Datenschutz, Cybersecurity & KI-Verordnung

Diese Sammlung bietet eine Übersicht über wichtige Artikel der Datenschutz-Grundverordnung (DSGVO), relevante Urteile des Europäischen Gerichtshofs (EuGH) sowie zentrale Informationen zur Cybersecurity und zur EU-KI-Verordnung. Sie dient als erste Anlaufstelle und erhebt keinen Anspruch auf Vollständigkeit.

I. Datenschutz (DSGVO & EuGH)

A. Wichtige Artikel der Datenschutz-Grundverordnung (DSGVO)

Die DSGVO bildet den Kern des europäischen Datenschutzrechts.

• Allgemeine Prinzipien:

  • Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten

  • Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung

  • Art. 7 DSGVO – Bedingungen für die Einwilligung

  • Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten

• Rechte der betroffenen Person:

  • Art. 12 DSGVO – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

  • Art. 13 & 14 DSGVO – Informationspflichten

  • Art. 15 DSGVO – Auskunftsrecht der betroffenen Person

  • Art. 16 DSGVO – Recht auf Berichtigung

  • Art. 17 DSGVO – Recht auf Löschung („Recht auf Vergessenwerden“)

  • Art. 21 DSGVO – Widerspruchsrecht

• Pflichten von Verantwortlichen und Auftragsverarbeitern:

  • Art. 24 DSGVO – Verantwortung des für die Verarbeitung Verantwortlichen

  • Art. 25 DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Design/Default)

  • Art. 28 DSGVO – Auftragsverarbeiter

  • Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

  • Art. 32 DSGVO – Sicherheit der Verarbeitung

  • Art. 33 & 34 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten

  • Art. 35 DSGVO – Datenschutz-Folgenabschätzung

  • Art. 37-39 DSGVO – Datenschutzbeauftragter

• Datentransfers in Drittländer:

  • Kapitel V der DSGVO (Art. 44-50) – Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

• Vollständiger Text der DSGVO:

  • Konsolidierte Fassung der DSGVO (EU-Lex)

B. Wichtige EuGH-Urteile zum Datenschutz

Der EuGH prägt die Auslegung des Datenschutzrechts maßgeblich.

• Allgemeine Datenschutzprinzipien:

  • Google Spain (C-131/12) – "Recht auf Vergessenwerden": Betrifft das Recht auf Löschung von Suchergebnissen.

    • Urteil des EuGH (Volltext)

• Cookies und Einwilligung:

  • Planet49 (C-673/17) – Einwilligung für Cookies: Stellt klar, dass eine aktive Einwilligung für das Setzen nicht notwendiger Cookies erforderlich ist (kein vorangekreuztes Kästchen).

    • Urteil des EuGH (Volltext)

• Internationale Datentransfers:

  • Schrems I (C-362/14) – Ungültigkeit von "Safe Harbor": Erklärte das Safe-Harbor-Abkommen für ungültig.

    • Urteil des EuGH (Volltext)

  • Schrems II (C-311/18) – Ungültigkeit des "EU-US Privacy Shield": Erklärte das EU-US Privacy Shield für ungültig und verschärfte die Anforderungen an Datentransfers auf Basis von Standardvertragsklauseln.

    • Urteil des EuGH (Volltext)

• Verantwortlichkeit:

  • Wirtschaftsakademie Schleswig-Holstein (C-210/16) – Gemeinsame Verantwortlichkeit für Facebook-Fanpages: Betreiber von Facebook-Fanpages sind gemeinsam mit Facebook für die Datenverarbeitung verantwortlich.

    • Urteil des EuGH (Volltext)

• Datenzugriffsrechte:

  • Österreichische Post (C-154/21) – Umfang des Auskunftsrechts: Bezieht sich auf das Recht, Informationen über die Empfänger von Daten zu erhalten.

    • Pressemitteilung des EuGH

    • Urteil des EuGH (Volltext)

• Schadensersatz nach DSGVO:

  • Österreichische Post (C-300/21) – Voraussetzungen für immateriellen Schadensersatz: Klärt Aspekte zum Anspruch auf Schadensersatz bei DSGVO-Verstößen.

    • Pressemitteilung des EuGH

    • Urteil des EuGH (Volltext)

• Suche nach EuGH-Urteilen:

  • Curia – Datenbank des EuGH (Hier können Sie nach Aktenzeichen oder Stichworten suchen)

II. Cybersecurity

Cybersecurity ist eng mit dem Datenschutz verbunden, da Sicherheitsmaßnahmen (Art. 32 DSGVO) den Schutz personenbezogener Daten gewährleisten sollen.

• Relevante EU-Gesetzgebung & Initiativen:

  • NIS-2-Richtlinie (Richtlinie (EU) 2022/2555): Legt Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union fest. Ersetzt die ursprüngliche NIS-Richtlinie.

    • Text der NIS-2-Richtlinie (EU-Lex)

    • Informationen der Europäischen Kommission zur NIS-2-Richtlinie

  • Cyber Resilience Act (Vorschlag): Zielt darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern.

    • Informationen der Europäischen Kommission zum Cyber Resilience Act

    • Aktueller Stand des Gesetzgebungsverfahrens (EU-Lex)

  • EU Cybersecurity Act (Verordnung (EU) 2019/881): Stärkt die Rolle der ENISA (Agentur der Europäischen Union für Cybersicherheit) und etabliert einen Rahmen für die Cybersicherheitszertifizierung.

    • Text des Cybersecurity Act (EU-Lex)

• Nationale Behörden und Informationsportale:

  • Deutschland: Bundesamt für Sicherheit in der Informationstechnik (BSI)

    • Website des BSI

    • BSI für Bürger

  • Österreich: Cyber Security Austria (GovCERT Austria & Nationales CERT)

    • Website von GovCERT Austria

  • Schweiz: Nationales Zentrum für Cybersicherheit (NCSC)

    • Website des NCSC

• Ressourcen und Leitfäden:

  • ENISA (Agentur der Europäischen Union für Cybersicherheit): Bietet zahlreiche Publikationen, Leitfäden und Berichte.

    • Website der ENISA

    • ENISA Publications

III. KI-Verordnung (AI Act)

Die EU-KI-Verordnung ist ein wegweisender Rechtsrahmen, der darauf abzielt, die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) in der EU zu regeln und dabei Grundrechte und Sicherheit zu gewährleisten.

• Offizielle Informationen und Dokumente der EU:

  • Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union: Dies ist der Kerntext.

    • Aktueller Stand des Gesetzgebungsverfahrens und Text (EU-Lex - Achten Sie auf die aktuellste konsolidierte Fassung oder den final angenommenen Text, sobald verfügbar)

    • Pressemitteilung der Europäischen Kommission zum ursprünglichen Vorschlag

    • Fragen und Antworten der Europäischen Kommission zum AI Act

    • Update (Stand Mai 2024): Der AI Act wurde vom Europäischen Parlament im März 2024 final angenommen und vom Rat im Mai 2024 gebilligt. Die Veröffentlichung im Amtsblatt der EU steht kurz bevor und damit auch das Inkrafttreten.

      • Pressemitteilung des Europäischen Parlaments zur finalen Annahme (März 2024)

      • Pressemitteilung des Rates zur Billigung des AI Acts (Mai 2024)

• Wichtige Konzepte und Aspekte des AI Acts:

  • Risikobasierter Ansatz: Unterscheidung von KI-Systemen nach Risikokategorien (u.a. unannehmbares Risiko, hohes Risiko, begrenztes Risiko, minimales Risiko).

  • Verbotene KI-Praktiken.

  • Anforderungen an Hochrisiko-KI-Systeme.

  • Transparenzpflichten für bestimmte KI-Systeme.

  • Governance und Durchsetzung.

• Informationsportale und Analysen:

  • Bundestag – Wissenschaftliche Dienste: Der Vorschlag für eine EU-Verordnung über Künstliche Intelligenz (Überblick und Standpunkte) (Achten Sie auf Aktualität)

    • Beispiel einer älteren Ausarbeitung (als Referenz für die Art der Analyse)

  • Beiträge von Datenschutzbehörden zum AI Act: Viele nationale Datenschutzbehörden veröffentlichen Stellungnahmen und Analysen.

    • Beispielhaft: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zum AI Act