Kategorie: Editorials

Veröffentlicht am von

Neues Jahr – neues Gesetz: Digital Operational Resilience Act (DORA)

Am 16. Jänner 2023 ist die VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Betriebsstabilität digitaler Systeme des Finanzsektors („Digital Operational Resilience Act“; DORA) in Kraft getreten. Sie ist von den betroffenen Unternehmen ab 17. Jänner 2025 verpflichtend anzuwenden. Mit DORA sollen bestehende regulatorische Lücken für den gesamten europäischen Finanzsektor geschlos­sen und die Betriebsstabilität im Finanzsektor gestärkt werden.

Aufgrund der in DORA enthaltenen Ermächtigung für die Europäische Kommission wurden noch folgende Rechtsakte erlassen:

  • DELEGIERTE VERORDNUNG (EU) 2024/1502 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der VO (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Kriterien für die Einstufung von IKT-Drittdienstleistern als für Finanzunternehmen kritisch
  • DELEGIERTE VERORDNUNG (EU) 2024/1505 DER KOMMISSION vom 22. Februar 2024 zur Ergänzung der VO (EU) 2022/2554 des Europäischen Parlaments und des Rates durch Festlegung der Höhe der von der federführenden Überwachungsbehörde bei kritischen IKT-Drittdienstleistern zu erhebenden Überwachungsgebühren und der Art und Weise der Entrichtung dieser Gebühren

Zum Wirksamwerden der DORA-VO wurde vom österreichischen Gesetzgeber am 18. April 2024 ein Vollzugsgesetz (DORA-Vollzugsgesetz, DORA-VG) veröffentlicht, das im Finanzausschuss am 27. Juni 2024 die Stimmenmehrheit von ÖVP, SPÖ, Grünen und Neos erhielt und am 3. Juli 2024 im NR beschlossen wurde. Das Gesetz soll insb. den Anwendungsbereich der DORA-VO in Bezug auf die nationalen Institute klarstellen. In Österreich ist die Finanzmarktaufsicht (FMA) für den Vollzug von DORA zuständig.

Durch die von den Unternehmen aufgrund der in DORA normierten Bestimmungen umzusetzenden Maßnahmen sollen folgende Ziele erreicht werden:

  • IKT-Risikomanagement (Kapitel II, Art. 5 bis 16)
  • Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Art. 17 bis 23)
  • Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Art. 24 bis 27)
  • Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Art. 28 bis 30)
  • Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Art. 31 bis 44)
  • Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen (Kapitel VI, Art. 45)

Grundsätzlich stellt sich die Frage, warum die EU zwei Rechtsvorschriften für Cybersicherheit, nämlich die NIS-2-RL und die DORA-VO erlassen hat, die auf den ersten Blick ähnlich anmuten. Bei näherer Betrachtung dieser beiden Rechtsvorschriften zeigen sich jedoch einige wesentliche Unterschiede. Während NIS-2 als RL in nationales Recht umgesetzt werden muss, handelt es sich bei DORA um eine VO, die zeitgleich in allen Mitgliedstaaten in Kraft tritt und unverändert in ihrer Gesamtheit durchgesetzt werden muss. Während die NIS-2-RL veröffentlicht wurde, um das allgemeine Niveau der Cybersicherheit in der EU zu vereinheitlichen (was durch NIS-1 nicht gelungen ist), soll die Umsetzung der Anforderungen der DORA-VO den europäischen Finanzsektor in die Lage versetzen, Cyberangriffen standzuhalten und betriebsfähig zu bleiben. Der Fokus von DORA liegt daher auf der Verfügbarkeit und Integrität von Finanzdienstleistungen.

Auch in Bezug auf den Umsetzungszeitpunkt sowie in der Behördenzuständigkeit ergeben sich Unterschiede. Während die Bußgelder in der NIS-2-RL festgelegt sind, wird die Festle­gung und Bewertung der Sanktionen in DORA den Mitgliedstaaten überlassen.

DORA legt besonderen Wert auf die Sicherheit der Lieferkette und geht über die Anforderungen der NIS-2-RL weit hinaus. So müssen Finanzunternehmen die Risiken über die gesamte Lieferkette identifizieren und in entsprechenden Verzeichnissen dokumentieren. Verträge mit IKT-Dienstleistungs­unter­nehmen dürfen nur mit Anbietern abgeschlossen werden, die über hohe und aktuelle Informationssicherheitsstandards verfügen.

DORA gilt – mit wenigen Ausnahmen – grundsätzlich für alle regulierten Finanzunterneh­men in der EU und insbesondere auch für IKT-Dienstleister, die von diesen Unternehmen eingesetzt werden. Als lex specialis geht DORA der NIS-2-RL vor. Nichtsdestotrotz kann es zu Mehrfachregulierungen kommen, und zwar für Unternehmen im IT- und TK-Sektor, die sowohl als NIS-2-Einrichtungen als auch als kritische IKT-Dienstleister nach DORA gelten. Im Einzelnen sind gem. § 2 DORA-VG insbesondere folgende Unter­nehmen des Finanzsektors betroffen: Kredit­institute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Kryptowerte-Dienstleistungen und Emit­ten­ten von vermögenswertreferenzierten Token, Handelsplätze, Datenbereitstellungs­dienste, Ver­waltungsgesellschaften, Unterneh­men gem § 1 Z 1 VAG sowie Pensionskassen. Somit fallen so gut wie alle beaufsichtigten Unternehmen des europäischen Finanzsektors unter die Bestimmungen von DORA. Darüber hinaus sind auch kritische IKT-Dienstleister, die für Finanzunternehmen tätig sind, von DORA betroffen, wobei die Einstufung als „kritisch“ vom Finanzunternehmen erfolgt.

Die Anforderungen, die DORA an Finanzunternehmen mit Geschäftstätigkeit in der EU festlegt, werden in technischen Regulierungsstandards (Regulatory Technical Standards, „RTS“) und Durchführungsstandards (Implementing Technical Standards, „ITS“) konkreti­siert. Die drei europäischen Aufsichtsbehörden European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA) und die European Securities and Markets Authority (ESMA) haben im März und Juli 2024 die zwei finalen Pakete von RTS und ITS der Europäischen Kommission vorgelegt. Bisher wurden aber noch nicht alle dieser Standards von der Kommission angenommen.

Hier erfahren Sie mehr über unsere DORA Beratung!
Veröffentlicht am von

Neue NIS-RL erweitert Anwendungsbereich

Die NIS-2-RL (RL (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) ist die Nachfolgerin der ursprünglichen RL für die Netz- und Informations­sicherheit aus dem Jahr 2016, die am 28. Dezember 2018 mit dem NISG umgesetzt wurde. Die aufgrund der Bestimmungen des § 4 Abs. 2 NISG erforderliche Netz- und Informationssystemsicherheitsverordnung (NISV) wurde am 17. Juli 2019 verlautbart.

Die Definition der neuen NIS-2-RL wurde notwendig, weil die ursprüngliche NIS-RL nicht einheitlich in den Mitgliedstaaten umgesetzt wurde und dadurch ein fragmentiertes Regelwerk entstand. Mit der NIS-2-RL sollen nun diese Unzulänglichkeiten durch folgende wesentliche Ansätze beseitigt werden:

  • Harmonisierung und Verbesserung des Sicherheitsniveaus in den Mitgliedstaaten
  • Definition und Umsetzung von Cybersicherheitsstrategien und Risikomanagement-Abläufen
  • Verschärfte Sanktionen bei Verstößen
  • Zuverlässige Meldung von Sicherheitsvorfällen bei den zuständigen Stellen
  • Gewährleistung der durchgängigen Bereitstellung kritischer Dienste
  • Definition und Umsetzung von Sicherheitsmaßnahmen für die Lieferkette, um die Sicherheit externer Anbieter zu überprüfen und zu gewährleisten
  • Implementierung eines Asset-Managements, um kritische Informationssysteme zu identifizieren und zu schützen

Darüber hinaus wurde der Anwendungsbereich wesentlich erweitert, wie die Tabelle unten zeigt. Im Unterschied zur ursprünglichen NIS-RL wurden die von der NIS-2-RL betroffenen Einrichtungen in „wesentliche Einrichtun­gen“, die einer strengen ex-ante- und ex-post-Aufsicht (Art. 32 NIS-2-RL) sowie in „wichtige Einrichtungen“, die nur einer ex-post-Aufsicht (Art. 33 NIS-2-RL) unterliegen, unterteilt. Des Weiteren wächst auch die Forderung nach mehr Cyber-Sicherheit stetig und erfordert neue Maßnahmen, um der Entwicklung der Bedrohungslandschaft und der steigenden Cyberkriminalität entgegenzuwirken. Waren von der NIS-RL noch rund 100 Organisationen und Unternehmen in Österreich betroffen, so gilt NIS-2 für mehr als 5.000 Organisationen und Unternehmen sowie für schätzungsweise 50.000 Unternehmen, die diese Gruppe als Lieferanten versorgen.

Betroffene Sektoren

Anhang I (= Sektoren mit hoher Kritikalität)Anhang II (= sonstige kritische Sektoren)
Energie (Elektrizität, Fernwärme/Kälte, Öl, Gas und Wasserstoff)Post- und Kurierdienste
Verkehr (Luft, Schiene, Schifffahrt, Straße)Abfallbewirtschaftung
BankwesenChemie (Herstellung und Handel)
FinanzmarktinfrastrukturenLebensmittel (Produktion, Verarbeitung, Vertrieb)
Gesundheitswesen

(Gesundheitsdienstleister, EU-Referenzlaboratorien, Forschung und Herstellung von pharmazeutischen und medizinischen Produkten und Geräte)

Verarbeitendes / Herstellendes Gewerbe

(Medizinprodukten; Datenverarbeitungs-, elektronische und optische Geräte und elektronische Ausrüstungen; Maschinenbau; Kraftwagen und Kraftwagenteile und sonstiger Fahrzeugbau)

TrinkwasserAnbieter digitaler Dienste (Suchmaschinen, Online-Marktplätze und soziale Netzwerke)
AbwasserForschung
Digitale Infrastruktur

(IXP, DNS, TLD, Cloud-Computing, Rechenzentren, CDN, TSP und Anbieter öffentlicher elektronischer Kommunikationsnetze- und dienste)

 
Verwaltung von IKT-Diensten (B2B) 
Öffentliche Verwaltung 
Weltraum 
 Rot = Neuerungen gegenüber NIS1

(Quelle: bundeskanzleramt.gv.at )

Betroffen sind mittlere und große Unternehmen bestimmter Sektoren, sowie die digitale Infrastruktur. Die Klassifizierung der Unternehmensgröße basiert auf Empfehlungen und Definitionen der EK für KMU.

GrößenklasseMitarbeiter (VZÄ)JahresumsatzJahresbilanzsumme
Klein (KU)< 50 und≤ 10 Mio. EUR oder≤ 10 Mio. EUR
Mittel (MU)< 250 und≤ 50 Mio. EUR oder≤ 43 Mio. EUR
Groß (GU)≥ 250 oder> 50 Mio. EUR und> 43 Mio. EUR

Kleinunternehmen fallen nicht unter die NIS-2-RL, außer es handelt sich um

  • Vertrauensdiensteanbieter,
  • Anbieter öffentlicher Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste,
  • TLD-Namensregister und DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namensservern,
  • Unternehmen, die alleiniger Anbieter eines Service in einem Mitgliedstaat sind, das essentiell für die Aufrechterhaltung kritischer gesellschaftlicher oder wirtschaftlicher Aktivitäten ist.

Darüber hinaus sind auch Zulieferer und Dienstleister von NIS-2-Unternehmen durch die Verpflichtung zur Gewährleistung der Sicherheit der Lieferkette ihrer Kunden verpflichtet, Cybersecurity-Maßnahmen umzusetzen (Art. 22 NIS-2-RL).

Art. 21 Abs. 5 NIS-2-RL sieht vor, dass die Europäische Kommission Durchführungsrechts­akte[7] zu den in Art. 21 Abs. 2 NIS-2-RL ange­führ­ten zehn Maßnahmen zum Schutz der Netz- und Informationssysteme vor Sicherheits­vorfällen erlässt. Sie betreffen DNS-Diensteanbieter, TLD-Namenregister, Cloud-Computing-Dienstleister, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhalts­zustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheits­diensten, Anbieter von Online-Markt­plätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter.

Gem Art. 21 NIS-2-RL haben die Mitgliedstaaten sicherzustellen, dass die wesentlichen und wichtigen Einrichtungen geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, und zwar unter Berücksichtigung des Stands der Technik, europäischer und internationaler Normen, sowie des bestehenden Risikos.

Diese Maßnahmen müssen gem Art. 21 Abs. 2 NIS-2-RL zumindest Folgendes umfassen:

  1. Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme
  2. Bewältigung von Sicherheitsvorfällen
  3. Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederher­stellung nach einem Notfall, und Krisenmanagement
  4. Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern
  5. Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
  6. Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
  7. grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit
  8. Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung
  9. Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
  10. Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommu­nikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

Verstöße gegen die Bestimmungen der NIS-2-RL können bei wesentlichen Einrichtungen mit einer maximalen Geldbuße in Höhe von 10 Mio. EUR oder 2 % des weltweiten Umsatzes sanktioniert werden, je nachdem, welcher Betrag höher ist. Für wichtige Einrichtungen beträgt die maximale Höhe der Geldbuße 7 Mio. EUR oder 1,4 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist.

Die NIS-2-RL ist am 16. Jänner 2023 in Kraft getreten und war von den EU-MS bis 17. Oktober 2024 in nationales Recht umzusetzen. Der österreichische Gesetzgeber legte am 3. April 2024 den Entwurf des Netz- und Informationssystemsicherheitsgesetz 2024 (NISG 2024) vor, der am 19. Juni 2024 mit den Stimmen der ÖVP und der Grünen mehrheitlich den Innenausschuss passierte. Bei der Abstimmung im Parlament am 3. Juli 2024 fand sich allerdings keine Zweidrittelmehrheit für das NISG 2024, das daher vorerst nicht beschlossen wurde. Bedingt durch die Wahlen zum NR am 29. September 2024 und die aktuellen Regierungs­verhandlungen wird es daher zu einer erheblichen Verzögerung bei der Umsetzung der NIS-2-RL in nationales Recht kommen.

Hier erfahren Sie mehr über unsere NIS-2 Beratung!

Veröffentlicht am von

KI-Gesetz: Europäische Initiative tritt schrittweise in Kraft

Der AI Act ist der erste Rechtsrahmen der EU für Künstliche Intelligenz und soll nach Ansicht der Europäischen Kommission Europa in die Lage versetzen, weltweit eine führende Rolle bei der Festlegung von globalen Standards zu spielen. Er ist Teil eines umfassenden Pakets politischer Maßnahmen zur Unterstützung und Entwicklung vertrauenswürdiger KI, zu dem auch das KI-Innovationspaket und der koordinierte KI-Plan sowie die AI Liability Directive gehören, die Vorschriften zu außervertraglichen Haftungsfragen iZm KI-Systemen regeln soll. Des Weiteren ist auch eine Überarbeitung der sektoralen Sicherheitsvorschriften (zB Produktsicherheit) geplant.

Der AI Act ist sehr umfangreich, er enthält 180 Erwägungsgründe, 113 Artikel und 13 Anhänge. Er fordert, dass KI-Anwendungen nicht nur effizient, sondern auch sicher, transparent, ethisch korrekt und grundrechtskonform gestaltet sein müssen.

Art. 3 Z 1 definiert ein KI-System wie folgt:

ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können;“

Die Nichtbeachtung der Bestimmungen des AI Act ist mit hohen Bußgeldern verbunden und zwar:

  • bis zu 35 Mio. EUR bzw. 7 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Missachtung der in Art. 5 genannten KI-Praktiken in Bezug auf verbotene KI-Systeme oder die Nichteinhaltung der Anforderungen an Daten.
  • bis zu 15 Mio. EUR bzw. 3 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Verstößen gegen geltende Bestimmungen für Anbieter (Art. 16), Bevollmächtigte (Art. 22) sowie Einführer (Art. 23), Händler (Art. 24), Betreiber (Art. 26), notifizierte Stellen (Art. 31, 33 Abs. 1, 3 und 4, Art. 34), Transparenzpflichten für Anbieter und Nutzer (Art. 50).
  • Bis zu 7,5 Mio. EUR bzw. 1 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Falschaussagen bzw. unvollständigen oder irreführenden Informationen an notifizierte Stellen oder zuständige Behörden.

Im Falle von KMUs gilt aber der jeweils niedrigere Betrag.

Kern des AI Act ist ein risikobasierter Ansatz, wobei das Risikopotential anhand der nachstehenden vier Risikofelder qualifiziert wird:

Quelle: Europäische Kommission

  • Inakzeptables Risiko: Betrifft KI-Systeme, die eine eindeutige Bedrohung für die Sicherheit, die Lebensgrundlage und die Menschenrechte darstellen. Darunter fallen zB KI-Systeme wie Social Scoring, die Menschen sozial bewerten und Systeme zur biometrischen Klassifizierung in Bezug auf die in den Art. 9 und 10 DSGVO als besonders schützenswert angeführten Daten (Art. 5).
  • Hohes Risiko: Diese Gruppe stellt den bedeutendsten Anwendungsbereich des AI Act dar und ist aufgrund ihrer Risikoneigung besonders stark reglementiert. Sie behandelt den Einsatz von KI-Systemen in sensiblen Lebensbereichen. In diese Gruppe fallen KI-Systeme in kritischen Infrastrukturen (Verkehr, Wasser, Gas-, Wärme- und Stromversorgung), im Bildungs- und Berufswesen (zB Bewerber­auswahl), Strafverfolgung, private und öffentliche Dienstleister (zB Bonitätsprüfung) uä (Art. 6 bis 49, Anhang III).
  • Begrenztes Risiko: Umfasst KI-Systeme, von denen nur ein begrenztes Risiko ausgeht wie zB Chatbots. Für diese Gruppe gelten spezifische Transparenzpflichten (Art. 50, Anhang XII).
  • Minimales Risiko: Der AI Act erlaubt die freie Nutzung von KI-Systemen mit minimalem Risiko. Diese Gruppe enthält die überwiegende Mehrheit der derzeit in der EU eingesetzten KI-Systeme wie zB Spamfilter oder KI-fähige Videospiele.

In der politischen Diskussion war insb. die Einbeziehung von „General Purpose AI Models“ (GPAI) besonders umstritten. Als „KI-Systeme mit allgemeinem Verwendungszweck“ bezeichnet man KI, die allge­meine Funktionen wie Bild- und Spracherken­nung, Videogenerierung, Mustererken­nung, Beantwortung von Fragen sowie Übersetzungen usw. ausführt. Darunter fallen Large Language Models (LLM) und andere generative AI-Tools wie ChatGPT, Google Gemini, Bing AI ua. Entsprechend der im AI Act festgelegten Logik werden diese GPAI-Modelle in die dritte Risikostufe eingeordnet. Dabei werden zwei Gruppen unterschieden, und zwar GPAI „mit allgemeinem Verwendungszweck“ und GPAI „mit allgemeinem Verwendungszweck mit systemischem Risiko“. Diese Differenzierung bezieht sich nicht auf die Anwendung selbst, sondern auf die Rechenleistung und Reichweite des zugrundeliegenden Basismodells. Die Rechenleistung wird in Gleitkomma­operationen pro Sekunde (Floating Point Operations Per Second, FLOP) gemessen. Art. 51 Abs. 2 legt den Schwellenwert für GPAI mit allgemeinem Verwendungszweck mit systemi­schem Risiko mit 1025 FLOP fest.

Der AI Act sieht eine Verwaltungsstruktur mit mehreren zentralen Regulierungsbehörden vor, die jeweils unterschiedliche Aufgaben in Bezug auf die Umsetzung und Durchsetzung des AI Act wahrnehmen sollen. Im Einzelnen sind dies:

Auf EU-Ebene:

  • Einrichtung eines Büros für Künstliche Intelligenz, das die Umsetzung und Durch­setzung des AI Act gewährleisten soll (Art. 64). Es wurde bereits am 24. Jänner 2024 gegründet.
  • Des Weiteren wird ein „Europäisches Gremium für Künstliche Intelligenz“ einge­richtet, das sowohl die Kommission wie auch die Mitgliedstaaten unterstützen soll, um eine einheitliche und wirksame Anwendung des AI Act zu erleichtern (Art. 65).
  • Ein Beratungsforum aus unabhängigen Experten soll den Ausschuss und die Kommission beraten (Art. 67).
  • Schlussendlich soll ein wissenschaftliches Gremium unabhängiger Sachverständiger eingerichtet werden, das die Durchsetzungstätigkeiten im Rahmen des AI Act unterstützen soll (Art. 68).

Auf nationaler Ebene:

  • Jeder MS muss mindestens eine notifizierende Behörde einrichten, die insb. KMU einschließlich Start-up-Unternehmen bei der Durchführung des AI Act zur Seite stehen und die ordnungsgemäße und recht­zeitige Durchführung von Konformitätsbewertungen sicherstellen soll (Art. 70). Vorerst wurde mit Beschluss des Nationalrates vom 21. Jänner 2024 eine KI-Service­stelle in der Rundfunk und Telekom Regulierungs-GmbH (RTR) eingerichtet, die in einem weiteren Ausbauschritt in eine KI-Behörde übergeht.
  • Jeder MS muss darüber hinaus auch mindestens eine Marktüberwachungsbehörde einrichten, die zur Durchführung externer Konformitätsbewertungen berechtigt ist (Art. 70).

Vom AI Act sind unterschiedliche Akteure betroffen (Art. 2):

  • Anbieter
  • Betreiber
  • Einführer und Händler
  • Produkthersteller
  • Bevollmächtigte von Anbietern
  • betroffene Personen

Der Sitz in einem Drittstaat entbindet Anbieter, Betreiber und Bevollmächtigte nicht von den im AI Act normierten Pflichten, wenn das KI-System für die EU bestimmt ist oder das vom KI-System hervorgebrachte Ergebnis in der EU verwendet wird.

Hier erfahren Sie mehr über unsere Beratung zu Künstlicher Intelligenz!

Veröffentlicht am von

Finanzmarktaufsicht in Österreich mahnt: Rechtzeitig auf DORA vorbereiten!

Vor wenigen Wochen hat ein fehlerhaftes Update der CrowdStrike-Software eine weltweite Krise ausgelöst und verdeutlicht, dass nicht nur Cyberangriffe, sondern auch Produktmängel gravierende IT-Risiken darstellen können.

Um solche Risiken zu behandeln, wird die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA) ab dem 17. Jänner 2025 in Österreich wirksam. DORA hat das Ziel, die Widerstandsfähigkeit europäischer Finanzunternehmen gegenüber Cyber-Risiken und IT-bedingten Betriebsstörungen zu stärken und rückt die Informations- und Kommunikations­technologien (IKT) in den regulatorischen Fokus. Zudem werden erstmals auch als kritisch eingestufte IKT-Drittanbieter in den Überwachungs­rahmen einbezogen.

Laut FMA müssen betroffene Finanzdienstleister und Drittanbieter sich in den kommenden Wochen und Monaten auf das neue Aufsichtsregime vorbereiten, da DORA ohne Über­gangsfristen vollumfänglich gilt.

Um die Umsetzung von DORA zu erleichtern, hat die FMA einen speziellen DORA-Bereich auf ihrer Website eingerichtet, der die relevanten Regularien und Anforderungen zusammen­fasst. Dort werden die technischen Regulierungs- und Durchführungsstandards detailliert erläutert und häufig gestellte Fragen in einem umfassenden Q&A-Format beantwortet. Hilfreiche Informationen finden Sie auch auf der Website der BaFin.

Das DORA-Regulierungspaket soll bestehende Gesetzgebungslücken für Finanzdienstleister schließen und konsolidiert somit das zuvor verstreute Regelwerk. Es beinhaltet umfassende Berichts-, Informations- und Überwachungspflichten. Betroffene Unternehmen müssen unter anderem

  • einen IKT-Risikomanagementrahmen und Business Continuity Management implementieren;
  • zahlreiche Berichtspflichten erfüllen, insbesondere zu Verträgen mit IKT-Drittanbietern und IKT-Vorfällen;
  • die digitale Betriebsstabilität regelmäßig testen, auch durch zentrale, bedrohungsorientierte Penetrationstests;
  • Risiken von IKT-Drittanbietern steuern und überwachen;
  • regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen institutionalisieren.

Ab der verpflichtenden Anwendung von DORA müssen alle bestehenden Verträge mit IKT-Drittanbietern den neuen Anforderungen entsprechen. Unternehmen in Österreich sind verpflichtet, der FMA umgehend ein Informationsregister zu allen Verträgen mit IKT-Dritt­dienstleistern zu übermitteln. Zudem müssen schwerwiegende Cyber-Vorfälle und IKT-beding­te Betriebsstörungen innerhalb der fest­gelegten Fristen gemeldet werden:

Erstmeldung: Muss so schnell wie möglich erfolgen, spätestens innerhalb von 4 Stunden nach Einstufung als schwerwiegender Vorfall und spätestens 24 Stunden nach Entdeckung (Art. 6 Abs. 1a Draft RTS).

Zwischenmeldung: Muss innerhalb von 72 Stunden nach der Erstmeldung oder nach Wiederherstellung des regulären Geschäfts­be­triebs übermittelt werden, oder sobald sich der Vorfallstatus oder die Handhabung des Vorfalls wesentlich ändert. Zusätzliche Aktualisierungen müssen erfolgen, wenn neue Informatio­nen verfügbar sind oder auf Antrag der Behörde (Art. 6 Abs. 1b Draft RTS, Art. 19 Abs. 4 DORA-VO).

Abschlussmeldung: Muss spätestens einen Monat nach der letzten Zwischenmeldung übermittelt werden (Art. 6 Abs. 1c Draft RTS).

Unternehmen, die bereits Erfahrungen mit der Umsetzung der DSGVO gesammelt haben, können dieses Wissen nun für DORA nutzen, um die Einhaltung der Vorschriften sicherzustellen. Die Hauptaufgaben sind dabei ähnlich: Daten vollständig analysieren, Verträge überprüfen, Sicherheit sicherstellen und Mitarbeiter schulen. Wer bereits entsprechende Strukturen und Abläufe eingeführt hat, spart Zeit und Mühe.

 

Veröffentlicht am von

Zweiter Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die am 25. Mai 2018 in Kraft trat, markierte einen entscheidenden Schritt im europäischen Datenschutzrecht. Ziel der Verordnung ist es, den Schutz personenbezogener Daten innerhalb der EU zu stärken und gleichzeitig den freien Datenverkehr im Binnenmarkt zu gewährleisten. Am 25. Juli 2024 veröffentlichte die Europäische Kommission ihren „Zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO)“. Dieser Bericht gibt Aufschluss über den aktuellen Stand der Umsetzung der DSGVO, analysiert Herausforderungen und identifiziert Handlungsfelder für die Zukunft.

Gemäß Art. 97 der DSGVO ist die Europäische Kommission verpflichtet, dem Europäischen Parlament und dem Rat alle vier Jahre über die Anwendung der Verordnung zu berichten. Diese Berichte dienen nicht nur der Evaluierung der bisherigen Umsetzung, sondern sollen auch Möglichkeiten zur Anpassung und Weiterentwicklung aufzeigen. Der erste Bericht, der im Juni 2020 veröffentlicht wurde, lieferte erste Erkenntnisse zur Implementierung und Anwendung der DSGVO in den Mitgliedstaaten. Der zweite Bericht baut auf diesen Erkenntnissen auf und reflektiert die Entwicklungen und Erfahrungen der vergangenen vier Jahre.

Die wichtigsten Punkte

Bestätigt wird, dass die DSGVO im Wesentlichen ihre Ziele erreicht hat. Sie hat das Bewusstsein für den Schutz personenbezogener Daten in der EU erheblich gesteigert und die Rechte der Bürgerinnen und Bürger gestärkt. Unternehmen und Organisationen haben ihre Daten­schutz­praxis verbessert, und eine Harmonisierung der Datenschutzvorschriften in der gesamten EU hat stattgefunden.

Die Kommission stellt fest, dass die DSGVO sowohl auf europäischer als auch auf globaler Ebene Maßstäbe gesetzt hat. Viele Länder außer­halb der EU haben ähnliche Daten­schutz­ge­setze erlassen oder ihre bestehenden Gesetze an die DSGVO angepasst, um den Handel mit der EU zu erleichtern und einen vergleichbaren Datenschutzstandard zu gewährleisten.

Durchsetzung und Sanktionen

Ein zentrales Thema des Berichts ist die Durchsetzung der DSGVO. Die Kommission hebt her­vor, dass seit 2018 mehrere hochkarätige Fälle von Datenschutzverletzungen aufgedeckt wurden, die zu signifikanten Bußgeldern geführt haben. Insbesondere gegen große Technologiekonzerne wurden teils sehr hohe Geldstrafen verhängt und der Stellenwert der DSGVO-Compliance verdeutlicht. Dies erfolgte u.a. für Ver­stöße gegen die Rechtmäßigkeit und Sicherheit der Verarbeitung, Verstöße gegen die Verarbeitung besonderer Kategorien personenbezo­ge­ner Daten und Verletzungen der Rechte des Einzelnen.

Ein Beispiel ist die Verhängung einer Geldstrafe in dreistelliger Millionenhöhe gegen ein globales Unternehmen, das gegen Vorschriften zur Datenübermittlung in Drittländer verstoßen hatte. Der Fall unterstreicht die strengen Anforderungen der DSGVO an den internatio­nalen Datentransfer und die Not­wendigkeit, robuste Datenschutzmaßnahmen im Unternehmen zu implementieren.

Die Durchsetzung in Zahlen:

  • EU-Datenschutzbehörden haben über 20.000 Untersuchungen aus eigener Initiative eingeleitet.
  • Insgesamt gehen bei ihnen mehr als 100.000 Beschwerden pro Jahr ein.
  • Über 20.000 Beschwerden wurden im Wege der gütlichen Einigung beigelegt. Diese wird am häufigsten in Österreich, Ungarn, Luxemburg und Irland angewandt.

Trotz dieser Erfolge weist der Bericht auch auf Unterschiede in der Durchsetzung zwischen den Mitgliedstaaten hin. Während einige Länder proaktive Maßnahmen ergriffen haben, sind andere aufgrund begrenzter Ressourcen oder unterschiedlicher rechtlicher Interpretationen langsamer in der Umsetzung und Durchsetzung der DSGVO. Dies führt zu einer ungleichen Handhabung und möglicherweise zu Lücken im Datenschutz innerhalb der EU.

Zusammenarbeit der Aufsichtsbehörden

Ein weiterer wesentlicher Punkt des Berichts betrifft die Zusammenarbeit zwischen den nationalen Datenschutzbehörden. Die DSGVO sieht Mechanismen wie das Kohärenzverfahren und den Europäischen Datenschutzaus­schuss (EDSA) vor, um sicherzustellen, dass die Verordnung einheitlich angewendet wird.

Hier einige Zahlen zum Einsatz der Kooperationsinstrumente durch die Behörden:

  • Federführende Datenschutzbehörden haben rund 1.500 Beschlussentwürfe herausgegeben, von denen 990 zu endgültigen Beschlüssen führten, mit denen ein Verstoß gegen die DSGVO festgestellt wurde.
  • Datenschutzbehörden aus 18 Mitgliedstaaten erhoben „maßgebliche und begründete Beschwerden“ gegen Beschlüsse der federführenden Aufsichtsbehörde.
  • Die Datenschutzbehörden haben fast 1.000 „formelle“ Amtshilfeersuchen und rund 12.300 „informelle“ Ersuchen
  • Fünf gemeinsame Maßnahmen wurden eingeleitet, an denen Datenschutzbehörden aus sieben Mitgliedstaaten beteiligt waren.

Der Bericht zeigt, dass die Zusammenarbeit zwischen den Aufsichtsbehörden in vielen Fällen funktioniert, es aber auch Heraus­forderun­gen gibt, insbesondere bei grenzüberschreitenden Fällen. Ein Beispiel dafür sind langwierige Entscheidungsprozesse in Fällen, die mehrere Länder betreffen, wie z.B. die Untersuchung von großen Technologieunternehmen, deren Geschäftstätigkeiten sich über mehrere Mitglied­staa­ten erstrecken. Die Koordination dieser Fälle erfordert erheblichen Aufwand und kann zu Verzögerungen bei der Durchsetzung führen. Aus diesem Grund nahm die Kommission im Juli 2023 einen Vorschlag für eine Verordnung über Verfahrensregeln an. Dieser Vorschlag soll die DSGVO ergänzen, indem er detaillierte Regeln für grenzüberschrei­tende Beschwerden und die Zusammenarbeit zwischen den Datenschutzbehörden festlegt.

Technologische Entwicklungen und Herausforderungen

Seit dem Beschluss der DSGVO hat sich die Technologie rapide weiter­entwickelt, was neue Herausforderungen für den Datenschutz nach sich zieht. Der Bericht behandelt intensiv die Auswirkungen von Technologien wie Künstliche Intelligenz (KI), Big Data und Internet der Dinge (IoT) auf den Datenschutz. Diese neuen Verarbeitungsmethoden haben das Potenzial, große Mengen an personenbezogenen Daten zu verarbeiten und neue Risiken für die Privatsphäre zu bewirken.

Um die DSGVO in dieser Hinsicht zu ergänzen und konkretisieren, hat die EU eine Reihe von Initiativen angenommen, um bestimmte Ziele der Digitalpolitik zu verfolgen. Einige Beispiele:

  • Das Gesetz über digitale Dienste
    (Digital Services Act, DSA) zielt darauf ab, ein sicheres Online-Umfeld für Einzel­personen und Unternehmen zu schaffen. Es untersagt Online-Plattformen, Werbung basierend auf Profiling zu schalten, wenn dafür „besondere Kategorien personen­bezogener Daten“ verwendet werden.
  • Das Gesetz über digitale Märkte
    (Digital Markets Act, DMA) zielt darauf ab, digitale Märkte gerechter und wettbewerbs­­orientierter zu gestalten. Es verbietet Betrei­bern, die als Gatekeeper eingestuft wurden, personenbezogene Daten zwi­schen ihren zentralen Plattform­diensten und anderen Diensten zu „verknüpfen“ und „intern zu verwenden“, es sei denn, der Nutzer hat ausdrücklich zugestimmt.
  • Das KI-Gesetz (Artificial Intelligence Act, AI Act) definiert die EU-Datenschutzbestim­mungen in speziellen Bereichen, in denen Künstliche Intelligenz zum Einsatz kommt, wie etwa bei biometrischer Fernidenti­fi­zierung, der Analyse besonderer Daten­kate­gorien zur Bias-Erkennung sowie der Weiterverarbeitung personenbezo­ge­ner Daten in KI-Reallaboren.

Daraus ergibt sich für Unternehmen auch die Notwendigkeit, datenschutzfreundliche Techno­logien zu entwickeln und einzusetzen. Bei­spielsweise enthält die DSGVO den Grundsatz der Datenminimierung, der sicherstellen soll, dass nur die Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind. Unternehmen müssen daher bei der Gestaltung ihrer Systeme und Prozesse Anforderungen des Datenschutzes von Anfang an berücksichtigen („Privacy by Design“).

Praktisches Beispiel: Ein Unternehmen, das KI-basierte Personalisierung in seinem Online-Shop nutzt, muss sicherstellen, dass die verwendeten Algorithmen transparent dargestellt und erhobene Daten auf das notwendige Minimum beschränkt werden. Zudem muss sicher­gestellt werden, dass die Nutzer klar und verständlich über die Datenverarbeitung informiert wurden und ihre Einwilligung erteilt haben.

Einwilligung und Betroffenenrechte

Ein weiteres zentrales Element der DSGVO ist die Stärkung der Betroffenenrechte, insbesondere auf Information, Auskunft, Berichtigung, Löschung und Datenübertragung. Der Bericht stellt fest, dass diese Rechte weitgehend in die Praxis umgesetzt wurden, allerdings gibt es auch hier Herausforderungen.

Viele Unternehmen haben Schwierigkeiten, die Einwilligung der Nutzer auf eine Art und Weise einzuholen, die den Anforderungen der DSGVO entspricht. Einwilligungen müssen ausdrücklich, informiert und freiwillig sein, was in der Praxis oft schwer umzusetzen ist. Der Bericht betont, dass viele Unternehmen ihre Prozesse anpassen mussten, um den strengen Anforderungen gerecht zu werden.

Zum Bewusstsein der Einzelnen für die DSGVO und die Datenschutzbehörden hält der Bericht folgende Zahlen fest:

  • 72 % der Befragten in der gesamten EU gaben an, von der DSGVO gehört zu haben, darunter 40 %, die wissen, worum es sich dabei handelt.
  • In Schweden ist das Bewusstsein mit 92 % am stärksten, während in Bulgarien mit 59 % das Bewusstsein am schwächsten ausgeprägt ist.
  • 68 % der Befragten in der EU geben an, von einer nationalen Behörde gehört zu haben, die für den Schutz ihrer Datenschutzrechte zuständig ist, wobei 24 % aller Befragten angeben, dass sie auch wissen, welche Behörde zuständig ist.

Datentransfers in Drittländer

Die Kommission hält fest, dass der Datentransfer in Drittländer weiterhin eine zentrale Heraus­­­forderung darstellt. Der Bericht hebt her­vor, dass die Kommission intensiv an der Sicherstellung der Angemessenheit solcher Daten­transfers arbeitet, um den Schutz personenbezogener Daten auch außerhalb der EU zu gewährleisten.

Besonders im Fokus stehen die USA. Hier wird der neue Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ erwähnt, der im Juli 2023 in Kraft trat und als wichtiger Schritt zur Erleichterung von Datentransfers in die USA angesehen wird. Die Kommission betont jedoch, dass die kontinuierliche Überwachung und Evaluierung dieses Rahmens erforderlich ist, um sicherzustellen, dass die Datenschutzstandards auch eingehalten werden.

Zusammenfassend weist der Bericht darauf hin, dass trotz Fortschritten weiterhin sorgfältig geprüft werden muss, ob der Schutz personen­bezogener Daten in Drittländern den Anfor­de­rungen der DSGVO entspricht. Insbesondere für die USA bleibt dies ein Bereich erhöhter Aufmerksamkeit, um eine sichere und rechtskonforme Datenverarbeitung zu gewähr­leisten.

Fazit und Ausblick

Der „Zweite Bericht zur Anwendung der Datenschutz-Grundverordnung“ zeigt, dass die DSGVO in den ersten sechs Jahren seit ihrem Inkrafttreten maßgeblich zur Verbesserung des Daten­schutzes in der EU beigetragen hat. Dennoch bleiben verschiedene­ Herausforderungen, insbesondere in Bezug auf die Durchset­zung, die Anpassung an neue Technologien und die Harmonisierung zwischen den Mitgliedstaaten. Die Kommission betont die Notwen­digkeit, die Anwendung der DSGVO kontinuierlich zu überwachen und bei Bedarf anzupassen, um sicherzustellen, dass der Datenschutz auch in einer sich schnell verändernden digitalen Welt gewährleistet bleibt.

 

Veröffentlicht am von

Update zu den Änderungen im Datenschutzgesetz

Eine Entscheidung des Verfassungsgerichtshofs (VfGH) machte die Änderung des Daten­schutzgesetzes notwendig, indem sie die bis­herige Formulierung von § 9 DSG mit Juni 2024 aufhob. Die Entscheidung betrifft die nationale Umsetzung einer der Öffnungsklauseln der DSGVO, die journalistische Tätig­kei­ten von den strengen Datenschutzregelungen ausnimmt.

Art. 85 DSGVO wurde ursprünglich so umgesetzt, dass alle Regelungen der DSGVO für den Bereich der journalistischen Zwecke für unan­wend­bar erklärt wurden. Diese Pauschal­aus­nahme ging dem VfGH jedoch zu weit. Statt­dessen müsse eine gesetzliche Interessens­ab­wägung vorgenommen werden, um den Schutz personen­bezogener Daten und das Recht auf freie Meinungsäußerung angemessen in Einklang zu bringen.

Das neu geregelte Medienprivileg verpflichtet nun auch Medien und deren journalistische Mitarbeiter zur Einhaltung der DSGVO-Bestimmungen. Das Redaktionsgeheimnis bleibt aber geschützt, indem Medien nicht verpflichtet sind, ihre Informations­quel­len bekanntzugeben, zB bei Auskunftsbegehren vor Veröffentli­chung des Beitrags. Neu ist auch, dass Bürgerjournalisten, darunter Privatpersonen und NGOs, von den Regelungen pro­fi­tieren sollen. Die Ausnahmen und Ab­weichungen von der DSGVO für diese Gruppen sind zwar weniger umfassend als für professionelle Medienunter­nehmen und -dienste. Die Regelung soll aber sicherstellen, dass auch nicht-professionelle Jour­nalisten einen Beitrag zur öffentlichen Debatte leisten können.

Eine weitere Änderung des Datenschutzgesetzes kommt im Gefolge eines EuGH Urteils vom 16. 1. 2024 (C-33/22), das klarstellte, dass die DSGVO auch für die Verarbeitung personenbezogener Daten durch parlamentarische Gre­mien gilt. Bei der Änderung handelt sich um die Schaffung eines parlamentarischen Datenschutzkomitees, das ab 2025 als eigenständige Aufsichtsbehörde im Bereich der Gesetzgebung fungieren wird und für den Nationalrat, den Bundesrat, den Rechnungshof und die Volksanwaltschaft zuständig ist.

Im Zuge der Gesetzesänderung wurden auch die Rechte der Betroffenen angepasst. Die Novelle zum Informationsordnungsgesetz sieht im Einklang mit der DSGVO eine Beschränkung von Auskunfts-, Löschungs- und Berichtigungsrechten vor, um die parlamentarische Arbeit nicht zu beeinträchtigen. Allerdings können in besonderen Fällen Anträge auf Entfernung von Inhalten von der Parlamentswebsite gestellt werden. Der Nationalratspräsident oder die Nationalratsprä­si­den­tin entscheidet über datenschutzrechtliche Anträge, wobei die jeweils zuständigen Daten­schutz­beauftragten und Antragsteller einbe­zogen werden müssen.

Veröffentlicht am von

Schadenersatzforderungen nach der DSGVO: Aktuelle Herausforderungen durch neue Technologien und wegweisende Urteile

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat der europäische Gesetzgeber die Rechte der betroffenen Personen erheblich gestärkt und die Pflichten für Verantwortliche und Auftragsverarbeiter von personenbezogenen Daten ver­schärft. Eine zentrale Neuerung ist das Recht auf Schadenersatz bei Datenschutzverletzungen.

Zunehmende Digitalisierung und der Einsatz moderner Technologien wie Künstliche Intelligenz (KI) bieten Unternehmen spannende Möglichkeiten für Wachstum und Innovation, setzen sie aber gleichzeitig neuen und sich stetig entwickelnden Bedrohungen aus. Wir be­leuchten für Sie aktuelle Probleme und wegweisende Urteile des Europäischen Gerichts­hofs (EuGH) sowie österreichischer Höchstge­richte und geben Ihnen praxisnahe Empfehlun­gen, wie Sie Schadenersatzforderungen vor­beu­gen können.

Rechtsgrundlage und Voraussetzungen für Schadenersatzansprüche

Art. 82 der DSGVO bildet die Grundlage für Schadenersatzansprüche. Demnach hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz. Drei Voraussetzungen müssen erfüllt sein:

  1. Verstoß gegen die DSGVO: Ein rechtswidriger Umgang mit personenbezogenen Daten, zB unrechtmäßige Verarbeitung oder mangelhafte Datensicherheit.
  2. Nachweis eines Schadens: Ein tatsächlich eingetretener materieller (zB finanzieller) oder immaterieller Schaden (zB psychische Belastung) muss nachgewiesen werden.
  3. Kausalität: Der Schaden muss durch den Daten­schutzverstoß verursacht worden sein.

Aktuelle Herausforderungen durch moderne Technologien

Das Aufkommen moderner Technologien wie Künstlicher Intelligenz (KI), Big Data, Internet der Dinge (IoT) und Blockchain eröffnet nicht nur neue Möglichkeiten, sondern führt auch zu erheblichen Datenschutzrisiken. Diese Technologien können Datenschutzverstöße begünsti­gen, die wiederum zu hohen Schadenersatzforderungen führen können.

Im Folgenden werden die spezifischen Risiken neuer Technologien beleuchtet und erläutert, welche datenschutzrechtlichen Herausforderun­­gen mit ihnen verbunden sind.

Künstliche Intelligenz und maschinelles Lernen

KI-Systeme benötigen große Mengen an Daten, um effektiv arbeiten zu können. Diese Daten stammen aus unterschiedlichsten Quellen, oft einschließlich sensibler personenbezoge­ner Informationen. Die Risiken umfassen dabei:

  • Unbefugte Datenverarbeitung: KI-Modelle können personenbezogene Daten ohne aus­reichende rechtliche Grundlage verarbeiten, was einen Verstoß gegen die DSGVO Daher ist wichtig, dass vor dem Einsatz eines KI-Modells die Zwecke und Rechtsgrundlagen der Verarbeitung geklärt werden.
  • Datenlecks und unzureichende Sicherheit: Die Speicherung großer Datenmengen birgt das Risiko von Datenlecks. Ein bekanntes Beispiel ist der Verstoß von Facebook gegen die DSGVO durch die unerlaubte Wei­ter­gabe von Nutzerdaten, der zu erheblichen Schadenersatzforderungen führte (EuGH, C-311/18).
  • Diskriminierung und Bias: KI-Systeme können auf Basis fehlerhafter oder unvollstän­di­ger Daten trainiert werden, was zu diskriminierenden Entscheidungen führen kann. ZB könn­ten Kreditentscheidungen oder Bewerbungsverfahren, die unter Einsatz von KI erfolgen, voreingenommen sein und bestimmte Bevöl­ke­rungs­gruppen benach­teili­gen. Gemäß Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Ver­arbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Um mögliche Schadenersatzansprüche zu vermeiden, ist es wichtig, dass die KI-Ergebnisse durch MitarbeiterIn­nen zumindest kontrolliert werden.
  • Mangelnde Transparenz: Viele KI-Algorithmen arbeiten als „Black Boxes“, deren Funk­tionsweise für Nutzer und sogar für die Betreiber selbst kaum nachvollziehbar ist. Diese Intransparenz kann zu Problemen führen, wenn betroffene Personen ihre Rechte auf Auskunft, Berichtigung und Löschung geltend machen möchten.

Internet der Dinge (IoT)

IoT-Geräte, die zB in Haushalten, Fahrzeugen oder im Rahmen öffentlicher Infrastrukturen eingesetzt werden, sammeln und übertragen kontinuierlich Daten. Diese Geräte sind häufig nicht ausreichend gegen Cyberangriffe abge­sichert, was zu Datenschutzverletzungen führen kann.

  • Datenlecks durch Sicherheitslücken: Schwach­stellen in IoT-Geräten können genutzt werden, um auf personen­bezo­gene Daten zuzugreifen oder diese zu stehlen. Ein prominentes Beispiel sind Hackerangriffe auf Smart-Home-Systeme, bei denen Videoaufnahmen oder Gesundheitsdaten kompromit­tiert wurden.
    Der Cyber Resili­en­ce Act soll Sicher­heitsanforderungen für Hardware- und Software­produkte mit digitalen Elementen regeln, die in der Europäi­schen Union auf den Markt gebracht werden. Hersteller sind nun verpflichtet, die Sicherheit während des gesamten Lebenszyklus eines Produkts zu berücksichtigen.
  • Kontrolle über Daten der IoT Geräte:
    Nutzer haben oft keinen Einblick in die Da­tenverarbeitung durch IoT-Geräte und können diese nur schwer kontrollieren. Dies widerspricht dem Transparenz­gebot der DSGVO und kann zu immateriellen Schäden wie Vertrauensverlust und psychi­schen Belastungen führen. Auch für nicht-personenbezogene Daten wird durch die Umsetzung des Data Acts das gleiche Schutz­niveau wie in der DSGVO gewähr­leistet.

Blockchain-Technologie

Die Blockchain-Technologie zeichnet sich durch die Unveränderlichkeit der gespeicherten Daten aus. Dies stellt eine Herausforderung dar, wenn es zB um das Recht auf Löschung und Berichtigung geht.

  • Löschanspruch: Da Blockchain-Daten nicht ohne weiteres gelöscht werden können, kann es schwierig sein, den gesetzlichen Anforderungen der DSGVO gerecht zu werden. Dies kann zu Konflikten führen, wenn Betroffene ihr Recht auf Datenlöschung durchsetzen wollen.
  • Datenminimierung: Die Speicherung von Daten in der Blockchain widerspricht oft dem Prinzip der Datenminimierung, da bereits gespeicherte Daten nicht mehr ge­än­dert oder entfernt werden können. Dies kann rechtliche Konsequenzen haben, wenn es um die langfristige Speicherung personenbezogener Daten geht.

Konkrete Risiken und Folgen für Unternehmen

Datenschutzverletzungen können zu erheblichen finanziellen Belastungen führen. Neben un­mittelbaren finanziellen Folgen können Datenschutzverletzungen das Vertrauen der Kunden und Geschäftspartner erheblich beeinträchtigen. Dieser Vertrauensverlust kann lang­fristig negative Auswirkungen auf die Markt­position eines Unternehmens haben und seine Geschäftstätigkeit gefährden.

Zusätzlich zu Schadenersatzforderungen können Datenschutzverstöße zu hohen Bußgel­dern durch die zuständigen Aufsichtsbehörden führen. Diese Bußgelder können je nach Schwere des Verstoßes bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen.

Prävention und Risikominderung

  • Datenschutz durch Technikgestaltung: Unternehmen müssen den Grundsatz „Privacy by Design“ umsetzen, der vorsieht, Datenschutz­maßnahmen bereits bei der Entwick­lung neuer Technologien und Systeme zu integrieren. Dies umfasst den Ein­satz von Verschlüsselungstechnologien, datenschutzfreundliche Voreinstellungen und regelmäßige Sicherheitsüberprüfungen.
  • Transparente Datennutzung und Einwilligungsmanagement: Transparenz ist ein wesentlicher Aspekt der DSGVO. Unternehmen sollten sicherstellen, dass ihre Kunden umfassend über die Datenverarbeitung informiert wurden und ihre Einwilligung ein­holen, wenn dies erforderlich ist. Ein effektives Datenschutzmanagement hilft, die Rechte der betroffe­nen Personen zu wahren und rechtlichen Problemen vorzubeu­gen.
  • Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für Datenschutzfragen sensibilisiert werden. Dies hilft, das Bewusstsein für Datenschutzrisiken zu erhöhen und sicherzustellen, dass personen­bezo­gene Daten gemäß den gesetzlichen Anforderungen verarbeitet werden.
  • Kontinuierliche Überwachung und Anpassung: Datenschutz ist ein kontinuierlicher Prozess. Unternehmen müssen ihre Datenschutz­maßnahmen regelmäßig überprüfen und an neue rechtliche und technologische Entwicklungen anpassen. Die laufende Überwachung und Anpassung hilft, Risiken frühzeitig zu erkennen und zu minimieren.

Abschließend ist zu sagen, dass neue Technologien wie KI, Big Data, IoT und Blockchain viele Vorteile bieten, aber auch erhebliche Datenschutzrisiken nach sich ziehen. Verantwortliche müssen sich der potenziellen Gefahren bewusst sein und geeignete Maßnahmen er­greifen, um Datenschutzverletzungen zu vermeiden und Schadenersatzforderungen vor­zu­beugen. Die Implementierung umfassender Datenschutzstrategien, die Schulung der Mitarbeiter und die kontinuierliche Verbesserung der Datenschutzpraxis kann rechtliche und finanzielle Risiken minimieren und das Ver­trauen der Kunden erhalten. Wegweisende Urteile des EuGH und anderer Höchstgerichte unterstreichen immer wieder die Bedeutung der sorgfältig geplanten und rechtskonformen Datenverarbeitung.

Veröffentlicht am von

EDSA gibt Stellungnahme zu „Pay or Okay“-Modellen ab

Am 17. April 2024 veröffentlichte der Europäische Datenschutzausschuss (EDSA) auf Antrag der Datenschutzbehörden der Niederlande, Norwegens und Hamburgs eine Stellungnah­me. Der Inhalt der Erklärung betrifft die Legiti­mität der Einwilligung zur Verarbeitung personenbezogener Daten zu Werbezwecken im Rahmen von „consent or pay“-Modellen, wie sie von vielen großen Online-Plattformen eingesetzt werden. In der Stellungnahme, die von der EDSA-Vorsitzenden Anu Talus präsentiert wurde, wird die Bedeutung einer echten Auswahlmöglichkeit für die Nutzer hervor­gehoben. Die derzeitigen Modelle zwingen Individuen häufig dazu, entweder sämtliche Nutzungsdaten freizugeben oder eine Gebühr zu entrichten. In der Folge stimmen die meisten Nutzer der Daten­verarbeitung zu, ohne die vollständigen Auswir­kun­gen ihrer Entscheidung zu begreifen.

Der EDSA ist der Meinung, dass diese Modelle in den meisten Fällen nicht den Anforderungen an eine gültige Einwilligung entsprechen. Dies ist insbesondere dann der Fall, wenn den Nutzern lediglich die Wahl zwischen der Zustim­mung zur Datenverarbeitung für verhaltensbezogene Werbezwecke und der Ent­richtung einer Gebühr bleibt.

Die Stellungnahme betont, dass diese kostenpflichtige Alternative zur Verarbeitung perso­nen­bezogener Daten für Werbezwecke nicht als Standard betrachtet werden sollte. Stattdessen sollten Online-Plattformen in Erwägung ziehen, dem Betroffenen eine „gleichwertige Alternative“ anzubieten, die nicht mit einer Gebühr verbunden ist. Diese sollte frei von verhal­tensbezogener Werbung sein und weniger oder gar keine personenbezogenen Daten verarbeiten.

Des Weiteren wird betont, dass die Einholung der Einwilligung die Verantwortlichen nicht von der Einhaltung der Grundsätze der Daten­schutz-Grundverordnung (Art. 5 DSGVO) ent­bin­det. Insbesondere Zweckbindung, Datenmi­ni­mierung und Verarbeitung nach Treu und Glauben müssen gewahrt bleiben. Online-Platt­formen sind zudem verpflichtet, die Notwendigkeit und Verhältnismäßigkeit ihrer Ver­arbeitung nachzuweisen.

Der EDSA legt darüber hinaus Kriterien zur Bewertung der Einwilligung in diesen Fällen fest, darunter Konditionalität, Nachteil, Leistungsungleichgewicht und Granularität. Demnach müssen die Verantwortlichen prüfen, ob die Gebühr angemessen ist und ob die Verweigerung der Zustimmung negative Konsequenzen für die betroffene Person nach sich ziehen kann.

Außerdem sieht der EDSA eine Prüfung des Machtungleichgewichts zwischen Individuen und dem Verantwortlichen vor. Faktoren wie die Marktposition der Plattform, die Abhängigkeit der Nutzer von den Diensten und die Zielgruppe der Plattform sollten dabei berücksichtigt werden.

Nun arbeitet der EDSA weiter an Leitlinien für „consent or pay“-Modelle mit breiterem Anwendungsbereich und wird eine enge Zu­sammenarbeit mit Interessenträgern anstreben, um ein ausgewogenes und rechtskon­formes Vorgehen sicherzustellen.

Veröffentlicht am von

5 Jahre DSGVO – Die Evaluierung

Die Datenschutz-Grundverordnung (DSGVO) ist seit ihrer Geltung im Mai 2018 das zen­trale Element des europäischen Datenschutzrechts. Anlässlich ihrer zweiten Evaluie­rung 2024 werden zahlreiche Diskussionen zur Effektivität und den Auswirkungen dieser Verordnung geführt. Einige dieser Punkte möchten wir für Sie hier festhalten.

Die Rolle des Datenschutzbeauftragten hat sich als unerlässlich für Unternehmen erwiesen. Die damit verbundene Querschnittskompe­tenz wird vor allem von KMU geschätzt, da er in vielen Bereichen teure Fachberater ersetzen kann. Er be­rät den Verantwortlichen bei der gesetzeskonformen Planung und Durchführung im ge­sam­ten Lebenszyklus der Verarbei­tung personenbezogener Daten und prüft die Effektivität der getroffenen Schutzmaßnahmen, beispielsweise durch interne Audits.

Die DSGVO schreibt Verantwortlichen, insbesondere in den Art. 5, 24 und 32 DSGVO, beträchtliche Pflichten vor, die sie bei der Verarbeitung personenbezogener Daten einzu­hal­ten haben. Diese Pflichten beinhalten präventive technische und organisatorische Maßnah­men (TOM) sowie die stetige Prüfung und Aktualisierung dieser Maßnahmen. Überschie­ßen­de Bürokratie und risikounabhängige Auflagen erschweren die Wahrnehmung dieser Aufgaben. Hinzu kommt, dass die Entwickler digitaler Lösungen von der DSGVO weitgehend unberührt bleiben, was zu einer (oft nicht verhältnismäßigen) Verlagerung der Belastungen zum Verantwortlichen führt.

Die mit der Umsetzung der DSGVO verbundene Bürokratie schlägt sich in verschiedenen Dokumentations-, Organisations- und Hinweispflichten nieder. Sie erhöhen Aufwand und Kosten, da auch typische, weit verbreitete Verarbeitungen personenbezogener Daten eine Kette an Pflichten auslösen.

Nehmen wir als Beispiel die Verarbeitung von Personalstammdaten in einem Unternehmen: Für eine rechtmäßige Verarbeitung ist zunächst eine Rechtsgrundlage nach Art. 6 DSGVO zu wählen. Diese Verpflichtung wird durch die Dokumentation nach Art. 5 Abs. 2 DSGVO (Rechen­schaftspflicht), die Informationspflichten nach Art. 13-14 DSGVO und die Erfassung der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erwei­tert. Jede dieser Verpflichtungen unterliegt eigenen Modalitäten, da jedes Mal Zweck und Adressat wechseln.

Diese Anforderungen stellen für Unternehmen oft eine erhebliche finanzielle Belastung dar. Besonders für KMU erscheinen die Herausforderungen aus der DSGVO oft überwältigend. Sie verfügen im Allgemeinen nicht über die Ressourcen und das notwendige Fachwissen, um den komplexen Vorgaben gerecht zu werden. Dies kann auch zu einem Wettbewerbs­nachteil gegenüber größeren Unternehmen führen. Es wäre daher wünschenswert, dass zukünftige Anpassungen eine differenziertere Betrachtung der Unternehmensgröße und angemessene Erleichterungen für KMU vorsehen.

Ein weiterer bedeutender Aspekt in Zeiten der zunehmenden Digitalisierung ist die Haftung der Hersteller digitaler Anwendungen und Lösungen. Die DSGVO legt fest, dass sowohl Verantwortliche als auch Auftragsverarbeiter zur Einhaltung der Verordnung verpflichtet sind. Datenschutzrecht­liche Probleme dort zu lösen, wo sie häufig entstehen, nämlich beim Hersteller, hat der EU-Gesetzgeber bei der Formulierung des Art. 25 DSGVO verabsäumt.

Die Problematik zeigt sich deutlich anhand von Art. 25 Abs. 2 DSGVO: Verantwortliche stehen vor der praktischen Herausforderung, angemessene technische und organisatorische Maß­nah­men zu implementieren, oft fehlt es aber an geeigneter Hard- bzw. Software. Diese wird von externen Herstellern bereitgestellt, die nur bestimmte Konfigurations­mög­lich­keiten zur Ver­fügung stellen. In Bezug auf diese Konfigurationen gilt selbstverständlich die Verpflich­tung aus Art. 25 Abs. 2 DSGVO, datenschutzfreundliche Optionen zu wählen. Insgesamt führt dies dennoch zum mangelhaften Schutz personenbezogener Daten, da der Verantwortliche, auch aufgrund seiner benachteiligten Ver­handlungsposition gegenüber dem Hersteller, nur über begrenzte Einflussmöglichkeiten verfügt.

Zusammenfassend lässt sich sagen, dass die DSGVO seit ihrem Inkrafttreten überwiegend positive Veränderungen bewirkt hat. Dennoch verbleiben Herausforderungen, insbesondere im Hinblick auf die damit verbundene Bürokratie und die oft unverhältnismäßige Belastung der KMU. Die kontinuierliche Überprüfung und Anpassung der Verordnung, klare Leitlinien und Haftungsverpflichtungen für Entwickler könnten dazu beitragen, die DSGVO effizienter und praxistauglicher zu gestalten.

EDSA-Bericht zur Rolle des Datenschutzbeauftragten

Im Laufe des vergangenen Jahres haben sich 25 Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum (EWR) an einer Untersuchung zum Thema Benennung und Position des Datenschutz­beauf­trag­ten beteiligt. Mehr als 17.000 Antworten von verschie­denen Organi­sationen und Datenschutzbeauftragten sowohl aus dem öffentlichen als auch dem privaten Sektor wurden analysiert. Der Bericht verleiht einen interessanten Einblick in Arbeit und Position von Datenschutzbeauftragten fünf Jahre nach Geltung der DSGVO.

Die geäußerten Bedenken und Herausforderungen betreffen unter anderem unzu­rei­chen­de Ressourcen oder Fachkennt­nisse der Datenschutzbeauftragten, mangelnde Unabhängig­keit, fehlende Berichtsmöglichkeiten an die Unternehmensführung oder gar das Unterlassen der Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Verpflichtung. Dabei variieren die Ausprägung und Intensität dieser Herausforderungen zwischen den Mitgliedstaaten der EU. Ebenfalls einen Unterschied macht es, ob der Datenschutzbeauftragte im privaten oder öffentlichen Sektor, wo vor allem die Freigabe finanzieller Ressourcen komplexer sein kann, tätig ist.

Zusätzlich enthält der Bericht Empfehlungen, die Organisationen und Datenschutzbe­auftragten bei der Bewältigung der festgestellten Herausforderungen unterstützen können.