Schweitzer Fachinformationen
Wenn es um professionelles Wissen geht, ist Schweitzer Fachinformationen wegweisend. Kunden aus Recht und Beratung sowie Unternehmen, öffentliche Verwaltungen und Bibliotheken erhalten komplette Lösungen zum Beschaffen, Verwalten und Nutzen von digitalen und gedruckten Medien.
Das Datensicherheitsrecht ist alles andere als eine homogene Materie. Je nachdem, wie weit man den Bogen spannt, umfasst es zahlreiche Rechtsakte auf europäischer und auch auf nationaler Ebene, deren Zielrichtungen sich zum Teil überlappen, sich teilweise aber auch stark unterscheiden oder gar widersprechen. Dieses Werk will einen Überblick über viele dieser Regelwerke bieten, die zumindest auch einen Schwerpunkt auf sicherheitsrechtliche Vorschriften setzen. Dabei geht es u.a. beispielsweise um die Datenschutzgrundverordnung (DSGVO), in der es "nur" um den Schutz von Daten mit Personenbezug geht, der primär durch technische (und auch organisatorische) Maßnahmen erzielt werden soll. Die NIS2-Richtlinie hat dagegen primär die Cybersicherheit im Blick, und zwar in Bezug auf Daten mit und ohne Personenbezug, allerdings "nur" für bestimmte Einrichtungen in bestimmten Bereichen. Und auch die KI-Verordnung (KI-VO) spielt eine entscheidende Rolle, die das Produkt "KI-System" reguliert und dabei - analog zur DSGVO und zu NIS2 - einen risikobasierten Ansatz verfolgt. Außerdem sind die Themen Gesundheitsdaten sowie Finanzdaten nicht ganz unwichtig, denn bei deren Verarbeitung kommt es nicht nur, aber in besonderem Maße auf Sicherheit an. Viele weitere Vorschriften aus den unterschiedlichsten Bereichen werden beleuchtet, soweit sie nicht nur unerhebliche IT-sicherheitsrechtliche Aspekte aufweisen. Dabei können die einzelnen Regelwerke jeweils nur überblicksartig und nicht vertiefend dargestellt werden. Um den aktuellen Entwicklungen Rechnung zu tragen, werden einzelne Schwerpunkte gesetzt, wie etwa bei der DSGVO, bei NIS2 oder auch bei der KI-VO - aus Gründen.
Bei unterschiedlichen Zielrichtungen weisen insbesondere DSGVO, NIS2 und KI-VO einige Gemeinsamkeiten (z.B. Melde- oder Fortbildungspflichten), aber natürlich auch Gegensätze auf (Stichwort: Datenminimierung vs. Big Data).
DSGVO
NIS2
KI-VO
Zielrichtung
Schutz personenbezogener Daten
Cybersicherheit
Regulierung des Produkts "KI-System"
Fortbildungspflicht
u.a. Art. 39 Abs. 1 lit. b) DSGVO & Art. 5 Abs. 2 DSGVO
Art. 20 Abs. 2 NIS2
Art. 4, 3 Nr. 56 KI-VO (KI-Kompetenz)
Meldepflichten
Art. 33, 34 DSGVO
Art. 23 NIS
Art. 73 Abs. 1 KI-VO
Managementsystem
Datenschutz-Management-System (DSMS), vgl. Art. 5, 24, 30 DSGVO, z.B. ISO 27701
Informationssicherheit-Management-System (ISMS) vgl. Art. 21 NIS2, z.B. ISO 27001
Risikomanagement-/QM-System (Art. 9, 17 KI-VO); KI-Management-System (KIMS), z.B. ISO 42001
Auch im Cyber Resilience Act (CRA), der in erster Linie für Hersteller und Anbieter von Produkten mit digitalen Elementen gilt, existieren Meldepflichten zwecks Steigerung der Cybersicherheit. So müssen gemäß Art. 14 CRA schwerwiegende Sicherheitsvorfälle oder auch ausgenutzte Schwachstellen gemeldet werden. Zudem verpflichtet Art. 19 des Digital Operational Resilience Act (DORA) zur Meldung von schwerwiegenden Vorfällen im Bereich Informations- und Kommunikationstechnologie sowie bei erheblichen Cyberbedrohungen.
In seiner Publikation "Digitalgesetzgebung der EU: Konfliktzonen und Wege zur Kohärenz" (Version 1.0) aus April 20251 führt der Bitkom e.V. diverse Beispiele an. Das Papier zeigt dabei zentrale Herausforderungen auf, die durch die vielfältigen Digitalrechtsakte speziell auf europäischer Ebene entstehen. Nachfolgend sollen daraus exemplarisch ausgewählte, typische Konstellationen die zahlreichen, noch ungeklärten Überschneidungen einzelner EU-Regelungen verdeutlichen:
Datenzugriffsrechte im Data Act vs. Betroffenenrechte der DSGVO:
Die im Data Act verankerten Zugriffsrechte (Art. 3-5 DA) stehen potenziell in Konflikt mit den Betroffenenrechten der DSGVO, wie dem Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten (Art. 16ff. DSGVO). Dies kann dazu führen, dass bei der Offenlegung von Daten im Rahmen des Data Acts unbeabsichtigt Persönlichkeitsrechte beeinträchtigt werden.
Umgehung des Data Acts durch Vermischung von Daten:
Unternehmen, die kein Interesse an der Datenweitergabe haben, könnten versucht sein, generierte Daten mit personenbezogenen Daten zu vermengen, um so den Anwendungsbereich des Data Acts zu umgehen. Dadurch würden die beabsichtigte Transparenz und der Zugang zu Daten unterlaufen werden, während gleichzeitig der Schutz personenbezogener Daten oberhalb der DSGVO-Regeln gewährleistet bleibt.
Abgrenzung von DSGVO-Auskunftsanspruch und Data Act-Datenzugangsrecht:
Der Auskunftsanspruch gemäß Art. 15 DSGVO zielt primär darauf ab, betroffenen Personen Einsicht in die zu ihrer Person gespeicherten Daten zu gewähren. Das Datenzugangsrecht aus dem Data Act hingegen soll einen standardisierten und breit angelegten Zugang zu Daten ermöglichen - und das auch für personenbezogene Daten. Daraus ergibt sich die Frage, welchen konkreten Vorteil ein solches Datenzugangsrecht im Vergleich zum traditionellen DSGVO-Auskunftsanspruch bietet.
Wiederverwendung personenbezogener Daten für das Training von KI-Modellen:
Es fehlt eine klare Regelung zur Wiederverwendung personenbezogener Daten für das Training von KI-Modellen. Ob die Nutzung rechtmäßig ist, hängt - insbesondere vor dem Hintergrund des Zweckbindungsgrundsatzes nach Art. 5 Abs. 1 b) DSGVO - stark vom Einzelfall ab. Die nachträgliche Einholung von Einwilligungen für KI-Training wäre oft nicht praktikabel.
Dopplung bei Meldepflichten an die Aufsichtsbehörden:
Art. 33 DSGVO: Meldung von Datenschutzverletzungen an die Aufsichtsbehörde - Meldung innerhalb von 72 Stunden, bei hohem Risiko auch an die betroffene Person (Art. 34 DSGVO). Art. 73 AI Act: Anbieter von Hochrisiko-KI-Systemen sind verpflichtet, ein System zur kontinuierlichen Überwachung ihrer Systeme einzurichten und schwerwiegende Vorfälle, die die Sicherheit oder Gesundheit beeinträchtigen können, zu melden. Wenn ein Vorfall in einem KI-System gleichzeitig zu einer Datenschutzverletzung führt (z.B. unbefugter Zugriff oder Verlust personenbezogener Daten), greifen sowohl die Meldepflichten aus Art. 33, 34 DSGVO als auch die Vorfallmeldungen aus Art. 73 KI-VO.
Unterschiedlicher Umgang mit dem Begriff des Sicherheitsbauteils:
Nach dem AI Act ist ein KI-System als Sicherheitsbauteil immer nur als Teil eines Produkts Gegenstand der Regulierung, während die Maschinenverordnung die Regulierung eines Sicherheitsbauteils stets separat vom Produkt vorsieht.
Data Act vs. NIS2:
Der Data Act verpflichtet zur Offenlegung von Daten, auch in sicherheitskritischen Kontexten. Dies kann den Anforderungen von NIS2 zur Vertraulichkeit und Verschlüsselung entgegenstehen. Besonders bei kritischen Infrastrukturen können Datenzugriffe Risiken für Cybersicherheit schaffen, wenn keine einheitliche Regulierung vorhanden ist.
NIS2 vs. CRA:
NIS2 erlaubt die Einführung delegierter Rechtsakte über die obligatorische Verwendung von zertifizierten IKT-Produkten. Dies kann sich direkt mit dem CRA überschneiden und den Verwaltungsaufwand erhöhen.
Überlappung und mögliche Inkonsistenzen bei Cybersicherheitsanforderungen zwischen AI Act und CRA:
Mögliche Überschneidungen und Widersprüche zwischen Art. 15 KI-VO zu Genauigkeit, Robustheit und Cybersicherheit für...
Dateiformat: ePUBKopierschutz: Wasserzeichen-DRM (Digital Rights Management)
Systemvoraussetzungen:
Das Dateiformat ePUB ist sehr gut für Romane und Sachbücher geeignet - also für „fließenden” Text ohne komplexes Layout. Bei E-Readern oder Smartphones passt sich der Zeilen- und Seitenumbruch automatisch den kleinen Displays an. Mit Wasserzeichen-DRM wird hier ein „weicher” Kopierschutz verwendet. Daher ist technisch zwar alles möglich – sogar eine unzulässige Weitergabe. Aber an sichtbaren und unsichtbaren Stellen wird der Käufer des E-Books als Wasserzeichen hinterlegt, sodass im Falle eines Missbrauchs die Spur zurückverfolgt werden kann.
Weitere Informationen finden Sie in unserer E-Book Hilfe.
