Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist aufgrund des Umfangs der hierfür notwendigen Kapazitäten sowie der Notwendigkeit der Zusammenarbeit der verschiedenen Disziplinen eine große Herausforderung für die meisten Verantwortlichen. In diesem dritten Beitrag wird der Fokus auf die finale Risikoermittlung gelegt. In den vorherigen Beiträgen wurde bereits die Ermittlung der einzelnen Risikoszenarien als Bruttorisiko sowie die […]
Blogreihe
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 2 – technische und organisatorische Maßnahmen (TOM)
Da die Datenschutz-Folgenabschätzung (DSFA) die Beteiligten im Unternehmen regelmäßig vor nicht unerhebliche Herausforderungen stellt, soll in diesem zweiten Beitrag der Schwerpunkt auf die Erfassung der technischen und organisatorischen Maßnahmen (TOM) gelegt werden. In einem vorangegangenen Beitrag zur DSFA wurde bereits die Ermittlung des Bruttorisikos etwaiger Risikoszenarien beleuchtet, unter Rückgriff auf die Unterlagen zur DSFA des […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 1 – Bruttorisiko
Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist die umfangreichste und detaillierteste Dokumentation, die das Datenschutzrecht verlangt. Aufgrund des Umfangs der hier geforderten Inhalte und der vorzunehmenden Risikobeurteilung ist eine DSFA für die meisten Verantwortlichen eine große Herausforderung. In diesem und zwei nachfolgenden Beiträgen steht die Risikobeurteilung im Vordergrund, die ein Teil der DSFA ist. Die Beitragsreihe […]
„sicher & resilient“: Cyber Resilience Act – Produktsicherheit und Herstellerpflichten – Teil 4
Im vierten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf den Cyber Resilience Act (CRA) und dessen Anforderungen an die Produktsicherheit sowie die Pflichten für Hersteller. Der CRA ergänzt die bestehenden Sicherheitsregelungen, indem er erstmals die Produktsicherheit digitaler Geräte und Software in den Fokus rückt. Während das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, Regierungsentwurf) und das […]
„sicher & resilient“: das KRITIS-Dachgesetz – Teil 3
Im dritten Teil unserer Blogreihe „sicher & resilient“ schauen wir auf das KRITIS-Dachgesetz, das als Regierungsentwurf am 06.11.2024 verabschiedet, aber als Gesetz bisher noch nicht verkündet wurde. Das KRITIS-Dachgesetz ergänzt das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG, Regierungsentwurf), indem es die Anforderungen an die Sicherheit und Resilienz kritischer Infrastrukturen in Deutschland erweitert. Während das NIS2UmsuCG den Fokus […]
„sicher & resilient“: Anforderungen und Umsetzung des NIS2UmsuCG – Teil 2
Im zweiten Teil unserer Blogreihe „sicher & resilient“ befassen wir uns mit den Anforderungen und der Umsetzung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, kurz NIS2UmsuCG (Regierungsentwurf vom 22.07.2024, das Gesetz ist noch nicht verkündet). Das NIS2UmsuCG markiert einen Meilenstein für die Cybersicherheitsstrategie in Deutschland. Es setzt die EU-Richtlinie NIS 2 national um und verpflichtet Betreiber kritischer und […]
„sicher & resilient“: NIS2UmsuCG, KRITIS-Dachgesetz und Cyber Resilience Act (CRA) – Teil 1
In unserer Blogreihe „sicher & resilient“ möchten wir Ihnen einen Überblick über die neuen Anforderungen aus dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), dem KRITIS-Dachgesetz und dem Cyber Resilience Act (CRA) geben. Wir beleuchten dabei die Synergien dieser Regelwerke und zeigen praktische Herausforderungen für den Umsetzungs- und Auditierungsprozess auf. Die Sicherheit kritischer Infrastrukturen und digitaler Produkte steht […]
AI Act: Hohe Komplexität – Wer muss welche Artikel beachten?
In unserem letzten Blogbeitrag haben wir uns mit der Frage beschäftigt, welche KI-Systeme als hochriskant eingestuft werden. Denn schwerpunktmäßig formuliert die neue EU-Verordnung Anforderungen an Hochrisiko-KI-Systeme. Im vorliegenden Beitrag soll es nun darum gehen, welche Unternehmen von der neuen EU-Verordnung betroffen sind. Unterschiedliche Akteure Der AI Act unterscheidet zwischen Betreibern und Anbietern von KI-Systemen oder […]
AI Act: Hochrisiko-KI-Systeme – Jetzt klassifizieren
In den vorherigen Blogbeiträgen unserer Reihe haben wir uns mit der Frage beschäftigt, ab wann die Pflichten des AI Acts gelten. Schulungspflichten und das Verbot bestimmter KI-Praktiken gelten ab dem 5. Februar 2025. Wir haben zudem dargestellt, wie verbotene KI-Praktiken identifiziert werden können, damit diese rechtzeitig eingestellt oder modifiziert werden können. Ist man mit diesen […]
AI Act: Verbotene KI-Praktiken – Schritt 1 der Klassifizierung von KI-Systemen
In den ersten beiden Blogbeiträgen dieser Reihe haben wir uns damit beschäftigt, ab wann der AI Act (KI-Verordnung) seine Wirksamkeit entfaltet und welche Schutzziele der AI Act verfolgt. Dabei haben wir auch darauf hingewiesen, dass Schulungspflichten und Verbote schon ab dem 2. Februar 2025 gelten. Darüber hinaus muss in bestimmten Fällen eine Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme […]
Schutzziele des AI Acts
In unserem ersten Beitrag der Reihe zum AI Act (KI-Verordnung) haben wir uns mit der Frage beschäftigt, ab wann der AI Act eigentlich gilt. Schulungspflichten im Hinblick auf die Erzeugung einer KI-Kompetenz bei den Beschäftigten und das Verbot für bestimmte Praktiken im KI-Bereich gelten schon ab 2. Februar 2025. Die allgemeinen Pflichten gelten hingegen erst […]
Der AI Act zur Regelung des Einsatzes Künstlicher Intelligenz tritt in Kraft
Vor einigen Tagen, nämlich am 12. Juli 2024 ist die KI-Verordnung (AI Act) im Amtsblatt der Europäischen Union veröffentlich worden. Den veröffentlichten und somit finalen Text finden Sie hier. Ab wann gilt der AI Act? Der AI Act tritt nach Art. 113 AI Act am zwanzigsten Tag nach seiner Veröffentlichung in Kraft, also im August […]
Worst-Case-Szenario Datenleak – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriffe sind weiterhin in aller Munde und eine akute Bedrohung. Immer öfter erbeuten die Angreifergruppen zuvor aber auch sensible Datensätze der betroffenen Organisation bevor sie damit beginnen die Systeme zu verschlüsseln. Ein prominentes Beispiel aus dem vergangenen Jahr ist der Cyberangriff auf den DAX-Konzern Continental (hier nachzulesen). Teilweise haben es Angreifergruppen mittlerweile auch gezielt „nur“ […]
Ransomware-Angriff: Alles verschlüsselt! Was nun? – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriff! Das Wort dürfte jedem Mitglied der Leitungsebene sowie den IT-Verantwortlichen einer Organisation einen kalten Schauer den Rücken herunterlaufen lassen. Denn die Folgen eines Ransomware-Angriffs sind oftmals verheerend und können im schlimmsten Fall existenzbedrohend sein. Seit Jahresbeginn waren erneut zahlreiche Unternehmen und öffentliche Organisationen betroffen und hatten mit den gravierenden Folgen zu kämpfen. Jüngst ist […]
DoS- und DDoS-Angriffe als Datenpanne – Blogreihe zum Thema Cybersecurity und Datenschutz
Ein häufiges Phänomen im Internet sind heutzutage sog. Denial-of-Service(DoS)- oder Distributed Denial-of-Service(DDoS)-Angriffe, die Websites oder Systeme – oftmals nur vorübergehend – außer Gefecht setzen. Bei diesen Attacken werden Server mit künstlichen, sinnlosen Anfragen überschwemmt. In der Folge kann es wegen der gezielten Überlastung zu Verzögerungen oder Ausfällen der betroffenen Ressourcen kommen. So meldete bspw. das […]