05.03.2024 | Datenschutz & IT | ID: 1164582

Die Zukunft der digitalen Sicherheit und des Datenschutzes in der EU

Árpád Geréd

Inmitten der rasanten Digitalisierung sind vier Schlüsselinitiativen der EU von besonderer Bedeutung: der AI Act, der Cyber Resilience Act, die DSGVO und die NIS2-Richtlinie.

Dieser Artikel beleuchtet die aktuellen Entwicklungen zu diesen Rechtstexten und deren Relevanz für die Zukunft.

AI Act (Gesetz über Künstliche Intelligenz)

Bei der geplanten „Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz“ (kurz: „Gesetz über Künstliche Intelligenz“ oder allgemein gebräuchlicher „AI Act“) handelt es sich um ein Pionierwerk, nicht nur in der EU-Gesetzgebung, sondern weltweit. Als einer der ersten Gesetzestexte soll der AI Act die Entwicklung und den Einsatz Künstlicher Intelligenz regulieren und dafür einen einheitlichen Rechtsrahmen schaffen. All dies unter Wahrung eines möglichst ausgewogenen Ansatzes, der Innovation fördert, während er gleichzeitig ethische Standards und den Schutz der Grundrechte sicherstellt.

Im Jahre 2021 vorgestellt, wurde nach langen Verhandlungen im Dezember 2023 mit dem EU-Parlament eine politische Einigung erzielt. Der damals ausverhandelte Text ist derzeit noch nicht offiziell verfügbar (und kann sich in Details bis zur Verlautbarung noch ändern). Die wesentlichen Inhalte sind aber bekannt.

Eckpunkte des AI Acts

• Risikobasierter Ansatz: Im AI Act werden KI-Systeme je nach potenziellem Risiko für die Gesellschaft in verschiedene Kategorien eingeteilt. Diese Einteilung reicht von niedrigen bis hin zu inakzeptablen Risiken, wobei letztere, wie beispielsweise Eingriffe in die menschliche Autonomie, verboten sind. Die Einteilung hat durch die Entwickler, Vertreiber und „Bereitsteller“ (also den Unternehmern als Nutzer) zu erfolgen. Die Klassifikationen sollen in einer eigenen Datenbank abrufbar sein, um Transparenz bezüglich der eingesetzten KI-Systeme zu gewährleisten.
• Transparenzpflichten: Ein besonderes Augenmerk legt der AI Act auf die Transparenz von KI-Systemen, insbesondere wenn sie mit natürlichen Personen interagieren. Für den Einsatz in besonders sensiblen Bereichen, wie etwa zur biometrischen Identifikation natürlicher Personen oder als entscheidungsunterstützende Systeme, gelten besonders strenge Transparenzvorschriften.
• Forschung und Innovation: Die EU plant, Forschung und Entwicklung im Bereich der (AI Act-konformen) KI durch Fördermittel und Programme zu unterstützen und damit die EU als globales Zentrum für ethische KI zu positionieren.

Als Verordnung wird der AI Act nach seiner Verlautbarung, mit der 2024 zu rechnen ist, als einheitlicher Text in der gesamten EU gelten, ohne dass es zuvor nationaler Umsetzungen bedarf.

Cyber Resilience Act (CRA, Cyber-Resilienz-Gesetz)

Der Cyber Resilience Act ist ebenfalls eine geplante Verordnung, konkret „über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen“. Wie der Name bereits andeutet, zielt das Gesetz darauf ab, angesichts der zunehmenden Bedrohung durch Cyberangriffe die Sicherheit digitaler Produkte bzw von Produkten mit digitalen Bestandteilen und zugehöriger Dienste zu stärken und deren Widerstandsfähigkeit zu erhöhen.

Der Verordnungs-Entwurf wurde 2022 vorgestellt. Wie auch in Bezug auf den AI Act konnten sich die politischen Akteure im Dezember 2023 über den Entwurf einigen. Der endgültige Text ist auch hier noch unbekannt, wohl aber die Kernelemente des Cyber Resilience Act.

• Lebenszyklusansatz: Das Gesetz schreibt vor, dass Produkte und Dienstleistungen von der Entwicklung bis zum Ende ihres Lebenszyklus bestimmte Sicherheitsstandards einhalten müssen, um Verbraucher und Unternehmen zu schützen.
• Meldepflichten: Unternehmen sind verpflichtet, Sicherheitsvorfälle innerhalb vorgegebener Fristen zu melden, um eine schnelle Reaktion und Minimierung von Schäden zu ermöglichen.
• Verbraucherschutz: Der Gesetzesentwurf sieht auch Maßnahmen zum Schutz der Verbraucher vor unsicheren Produkten und Diensten vor. Dazu sollen Verbraucher auch besser über die Cybersicherheit von Produkten informiert werden. Zudem soll ein (erst noch zu schaffendes) Rahmenwerk für die Zertifizierung von Cybersicherheitsniveaus die Auswahl sicherer Produkte erleichtern.

Mit der Endfassung, welche unverändert für sämtliche EU-Mitgliedstaaten gelten wird, und deren Verlautbarung ist 2024 zu rechnen.

Datenschutzgrundverordnung (DSGVO)

2018 in Geltung getreten, stellt die DSGVO quasi ein Urgestein unter den erörterten Initiativen dar. Ihrer Relevanz tut dies jedoch keinen Abbruch. Sie ist und bleibt das Rückgrat des Datenschutzes in der EU, trotz oder vielleicht gerade wegen der ergänzenden nationalen datenschutzrechtlichen Bestimmungen.

Die europaweit gut harmonisierte Rechtsprechung zur DSGVO entwickelt die Verordnung stetig weiter. Hier ein paar Beispiele:

• EuGH zu Geldbußen für Unternehmen (C‑807/21): Dass die DSGVO signifikante Strafen vorsieht, ist bekannt. Doch was passiert, wenn zwar feststeht, dass ein Unternehmen gegen die DSGVO verstoßen hat, jedoch nicht festgestellt werden kann, welcher konkreten natürlichen Person dieser Verstoß zugerechnet werden könnte? Am 05.12.2023 entschied der Europäische Gerichtshof (EuGH): Gegen juristische Personen können Geldbußen verhängt werden, ohne dass der Verstoß zuvor einer bestimmten natürlichen Person zugerechnet werden muss.
• VwGH zum AMS-Algorithmus (Ro 2021/04/0010): Am 21. Dezember 2023 entschied der Verwaltungsgerichtshof (VwGH), dass die Klassifikation von Personen samt Errechnung der Arbeitsmarktchancen, im „Profiling“ iSd DSGVO handelt. Ob dies zu einer (verbotenen) automatisierten Entscheidungsfindung führt, hängt davon ab, ob auf Grundlage des automatisch errechneten Wertes das Handeln einer Person maßgeblich beeinflusst wird. Allein der Umstand, dass eine Person an der Entscheidungsfindung beteiligt ist, genügt nicht.
• EuGH zum Schadenersatz für Datenschutzverletzung (C 687/21): Nach einigen Abmahnwellen auf Grundlage der Behauptung, einer Person stünde für das „Unwohlsein“ infolge einer Datenschutzverletzung Schadenersatz zu und einer EuGH-Entscheidung, welche eine Bagatellgrenze für Schadenersatzansprüche infolge Datenschutzverletzung grundsätzlich ablehnte, rang sich der EuGH am 25.01.2024 doch zu einer Mindestgrenze durch: Der Verlust personenbezogener Daten (hier durch irrtümliches Aushändigen an einen Dritten) für etwa 30 Minuten, ohne jeglichen Hinweis auf deren Missbrauch, begründet keinen Anspruch auf Schadenersatz.

NIS2-Richtlinie (Netz- und Informationssystemsicherheits-Richtlinie 2)

Die NIS2-Richtlinie aktualisiert und erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie aus dem Jahr 2016. Ziel dieses Regelwerks, welches als Richtlinie zur Geltung in jedem EU-Mitgliedstaat in Form eines eigenen Gesetzes umgesetzt werden muss, ist die Sicherstellung eines hohen gemeinsames Sicherheitsniveau für Netz- und Informationssysteme in der EU, um die Verfügbarkeit wesentlicher und wichtiger Einrichtung zu gewährleisten.

• Erweiterter Geltungsbereich: Ursprünglich auf kritische Infrastruktur und deren Verfügbarkeit beschränkt (zB Energie, Transport) und in Österreich in NIS-Gesetz und NIS-Verordnung umgesetzt, erweitert NIS2 den Anwendungsbereich erheblich. Nun fallen auch zB produzierende Betriebe oder der Lebensmittelgroßhandel unter die Richtlinie, was die Resilienz gegenüber Cyberangriffen erhöhen soll.
• Stärkere Sicherheitsanforderungen: Unternehmen sind verpflichtet, geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen zu treffen, um sich gegen Cyberbedrohungen zu schützen. Wen diese Wortwahl an die DSGVO erinnert: Die Parallelen sind bewusst, denn Maßnahmen welche zur Erfüllung der NIS(2) dienen, können auch zur Erfüllung der DSGVO beitragen und umgekehrt.
• Europäische und nationale Koordinierung: Die Richtlinie stärkt die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten und unterstützt die Bildung von nationalen und EU-weiten Reaktionsmechanismen auf Cyberbedrohungen.

Zusammenfassung und Ausblick

Die EU ist vor allem, aber nicht nur, mit den hier vorgestellten Initiativen bestrebt, die digitale Transformation (rechts-)sicher zu gestalten und in möglichst vielen Bereichen Unsicherheiten durch Rechtsrahmen zu ersetzen. Unternehmen verfolgen diese Entwicklungen genau, um sowohl „compliant“ zu bleiben als auch von den sich bietenden Chancen zu profitieren.