“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Im Datenschutz stehen 2024 einige große Entwicklungen an: Gerade in den Bereichen Künstliche Intelligenz und Cybersicherheit müssen Unternehmen mit verschärften Vorschriften rechnen. In diesem Blogbeitrag erfährst du, welche Gesetze und Datenschutztrends das Jahr 2024 prägen werden.
Künstliche Intelligenz und der dazugehörige AI Act bleibt einer der wichtigsten Themen im Datenschutz 2024. Zum AI Act (zu Deutsch: KI-Verordnung) haben wir im Jahr 2023 schon viel geschrieben und veröffentlicht. Eine Übersicht darüber, was Unternehmen bereits jetzt wissen, anpassen und umsetzen müssen, findest du in unserem Blogbeitrag zum Status quo der KI-Verordnung. Die wichtigste Information daraus: Der finale Verordnungstext des AI Act wird voraussichtlich Anfang 2024 veröffentlicht werden!
Zwar startet nach dem Inkrafttreten im Laufe des Jahres 2024 noch eine Umsetzungsfrist von vermutlich zwei Jahren. Doch das heißt nicht, dass Unternehmen die Inhalte des AI Acts bis dahin ignorieren können. Spätestens wenn die KI-Verordnung 2024 rechtsverbindlich wird, musst du die Vorgaben intern umsetzen und deine Prozesse, digitale Ausstattung sowie Schulungen darauf abstimmen.
Die Regulierung der Künstlichen Intelligenz wird ebenso in den USA vorangetrieben: Während die EU eine KI-Verordnung erarbeitet, hat US-Präsident Joe Biden am 30. Oktober 2023 eine Executive Order, also eine Durchführungsverordnung, zur KI erlassen. Diese Verordnung zielt im Gegensatz zum europäischen Ansatz darauf ab, Innovationen zu fördern und die nationale Sicherheit zu schützen, ohne generelle Verbote von KI-Anwendungen einzuführen.
Das EU-Recht sieht seit 1995 vor, dass personenbezogene Daten nur unter der Bedingung in Nicht-EU-Länder übermittelt werden dürfen, wenn in diesem Land ein „im Wesentlichen gleichwertiger“ Schutz der Daten besteht. In den Jahren 2000 bis 2015 bescheinigte die EU-Kommission den USA diesen Status im Rahmen des Safe-Harbor-Abkommens. Nach den gegenläufigen Enthüllungen durch den Whistleblower Edward Snowden erklärte der Europäische Gerichtshof (EuGH) das Abkommen 2015 jedoch für ungültig. Daraufhin versuchten die EU und die USA im Jahr 2016, die datenschutzrechtlichen Beziehungen mit dem sogenannten Privacy Shield auf neue Beine zu stellen. Doch auch dieses Abkommen scheiterte im Jahr 2020 vor dem EuGH.
Im Jahr 2023 unternahmen die Europäische Union und die Vereinigten Staaten von Amerika einen dritten Versuch, ein Datenschutzabkommen zu schließen. Dafür haben die USA Zugeständnisse an den Datenschutz für EU-Bürger:innen gemacht. Ob diese für den Datenschutz 2024 ausreichen, damit das neue Abkommen, das sogenannte Trans-Atlantic Data Privacy Framework, bestehen bleiben darf, muss nun wieder der EuGH entscheiden. Denn bei ihm liegt eine Klage vor, die genau das in Frage stellt. Die Entscheidung des EuGH wird von Expert:innen für 2024 oder 2025 erwartet.
Mehr Informationen zum neuesten Abkommen findest du in unserem Blogbeitrag „Trans-Atlantic Data Privacy Framework: was Unternehmen jetzt wissen müssen“. Dort erfährst du auch, welche rechtssicheren Alternativen es gibt, wenn du dich nicht auf das Framework verlassen möchtest.
Cyberangriffe auf Unternehmen und Behörden legen immer wieder ganze Digitalinfrastrukturen lahm. Darauf hat die Europäische Union im Dezember 2022 reagiert und die sogenannte NIS2-Richtlinie verabschiedet.
Die Bezeichnung „NIS2-Richtlinie“ steht für „Network and Information Security (NIS) Directive“. Sie löst die NIS1-Richtlinie ab. Mehr Informationen und Updates dazu findest du auf der Website der Europäischen Kommission.
Damit soll in der gesamten Union ein höheres Niveau der Cybersicherheit erreicht werden. Dazu müssen die Mitgliedstaaten die Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht umsetzen. Laut Expert:innen stehen die Chancen gut, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) dies in Deutschland sogar vor Fristende umsetzen wird. Zu diesem Zweck soll das BSI-Gesetz (BSIG) an die Anforderungen aus der NIS2-Richtlinie angepasst werden.
Für Unternehmen und Organisationen ist es entscheidend, die NIS2-Richtlinie umzusetzen, sobald sie im Detail bekannt sind. Bis dahin kannst du dich an den Inhalten der Richtlinie orientieren. Diese verlangt neben strengeren Sicherheitsanforderungen vor allem eine Meldepflicht für Sicherheitsvorfälle, verstärkte Aufsichtsregeln und einen erweiterten Anwendungsbereich, der unter anderem digitale Dienstleister einbezieht. Am besten vorbereitet auf die Anforderungen von NIS2 bist du, wenn dein Unternehmen bereits ein Informationssicherheitsmanagementsystem (ISMS) eingeführt hat. Die Umsetzung soll in Zukunft streng kontrolliert und fehlende Compliance sanktioniert werden: Bei Verstößen drohen hohe Bußgelder von bis zu 10 Millionen Euro beziehungsweise 2 Prozent des gesamten Vorjahresumsatzes.
Beim Datenschutz 2024 wird die Digitalisierung im Gesundheitswesen ebenfalls die öffentliche Diskussion prägen. So wird dieses Jahr das elektronische Rezept (E-Rezept) eingeführt, im nächsten Jahr soll die elektronische Patientenakte (ePA) für alle Patienten in Deutschland verbindlich erfolgen. Die gesetzlichen Krankenkassen sind dabei verantwortlich für ein Verfahren namens “Opt-Out”, welches besagt, dass eine Patientenakte automatisch erstellt wird, es sei denn, die Patient:innen widersprechen aktiv. Auch private Krankenkassen können ihren Versicherten eine Patientenakte anbieten, sind aber nicht dazu verpflichtet. Dementsprechend werden 2024 die Weichen gestellt, damit Deutschland bei der Digitalisierung des Gesundheitswesens zu weiterentwickelten Staaten aufschließt.
Die EU stellt sich besser auf das Datenzeitalter ein: Sie plant neue Regeln für den Umgang mit Daten. Der seit dem 11. Januar 2024 geltende Data Act soll nach einer Übergangsphase im Jahr 2025 endgültig in Kraft treten. Bereite dein Unternehmen im Hinblick darauf am besten schon jetzt vor. Dazu gehört, dass die Dokumentation der Datennutzung reibungslos funktioniert. Das ist eine Bedingung für die erweiterte Datennutzung innerhalb der EU im Zuge des Data Acts.
Bei caralegal planen wir für unsere Innovationen im Datenschutz 2024 einige spannende Projekte. Eines davon ist die Entwicklung eines AI Managementsystems (AIMS), welches Unternehmen dabei helfen soll, die regulatorischen Anforderungen der KI-Verordnung zu erfüllen. Das System wird es Unternehmen ermöglichen, ihre KI-Anwendungen effektiver zu nutzen und gleichzeitig die Risiken im Zusammenhang mit der Verwendung von KI zu minimieren.
Eine weitere Produktinnovation planen wir im Bereich der Betroffenenanfragen. Bei solchen Anfragen wird es betroffenen Personen mit unserer Plattform noch leichter fallen, mit Datenschutzbeauftragten zu interagieren. Auch für die Datenschutzexpert:innen selbst wird unser Produkt für Erleichterung bei der Bearbeitung solcher Vorfälle sorgen. Wir verfolgen hier das Ziel, die Transparenz und Effizienz bei der Bearbeitung von Betroffenenanfragen zu erhöhen.
Schließlich werden wir in unserer Datenschutzsoftware weitere Möglichkeiten bieten, die Vorgaben des deutschen Standard-Datenschutzmodells SDM umzusetzen. Die Integration dieses wichtigen Modells und auch die oben genannten Produktneuerungen ermöglicht es uns, die Bedürfnisse unserer Kund:innen noch besser zu erfüllen und ihnen auch 2024 den bestmöglichen Service zu bieten.
Im Datenschutz wird sich in 2024 einiges tun! Neben dem AI Act stehen 2024 das Trans-Atlantic Data Privacy Framework und die Cybersecurity-Richtlinie NIS2 auf der politischen Agenda – und damit auch weit oben auf der Agenda von Unternehmen, um den Datenschutz rechtssicher einzuhalten. Neben diesen Entwicklungen und Trends werden ebenso die Digitalisierung des Gesundheitsdatenschutzes in Deutschland und der EU Data Act für Veränderungen in der digitalen Landschaft sorgen. Für Unternehmen kommt es dadurch noch stärker darauf an, die Nutzung bereitgestellter Daten so effizient wie möglich zu gestalten und dies sauber zu dokumentieren.
Auch im Jahr 2024 sind wir dein verlässlicher Partner in puncto Datenschutzmanagement. In einem persönlichen Gespräch zeigen wir dir gerne, wie wir deine Organisation dabei unterstützen können, den Datenschutz stets weiter zu entwickeln.
Entdecke weitere Beiträge zu diesem Thema:
en_US
