Veröffentlicht am von

KI-Gesetz: Europäische Initiative tritt schrittweise in Kraft

Der AI Act ist der erste Rechtsrahmen der EU für Künstliche Intelligenz und soll nach Ansicht der Europäischen Kommission Europa in die Lage versetzen, weltweit eine führende Rolle bei der Festlegung von globalen Standards zu spielen. Er ist Teil eines umfassenden Pakets politischer Maßnahmen zur Unterstützung und Entwicklung vertrauenswürdiger KI, zu dem auch das KI-Innovationspaket und der koordinierte KI-Plan sowie die AI Liability Directive gehören, die Vorschriften zu außervertraglichen Haftungsfragen iZm KI-Systemen regeln soll. Des Weiteren ist auch eine Überarbeitung der sektoralen Sicherheitsvorschriften (zB Produktsicherheit) geplant.

Der AI Act ist sehr umfangreich, er enthält 180 Erwägungsgründe, 113 Artikel und 13 Anhänge. Er fordert, dass KI-Anwendungen nicht nur effizient, sondern auch sicher, transparent, ethisch korrekt und grundrechtskonform gestaltet sein müssen.

Art. 3 Z 1 definiert ein KI-System wie folgt:

ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können;“

Die Nichtbeachtung der Bestimmungen des AI Act ist mit hohen Bußgeldern verbunden und zwar:

  • bis zu 35 Mio. EUR bzw. 7 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Missachtung der in Art. 5 genannten KI-Praktiken in Bezug auf verbotene KI-Systeme oder die Nichteinhaltung der Anforderungen an Daten.
  • bis zu 15 Mio. EUR bzw. 3 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Verstößen gegen geltende Bestimmungen für Anbieter (Art. 16), Bevollmächtigte (Art. 22) sowie Einführer (Art. 23), Händler (Art. 24), Betreiber (Art. 26), notifizierte Stellen (Art. 31, 33 Abs. 1, 3 und 4, Art. 34), Transparenzpflichten für Anbieter und Nutzer (Art. 50).
  • Bis zu 7,5 Mio. EUR bzw. 1 % des weltweiten Jahresumsatzes (abhängig davon, welcher Wert höher ist) bei Falschaussagen bzw. unvollständigen oder irreführenden Informationen an notifizierte Stellen oder zuständige Behörden.

Im Falle von KMUs gilt aber der jeweils niedrigere Betrag.

Kern des AI Act ist ein risikobasierter Ansatz, wobei das Risikopotential anhand der nachstehenden vier Risikofelder qualifiziert wird:

Quelle: Europäische Kommission

  • Inakzeptables Risiko: Betrifft KI-Systeme, die eine eindeutige Bedrohung für die Sicherheit, die Lebensgrundlage und die Menschenrechte darstellen. Darunter fallen zB KI-Systeme wie Social Scoring, die Menschen sozial bewerten und Systeme zur biometrischen Klassifizierung in Bezug auf die in den Art. 9 und 10 DSGVO als besonders schützenswert angeführten Daten (Art. 5).
  • Hohes Risiko: Diese Gruppe stellt den bedeutendsten Anwendungsbereich des AI Act dar und ist aufgrund ihrer Risikoneigung besonders stark reglementiert. Sie behandelt den Einsatz von KI-Systemen in sensiblen Lebensbereichen. In diese Gruppe fallen KI-Systeme in kritischen Infrastrukturen (Verkehr, Wasser, Gas-, Wärme- und Stromversorgung), im Bildungs- und Berufswesen (zB Bewerber­auswahl), Strafverfolgung, private und öffentliche Dienstleister (zB Bonitätsprüfung) uä (Art. 6 bis 49, Anhang III).
  • Begrenztes Risiko: Umfasst KI-Systeme, von denen nur ein begrenztes Risiko ausgeht wie zB Chatbots. Für diese Gruppe gelten spezifische Transparenzpflichten (Art. 50, Anhang XII).
  • Minimales Risiko: Der AI Act erlaubt die freie Nutzung von KI-Systemen mit minimalem Risiko. Diese Gruppe enthält die überwiegende Mehrheit der derzeit in der EU eingesetzten KI-Systeme wie zB Spamfilter oder KI-fähige Videospiele.

In der politischen Diskussion war insb. die Einbeziehung von „General Purpose AI Models“ (GPAI) besonders umstritten. Als „KI-Systeme mit allgemeinem Verwendungszweck“ bezeichnet man KI, die allge­meine Funktionen wie Bild- und Spracherken­nung, Videogenerierung, Mustererken­nung, Beantwortung von Fragen sowie Übersetzungen usw. ausführt. Darunter fallen Large Language Models (LLM) und andere generative AI-Tools wie ChatGPT, Google Gemini, Bing AI ua. Entsprechend der im AI Act festgelegten Logik werden diese GPAI-Modelle in die dritte Risikostufe eingeordnet. Dabei werden zwei Gruppen unterschieden, und zwar GPAI „mit allgemeinem Verwendungszweck“ und GPAI „mit allgemeinem Verwendungszweck mit systemischem Risiko“. Diese Differenzierung bezieht sich nicht auf die Anwendung selbst, sondern auf die Rechenleistung und Reichweite des zugrundeliegenden Basismodells. Die Rechenleistung wird in Gleitkomma­operationen pro Sekunde (Floating Point Operations Per Second, FLOP) gemessen. Art. 51 Abs. 2 legt den Schwellenwert für GPAI mit allgemeinem Verwendungszweck mit systemi­schem Risiko mit 1025 FLOP fest.

Der AI Act sieht eine Verwaltungsstruktur mit mehreren zentralen Regulierungsbehörden vor, die jeweils unterschiedliche Aufgaben in Bezug auf die Umsetzung und Durchsetzung des AI Act wahrnehmen sollen. Im Einzelnen sind dies:

Auf EU-Ebene:

  • Einrichtung eines Büros für Künstliche Intelligenz, das die Umsetzung und Durch­setzung des AI Act gewährleisten soll (Art. 64). Es wurde bereits am 24. Jänner 2024 gegründet.
  • Des Weiteren wird ein „Europäisches Gremium für Künstliche Intelligenz“ einge­richtet, das sowohl die Kommission wie auch die Mitgliedstaaten unterstützen soll, um eine einheitliche und wirksame Anwendung des AI Act zu erleichtern (Art. 65).
  • Ein Beratungsforum aus unabhängigen Experten soll den Ausschuss und die Kommission beraten (Art. 67).
  • Schlussendlich soll ein wissenschaftliches Gremium unabhängiger Sachverständiger eingerichtet werden, das die Durchsetzungstätigkeiten im Rahmen des AI Act unterstützen soll (Art. 68).

Auf nationaler Ebene:

  • Jeder MS muss mindestens eine notifizierende Behörde einrichten, die insb. KMU einschließlich Start-up-Unternehmen bei der Durchführung des AI Act zur Seite stehen und die ordnungsgemäße und recht­zeitige Durchführung von Konformitätsbewertungen sicherstellen soll (Art. 70). Vorerst wurde mit Beschluss des Nationalrates vom 21. Jänner 2024 eine KI-Service­stelle in der Rundfunk und Telekom Regulierungs-GmbH (RTR) eingerichtet, die in einem weiteren Ausbauschritt in eine KI-Behörde übergeht.
  • Jeder MS muss darüber hinaus auch mindestens eine Marktüberwachungsbehörde einrichten, die zur Durchführung externer Konformitätsbewertungen berechtigt ist (Art. 70).

Vom AI Act sind unterschiedliche Akteure betroffen (Art. 2):

  • Anbieter
  • Betreiber
  • Einführer und Händler
  • Produkthersteller
  • Bevollmächtigte von Anbietern
  • betroffene Personen

Der Sitz in einem Drittstaat entbindet Anbieter, Betreiber und Bevollmächtigte nicht von den im AI Act normierten Pflichten, wenn das KI-System für die EU bestimmt ist oder das vom KI-System hervorgebrachte Ergebnis in der EU verwendet wird.

Hier erfahren Sie mehr über unsere Beratung zu Künstlicher Intelligenz!

Veröffentlicht am von

EuGH: Abfrage der Geschlechtsidentität bei Bahntickets unzulässig

Der Europäische Gerichtshof (EuGH) hat entschieden (Urteil vom 9.1.2025 – C-394/23), dass Eisenbahnunternehmen ihre Kunden nicht verpflichten dürfen, beim Ticketkauf über die Wahl einer Anrede ihr Geschlecht offenzulegen. Diese Praxis verstößt gegen die Datenschutz­grundverordnung (DSGVO), da eine geeignete Rechtsgrundlage für die Verarbeitung fehlt und sie zudem nicht mit dem Grundsatz der Datenminimierung vereinbar ist.

Hintergrund des Verfahrens

Anlass des Vorabentscheidungsverfahrens war eine Beschwerde des Verbands Mousse, der sich gegen sexuelle Diskriminierung einsetzt. Mousse beanstandete vor der französischen Datenschutzbehörde CNIL die Praxis des Unternehmens SNCF Connect. Dieses verlangte von seinen Kunden, beim Online-Kauf von Fahrscheinen zwischen den Anreden „Herr“ und „Frau“ zu wählen. Nach Ansicht von Mousse handelt es sich hierbei um eine unverhältnismäßige Datenerhebung, die gegen die Grundsätze der DSGVO verstößt, insbesondere die der Rechtmäßigkeit und der Datenminimierung. Die CNIL wies die Beschwerde jedoch 2021 zurück, woraufhin Mousse den französischen Staatsrat anrief. Dieser legte die Frage dem EuGH vor.

EuGH: Anrede ist nicht erforderlich

Der EuGH stellte klar, dass für die Verarbeitung der gegenständlichen Daten als Rechtsgrundlage nur die Erfüllung des jeweiligen Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommen. Im vorliegenden Fall sei die Angabe der Anrede bzw. des Geschlechts für die Erfüllung eines Schienen­transport­vertrags aber nicht erforderlich. Die ordnungsgemäße Durchführung hänge nicht davon ab, wie ein Kunde angesprochen wird.

Kein berechtigtes Interesse der Unternehmen

Der EuGH verwarf auch die Anwendung der Rechtsgrundlage eines berechtigten Interesses des Unternehmens. Die Datenverarbeitung müsse dafür objektiv notwendig sein und dürfe die Rechte und Freiheiten der betroffenen Personen nicht überwiegen. Die Verpflichtung zur Angabe der Anrede könne jedoch zu einer Diskriminierung aufgrund der Geschlechts­identität führen und sei daher nicht verhältnismäßig. Zudem sei den Kunden das berechtigte Interesse nicht kommuniziert worden, zu dessen Umsetzung diese Daten erhoben wurden.

Bedeutung des Urteils

Das Urteil unterstreicht, dass Unternehmen bei der Verarbeitung personenbezogener Daten strikte Maßstäbe anlegen müssen. Insbesondere der Grundsatz der Datenminimierung schränkt die Erhebung von Daten ein, die nicht zwingend notwendig sind. Dies gilt auch für Angaben wie die Anrede oder das Geschlecht.

Für Unternehmen bedeutet das Urteil, dass sie ihre Datenverarbeitungspraxis kritisch prüfen und gegebenenfalls anpassen müssen, um rechtskonform zu handeln. Gleichzeitig stärkt die Entscheidung den Schutz vor unnötigen Datenerhebungen und potenzieller Diskrimi­nie­rung.

Veröffentlicht am von

NIS-2

Erfüllung der Pflichten der NIS-2-Richtlinie: Maßgeschneiderte Beratung für Ihr Unternehmen.

Bereiten Sie sich frühzeitig auf die umfassenden Anforderungen der neuen NIS-2-Richtlinie und des kommenden NISG in Österreich vor!
Unser Beratungsangebot kombiniert wissenschaftliches Fachwissen mit einem praxisnahen Ansatz und bietet Ihnen gezielte Unterstützung, damit Ihr Unternehmen sicher und rechtskonform bleibt.

Warum handeln?

Das neue Netz- und Informationssystemsicherheitsgesetz (siehe Entwurf zum NISG 2024) wird deutlich mehr Unternehmen betreffen als bisher. Die neuen Anforderungen reichen von Risikomanagement bis zur Lieferkettensicherheit. Mit unserer Hilfe meistern Sie diese Herausforderungen effizient und ohne unnötige Belastungen.

Wichtige Pflichten des neuen Gesetzes:

Risikomanagement: Unternehmen müssen Risiken für ihre IT-Systeme analysieren und geeignete Maßnahmen zur Risikominimierung ergreifen

Effiziente Compliance: Vorfallmeldung: Sicherheitsvorfälle, die den Betrieb beeinträchtigen könnten, müssen unverzüglich gemeldet und zügig behoben werden

Krisenmanagement: Pläne zur Wiederherstellung und Minimierung von Ausfällen müssen entwickelt und regelmäßig getestet werden

Informationsaustausch: Unternehmen sind verpflichtet, mit Behörden und Partnern zusammenzuarbeiten und Informationen über Bedrohungen und Vorfälle auszutauschen

Lieferkettensicherheit: Auch die Sicherheit von Lieferanten und Drittanbietern muss überwacht und sichergestellt werden

Compliance: Alle Maßnahmen müssen dokumentiert werden und nachweislich den gesetzlichen Vorgaben entsprechen

Unsere Leistungen im Überblick:

  • Individuelle Risikobewertungen: Wir analysieren Ihre spezifischen Risiken und entwickeln maßgeschneiderte Sicherheitskonzepte, die den Anforderungen des neuen Gesetzes gerecht werden
  • Effektives Vorfallmanagement: Wir helfen Ihnen, ein effizientes Vorfallmanagement aufzubauen und unterstützen Sie bei der Einhaltung der strengen Meldepflichten
  • Krisen- und Wiederherstellungsplanung: Wir entwickeln robuste Krisenpläne und Wiederherstellungsstrategien, die sicherstellen, dass Ihr Betrieb im Ernstfall schnell lauffähig gemacht wird
  • Umfassende Schulungen: Wir bieten Schulungen und Sensibilisierungsprogramme an, um Ihr Team auf die neuen Anforderungen vorzubereiten und die Cybersicherheitskultur in Ihrem Unternehmen zu stärken
  • Dokumentation und Compliance: Wir unterstützen Sie bei der Erstellung und Pflege der erforderlichen Dokumentation, um sicherzustellen, dass Sie jederzeit nachweisen können, dass Sie alle gesetzlichen Vorgaben erfüllen

Kontaktieren Sie uns jetzt für Ihr individuelles Angebot!

 

Veröffentlicht am von

DORA

Ihre rechtssichere Lösung für digitale Resilienz!

Mit dem Digital Operational Resilience Act (DORA) stellt die EU Finanzunternehmen und IKT-Dienstleister, die für sie arbeiten, vor neue Herausforderungen: Einheitliche Standards für Cybersicherheit, digitales Risikomanagement und operative Resilienz müssen ab dem 17. Januar 2025 umgesetzt werden.

DORA stärkt den europäischen Finanzmarkt, erfordert aber auch von beteiligten IT-Dienstleistern das konsequente Management von Sicherheitsrisiken.

Unsere Leistungen im Überblick:

  • IKT-Risikomanagement: Aufbau eines stabilen Frameworks
  • Incident Management & Reporting: Effiziente Prozesse für Vorfallmeldungen
  • Sicherheitstests: Mindestens jährliche Prüfungen kritischer Systeme
  • Drittparteienmanagement: Effiziente Überwachung Ihrer IKT-Partner

Ihr Vorteil:

Mit unserer praxisorientierten Beratung vermeiden Sie Unsicherheit und schaffen eine nachhaltige Grundlage für Ihre digitale Resilienz. Profitieren Sie von unserer Expertise, um Bußgelder zu vermeiden und einen rechtssicheren Status zu erreichen – maßgeschneidert auf Ihre Bedürfnisse, effizient und praxisnah.

Bereiten Sie sich frühzeitig vor – wir begleiten Sie auf dem Weg zur DORA-Konformität!

Kontaktieren Sie uns jetzt für Ihr individuelles Angebot!

 

Veröffentlicht am von

Unternehmensorganisation und Digitalisierung

Warum uns wählen?

Wir bieten maßgeschneiderte Lösungen für Unternehmen, die ihre Strukturen optimieren und ihre Prozesse digital transformieren möchten.

Unsere Leistungen im Überblick:

  • Digitalisierungsprojekte: Unterstützung bei der Umsetzung von Digitalisierung sowie der Einführung moderner Workflow-Systeme
  • Ganzheitliche Analyse der Unternehmensorganisation: Wir identifizieren Optimierungspotenziale und entwickeln passgenaue Strategien
  • Organisationsoptimierung: Planung und Neuentwicklung effizienter Organisationsstrukturen
  • Kostenreduktion & Ergebnisverbesserung: Maßgeschneiderte Maßnahmen zur Effizienzsteigerung und nachhaltigen Rentabilitätsverbesserung
  • Optimierung der Informations- und Kommunikationssysteme: Innovative Konzepte zur Verbesserung der internen und externen Kommunikation

Kontaktieren Sie uns jetzt für Ihr individuelles Angebot!

Veröffentlicht am von

DSGVO Online Check

Unser Online Compliance Check unterstützt Sie dabei, Ihre Online-Präsenz rechtskonform und risikofrei zu gestalten.

Unsere Leistungen im Überblick:

  • Prüfung Ihrer Cookies und Tracking-Tools auf rechtliche und technische Schwachstellen
  • Analyse und Optimierung Ihres Cookie-Banners und der Datenschutzerklärung
  • Überprüfung der Datenschutzerklärungen Ihrer Social-Media-Auftritte, Opt-In-Mechanismen und Impressumspflichten
  • Bewertung der Verschlüsselungs- und Sicherheitsmaßnahmen Ihrer Website

Ihr Vorteil:

Ein übersichtlicher Audit-Bericht mit Best Practices und konkreten Handlungsempfehlungen, damit Ihre Website nicht nur rechtlich sicher, sondern auch vertrauenswürdig ist.

Kontaktieren Sie uns jetzt für Ihr individuelles Angebot!

 

Veröffentlicht am von

Rückblick: DSGVO Praxisseminar 2024

Wien, 11. November 2024 – Österreichische Unternehmen sahen sich in den letzten Monaten zunehmendem Druck ausgesetzt, sowohl die Anforderungen aus neuen europäischen und nationalen Rechtsvorschriften zu erfüllen als auch erreichte datenschutzrechtliche Standards aufrechtzuerhalten. In diesem Kontext fand am 11. und 12. November 2024 in Wien unser Praxisseminar für Datenschutzexperten statt, das gezielt auf die aktuellen Entwicklungen und rechtlichen Anforderungen sowie deren praktische Umsetzung im Unternehmenskontext ausgerichtet ist.

Das Seminar bot eine breite Palette an Fachvorträgen, die Themen von den Grundlagen des Datenschutzrechts bis hin zur aktuellen EU-Gesetzgebung und Rechtsprechung abdecken. Ein besonderes Highlight war die praxisnahe Einführung in das behördliche Prüfverfahren, bei der die Teilnehmer tiefen Einblick in die neuesten Entwicklungen und aktuelle Informationen zu behördlichen Abläufen aus erster Hand erhielten.

Das Teilnehmerfeld umfasste Vertreter verschiedenster Branchen, darunter der öffentliche Bereich, das Gesundheitswesen, die Industrie und der Glücksspielsektor. Zu den zentralen Themen zählten die DSGVO-konforme Implementierung künstlicher Intelligenz sowie die Anpassung interner Richtlinien an die fortschreitende Digitalisierung.

Die Veranstaltung eröffnete den Teilnehmern nicht nur aktuelle rechtliche und technische Einblicke, sondern auch eine Plattform zum Austausch über individuelle Herausforderungen. Das nächste Praxisseminar, geplant für 7. und 8. April 2025, wird erneut Gelegenheit zur Vertiefung im Datenschutz bieten und Anlass geben, sich mit den neuesten Anforderungen zur praktischen Umsetzung der DSGVO vertraut zu machen.

Veröffentlicht am von

Finanzmarktaufsicht in Österreich mahnt: Rechtzeitig auf DORA vorbereiten!

Vor wenigen Wochen hat ein fehlerhaftes Update der CrowdStrike-Software eine weltweite Krise ausgelöst und verdeutlicht, dass nicht nur Cyberangriffe, sondern auch Produktmängel gravierende IT-Risiken darstellen können.

Um solche Risiken zu behandeln, wird die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, kurz DORA) ab dem 17. Jänner 2025 in Österreich wirksam. DORA hat das Ziel, die Widerstandsfähigkeit europäischer Finanzunternehmen gegenüber Cyber-Risiken und IT-bedingten Betriebsstörungen zu stärken und rückt die Informations- und Kommunikations­technologien (IKT) in den regulatorischen Fokus. Zudem werden erstmals auch als kritisch eingestufte IKT-Drittanbieter in den Überwachungs­rahmen einbezogen.

Laut FMA müssen betroffene Finanzdienstleister und Drittanbieter sich in den kommenden Wochen und Monaten auf das neue Aufsichtsregime vorbereiten, da DORA ohne Über­gangsfristen vollumfänglich gilt.

Um die Umsetzung von DORA zu erleichtern, hat die FMA einen speziellen DORA-Bereich auf ihrer Website eingerichtet, der die relevanten Regularien und Anforderungen zusammen­fasst. Dort werden die technischen Regulierungs- und Durchführungsstandards detailliert erläutert und häufig gestellte Fragen in einem umfassenden Q&A-Format beantwortet. Hilfreiche Informationen finden Sie auch auf der Website der BaFin.

Das DORA-Regulierungspaket soll bestehende Gesetzgebungslücken für Finanzdienstleister schließen und konsolidiert somit das zuvor verstreute Regelwerk. Es beinhaltet umfassende Berichts-, Informations- und Überwachungspflichten. Betroffene Unternehmen müssen unter anderem

  • einen IKT-Risikomanagementrahmen und Business Continuity Management implementieren;
  • zahlreiche Berichtspflichten erfüllen, insbesondere zu Verträgen mit IKT-Drittanbietern und IKT-Vorfällen;
  • die digitale Betriebsstabilität regelmäßig testen, auch durch zentrale, bedrohungsorientierte Penetrationstests;
  • Risiken von IKT-Drittanbietern steuern und überwachen;
  • regelmäßigen Informationsaustausch zwischen den betroffenen Unternehmen institutionalisieren.

Ab der verpflichtenden Anwendung von DORA müssen alle bestehenden Verträge mit IKT-Drittanbietern den neuen Anforderungen entsprechen. Unternehmen in Österreich sind verpflichtet, der FMA umgehend ein Informationsregister zu allen Verträgen mit IKT-Dritt­dienstleistern zu übermitteln. Zudem müssen schwerwiegende Cyber-Vorfälle und IKT-beding­te Betriebsstörungen innerhalb der fest­gelegten Fristen gemeldet werden:

Erstmeldung: Muss so schnell wie möglich erfolgen, spätestens innerhalb von 4 Stunden nach Einstufung als schwerwiegender Vorfall und spätestens 24 Stunden nach Entdeckung (Art. 6 Abs. 1a Draft RTS).

Zwischenmeldung: Muss innerhalb von 72 Stunden nach der Erstmeldung oder nach Wiederherstellung des regulären Geschäfts­be­triebs übermittelt werden, oder sobald sich der Vorfallstatus oder die Handhabung des Vorfalls wesentlich ändert. Zusätzliche Aktualisierungen müssen erfolgen, wenn neue Informatio­nen verfügbar sind oder auf Antrag der Behörde (Art. 6 Abs. 1b Draft RTS, Art. 19 Abs. 4 DORA-VO).

Abschlussmeldung: Muss spätestens einen Monat nach der letzten Zwischenmeldung übermittelt werden (Art. 6 Abs. 1c Draft RTS).

Unternehmen, die bereits Erfahrungen mit der Umsetzung der DSGVO gesammelt haben, können dieses Wissen nun für DORA nutzen, um die Einhaltung der Vorschriften sicherzustellen. Die Hauptaufgaben sind dabei ähnlich: Daten vollständig analysieren, Verträge überprüfen, Sicherheit sicherstellen und Mitarbeiter schulen. Wer bereits entsprechende Strukturen und Abläufe eingeführt hat, spart Zeit und Mühe.

 

Veröffentlicht am von

91 Millionen Euro Bußgeld für Meta

Die irische Datenschutzbehörde (DPC) hat Meta erneut mit einer Strafe belegt – diesmal in Höhe von 91 Millionen Euro. Grund dafür war ein Sicherheitsvorfall im Jahr 2019, bei dem Meta ca. hundert Millionen Passwörter unverschlüsselt auf seinen Servern speicherte.

Die DPC begann im April 2019 mit der Untersuchung, nachdem Meta den Vorfall gemeldet hatte. Dabei stellte sich heraus, dass Meta aufgrund unzulänglicher Sicherheitsmaßnahmen gegen die DSGVO verstoßen hatte. Das Risiko war erheblich, da unbefugte Dritte dadurch auf Social-Media-Konten und möglicherweise auch auf sensible Informationen zugreifen konnten. Zusätzlich meldete Meta den Vorfall nicht innerhalb der vorgeschriebenen 72 Stunden und dokumentierte ihn nicht korrekt.

Graham Doyle, der stellvertretende Kommissar der DPC, betonte, dass es allgemein als Standard gilt, Passwörter niemals unverschlüsselt oder im Klartext zu speichern, da dies mit hohem Missbrauchsrisiko verbunden ist.

Meta erklärte, dass der Fehler in den Passwortmanagement-Prozessen nach einer internen Überprüfung im Jahr 2019 entdeckt und umgehend behoben wurde. Es gebe keine Hinweise darauf, dass die Passwörter missbraucht oder unbefugt abgerufen wurden.

Die Geldstrafe ist höher als ein früheres Bußgeld von 17 Mio. EUR, das Meta 2022 für einen Vorfall erhielt, bei dem bis zu 30 Mio. Nutzer betroffen waren. Dies spiegelt eine Tendenz zu höheren Bußgeldern wider, die sich zunehmend durchsetzt und darauf abzielt, Unter­nehmen stärker für den Schutz von Nutzerdaten zur Verantwortung zu ziehen.

Veröffentlicht am von

Rückblick auf den 12. Privacy Ring Wien am 19. September 2024

Am 19. September 2024 fand in der Universität Wien der 12. Privacy Ring Wien unter dem Titel “Transparenz im Spannungsfeld des Datenschutzes” statt. Die Veranstaltung zog Datenschutzinteressierte aus verschiedenen Sektoren an, die sich mit den aktuellen Herausforderungen und Chancen im Bereich des Datenschutzes, der Informationsfreiheit und des Schutzes der Privatsphäre befassten.

In Zeiten zunehmender Bedeutung des Datenschutzes und steigender Forderungen nach mehr Transparenz bot der Privacy Ring Wien eine exzellente Plattform für den Austausch von Wissen und Meinungen. Von 14:00 bis 17:30 Uhr fanden im Hörsaal der Universität Wien Vorträge und Diskussionen statt, die durch Beiträge führender Expertinnen und Experten bereichert wurden.

Vortragende und ihre Themen

Zu den Hauptrednern zählten:

  • Bettina Blawert, Syndikusrechtsanwältin bei Sovendus GmbH, die praxisnahe Einblicke in das Rechtsverhältnis zwischen der DSGVO und der KI-VO gab.
  • Dr. Marie-Louise Gächter, Leiterin der Datenschutzstelle Liechtenstein, die Chancen und Herausforderungen für eine digitale Zukunft in der EU thematisierte.
  • Dr. Mathias Schmidl, Leiter der Datenschutzbehörde Österreich, der über aktuelle Regulierungen und deren Umsetzung in Österreich sprach.
  • Prof. Ursula Sury, Professorin an der Hochschule Luzern, die die unternehmerische Verantwortung hinsichtlich der Transparenz beleuchtete.
  • Dr. Wienfried Veil, Referat Datenpolitik im Bundesministerium des Inneren und für Heimat, der spannende Einblicke in die Themen Open Data und Informationsfreiheit bot.

Diskussion und Get-Together

Die Vorträge führten zu einer lebhaften Podiumsdiskussion, in der die Teilnehmer über die richtige Balance zwischen Datenschutz und Transparenz debattierten. Dabei wurde deutlich, dass trotz unterschiedlicher Positionen ein gemeinsames Ziel besteht: den Schutz der Privatsphäre zu gewährleisten und gleichzeitig dem wachsenden Bedarf an Transparenz gerecht zu werden.

Abgerundet wurde die Veranstaltung durch ein Get-Together, bei dem sich die Teilnehmenden in entspannter Atmosphäre weiter austauschen konnten.

Fazit von Mag. Judith Leschanz

Mag. Judith Leschanz, Mitbegründerin des Privacy Rings und Geschäftsführerin der Secur-Data GmbH, betonte die Bedeutung solcher Veranstaltungen: “Der Privacy Ring bietet eine einzigartige Gelegenheit, um aktuelle Entwicklungen und Herausforderungen im Datenschutz zu beleuchten. Es ist entscheidend, dass wir alle – von der Wissenschaft bis zur Praxis – an einem Strang ziehen, um den Spagat zwischen Datenschutz und Transparenz zu meistern.”

Dank des vielseitigen Programms und der hochkarätigen Redner war der 12. Privacy Ring Wien ein großer Erfolg, der den Diskurs über die Balance zwischen Transparenz und Datenschutz maßgeblich vorantrieb. Der nächste Privacy Ring wurde für das Frühjahr 2025 in Luzern angekündigt.