Die Allgemeine Datenschutzverordnung (GDPR) ist ein umfassendes Datenschutzgesetz, das am 25. Mai 2018 in Kraft trat und die Datenschutzrichtlinie von 1995 ersetzt. Sie wurde entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren, die Daten der EU-Bürger zu schützen und die Art und Weise, wie Unternehmen an den Datenschutz herangehen, neu zu gestalten. Hier sind die wichtigsten Bestandteile der GDPR:

1. Umfang: Die Datenschutz-Grundverordnung gilt für alle Organisationen, die innerhalb der EU tätig sind, sowie für Organisationen außerhalb der EU, die Waren oder Dienstleistungen für EU-Datensubjekte anbieten oder deren Verhalten überwachen.

2. Persönliche Daten: Er definiert personenbezogene Daten im weitesten Sinne als alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person (betroffene Person) beziehen.

3. Grundsätze des Datenschutzes: Die Datenschutzgrundverordnung beruht auf Grundsätzen wie Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

4. Rechte der betroffenen Personen: Sie gewährt dem Einzelnen mehrere Rechte in Bezug auf seine personenbezogenen Daten, darunter das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung.

5. Rechenschaftspflicht und Governance: Organisationen müssen die Einhaltung der GDPR-Grundsätze durch angemessene Datenschutzrichtlinien, -praktiken und -unterlagen nachweisen.

6. Datenschutzbeauftragter (DSB): Bestimmte Organisationen sind verpflichtet, einen DSB zu ernennen, der die Einhaltung der DSGVO überwacht.

7. Benachrichtigung bei Verstößen: Unternehmen müssen Datenschutzverletzungen innerhalb von 72 Stunden an die Datenschutzbehörden und in einigen Fällen auch an die betroffenen Personen melden.

8. Sanktionen: Die DSGVO sieht bei Nichteinhaltung schwere Strafen vor, die bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

1. Verbesserter Datenschutz: Die DSGVO bietet einen soliden Schutz für personenbezogene Daten und sorgt dafür, dass Einzelpersonen mehr Kontrolle über ihre Informationen haben. Sie stellt sich den modernen Herausforderungen des Datenschutzes und stärkt die Rechte der betroffenen Personen.

2. Harmonisierung von Gesetzen: Durch die Schaffung einheitlicher Datenschutzvorschriften in der gesamten EU vereinfacht die DSGVO das Regelungsumfeld für internationale Unternehmen und verringert die Kosten für die Einhaltung der Vorschriften und die rechtliche Komplexität.

3. Globale Auswirkungen: Die GDPR hat die Datenschutzgesetze weltweit beeinflusst. Viele Länder haben ihre Datenschutzbestimmungen aktualisiert, um sie an die GDPR-Standards anzupassen, was ihre globale Bedeutung widerspiegelt.

4. Vertrauen der Verbraucher: Die Datenschutz-Grundverordnung trägt dazu bei, das Vertrauen zwischen Verbrauchern und Unternehmen zu stärken. Indem sie ihr Engagement für den Datenschutz unter Beweis stellen, können Unternehmen ihren Ruf verbessern und die Kundentreue fördern.

5. Einhaltung der Vorschriften und Rechenschaftspflicht: Die Datenschutz-Grundverordnung fördert eine Kultur der Verantwortlichkeit innerhalb von Organisationen, indem sie von ihnen verlangt, umfassende Datenschutzmaßnahmen zu ergreifen und über ihre Datenpraktiken transparent zu sein.

6. Rechtliche und finanzielle Implikationen: Die Nichteinhaltung der DSGVO kann erhebliche Geldstrafen und rechtliche Schritte nach sich ziehen, so dass es für Unternehmen von entscheidender Bedeutung ist, die Anforderungen der DSGVO einzuhalten, um finanzielle und rufschädigende Schäden zu vermeiden.

Jede Organisation, die personenbezogene Daten von in der EU ansässigen Personen verarbeitet, muss die DSGVO einhalten, unabhängig davon, ob die Organisation ihren Sitz in der EU hat. Dazu gehören Unternehmen, die personenbezogene Daten sammeln, speichern, übermitteln oder analysieren. Auch Unternehmen aus Nicht-EU-Ländern müssen die Bestimmungen einhalten, wenn sie in der EU ansässigen Personen Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen.

Die Datenschutz-Grundverordnung sieht schwere Strafen für die Nichteinhaltung vor. Die Höchststrafe für einen Verstoß kann bis zu 4% des weltweiten Jahresumsatzes oder 20 Mio. EUR betragen, je nachdem, welcher Betrag höher ist. Bei weniger schwerwiegenden Verstößen können Geldbußen von bis zu 2% des weltweiten Jahresumsatzes oder 10 Mio. EUR verhängt werden. Die Sanktionen richten sich nach der Schwere und Art des Verstoßes.

Nicht alle Organisationen sind verpflichtet, einen DSB zu bestellen. Ein DSB ist obligatorisch, wenn es sich bei der Organisation um eine Behörde handelt, wenn sie in großem Umfang systematische Überwachungsmaßnahmen durchführt oder wenn sie in großem Umfang sensible personenbezogene Daten verarbeitet. Auch wenn dies nicht vorgeschrieben ist, entscheiden sich einige Organisationen für die Bestellung eines DSB, um die Einhaltung der Vorschriften zu gewährleisten und Datenschutzaktivitäten effektiv zu verwalten.

Personenbezogene Daten im Sinne der Datenschutz-Grundverordnung sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Dies umfasst ein breites Spektrum von Identifikatoren wie Namen, Identifikationsnummern, Standortdaten, Online-Kennungen und Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität spezifisch sind. Besondere Kategorien personenbezogener Daten, wie z. B. Gesundheitsinformationen oder biometrische Daten, unterliegen einem strengeren Schutz.

Um die DSGVO einzuhalten, sollten Unternehmen eine gründliche Bewertung durchführen, um zu verstehen, welche personenbezogenen Daten sie kontrollieren, wo sie sich befinden und wie sie gesichert sind. Sie müssen technische und organisatorische Maßnahmen zum Schutz dieser Daten ergreifen, ihre Datenschutzrichtlinien aktualisieren, eine ordnungsgemäße Zustimmung zur Datenverarbeitung einholen und sicherstellen, dass die Rechte der betroffenen Personen geachtet werden. Regelmäßige Audits und Mitarbeiterschulungen zu Datenschutzpraktiken sind ebenfalls unerlässlich.

Die GDPR (General Data Protection Regulation) gilt nicht direkt für die Schweiz, da sie nicht Mitglied der Europäischen Union ist. Die Schweiz hat jedoch ihr eigenes Datenschutzgesetz, das Bundesgesetz über den Datenschutz (DSG), das in vielerlei Hinsicht eng mit der DSGVO übereinstimmt. Darüber hinaus kann die DSGVO Schweizer Unternehmen auf verschiedene Weise indirekt betreffen:

1. Grenzüberschreitende Datentransaktionen

Wenn ein Schweizer Unternehmen personenbezogene Daten von in der EU ansässigen Personen verarbeitet, muss es die DSGVO einhalten. Dies gilt auch für Situationen, in denen Schweizer Unternehmen Waren oder Dienstleistungen für in der EU ansässige Personen anbieten oder deren Verhalten überwachen.

2. Angemessenheitsentscheidung

Die Europäische Kommission hat anerkannt, dass die Schweiz ein angemessenes Datenschutzniveau bietet, was bedeutet, dass Daten zwischen der EU und der Schweiz ohne zusätzliche Sicherheitsvorkehrungen fließen können. Schweizer Unternehmen müssen jedoch weiterhin sicherstellen, dass sie die DSGVO einhalten, wenn sie Daten von EU-Bürgern verarbeiten.

3. Ähnliche Bestimmungen im Schweizer Recht

Die Schweiz hat ihr Datenschutzgesetz (überarbeitetes DSG) aktualisiert, um es besser an die DSGVO anzupassen. Dieses neue Gesetz, das am 1. September 2023 in Kraft tritt, führt ähnliche Bestimmungen und Grundsätze ein und gewährleistet ein hohes Datenschutzniveau.

Wichtige Punkte:

- Anwendbarkeit: Die GDPR gilt für Schweizer Unternehmen, die Daten von in der EU ansässigen Personen verarbeiten.

- Schweizerische Gesetzgebung: Der überarbeitete INLB steht im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung.

- Grenzüberschreitende Datenübertragungen: Die Schweiz wird von der EU als angemessen angesehen, da sie den Datenaustausch ohne zusätzliche Garantien erleichtert.

Quellen:

1. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

2. Europäische Kommission - Angemessenheitsentscheidungen

3. Das revidierte Schweizerische Bundesgesetz über den Datenschutz (DSG)

Die Schweiz verfügt über einen eigenen Datenschutzrahmen, der als Bundesgesetz über den Datenschutz (DSG) bekannt ist und oft auch als Datenschutzgesetz (DSG) bezeichnet wird. Das Schweizer DSG regelt die Verarbeitung personenbezogener Daten zum Schutz der Privatsphäre und der Rechte von Personen. Hier sind die wichtigsten Aspekte des Schweizer DSG:

1. Anwendungsbereich und Anwendbarkeit

Das Schweizer DSG gilt für die Bearbeitung von Personendaten durch Privatpersonen und Bundesorgane. Es soll die Privatsphäre von Personen schützen und die Sicherheit von Personendaten gewährleisten.

2. Angleichung an GDPR

Das revidierte Schweizer DSG, das am 1. September 2023 in Kraft tritt, ist eng an die Allgemeine Datenschutzverordnung (DSGVO) der Europäischen Union angelehnt. Diese Angleichung erleichtert den Datenaustausch zwischen der Schweiz und den EU-Ländern und gewährleistet ein hohes Datenschutzniveau, das den internationalen Standards entspricht.

3. Zentrale Grundsätze

- Rechtmäßigkeit, Fairness und Transparenz: Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und auf transparente Weise verarbeitet werden.

- Zweck Einschränkung: Die Daten müssen für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

- Minimierung von Daten: Die erhobenen Daten sollten angemessen und sachdienlich sein und sich auf das beschränken, was in Bezug auf die Zwecke, für die sie verarbeitet werden, erforderlich ist.

- Genauigkeit: Personenbezogene Daten müssen sachlich richtig sein und erforderlichenfalls auf dem neuesten Stand gehalten werden.

- Begrenzung der Speicherung: Die Daten sollten nicht länger als nötig in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht.

- Integrität und Vertraulichkeit: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Vernichtung oder Beschädigung.

4. Rechte der betroffenen Person

Einzelpersonen haben nach dem Schweizer Datenschutzgesetz mehrere Rechte, darunter auch das Recht auf Privatsphäre:

- Recht auf Zugang: Einzelpersonen können Informationen über die Verarbeitung ihrer personenbezogenen Daten anfordern.

- Recht auf Berichtigung: Einzelpersonen können die Berichtigung von unrichtigen oder unvollständigen Daten beantragen.

- Recht auf Löschung: Einzelpersonen können unter bestimmten Bedingungen die Löschung ihrer Daten beantragen.

- Recht auf Widerspruch: Einzelpersonen können der Verarbeitung ihrer Daten unter bestimmten Umständen widersprechen.

- Recht auf Datenübertragbarkeit: Ähnlich wie bei der Datenschutz-Grundverordnung können Einzelpersonen ihre Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format anfordern.

5. Datenübertragungen

Die Übermittlung personenbezogener Daten in Länder, die kein angemessenes Datenschutzniveau bieten, ist eingeschränkt. Organisationen müssen angemessene Schutzmaßnahmen, wie Standardvertragsklauseln (SCC), gewährleisten, um solche Übermittlungen zu ermöglichen.

6. Benachrichtigung bei Datenschutzverletzungen

Das revidierte DSG enthält Anforderungen für die obligatorische Meldung von Datenverletzungen. Unternehmen müssen Datenverletzungen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und in bestimmten Fällen auch den betroffenen Personen melden.

7. Sanktionen bei Nichteinhaltung der Vorschriften

Die Nichteinhaltung des Schweizerischen Datenschutzgesetzes kann zu erheblichen Bußgeldern und Strafen führen. Mit dem überarbeiteten Gesetz wurden strengere Durchsetzungsmaßnahmen eingeführt, um die Einhaltung zu gewährleisten.

Quellen:

1. Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

2. Lexology - Überblick über das revidierte Schweizerische Datenschutzgesetz

3. DataGuidance - Schweiz Datenschutz im Überblick

Die allgemeine Datenschutzverordnung (GDPR) gilt für die Länder des Europäischen Wirtschaftsraums (EWR), zu denen alle Mitgliedstaaten der Europäischen Union (EU) sowie Island, Liechtenstein und Norwegen gehören. Hier erfahren Sie, wie die GDPR für diese Länder gilt:

1. Unmittelbare Anwendbarkeit

Die DSGVO ist in allen EWR-Ländern unmittelbar anwendbar. Das bedeutet, dass Organisationen in diesen Ländern die Bestimmungen der DSGVO hinsichtlich der Verarbeitung personenbezogener Daten einhalten müssen. Die Verordnung setzt einen hohen Standard für den Datenschutz und zielt darauf ab, dem Einzelnen mehr Kontrolle über seine personenbezogenen Daten zu geben.

2. Anwendungsbereich und Durchsetzung

Die DSGVO gilt für jede Organisation, ob innerhalb oder außerhalb des EWR, die personenbezogene Daten von Personen mit Wohnsitz im EWR verarbeitet, wenn die Organisation:

- Angebot von Waren oder Dienstleistungen an im EWR ansässige Personen (unabhängig davon, ob eine Zahlung erforderlich ist).

- Überwacht das Verhalten von EWR-Bürgern (z. B. durch Website-Tracking und -Analyse).

3. Aufsichtsbehörden

Jedes EWR-Land hat seine eigene Datenschutzbehörde, die für die Durchsetzung der DSGVO zuständig ist. Diese Datenschutzbehörden arbeiten im Rahmen des Europäischen Datenschutzausschusses (EDPB) zusammen, um eine einheitliche Anwendung der DSGVO im gesamten EWR zu gewährleisten.

4. Grenzüberschreitende Datenübertragungen

Nach der Datenschutz-Grundverordnung sind Datenübermittlungen in Nicht-EWR-Länder eingeschränkt, es sei denn, das Empfängerland gewährleistet ein angemessenes Datenschutzniveau, wie von der Europäischen Kommission festgelegt. Alternativ können Organisationen Mechanismen wie Standardvertragsklauseln (SCCs) oder verbindliche Unternehmensregeln (BCRs) verwenden, um die Einhaltung der Vorschriften zu gewährleisten.

5. Rechte und Pflichten

Einzelpersonen im EWR haben nach der DSGVO Anspruch auf verschiedene Rechte, darunter auch auf das Recht auf Privatsphäre:

- Das Recht auf Zugang zu ihren persönlichen Daten.

- Das Recht auf Berichtigung unrichtiger Daten.

- Das Recht auf Löschung (das "Recht auf Vergessenwerden").

- Das Recht auf Datenübertragbarkeit.

- Das Recht auf Einschränkung der Verarbeitung.

- Das Recht, der Datenverarbeitung zu widersprechen.

Organisationen müssen Maßnahmen zum Schutz personenbezogener Daten ergreifen und diese Rechte einhalten, einschließlich der Durchführung von Datenschutz-Folgenabschätzungen (DPIA) und der Meldung von Datenschutzverletzungen an die Datenschutzbehörden und die betroffenen Personen.

Quellen:

1. Europäische Kommission - Datenschutz in der EU

2. Europäischer Datenschutzausschuss (EDPB)

3. GDPR.EU - Was ist die GDPR, das neue EU-Datenschutzgesetz?

4. CNIL - Europäischer Wirtschaftsraum (EWR) und der GDPR

Das von der Europäischen Kommission vorgeschlagene KI-Gesetz zielt darauf ab, künstliche Intelligenz (KI) in der Europäischen Union (EU) zu regulieren, um sicherzustellen, dass KI-Technologien sicher und transparent sind und die Grundrechte respektieren. Obwohl es sich von der Allgemeinen Datenschutzverordnung (GDPR) unterscheidet, wird sich das KI-Gesetz auf verschiedene Weise auf die GDPR auswirken und mit ihr interagieren:

1. Ergänzende Rahmenwerke

Sowohl das KI-Gesetz als auch die Datenschutz-Grundverordnung zielen auf den Schutz der Grundrechte ab, wobei sich die Datenschutz-Grundverordnung auf den Datenschutz und den Schutz der Privatsphäre konzentriert und das KI-Gesetz allgemeinere ethische und sicherheitstechnische Belange im Zusammenhang mit KI behandelt. Das KI-Gesetz wird die DSGVO ergänzen, indem es sicherstellt, dass KI-Systeme, insbesondere solche, die mit personenbezogenen Daten arbeiten, strenge Standards für Transparenz, Verantwortlichkeit und Fairness einhalten.

2. Datenschutz-Folgenabschätzungen (DPIAs)

Nach der Datenschutz-Grundverordnung müssen Organisationen Datenschutzfolgenabschätzungen durchführen, wenn Verarbeitungsvorgänge wahrscheinlich zu hohen Risiken für die Rechte und Freiheiten von Personen führen. Das KI-Gesetz wird wahrscheinlich ähnliche Bewertungen für KI-Systeme mit hohem Risiko vorschreiben, was zu integrierten oder koordinierten Bewertungen führen kann, die sowohl Datenschutz als auch KI-spezifische Risiken berücksichtigen.

3. Verbesserte Transparenz und Rechenschaftspflicht

Das KI-Gesetz schreibt vor, dass KI-Systeme klare Informationen über ihre Fähigkeiten und Grenzen liefern müssen. Diese Anforderung steht im Einklang mit den Grundsätzen der Datenschutz-Grundverordnung (DSGVO) in Bezug auf Transparenz und Rechenschaftspflicht. Organisationen, die KI-Systeme einsetzen, müssen sicherstellen, dass sie transparente Informationen darüber bereitstellen, wie personenbezogene Daten verarbeitet werden, was die Einhaltung der Anforderungen der DSGVO verbessern kann.

4. Rechte von Einzelpersonen

Die Datenschutz-Grundverordnung gewährt Einzelpersonen Rechte in Bezug auf ihre personenbezogenen Daten, wie das Recht auf Zugang, Berichtigung und Löschung von Daten. Das KI-Gesetz wird diese Rechte stärken, indem es sicherstellt, dass KI-Systeme die Rechte und Freiheiten des Einzelnen respektieren. So haben Personen beispielsweise das Recht, aussagekräftige Informationen über die Logik und Funktionsweise von KI-Systemen zu erhalten, die sie betreffen, wodurch die Transparenz und die Rechte der betroffenen Personen gemäß der DSGVO unterstützt werden.

5. Durchsetzung von Rechtsvorschriften und Aufsichtsbehörden

Sowohl das KI-Gesetz als auch die DSGVO sehen Mechanismen für die regulatorische Durchsetzung und Aufsicht vor. Die Datenschutzbehörden werden weiterhin die DSGVO durchsetzen, während neue oder bestehende Regulierungsstellen die Einhaltung der KI-Vorschriften überwachen werden. Die Zusammenarbeit zwischen diesen Behörden wird von entscheidender Bedeutung sein, um sich überschneidende Anliegen anzugehen und eine kohärente Durchsetzung der Datenschutz- und KI-Vorschriften zu gewährleisten.

Schlussfolgerung

Das KI-Gesetz wird sich auf die Datenschutz-Grundverordnung auswirken, indem es deren Grundsätze der Transparenz, der Rechenschaftspflicht und des Schutzes der Rechte des Einzelnen verbessert und stärkt. Durch die Festlegung umfassender Standards für KI-Systeme wird das KI-Gesetz dazu beitragen, dass KI-Technologien in einer Weise entwickelt und eingesetzt werden, die den durch die DSGVO geschaffenen Datenschutzrahmen respektiert und ergänzt.

Weitere Informationen finden Sie unter:

- Europäische Kommission - Vorschlag für eine Verordnung über KI

- EUR-Lex - Vorschlag für ein AI-Gesetz

- GDPR.EU - Wie sich das KI-Gesetz auf die GDPR auswirken wird

Das Programm "Digitales Europa" ist eine von der EU finanzierte Initiative zur Förderung der digitalen Technologie in Europa. Das Programm, das vom 1. Januar 2021 bis zum 31. Dezember 2027 läuft, soll die Wettbewerbsfähigkeit Europas in der globalen digitalen Wirtschaft stärken, die digitale Kluft überbrücken und die strategische Autonomie verbessern. Es umfasst eine vorläufige Mittelzuweisung von mehr als 7,5 Milliarden Euro zu Preisen von 2021.

Zielsetzungen:

1. Hochleistungsrechnen (HPC): Verbesserung des Zugangs zu Supercomputing- und Dateninfrastrukturen von Weltklasse, insbesondere für KMU, und Entwicklung eines robusten HPC-Ökosystems.

2. Künstliche Intelligenz (KI): Aufbau zentraler KI-Kapazitäten, einschließlich hochwertiger Datenressourcen, und Unterstützung EU-weiter KI-Testeinrichtungen.

3. Cybersecurity und Vertrauen: Investitionen in fortschrittliche Cybersicherheitsausrüstungen und -infrastrukturen, Verbesserung der Kenntnisse und Fähigkeiten und verstärkte Koordinierung zwischen zivilen und militärischen Cybersicherheitsmaßnahmen.

4. Fortgeschrittene digitale Fertigkeiten: Behebung der digitalen Qualifikationslücke durch hochwertige Kurse, Ausbildung am Arbeitsplatz und Praktika, insbesondere in Bereichen wie HPC, KI und Cybersicherheit.

5. Einsatz und optimale Nutzung der digitalen Kapazität und Interoperabilität: Förderung modernster digitaler Technologien in öffentlichen Sektoren und Branchen von öffentlichem Interesse sowie Unterstützung der Entwicklung interoperabler Infrastrukturen und digitaler Standards.

Das Programm wird hauptsächlich unter direkter Verwaltung durch die Europäische Kommission durchgeführt und von den Mitgliedstaaten und gegebenenfalls vom Privatsektor kofinanziert. Die Zuschüsse können bis zu 100% der förderfähigen Kosten abdecken und fördern eine breite Beteiligung und Innovation in der digitalen Landschaft Europas.