Aktuelle Entwicklungen des Rechtsrahmens der Cybersicherheit und Privatheit

Metaversen bieten vielfältige Einsatzmöglichkeiten vor allem in den Bereichen der Kommunikation, Zusammenarbeit und Unterhaltung sowie durch neue Geschäftsmodelle und Bildungsmöglichkeiten, wovon die in Metaversen agierenden Unternehmen und Nutzer profitieren können. Neben diesen Chancen ist die Nutzung von Metaversen aber auch mit diversen Risiken für die Nutzer verbunden. Insbesondere im Datenschutzrecht ergeben sich dabei neue rechtliche Herausforderungen. In Metaversen besteht häufig das Problem der mangelnden Transparenz der Datenverarbeitungsvorgänge. Zahlreiche Akteure in Metaversen verarbeiten kontinuierlich große Mengen an Daten, darunter befinden sich auch personenbezogene Daten der Nutzer. Die Menge und die Komplexität der Verarbeitungsvorgänge wirft deshalb Fragen auf, insbesondere hinsichtlich der Rolle der jeweiligen beteiligten Akteure, deren datenschutzrechtlichen Verantwortlichkeiten sowie den Rechtsgrundlagen für die verschiedenen Verarbeitungsvorgänge. Dieser Beitrag soll daher beleuchten, wie sich die datenschutzrechtlichen Verantwortlichkeiten nach der DSGVO in den komplexen Strukturen von Metaversen bestimmen lassen. Zudem wird untersucht, auf welche konkreten Rechtsgrundlagen sich typische Datenverarbeitungsszenarien stützen lassen. Ziel ist es, konkrete Handlungsempfehlungen für die Einhaltung datenschutzrechtlicher Vorgaben zu formulieren.

Insbesondere bei Forschungsvorhaben und der Nutzung neuer Technologien lässt sich häufig nicht im Vorfeld mit Sicherheit feststellen, ob personenbezogene Daten verarbeitet werden. Nichtsdestotrotz sind die Vorgaben des Datenschutzrechts – insbesondere der DSGVO und des BDSG – auch in Fällen unbeabsichtigter Verarbeitungen zu beachten. Um diesem Spannungsverhältnis zu begegnen, wurde die Datenschutzvorsorge (DS-V) als neues Instrument entwickelt. Sie ermöglicht eine datenschutzkonforme Vorbereitung auf unvorhersehbare, aber hinreichend wahrscheinliche personenbezogene Datenverarbeitungen auf Grundlage vorab getroffener Annahmen. Die praktische Umsetzbarkeit der DS-V wurde im Rahmen eines Planspiels getestet, in dem die sechsstufige Vorgehensweise exemplarisch erprobt wurde. Im Mittelpunkt des Beitrags steht der daraus abgeleitete Vorschlag zur Dokumentation einer DS-V, der als Grundlage für eine strukturierte und nachvollziehbare Erfüllung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO dient.

Der Beitrag vergleicht den risikobasierten Ansatz der Datenschutz-Grundverordnung und der Verordnung über Cyberresilienz. Beide Verordnungen fordern eine an Risiken ausgerichtete Auswahl technischer und organisatorischer Maßnahmen – jedoch mit unterschiedlichen Zielrichtungen: Die DSGVO zielt auf den Schutz der Grundrechte natürlicher Personen bei der Datenverarbeitung, der CRA auf die Gewährleistung der Cybersicherheit vernetzter digitaler Produkte. Der Beitrag arbeitet systematisch Gemeinsamkeiten, Unterschiede und Überschneidungen in Anwendungsbereich, Risikoverständnis und Maßnahmensystematik heraus. Auf Basis dessen wird gezeigt, wie Organisationen Synergien für eine integrierte, interdisziplinäre Risikobewertung und -steuerung nutzen können, um somit nicht nur Doppelarbeit zu vermeiden, sondern auch die Qualität von Datenschutz- und Cybersicherheitsmaßnahmen zu erhöhen.

Der Einsatz von KI in der Personalauswahl wirft aufgrund eines akuten Benachteiligungsrisikos diverse Fragen zur Anwendbarkeit des Datenschutz-, Arbeits- und KI-Rechts auf. Arbeitgeber, die einen solchen Einsatz von KI-Systemen planen oder bereits durchführen, können den Risiken nur durch entsprechende technische und organisatorische Maßnahmen begegnen. Bei einer Einordnung als (bestimmte) Hochrisiko-KI-Systeme ergeben sich hierzu aus der KI-VO gewisse Anforderungen, die gleichzeitig dabei unterstützen, dem allgemeinen arbeitsrechtlichen Benachteiligungsverbot entgegenzuwirken und datenschutzrechtlichen Anforderungen nachzukommen. Es kommt folglich zu Überschneidungen mit bereits bekannten Maßnahmen des AGG, BetrVG und der DSGVO, darunter die Einbindung des Betriebsrats, die rechtmäßige Verwendung (personenbezogener) Daten, die Durchführung einer Folgenabschätzung und Schulungen sowie die Sicherstellung von Transparenz und Richtigkeit. An jene Überschneidungspunkte setzt dieser Beitrag an, um Arbeitgebern erste Handlungsmaßnahmen für einen rechtskonformen Einsatz von KI-Systemen in der Personalauswahl bereitzustellen und aufzuzeigen, wie sich bisherige Arbeitsprozesse mit neuen Anforderungen des KI-Rechts vereinen lassen.

Mitarbeiter müssen regelmäßig zum Datenschutzrecht geschult werden. Diese Pflicht kann insbesondere für kleine Unternehmen aus Ressourcengründen zur Herausforderung werden. Eine mögliche Begegnung dieser Herausforderung sehen einige Unternehmen in der KI-basierten Generierung von Schulungsinhalten. Doch welche inhaltliche Qualität haben solche Schulungsinhalte? Und kann das KI-basierte Generieren von Schulungsinhalten eine Ausprägung der angemessenen Umsetzung der datenschutzrechtlichen Pflicht zur Umsetzung von Datenschutzschulungen darstellen? Der vorliegende Beitrag versucht Antworten auf diese Fragen zu finden.

Die Cybersicherheitsforschung ist ein essenzieller Bestandteil moderner IT-Sicherheit. Ihre praktische Durchführung wirft jedoch regelmäßig rechtliche Fragen auf, deren Beantwortung für die rechtliche Absicherung der Forschenden von zentraler Bedeutung ist. Dieser Beitrag soll eine systematische Übersicht gerichtlicher Entscheidungen bieten, die bereits richterlich geklärte rechtliche Grenzen und Möglichkeiten von Forschungsvorhaben im Rahmen der Cybersicherheitsforschung aufzeigen.

Der vorliegende Beitrag strengt einen Vergleich aller nationaler Cybersicherheitsstrategien weltweit an, um grundlegende globale Tendenzen herauszuarbeiten, die für zukünftige Strategieentwicklungsprozesse als Orientierungspunkte gelten und potenziell eine Vorbildwirkung entfalten könnten. Aufschlussreich sind zum einen die unterschiedlichen Prozesse einiger Staaten für die Entwicklung ihrer Strategie, u. a. Situationsanalysen, Stärken-Schwächen- und Chancen-Risiko-Analysen und öffentliche Konsultationsprozesse. Zum anderen kommen in den Strategien über regionale Grenzen hinweg Leitbilder, Begriffsbestimmungen, rechtliche Maßnahmen, technische und organisatorische Maßnahmen, Fachkräfte sowie Forschung und Entwicklung, nationale Partnerschaften und internationale Kooperation besonders häufig vor. Diese Themenschwerpunkte erfahren in den jeweiligen Ländern eine individuelle Regulierung, auf die an geeigneter Stelle exemplarisch Bezug genommen wird.

Cybersicherheit ist ein zentraler Aspekt der digitalen Infrastruktur und gewinnt mit zunehmender Vernetzung stetig an Bedeutung. Hierzu besteht über die NIS-2-RL ein klarer Regelungsrahmen, welcher Teil der neuen europäischen Cybersicherheitsstrategie ist. Im Kern steht dabei die generelle Einordnung in den Anwendungsbereich der Richtlinie sowie hieran anschließend die Einstufung der Einrichtung im Sinne einer wesentlichen oder wichtigen Einrichtung. Die daraus resultierende Regulierung ist komplex und stellt betroffene Einrichtungen vor die Herausforderung, ihre Einordnung korrekt zu bestimmen, da sich hieraus auch die weiteren Pflichten ergeben. Der Beitrag beleuchtet die rechtlichen Grundlagen und Maßstäbe der Einordnung, insbesondere die Einstufung zu wesentlichen und wichtigen Einrichtungen, sowie die geplante nationale Umsetzung. Am Beispiel des Energiesektors, dessen Kritikalität besonders hervorsticht, wird die praktische Relevanz der NIS-2-RL veranschaulicht und eine Orientierungshilfe für betroffene Akteure geboten. Der Beitrag gibt die persönliche Meinung des Autors wieder.

Energieversorger sind ein attraktives Ziel von Cyberangriffen, die wiederum zu schwerwiegenden Folgen für die gesamte Gesellschaft führen können. Daher ist es von essenzieller Wichtigkeit, Energieversorger bestmöglich vor Cyberangriffen und deren möglichen Auswirkungen zu schützen. Auf regulatorischer Ebene soll die NIS-2-Richtlinie und deren (geplante) nationale Umsetzung das Cybersicherheitsniveau stärken. Im vorliegenden Beitrag möchten wir darstellen, wie das Cybersicherheitsniveau im Energiesektor auch technisch unterstützt werden kann.