Gesetze, Verordnungen und Acts

Question 1

Onlinezugangsgesetz

Answer 1

Das Onlinezugangsgesetz (OZG) regelt den Zugang zu digitalen Bürgerdiensten und die
Digitalisierung der Verwaltung. Es soll den Bürgern den elektronischen Zugang zu Verwaltungsleistungen erleichtern.

Question 2

Onlinezugangsänderungsgesetz

Answer 2

Das Onlinezugangsänderungsgesetz (OZGÄndG), auch bekannt als OZG 2.0, wurde eingeführt, um die Digitalisierung der Verwaltung in Deutschland weiter voranzutreiben
und bestehende Herausforderungen des ursprünglichen Onlinezugangsgesetzes (OZG) zu
adressieren.

Question 3

Hinweisgeberschutzgesetz

Answer 3

Mit anderthalb Jahren Verspätung ist das Hinweisgeberschutzgesetz beschlossen und tritt im Juli in Kraft. Unternehmen müssen nun geeignete interne Meldekanäle schaffen und hierbei bestimmte datenschutzrechtliche Fallstricke beachten.“

Question 4

IT-Sicherheitsgesetz

Answer 4

Das IT-Sicherheitsgesetz (IT-SiG) hat zum Ziel, die IT-Sicherheit in kritischen Infrastrukturen
(KRITIS) zu verbessern. Es legt u. a. Anforderungen an den Schutz vor Cyberangriffen fest und regelt die Meldepflicht bei IT-Sicherheitsvorfällen. Das IT-Sig 2.0 erweitert diesen Rahmen.

Question 5

Definition European Network and Information Security Agency (ENISA)

Answer 5

„Die ENISA leistet einen Beitrag zur Cyberpolitik der EU. Sie stärkt durch die Konzeption von Systemen für die Cybersicherheitszertifizierung das Vertrauen in digitale Produkte,
Dienste und Prozesse. Sie arbeitet mit den EU-Ländern und -Einrichtungen zusammen und
trägt zur Vorbereitung auf künftige Herausforderungen im Bereich der Cybersicherheit
bei.“

Question 6

Enisa Aufgaben

Answer 6

• „Empfehlungen und unabhängige Beratung zur IT-Sicherheit,
• Aktivitäten zur Unterstützung der Richtliniengestaltung und -umsetzung,
• praktische Arbeit, bei der die ENISA direkt mit operativen Teams in der gesamten EU
  zusammenarbeitet,
• Zusammenarbeit der EU-Gemeinschaften und Koordination der Reaktion auf gro. Angelegte grenzüberschreitende Zwischenfälle im Bereich der Computer- und
  Netzsicherheit sowie
• Ausarbeitung von Zertifizierungssystemen für die IT-Sicherheit.

Question 7

Definition Sicherheit von Netz- und
Informationssystemen (NIS)

Answer 7

„Die NIS-Richtlinie ist die erste EU-weite Rechtsvorschrift über Cybersicherheit. Ihr Ziel
besteht darin, ein gleichmäßig hohes Sicherheitsniveau von Netz- und Informationssystemen in der gesamten EU zu erreichen.“

Die 2016 eingeführten Cybersicherheitsvorschriften der EU wurden durch die 2023 in
Kraft getretene NIS2-Richtlinie aktualisiert. Es modernisierte den bestehenden
Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden
Bedrohungslandschaft für Cybersicherheit Schritt zu halten

Question 8

Data Act

Answer 8

Am 27. November 2023 hat der Rat der Europäischen Union die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) verabschiedet.“ Er trat am 11. Januar 2024 in Kraft.“

„Der Data Act enthält eine Vielzahl von Bestimmungen mit dem Ziel, in unterschiedlichen
Lebensbereichen künftig Daten mehr und besser nutzen zu können

Question 9

Data Governance Act

Answer 9

„Das Data Governance Act (»DGA«) ist eine tragende Säule der europäischen Datenstrategie. Ziel ist es, Vertrauensdefizite zu beseitigen und die Verfügbarkeit und den Austausch personenbezogener und nicht personenbezogener Daten zu verbessern, indem neutrale Dritte – Datenvermittlungsdienste – die notwendige Infrastruktur bereitstellen und entsprechend reguliert werden.“

Question 10

Digital Markets Act (DMA)

Answer 10

„Der DMA soll die Marktmacht großer Plattformen begrenzen. Ziel ist es, durch einen harmonisierten Regulierungsrahmen Fairness und Wettbewerb im europäischen digitalen Binnenmarkt sicherzustellen. Das Gesetz über Digitale Märkte ist am 1. November 2022 in Form einer Verordnung in Kraft getreten. Ab dem 2. Mai 2023 müssen die Regeln verbindlich angewandt werden.“

Question 11

Was ist der AI-Act?

Answer 11

Der EU AI Act ist die weltweit erste umfassende Regulierung für künstliche Intelligenz (KI),
die darauf abzielt, Innovationen zu fördern und gleichzeitig Risiken für Sicherheit, Grundrechte und Demokratie zu minimieren. Er wurde am 21. Mai 2024 vom Rat der EU Mitgliedstaaten verabschiedet und trat am 1. August 2024 in Kraft

Question 12

Anwendungen der KI in vier
Kategorien eingeteilt:

Answer 12

• unannehmbare Risiken,
• hohe Risiken und (Hochrisiko-KI-Systeme),
• begrenzte (geringe) Risiken,
• minimale Risiken

Je höher das Risiko, desto strenger fällt die Regulierungen aus.

Question 13

KI-Anwendungen der unannehmbarem Risikogruppe sind untersagt

Answer 13

Hierzu zählen Anwendungen, die:

• menschliches Verhalten manipulieren und Menschen schaden könnten
• aufgrund von sozialem Verhalten oder persönlicher Charakteristik eine nachteilige Bewertung ermöglicht.

Beispiel: System nach Sozialkredit in China, wonach der Freiraum einer Person auf den sozialen Status beschränkt wird.

• in Echtzeit ferne Systeme in der Öffentlichkeit erkennen und eine biometrische Identifizierung von Menschen ermöglichen. Ausnahmen bestehen zur Abwehr von Terrorismus oder um schwere Straftaten aufzuklären.“

Question 14

Hochrisiko-KI-System eingestuft wird, finden die Art. 8 ff. des
Entwurfs Anwendung. Konkrete Pflichten für die Betroffenen Akteure sind:

Answer 14

• Die Einrichtung, Dokumentation und Aufrechthaltung eines
  Risikomanagementsystems
• Das Einhalten von Daten-Governance- und Datenverwaltungsverfahren für die zu verwendenden Trainings-, Validierungs- und Testdatensätze, darunter relevante
  Datenaufbereitungsvorgänge wie Kommentierung, Kennzeichnung, Bereinigung, Anreicherung und Aggregierung und eine vorherige Bewertung der Verfügbarkeit,
  Menge und Eignung der benötigten Datensätze“

Question 15

KI-Systeme, die nach Ansicht der Gesetzgeber ein geringeres Manipulationsrisiko aufweisen, fallen unter den Art. 52 des Entwurfs. Das umfasst Systeme, die

Answer 15

• mit Menschen interagieren
• zur Erkennung von Emotionen oder zur Assoziierung (gesellschaftlicher) Kategorien anhand biometrischer Daten eingesetzt werden oder
• Inhalte erzeugen oder manipulieren.“

Question 16

KI-Anwendungen mit minimalem Risiko

Answer 16

KI-Anwendungen mit minimalem Risiko sind jene, die nach dem EU AI Act keine regulatorischen Anforderungen erfüllen müssen, da sie nur geringe oder keine negativen Auswirkungen auf die Rechte und Sicherheit der Bürger haben. Diese Systeme sind
unbedenklich, da sie keinen Einfluss auf kritische Lebensbereiche oder fundamentale Rechte ausüben.

Question 17

Data Privacy Framework

Answer 17

“Datenaustausch zwischen der EU und den USA soll wieder rechtssicher werden”

Die EU-Kommission hat heute das Data Privacy Framework veröffentlicht. Damit gibt es drei Jahre nachdem das Privacy Shield 2020 vom Europäischen Gerichtshof für ungültig erklärt wurde, eine neue Rechtsgrundlage für die
Übertragung personenbezogener Daten aus der EU in die USA.

Question 18

Transatlantic Data Privacy Framework

Answer 18

Das »Transatlantic Data Privacy Framework« ist eine Nachfolgelösung zu einem
Abkommen namens »Privacy Shield«, das 2020 vom Europäischen Gerichtshof (EuGH)
gekippt wurde