AKTUELLES
- Passwortverwaltung mit Microsoft Entra ID-Integration
- Pass4SAP: unverzichtbares Tool für SAP-Unternehmen, die ihre Cybersicherheit verbessern wollen
Welche europäischen Rechtsvorschriften im Bereich des Datenschutzes und des Schutzes der Privatsphäre müssen wir kennen? Teil 2.
(eIDAS, DGR, DORA, CRA, AIA)
Die eIDAS-Verordnung,
(englisch electronic IDentification, Authentication and trust Services) die für elektronische Identifizierung, Authentifizierung und Vertrauensdienste steht, ist ein wichtiger EU-Rechtsakt, der im Juli 2016 in Kraft getreten ist. Ihr Hauptziel ist es, das Vertrauen in elektronische Transaktionen zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen in der gesamten Europäischen Union zu stärken, indem eine gemeinsame Grundlage für eine sichere elektronische Interaktion geschaffen wird. Im Folgenden finden Sie einen kurzen Überblick über die wichtigsten Aspekte:
Schlüsselkomponenten von eIDAS:
- Standardisierung der elektronischen Identifizierung (eID): eIDAS schafft einen Rahmen für die gegenseitige Anerkennung und Interoperabilität elektronischer Identifizierungssysteme in den EU-Mitgliedstaaten, so dass Bürger und Unternehmen ihre eigenen nationalen eIDs für den Zugang zu öffentlichen Diensten in anderen EU-Ländern verwenden können.
- Vertrauensdienste: eIDAS schafft einen Rechtsrahmen für elektronische Signaturen, Siegel und andere damit verbundene Vertrauensdienste, der sicherstellt, dass diese rechtlich anerkannt werden und den gleichen Status haben wie ihre traditionellen Gegenstücke (z. B. handschriftliche Unterschriften).
- Elektronische Unterschriften: Einer der bekanntesten Aspekte von eIDAS sind die Bestimmungen für elektronische Signaturen, wobei zwischen einfachen, fortgeschrittenen und qualifizierten elektronischen Signaturen unterschieden wird, wobei qualifizierte Signaturen das höchste Maß an Sicherheit und rechtlicher Wirkung bieten.
- Stärkung von Vertrauen und Sicherheit im Internet: Durch die Festlegung von Standards für elektronische Transaktionen zielt eIDAS darauf ab, die Effizienz, die Sicherheit und das Vertrauen in Online-Dienste zu erhöhen.
eIDAS ist ein Eckpfeiler der EU-Strategie für einen digitalen Binnenmarkt und erleichtert die nahtlose und sichere elektronische Interaktion zwischen den Mitgliedstaaten. Es unterstützt die digitale Transformation der öffentlichen Dienste (eGovernment) und fördert das Vertrauen in Online-Transaktionen und trägt so zum Wachstum der digitalen Wirtschaft in Europa bei.
Eine aktualisierte Version, die umgangssprachlich als eIDAS 2 bezeichnet wird, wurde bereits veröffentlicht und wird am 20. Mai 2024 in Kraft treten. eIDAS 2 erweitert den Anwendungsbereich über die ursprünglichen Bestimmungen hinaus, um neue Arten von elektronischen Vertrauensdiensten einzubeziehen und den Rahmen für elektronische Identitäten (eIDs) zu verbessern. Der Schwerpunkt liegt auf der Verbesserung der Verwaltung grenzüberschreitender elektronischer Identifizierungs- und Vertrauensdienste mit dem Ziel einer größeren Interoperabilität und Benutzerfreundlichkeit in den Mitgliedstaaten zu erreichen.
eIDAS 2 gewährleistet höhere Standards für Datenschutz und Überprüfung.
Es führt das Konzept einer universellen digitalen Identitätsbörse ein, welche die nationale digitale Identität eines Bürgers eines Mitgliedstaats mit anderen persönlichen Attributen wie Führerschein, Diplomen und Bankkonten verbindet. Die EU-Geldbörsen für digitale Identitäten werden in der gesamten EU für den Zugang zu öffentlichen und privaten digitalen Diensten zur Verfügung stehen und den Nutzern der Geldbörsen das Recht geben, selbst zu entscheiden, welche Aspekte ihrer Identität und Daten sie mit Dritten teilen. Aufgrund des Umfangs des Projekts ist mit einer breiten Nutzung von Identitäts-Wallets nicht vor 2026 zu rechnen.
Der Daten-Governance-Rechtsakt (DGR)
ist ein Legislativvorschlag der Europäischen Kommission, der Teil der umfassenderen europäischen Strategie für Daten ist, die darauf abzielt, die Verfügbarkeit von Daten zur Nutzung zu fördern. Er wurde vom Europäischen Parlament und dem Rat angenommen. Die DGR zielt darauf ab, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken, die Mechanismen für den Datenzugang zu verbessern und die Wiederverwendung bestimmter Kategorien geschützter Daten des öffentlichen Sektors, die nicht als offene Daten zur Verfügung gestellt werden können, zu erleichtern. Hier ist ein kurzer Überblick:
Die wichtigsten Punkte des Daten-Governance-Rechtsaktes:
- Der DGR zielt darauf ab, ein vertrauenswürdiges Umfeld zu schaffen, das mehr Unternehmen und Einzelpersonen dazu ermutigt, ihre Daten gemeinsam zu nutzen und so die Menge und Vielfalt der für Innovation und Wertschöpfung verfügbaren Daten zu erhöhen.
- Es wird die Einrichtung eines Europäischen Dateninnovationsrates vorgeschlagen, um die sektorübergreifende gemeinsame Nutzung von Daten zu erleichtern, einschließlich des Austauschs bewährter Verfahren zwischen den Mitgliedstaaten.
- Es wird das Konzept der Datenvermittlungsdienste eingeführt, um die gemeinsame Nutzung von Daten zu erleichtern. Diese fungieren als neutrale Dritte, die Dateninhaber mit Datennutzern zusammenbringen, ohne dass die Vermittler die Daten für ihre eigenen Zwecke nutzen können.
- Das Gesetz enthält Bestimmungen zur Erleichterung der Weiterverwendung bestimmter Datenkategorien, die sich im Besitz öffentlicher Stellen befinden, wie z. B. Daten, die den Rechten anderer unterliegen (z. B. personenbezogene Daten, Rechte an geistigem Eigentum). Dies Datenkategorien werden unter sicherere Bedingungen gestellt, wobei die bestehenden Rechte zu respektieren sind, wodurch der Umfang der Daten, welche Innovationen vorantreiben können so auch über das hinausgehen können, was als offene Daten verfügbar ist.
- Das Gesetz erkennt Datenaltruismus an - die freiwillige Weitergabe von Daten zum Wohle der Allgemeinheit (z. B. wissenschaftliche Forschung oder Verbesserung öffentlicher Dienstleistungen). Es führt ein europäisches Einwilligungsformular für Datenaltruismus und einen Registrierungsmechanismus für Einrichtungen ein, die Daten sammeln möchten, die von Einzelpersonen oder Unternehmen freiwillig für altruistische Zwecke bereitgestellt werden.
Der Daten-Governance-Rechtsakt wird als ein wichtiger Schritt im Bestreben der EU gesehen, eine führende Rolle in der datengesteuerten Gesellschaft zu übernehmen und sicherzustellen, dass Daten innerhalb der EU und sektorübergreifend zum Nutzen von Unternehmen, Forschern, öffentlichen Verwaltungen und der Gesellschaft insgesamt unter klaren und vertrauenswürdigen Bedingungen frei fließen können.
Der Digital Operational Resilience Act (DORA)
ist eine von der Europäischen Kommission im Rahmen ihres Pakets für digitale Finanzen vorgeschlagene Verordnung, die die operative Widerstandsfähigkeit des Finanzsektors gegen Cyberbedrohungen und andere Risiken der Digitalisierung stärken soll. Sie ist am 16. Januar 2023 in Kraft getreten und wird ab dem 17. Januar 2025 gelten.
Die wichtigsten Punkte der DORA:
1. DORA konsolidiert und erweitert die bestehenden regulatorischen Anforderungen in Bezug auf Informations- und Kommunikationstechnologierisiken (IKT) im gesamten Finanzsektor (20 verschiedene Arten von Finanzunternehmen und IKT-Diensteanbieter). Dazu gehören Banken, Versicherungsgesellschaften, Wertpapierfirmen, Anbieter von Krypto-Assets und andere Finanzunternehmen.
2. Verbesserung der digitalen operativen Widerstandsfähigkeit: Mit der Verordnung soll sichergestellt werden, dass alle Teilnehmer des Finanzsystems über die notwendigen Vorkehrungen verfügen, um Cyberbedrohungen, IKT-Störungen und andere digitale Schwachstellen abzufedern.
3. Schaffung eines harmonisierten Rahmens: Durch die Bereitstellung eines umfassenden Pakets von Standards und Anforderungen soll die DORA-Verordnung den Ansatz für die digitale operationelle Widerstandsfähigkeit in der gesamten EU harmonisieren, um gleiche Wettbewerbsbedingungen zu gewährleisten und eine Fragmentierung der Regulierung zu vermeiden.
4. Sie führt strenge Anforderungen für die Meldung von Vorfällen, das IKT-Risikomanagement, die Prüfung der digitalen Ausfallsicherheit und die Beaufsichtigung von Drittanbietern ein:
- Die DORA verpflichtet die Finanzunternehmen, Mechanismen für die unverzügliche Meldung erheblicher Cyber- und IKT-bezogener Vorfälle an die nationalen und EU-Behörden einzurichten.
- Finanzunternehmen müssen wirksame IKT-Risikomanagementkapazitäten einrichten, umsetzen und aufrechterhalten, einschließlich der Identifizierung, des Schutzes vor der Erkennung, der Reaktion auf und der Bewältigung von IKT-bezogenen Vorfällen und Bedrohungen.
- Die Verordnung schreibt regelmäßige Tests digitaler Systeme vor, um ihre Widerstandsfähigkeit gegenüber Cyber-Bedrohungen zu bewerten, einschließlich fortgeschrittener Tests für bedeutende Unternehmen.
- In Anbetracht der zunehmenden Abhängigkeit von Drittanbietern, einschließlich Cloud-Diensten, legt DORA Aufsichtsrahmen und Risikomanagementanforderungen für die Nutzung von Drittanbietern fest.
DORA ist ein wichtiger Schritt, um sicherzustellen, dass der EU-Finanzsektor IKT- und Cyber-Bedrohungen widerstehen, auf sie reagieren und sich von ihnen erholen kann, um so die Marktintegrität und die finanziellen Interessen von Verbrauchern und Unternehmen zu schützen.
Der Cyber Resilience Act (CRA)
wurde von der Europäischen Kommission am 15. September 2022 vorgeschlagen. Er zielt darauf ab, die Sicherheit digitaler Produkte und damit verbundener Dienstleistungen in der EU zu verbessern. Der Rechtsakt ist Teil eines umfassenderen Vorhabens zur Stärkung der Cybersicherheit in der gesamten EU und trägt der zunehmenden Abhängigkeit von digitalen Technologien und den daraus resultierenden Risiken für die Sicherheit und den Datenschutz Rechnung.
Die ursprüngliche Version wurde von zahlreichen Open-Source-Organisationen, die unter die Verordnung fielen, nicht sehr positiv aufgenommen. Die Entwicklung von Open-Source-Software ist schwieriger zu finanzieren, und Open-Source-Software (OSS) wird oft von Enthusiasten gepflegt, obwohl OSS in kommerziellen und nichtkommerziellen Projekten frei und weit verbreitet ist. Die potenzielle rechtliche Haftung mit hohen Geldstrafen bei Nichteinhaltung könnte jeden Enthusiasten entmutigen.
Nach viel Kritik wurde die CRA überarbeitet, um den Realitäten der Open-Source-Gemeinschaft Rechnung zu tragen. In der überarbeiteten Fassung wurde das Konzept des "Open-Source-Steward" eingeführt, eines Unterstützers, der die Entwicklung von Open-Source-Software kuratiert. Der Unterschied zwischen einem Steward und einem Hersteller besteht darin, dass die Nichteinhaltung der CRA durch einen Steward keine finanziellen Sanktionen nach sich zieht, was die Verantwortung des Stewards für die Einhaltung der in der CRA festgelegten grundlegenden Sicherheitsanforderungen nicht schmälert.
Hauptziele des Cyber Resilience Act:
1. Festlegung von Sicherheitsgrundlagen: Die CRA zielt darauf ab, Mindestanforderungen an die Cybersicherheit digitaler Produkte und der damit verbundenen Dienste festzulegen, um zu gewährleisten, dass sie von vornherein, standardmäßig und während ihres gesamten Lebenszyklus sicher sind.
2. Erhöhung der Transparenz: Sie soll Verbrauchern und Unternehmen klare Informationen über die Cybersicherheitsmerkmale und Schwachstellen von Produkten liefern und so die Transparenz auf dem digitalen Markt erhöhen.
3. Verbesserte Reaktion auf Vorfälle: Das Gesetz wird Hersteller und Anbieter dazu verpflichten, wichtige Cyber-Vorfälle den zuständigen Behörden zu melden, um die Reaktion auf und den Umgang mit Cyber-Bedrohungen insgesamt zu verbessern.
4. Förderung der Rechenschaftspflicht: Hersteller, Händler und Importeure werden für die Cybersicherheit ihrer digitalen Produkte und Dienstleistungen verantwortlich gemacht und müssen mit Strafen rechnen, wenn sie die Anforderungen des Gesetzes nicht erfüllen.
Auswirkungen und Geltungsbereich:
- Die CRA deckt ein breites Spektrum digitaler Produkte ab, darunter vernetzte Geräte, Software und Betriebssysteme. Sie unterstreicht, wie wichtig es ist, die Cybersicherheit bereits in den frühesten Phasen der Konzeption und Entwicklung zu berücksichtigen.
- Durch die Einführung eines EU-weit harmonisierten Regelwerks soll die CRA ein sichereres digitales Umfeld schaffen, das Vertrauen der Nutzer in digitale Lösungen fördern und die digitale Wirtschaft ankurbeln.
Prominente Open-Source-Stiftungen wie die Apache Software Foundation, die Blender Foundation, die OpenSSL Software Foundation, die PHP Foundation, die Python Software Foundation, die Rust Foundation und die Eclipse Foundation haben ihr Engagement für die CRA angekündigt und ihre Absicht bekundet, "gemeinsame Spezifikationen für die sichere Softwareentwicklung auf der Grundlage bestehender bewährter Open-Source-Verfahren" zu erstellen, um dem Rechtsakt zu entsprechen.
Das im April 2021 vorgeschlagene und im März 2024 vom Europäischen Parlament verabschiedete
Gesetz über künstliche Intelligenz
(KI-Verordnung, Artificial Intelligence Act, AIA) ist ein bahnbrechender Rechtsrahmen für KI, der sich auf die Gewährleistung der Sicherheit und der Grundrechte von Einzelpersonen und Unternehmen konzentriert und gleichzeitig KI-Innovationen in der EU fördert.
Er kategorisiert KI-Systeme nach ihrem Risikograd (inakzeptable KI, KI mit hohem Risiko, KI für allgemeine Zwecke, KI mit begrenztem Risiko und KI mit minimalem Risiko) und legt entsprechende regulatorische Anforderungen fest. Die meisten Verpflichtungen treffen die Anbieter (Entwickler) von KI-Systemen mit hohem Risiko, die ihre Systeme in der EU in Betrieb nehmen oder die Ergebnisse des Systems nutzen. Ein Nutzer ist dem Gesetz zufolge eine natürliche oder juristische Person, die ein KI-System beruflich einsetzt.
KI-Anwendungen, die unannehmbare Risiken bergen, sind verboten. Zu den verbotenen Anwendungsfällen gehören die Manipulation menschlichen Verhaltens, das Social Scoring (die Einstufung von Personen aufgrund ihrer persönlichen und sozialen Merkmale) und die biometrische Fernidentifizierung in Echtzeit (einschließlich Gesichtserkennung) in öffentlichen Räumen.
Für KI-Systeme mit hohem Risiko, wie sie in kritischen Infrastrukturen, im Bildungs- und Beschäftigungswesen, im Gesundheitswesen, in der Strafverfolgung, in der Justiz und in wichtigen privaten und öffentlichen Diensten eingesetzt werden, schreibt das Gesetz strenge Kontrollen vor, bevor diese Systeme eingesetzt werden können. Dazu gehören die Gewährleistung von Risiko- und Qualitätsmanagement, Cybersicherheit, Data-Governance-Praktiken, die Genauigkeit der verwendeten Datensätze, die Erhöhung der Transparenz und die Bereitstellung detaillierter Unterlagen für Behörden, Systemimplementierer und Endnutzer.
KI-Anwendungen für allgemeine Zwecke (z. B. ChatGPT oder Gemini) unterliegen den Transparenzanforderungen, müssen die Urheberrechtsrichtlinie einhalten und technische Unterlagen, Benutzeranleitungen und eine Zusammenfassung der Schulungsdaten bereitstellen.
KI-Anwendungen mit geringem Risiko (z. B. Bild-, Musik- und Videogeneratoren oder -editoren) unterliegen ebenfalls den Transparenzanforderungen.
KI mit geringem Risiko ist nicht geregelt.
Transparenzanforderungen: KI-Systeme, die mit Menschen interagieren oder zur Erkennung von Emotionen eingesetzt werden, müssen transparent sein. Die Nutzer sollten informiert werden, wenn sie mit einem KI-System interagieren, es sei denn, dies ist aus den Umständen ersichtlich.
Das Gesetz unterstreicht die Bedeutung von qualitativ hochwertigen Datensätzen, die frei von Verzerrungen sind, was für das Training von KI-Systemen entscheidend ist. Es schreibt vor, dass Daten, die von KI-Systemen verwendet werden, insbesondere solche, die als risikoreich eingestuft werden, gut dokumentiert, rückverfolgbar und sicher verwaltet werden müssen, um die Privatsphäre und den Datenschutz zu gewährleisten.
Vielen Dank, dass Sie diesen Artikel gelesen haben! Wir hoffen, er hat Ihnen geholfen, die europäischen Datenschutzvorschriften besser zu verstehen.
Quellen:
eIDAS - https://de.wikipedia.org/wiki/Verordnung_(EU)_Nr._910/2014_(eIDAS-Verordnung)
https://www.signicat.com/new-european-identity-eidas-2-0
DGR - https://de.wikipedia.org/wiki/Daten-Governance-Rechtsakt
https://digital-strategy.ec.europa.eu/de/policies/data-governance-act
DORA – https://www.digital-operational-resilience-act.com/
https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
CRA - https://en.wikipedia.org/wiki/Cyber_Resilience_Act
https://www.european-cyber-resilience-act.com/
AI Act - https://de.wikipedia.org/wiki/Gesetz_%C3%BCber_k%C3%BCnstliche_Intelligenz