die Wahlen zum NR am 29. September 2024 und die aktuellen Regierungsverhandlungen wird es daher zu einer erheblichen Verzögerung bei der Umsetzung der NIS-2-RL in nationales Recht kommen.
Der AI Act ist der erste Rechtsrahmen der EU für Künstliche Intelligenz und soll nach Ansicht der Europäischen Kommission Europa in die Lage versetzen, weltweit eine führende Rolle bei der Festlegung von globalen Standards zu spielen. Er ist Teil eines umfassenden Pakets politischer Maßnahmen zur Unterstützung und Entwicklung vertrauenswürdiger KI, zu dem auch das KI-Innovationspaket und der koordinierte KI-Plan sowie die AI Liability Directive gehören, die Vorschriften zu außervertraglichen Haftungsfragen iZm KI-Systemen regeln soll. Des Weiteren ist auch eine Überarbeitung der sektoralen Sicherheitsvorschriften (zB Produktsicherheit) geplant.
Der AI Act ist sehr umfangreich, er enthält 180 Erwägungsgründe, 113 Artikel und 13 Anhänge. Er fordert, dass KI-Anwendungen nicht nur effizient, sondern auch sicher, transparent, ethisch korrekt und grundrechtskonform gestaltet sein müssen.
Art. 3 Z 1 definiert ein KI-System wie folgt:
ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können;“
Die Nichtbeachtung der Bestimmungen des AI Act ist mit hohen Bußgeldern verbunden und zwar:
bis zu 35 Mio. EUR bzw. 7 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Missachtung der in Art. 5 genannten KI-Praktiken in Bezug auf verbotene KI-Systeme oder die Nichteinhaltung der Anforderungen an Daten.
bis zu 15 Mio. EUR bzw. 3 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Verstößen gegen geltende Bestimmungen für Anbieter (Art. 16), Bevollmächtigte (Art. 22) sowie Einführer (Art. 23), Händler (Art. 24), Betreiber (Art. 26), notifizierte Stellen (Art. 31, 33 Abs. 1, 3 und 4, Art. 34), Transparenzpflichten für Anbieter und Nutzer (Art. 50).
Bis zu 7,5 Mio. EUR bzw. 1 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Falschaussagen bzw. unvollständigen oder irreführenden Informationen an notifizierte Stellen oder zuständige Behörden.
Im Falle von KMUs gilt aber der jeweils niedrigere Betrag.
Kern des AI Act ist ein risikobasierter Ansatz, wobei das Risikopotential anhand der nachstehenden vier Risikofelder qualifiziert wird:
Inakzeptables Risiko: Betrifft KI-Systeme, die eine eindeutige Bedrohung für die Sicherheit, die Lebensgrundlage und die Menschenrechte darstellen. Darunter fallen zB KI-Systeme wie Social Scoring, die Menschen sozial bewerten und Systeme zur biometrischen Klassifizierung in Bezug auf die in den Art. 9 und 10 DSGVO als besonders schützenswert angeführten Daten (Art. 5).
Hohes Risiko: Diese Gruppe stellt den bedeutendsten Anwendungsbereich des AI Act dar und ist aufgrund ihrer Risikoneigung besonders stark reglementiert. Sie behandelt den Einsatz von KI-Systemen in sensiblen Lebensbereichen. In diese Gruppe fallen KI-Systeme in kritischen Infrastrukturen (Verkehr, Wasser, Gas-, Wärme- und Stromversorgung), im Bildungs- und Berufswesen (zB Bewerberauswahl), Strafverfolgung, private und öffentliche Dienstleister (zB Bonitätsprüfung) uä (Art. 6 bis 49, Anhang III).
Begrenztes Risiko: Umfasst KI-Systeme, von denen nur ein begrenztes Risiko ausgeht wie zB Chatbots. Für diese Gruppe gelten spezifische Transparenzpflichten (Art. 50, Anhang XII).
Minimales Risiko: Der AI Act erlaubt die freie Nutzung von KI-Systemen mit minimalem Risiko. Diese Gruppe enthält die überwiegende Mehrheit der derzeit in der EU eingesetzten KI-Systeme wie zB Spamfilter oder KI-fähige Videospiele.
In der politischen Diskussion war insb. die Einbeziehung von „General Purpose AI Models“ (GPAI) besonders umstritten. Als „KI-Systeme mit allgemeinem Verwendungszweck“ bezeichnet man KI, die allgemeine Funktionen wie Bild- und Spracherkennung, Videogenerierung, Mustererkennung, Beantwortung von Fragen sowie Übersetzungen usw. ausführt. Darunter fallen Large Language Models (LLM) und andere generative AI-Tools wie ChatGPT, Google Gemini, Bing AI ua. Entsprechend der im AI Act festgelegten Logik werden diese GPAI-Modelle in die dritte Risikostufe eingeordnet. Dabei werden zwei Gruppen unterschieden, und zwar GPAI „mit allgemeinem Verwendungszweck“ und GPAI „mit allgemeinem Verwendungszweck mit systemischem Risiko“. Diese Differenzierung bezieht sich nicht auf die Anwendung selbst, sondern auf die Rechenleistung und Reichweite des zugrundeliegenden Basismodells. Die Rechenleistung wird in Gleitkommaoperationen pro Sekunde (Floating Point Operations Per Second, FLOP) gemessen. Art. 51 Abs. 2 legt den Schwellenwert für GPAI mit allgemeinem Verwendungszweck mit systemischem Risiko mit 1025 FLOP fest.
Der AI Act sieht eine Verwaltungsstruktur mit mehreren zentralen Regulierungsbehörden vor, die jeweils unterschiedliche Aufgaben in Bezug auf die Umsetzung und Durchsetzung des AI Act wahrnehmen sollen. Im Einzelnen sind dies:
Auf EU-Ebene:
Einrichtung eines Büros für Künstliche Intelligenz, das die Umsetzung und Durchsetzung des AI Act gewährleisten soll (Art. 64). Es wurde bereits am 24. Jänner 2024 gegründet.
Des Weiteren wird ein „Europäisches Gremium für Künstliche Intelligenz“ eingerichtet, das sowohl die Kommission wie auch die Mitgliedstaaten unterstützen soll, um eine einheitliche und wirksame Anwendung des AI Act zu erleichtern (Art. 65).
Ein Beratungsforum aus unabhängigen Experten soll den Ausschuss und die Kommission beraten (Art. 67).
Schlussendlich soll ein wissenschaftliches Gremium unabhängiger Sachverständiger eingerichtet werden, das die Durchsetzungstätigkeiten im Rahmen des AI Act unterstützen soll (Art. 68).
Auf nationaler Ebene:
Jeder MS muss mindestens eine notifizierende Behörde einrichten, die insb. KMU einschließlich Start-up-Unternehmen bei der Durchführung des AI Act zur Seite stehen und die ordnungsgemäße und rechtzeitige Durchführung von Konformitätsbewertungen sicherstellen soll (Art. 70). Vorerst wurde mit Beschluss des Nationalrates vom 21. Jänner 2024 eine KI-Servicestelle in der Rundfunk und Telekom Regulierungs-GmbH (RTR) eingerichtet, die in einem weiteren Ausbauschritt in eine KI-Behörde übergeht.
Jeder MS muss darüber hinaus auch mindestens eine Marktüberwachungsbehörde einrichten, die zur Durchführung externer Konformitätsbewertungen berechtigt ist (Art. 70).
Vom AI Act sind unterschiedliche Akteure betroffen (Art. 2):
Anbieter
Betreiber
Einführer und Händler
Produkthersteller
Bevollmächtigte von Anbietern
betroffene Personen
Der Sitz in einem Drittstaat entbindet Anbieter, Betreiber und Bevollmächtigte nicht von den im AI Act normierten Pflichten, wenn das KI-System für die EU bestimmt ist oder das vom KI-System hervorgebrachte Ergebnis in der EU verwendet wird.
Der Europäische Gerichtshof (EuGH) hat entschieden (Urteil vom 9.1.2025 – C-394/23), dass Eisenbahnunternehmen ihre Kunden nicht verpflichten dürfen, beim Ticketkauf über die Wahl einer Anrede ihr Geschlecht offenzulegen. Diese Praxis verstößt gegen die Datenschutzgrundverordnung (DSGVO), da eine geeignete Rechtsgrundlage für die Verarbeitung fehlt und sie zudem nicht mit dem Grundsatz der Datenminimierung vereinbar ist.
Hintergrund des Verfahrens
Anlass des Vorabentscheidungsverfahrens war eine Beschwerde des Verbands Mousse, der sich gegen sexuelle Diskriminierung einsetzt. Mousse beanstandete vor der französischen Datenschutzbehörde CNIL die Praxis des Unternehmens SNCF Connect. Dieses verlangte von seinen Kunden, beim Online-Kauf von Fahrscheinen zwischen den Anreden „Herr“ und „Frau“ zu wählen. Nach Ansicht von Mousse handelt es sich hierbei um eine unverhältnismäßige Datenerhebung, die gegen die Grundsätze der DSGVO verstößt, insbesondere die der Rechtmäßigkeit und der Datenminimierung. Die CNIL wies die Beschwerde jedoch 2021 zurück, woraufhin Mousse den französischen Staatsrat anrief. Dieser legte die Frage dem EuGH vor.
EuGH: Anrede ist nicht erforderlich
Der EuGH stellte klar, dass für die Verarbeitung der gegenständlichen Daten als Rechtsgrundlage nur die Erfüllung des jeweiligen Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommen. Im vorliegenden Fall sei die Angabe der Anrede bzw. des Geschlechts für die Erfüllung eines Schienentransportvertrags aber nicht erforderlich. Die ordnungsgemäße Durchführung hänge nicht davon ab, wie ein Kunde angesprochen wird.
Kein berechtigtes Interesse der Unternehmen
Der EuGH verwarf auch die Anwendung der Rechtsgrundlage eines berechtigten Interesses des Unternehmens. Die Datenverarbeitung müsse dafür objektiv notwendig sein und dürfe die Rechte und Freiheiten der betroffenen Personen nicht überwiegen. Die Verpflichtung zur Angabe der Anrede könne jedoch zu einer Diskriminierung aufgrund der Geschlechtsidentität führen und sei daher nicht verhältnismäßig. Zudem sei den Kunden das berechtigte Interesse nicht kommuniziert worden, zu dessen Umsetzung diese Daten erhoben wurden.
Bedeutung des Urteils
Das Urteil unterstreicht, dass Unternehmen bei der Verarbeitung personenbezogener Daten strikte Maßstäbe anlegen müssen. Insbesondere der Grundsatz der Datenminimierung schränkt die Erhebung von Daten ein, die nicht zwingend notwendig sind. Dies gilt auch für Angaben wie die Anrede oder das Geschlecht.
Für Unternehmen bedeutet das Urteil, dass sie ihre Datenverarbeitungspraxis kritisch prüfen und gegebenenfalls anpassen müssen, um rechtskonform zu handeln. Gleichzeitig stärkt die Entscheidung den Schutz vor unnötigen Datenerhebungen und potenzieller Diskriminierung.
Vor wenigen Wochen hat ein fehlerhaftes Update der CrowdStrike-Software eine weltweite Krise ausgelöst und verdeutlicht, dass nicht nur Cyberangriffe, sondern auch Produktmängel gravierende IT-Risiken darstellen können.
Um solche Risiken zu behandeln, wird die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA) ab dem 17. Jänner 2025 in Österreich wirksam. DORA hat das Ziel, die Widerstandsfähigkeit europäischer Finanzunternehmen gegenüber Cyber-Risiken und IT-bedingten Betriebsstörungen zu stärken und rückt die Informations- und Kommunikationstechnologien (IKT) in den regulatorischen Fokus. Zudem werden erstmals auch als kritisch eingestufte IKT-Drittanbieter in den Überwachungsrahmen einbezogen.
Laut FMA müssen betroffene Finanzdienstleister und Drittanbieter sich in den kommenden Wochen und Monaten auf das neue Aufsichtsregime vorbereiten, da DORA ohne Übergangsfristen vollumfänglich gilt.
Um die Umsetzung von DORA zu erleichtern, hat die FMA einen speziellen DORA-Bereich auf ihrer Website eingerichtet, der die relevanten Regularien und Anforderungen zusammenfasst. Dort werden die technischen Regulierungs- und Durchführungsstandards detailliert erläutert und häufig gestellte Fragen in einem umfassenden Q&A-Format beantwortet. Hilfreiche Informationen finden Sie auch auf der Website der BaFin.
Das DORA-Regulierungspaket soll bestehende Gesetzgebungslücken für Finanzdienstleister schließen und konsolidiert somit das zuvor verstreute Regelwerk. Es beinhaltet umfassende Berichts-, Informations- und Überwachungspflichten. Betroffene Unternehmen müssen unter anderem
einen IKT-Risikomanagementrahmen und Business Continuity Management implementieren;
zahlreiche Berichtspflichten erfüllen, insbesondere zu Verträgen mit IKT-Drittanbietern und IKT-Vorfällen;
die digitale Betriebsstabilität regelmäßig testen, auch durch zentrale, bedrohungsorientierte Penetrationstests;
Risiken von IKT-Drittanbietern steuern und überwachen;
regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen institutionalisieren.
Ab der verpflichtenden Anwendung von DORA müssen alle bestehenden Verträge mit IKT-Drittanbietern den neuen Anforderungen entsprechen. Unternehmen in Österreich sind verpflichtet, der FMA umgehend ein Informationsregister zu allen Verträgen mit IKT-Drittdienstleistern zu übermitteln. Zudem müssen schwerwiegende Cyber-Vorfälle und IKT-bedingte Betriebsstörungen innerhalb der festgelegten Fristen gemeldet werden:
Erstmeldung: Muss so schnell wie möglich erfolgen, spätestens innerhalb von 4 Stunden nach Einstufung als schwerwiegender Vorfall und spätestens 24 Stunden nach Entdeckung (Art. 6 Abs. 1a Draft RTS).
Zwischenmeldung: Muss innerhalb von 72 Stunden nach der Erstmeldung oder nach Wiederherstellung des regulären Geschäftsbetriebs übermittelt werden, oder sobald sich der Vorfallstatus oder die Handhabung des Vorfalls wesentlich ändert. Zusätzliche Aktualisierungen müssen erfolgen, wenn neue Informationen verfügbar sind oder auf Antrag der Behörde (Art. 6 Abs. 1b Draft RTS, Art. 19 Abs. 4 DORA-VO).
Abschlussmeldung: Muss spätestens einen Monat nach der letzten Zwischenmeldung übermittelt werden (Art. 6 Abs. 1c Draft RTS).
Unternehmen, die bereits Erfahrungen mit der Umsetzung der DSGVO gesammelt haben, können dieses Wissen nun für DORA nutzen, um die Einhaltung der Vorschriften sicherzustellen. Die Hauptaufgaben sind dabei ähnlich: Daten vollständig analysieren, Verträge überprüfen, Sicherheit sicherstellen und Mitarbeiter schulen. Wer bereits entsprechende Strukturen und Abläufe eingeführt hat, spart Zeit und Mühe.
