Sonntag, 28. Juli 2024
Die Europäische Kommission hat am 25.7.2024 ihren Zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO), COM(2024) 357 final, veröffentlicht (hier findet man die zuvor ergangenen Rückmeldungen aus der Zivilgesellschaft zur Sondierung). Der vorliegende Bericht ist der zweite Bericht der Kommission über die Anwendung der Datenschutz-Grundverordnung (DSGVO), der gemäß Artikel 97 DSGVO angenommen wurde; den ersten Bericht findet man hier: COM/2024/357 final.
Laut Kommission muss der Fokus auf folgende Elemente gerichtet werden, damit die Ziele der DSGVO erreicht werden:
- solide Durchsetzung der DSGVO, beginnend mit der raschen Annahme des Vorschlags der Kommission über Verfahrensregeln, um in Fällen, die Einzelpersonen in der gesamten EU betreffen, schnelle Rechtsbehelfe und Rechtssicherheit zu schaffen;
- aktive Unterstützung von Interessenträgern, insbesondere KMU und kleinen Marktteilnehmern, durch die Datenschutzbehörden bei ihren Bemühungen um Einhaltung der Vorschriften;
- einheitliche Auslegung und Anwendung der DSGVO in der gesamten EU;
- wirksame Zusammenarbeit zwischen den Regulierungsbehörden sowohl auf nationaler als auch auf EU-Ebene, um die einheitliche und kohärente Anwendung des wachsenden Regelwerks der EU im digitalen Bereich sicherzustellen;
- weitere Förderung der internationalen Datenschutzstrategie der Kommission.
Update: Hier der Beitrag der GDPR Multistakeholder Expert Group.
Der ständig zunehmende Trend zur Auslagerung “in die Cloud” führt da und dort zu Reaktionen von Behörden. So führte eine Informationsfreiheitsanfrage in Deutschland vor Kurzem zur Veröffentlichung der sogenannten “roten Linien” des BSI aus dem Jahr 2022, in denen festgelegt ist, welche Anforderungen Cloud-Angebote für eine souveräne Verwaltungscloud (”Requirements for Cloud Platforms in the Federal Administration“, pdf) erfüllen müssen. In bestimmten Sektoren existieren zudem (”unverbindliche”) Empfehlungen, die teilweise strengere Anforderungen enthalten, so z.B. die Aufsichtsmitteilung der deutschen BaFin zu Auslagerungen an Cloud-Anbieter, die als Aufsatzthema einiges an Stoff bietet (Thalhofer/Monschke, CR 2024, 366-373).
DIe CNIL übt Kritik an dem European certification scheme for cloud services (EUCS draft), da dieses (dereit) nicht mehr die Möglichkeit enthält, bei “sehr sensiblen” Verarbeitungen sicherzustellen, dass der Cloud-Anbieter nicht unter außereuropäische Rechtsvorschriften fällt. Ein höheres Schutzniveau sei für bestimmte “kritische” Datenverarbeitungen erforderlich (z.B. große Gesundheitsdatenbanken, strafrechtliche Daten oder Daten über Minderjährige), bei denen die in der Europäischen Union gehosteten Daten nicht dem Risiko eines unbefugten Zugriffs durch Behörden in Drittländern ausgesetzt werden sollten: In diesen Fällen empfiehlt die CNIL, dass der Dienstleister ausschließlich europäischem Recht unterliegen (on-shoring) und ein angemessenes Schutzniveau bieten soll. In Frankreich beinhalte die Zertifizierung SecNumCloud der Agence nationale de la sécurité des systèmes d'information (ANSSI) für Cloud-Dienste dieses Kriterium und schützt die Daten vor dem Zugriff ausländischer Behörden, so die CNIL.
Damit den Datenschutz- und IT-Recht-affinen Jurist:innen nicht langweilig wird, sorgt die EU u.a. mit Cloud Switching in Art 1 Abs. 1 lit d und Abs 3 lit f Data Act - es bleibt viel zu lesen und zu tun, IT-Compliance wird nicht leichter. Froh muss derjenige sein, der einen leistungsfähigen Anbieter findet, welcher all diese Anforderungen erfüllen kann und will …
Freitag, 12. Juli 2024
Heute, 12.7.2024, wurde der AI Act (KI VO) im Amtsblatt der Europäischen Union kundgemacht:
- deutsche Sprachfassung (Langtitel): Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)Text von Bedeutung für den EWR
- englische Sprachfassung: Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828 (Artificial Intelligence Act)Text with EEA relevance.
Die Bestimmungen des AI Act treten gemäß Artikel 113 KI VO “gestaffelt” in Geltung, siehe dazu die folgende Grafik (© RTR, CC BY 4.0):
Montag, 1. Juli 2024
Diese in der Praxis relevante Frage will ein neues Paper der GMDS Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG), verfasst von Dr. Bernd Schütze, beantworten. Hintergrund ist die Definition eines Cloud-Computing-Dienstes im Unionsrecht, in concreto in Artikel 6 Z 30 NIS-2-Richtlinie (diese RL ist am 16. Jänner 2023 in Kraft getreten und ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen), wonach der Begriff
|
|
„Cloud-Computing-Dienst“ einen digitalen Dienst [bezeichnet], der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
|
Dr. Schütze geht in diesem Dokument u.a. auf die möglichen Rechtsfolgen des Vorliegens eines Cloud-Dienstes ein - diese Folgen werden in der Praxis manchmal übersehen (siehe aus österreichischer Sicht auch den Verweis auf das GTelG unten).
Der Begriff Cloud Computing beschreibt, kurz gesprochen, das Anbieten von IT-Ressourcen, die bedarfsorientiert (skalierbar) vor allem über das Internet zur Verfügung gestellt werden,[1] wobei – auch aufgrund der ständigen technischen Fortentwicklung – keine abschließende Definition existiert. Der Begriff des Cloud Computing ist auch in Legaldefinitionen im österreichischen Recht abgebildet, so wird (derzeit) in § 3 Z 17 NISG[2] ein „Cloud-Computing-Dienst“ definiert als „ein digitaler Dienst, der den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht.” Im Schulwesen findet sich in § 8 Abs 2 IKT-Schulverordnung[3] der nicht näher definierte Begriff des „Clouddiensteanbieters”.[4]
—
[1] Siehe ausf Österreichisches Informationssicherheitshandbuch (Version 4.2.3) A.3.1; NIST, The NIST Definition of Cloud Computing, Special Publication 800-145 (2011) 2.
[2] Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen BGBl I 2018/111.
[4] Nur am Rande sei hier noch auf den in § 6 Abs 3 GTelG 2012 verwendeten Begriff des „Cloud Computing” hingewiesen, welcher wie folgt lautet: „Es ist sicherzustellen, dass die Speicherung von Gesundheitsdaten und genetischen Daten in Datenspeichern, die einem Verantwortlichen (Art. 4 Z 7 DSGVO) bedarfsorientiert von einem Auftragsverarbeiter (Art. 4 Z 8 DSGVO) bereitgestellt werden („Cloud Computing“), nur dann erfolgt, wenn die Gesundheitsdaten und genetischen Daten mit einem dem aktuellen Stand der Technik entsprechenden Verfahren (Abs. 1 Z 2) verschlüsselt worden sind.”
Seit heute, dem 1.7.2024, ist der (wesentliche) Teil der Novelle des österreichischen DatenschutzG durch BGBl I 62/2024 in Kraft. Mit dieser Änderung wird in § 9 Abs 1 und 1a DSG ein sogenanntes datenschutzrechtliches “Medienprivileg” nromiert - diese Änderung war notwendig geworden, da der VfGH (G 287-288/2022) die vorhergehende Regelung für verfassungswidrig befunden hatte. Das Grundrecht auf Datenschutz erlaube es nicht, prinzipiell der Meinungsäußerungs- und Informationsfreiheit für Tätigkeiten, die zu journalistischen Zwecken ausgeübt werden, den Vorrang vor dem Schutz personenbezogener Daten einzuräumen, so der VfGH in seiner damailigen Pressemeldung.
Man wird sehen, ob die auch weiterhin bestehenden, relativ weitgehenden Ausnahmen (insbesondere was die Betroffenenrechte angeht) in der novellierten Fassung des DSG die verfassungs- und unionsrechtlichen Anforderungen erüllen …
