In unserem letzten Blogbeitrag haben wir uns mit der Frage beschäftigt, welche KI-Systeme als hochriskant eingestuft werden. Denn schwerpunktmäßig formuliert die neue EU-Verordnung Anforderungen an Hochrisiko-KI-Systeme. Im vorliegenden Beitrag soll es nun darum gehen, welche Unternehmen von der neuen EU-Verordnung betroffen sind. Unterschiedliche Akteure Der AI Act unterscheidet zwischen Betreibern und Anbietern von KI-Systemen oder […]
Blogreihe
AI Act: Hochrisiko-KI-Systeme – Jetzt klassifizieren
In den vorherigen Blogbeiträgen unserer Reihe haben wir uns mit der Frage beschäftigt, ab wann die Pflichten des AI Acts gelten. Schulungspflichten und das Verbot bestimmter KI-Praktiken gelten ab dem 5. Februar 2025. Wir haben zudem dargestellt, wie verbotene KI-Praktiken identifiziert werden können, damit diese rechtzeitig eingestellt oder modifiziert werden können. Ist man mit diesen […]
AI Act: Verbotene KI-Praktiken – Schritt 1 der Klassifizierung von KI-Systemen
In den ersten beiden Blogbeiträgen dieser Reihe haben wir uns damit beschäftigt, ab wann der AI Act (KI-Verordnung) seine Wirksamkeit entfaltet und welche Schutzziele der AI Act verfolgt. Dabei haben wir auch darauf hingewiesen, dass Schulungspflichten und Verbote schon ab dem 2. Februar 2025 gelten. Darüber hinaus muss in bestimmten Fällen eine Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme […]
Schutzziele des AI Acts
In unserem ersten Beitrag der Reihe zum AI Act (KI-Verordnung) haben wir uns mit der Frage beschäftigt, ab wann der AI Act eigentlich gilt. Schulungspflichten im Hinblick auf die Erzeugung einer KI-Kompetenz bei den Beschäftigten und das Verbot für bestimmte Praktiken im KI-Bereich gelten schon ab 2. Februar 2025. Die allgemeinen Pflichten gelten hingegen erst […]
Der AI Act zur Regelung des Einsatzes Künstlicher Intelligenz tritt in Kraft
Vor einigen Tagen, nämlich am 12. Juli 2024 ist die KI-Verordnung (AI Act) im Amtsblatt der Europäischen Union veröffentlich worden. Den veröffentlichten und somit finalen Text finden Sie hier. Ab wann gilt der AI Act? Der AI Act tritt nach Art. 113 AI Act am zwanzigsten Tag nach seiner Veröffentlichung in Kraft, also im August […]
Worst-Case-Szenario Datenleak – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriffe sind weiterhin in aller Munde und eine akute Bedrohung. Immer öfter erbeuten die Angreifergruppen zuvor aber auch sensible Datensätze der betroffenen Organisation bevor sie damit beginnen die Systeme zu verschlüsseln. Ein prominentes Beispiel aus dem vergangenen Jahr ist der Cyberangriff auf den DAX-Konzern Continental (hier nachzulesen). Teilweise haben es Angreifergruppen mittlerweile auch gezielt „nur“ […]
Ransomware-Angriff: Alles verschlüsselt! Was nun? – Blogreihe zum Thema Cybersecurity und Datenschutz
Ransomware-Angriff! Das Wort dürfte jedem Mitglied der Leitungsebene sowie den IT-Verantwortlichen einer Organisation einen kalten Schauer den Rücken herunterlaufen lassen. Denn die Folgen eines Ransomware-Angriffs sind oftmals verheerend und können im schlimmsten Fall existenzbedrohend sein. Seit Jahresbeginn waren erneut zahlreiche Unternehmen und öffentliche Organisationen betroffen und hatten mit den gravierenden Folgen zu kämpfen. Jüngst ist […]
DoS- und DDoS-Angriffe als Datenpanne – Blogreihe zum Thema Cybersecurity und Datenschutz
Ein häufiges Phänomen im Internet sind heutzutage sog. Denial-of-Service(DoS)- oder Distributed Denial-of-Service(DDoS)-Angriffe, die Websites oder Systeme – oftmals nur vorübergehend – außer Gefecht setzen. Bei diesen Attacken werden Server mit künstlichen, sinnlosen Anfragen überschwemmt. In der Folge kann es wegen der gezielten Überlastung zu Verzögerungen oder Ausfällen der betroffenen Ressourcen kommen. So meldete bspw. das […]
Horrorszenario Cyberangriff – Blogreihe zum Thema Cybersecurity und Datenschutz
Pro Tag erfolgen in Deutschland Tausende Cyberangriffe auf Unternehmen, öffentliche Stellen und Bildungseinrichtungen. Wer sich hierzu ein Bild machen möchte, kann sich z. B. auf Sicherheitstacho (Telekom), Threatmap (Fortiguard) oder auf der Website von Akamai verschiedene Arten von Cyberangriffen in Echtzeit anzeigen lassen. Was hier aussieht wie ein Computerspiel aus den 90ern ist die Veranschaulichung […]
„8.10 Information deletion“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die Norm ISO/IEC 27002 ist 2022 in neuem Gewand erschienen (wir berichteten) und hält einige neue Referenzmaßnahmen (sog. Controls) bereit, die wir in dieser Blogreihe näher betrachten. Das neue Control „8.10 Information deletion“ wird in der ebenfalls neu gewählten Struktur den „Technological controls“ zugeordnet. Die Maßnahme befasst sich mit der Löschung von Informationen und bezieht […]
„8.12 Data leakage prevention“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
„8.12 Data leakage prevention“ gehört zu den neuen Controls der ISO/IEC 27002:2022, die es in der bisherigen Version der Norm in dieser Form nicht gab. Data Leakage Prevention ist ein Feature in der Informationssicherheit, das sich in den letzten Jahren verstärkt in den Vordergrund gedrängt hat und das vielen Herstellern von Tools für die Informationssicherheit […]
„8.28 Secure coding“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe
Die sichere Programmierung von Anwendungen ist nicht erst durch neue Normen wie die ISO/IEC 27002 ein zentrales Gut von Unternehmen. Die Stichwortsuche „secure coding“ erzielt bei der Google-Suche 180.000.000 Treffer, entsprechend gibt es unzählige Berichte, Anleitungen und Grundsätze zu diesem Thema. Ein Grund mehr, sich mit der sicheren Entwicklung ausgiebig zu beschäftigen. Die ISO/IEC 27002 […]
Wie wir den „digitalen Euro“ auditieren würden
Was wäre, wenn wir den digitalen Euro einem Datenschutzaudit unterziehen bzw. geht das überhaupt? Dazu skizzieren wir in groben Zügen die Durchführung eines Datenschutzaudits. Der „digitale Euro“ – ein Überblick Aktuell steht sog. „Zentralbankgeld“, Guthaben bei der Zentralbank und Bargeld, der Öffentlichkeit nur in Form von Bargeld zur Verfügung. Dies soll sich vermutlich ändern, die […]
Unterschiede und Gemeinsamkeiten: Datenschutzaudit vs. „DSGVO-Zertifikat“
Willkommen beim 3. Teil der Reihe „Datenschutzaudit – Wieso, Weshalb, Warum?“. In diesem Beitrag werden Datenschutzzertifikat und Datenschutzaudit einander gegenübergestellt. Rechtliche Grundlagen Zunächst einmal lässt sich feststellen, dass im Gegensatz zum Datenschutzaudit das „DSGVO-Zertifikat“ gesetzlich normiert ist. Und das hat einen Grund: Durch klare Vorschriften und Anforderungen für die Zertifizierungsdienste soll ein zuverlässiges und transparentes […]
Muss ich ein Datenschutzaudit durchführen?
Anknüpfend an den ersten Blogbeitrag unserer Reihe „Datenschutzaudit – Wieso, Weshalb, Warum?“ soll heute die Frage beantwortet werden, inwiefern Datenschutzaudits verpflichtend sind. 1. Sinn und Zweck eines Datenschutzaudits Ein Datenschutzaudit dient der Überprüfung und Dokumentation von Verarbeitungsvorgängen hinsichtlich der Einhaltung der Anforderungen der DSGVO – sowohl in der Rolle eines Verantwortlichen als auch eines Auftragsverarbeiters. […]