Schlagwort-Archive: DSGVO

EHDS

European Health Data Space (EHDS)

Einleitung

Gesundheitsdaten gelten als besonders sensibel und schützenswert. Dennoch sind sie für Wissenschaft, Forschung, Politik und Wirtschaft von zentraler Bedeutung, um medizinische Fortschritte zu erzielen, Pandemiesituationen vorherzusagen und gesundheitspolitische Entscheidungen zu treffen.

Der European Health Data Space (EHDS), auf Deutsch Europäischer Gesundheitsdatenraum, ist eine tragende Säule der Strategie für den EU-Datenbinnenmarkt. Er soll einen sicheren und regulierten Austausch von Gesundheitsdaten zwischen verschiedenen Akteuren ermöglichen. Dabei spielen Datenschutz und Cybersicherheit eine entscheidende Rolle.

Rechtlicher Rahmen

Der EHDS steht in engem Zusammenhang mit anderen gesetzlichen Regelungen, insbesondere:

Im März 2024 wurde eine grundsätzliche Einigung über den EHDS innerhalb der EU erzielt, allerdings ist er noch nicht in Kraft getreten.

Ziele des EHDS

Der EHDS verfolgt drei Hauptziele:

1. Infrastruktur und Technologie

Durch Harmonisierungsmaßnahmen soll der grenzüberschreitende Zugang zu Gesundheitsdienstleistungen innerhalb der EU erleichtert werden. Ein Beispiel ist das Einlösen von Rezepten in jeder Apotheke innerhalb der EU-Grenzen.

2. Datenqualität und Interoperabilität

Gesundheitsdaten sollen legal, länderübergreifend ausgetauscht und genutzt werden dürfen. Um dabei eine hohe Datenqualität zu gewährleisten, sollen EU-weite Standards geschaffen werden.

3. Definition der Datenverwaltung (Governance)

Basierend auf einer Analyse der nationalen Gesundheitssysteme sollen Regeln für die Zusammenarbeit auf EU-Ebene entwickelt werden.

Primärnutzung von Gesundheitsdaten

Der EHDS soll einen EU-weiten Rechtsanspruch auf einen schnellen und einfachen Zugang zu den eigenen elektronischen Gesundheitsdaten schaffen. Dies betrifft unter anderem:

  • Elektronische Patientenakten
  • Röntgenbilder
  • Impfnachweise
  • Rezepte

Gesundheitsberufe sollen ebenfalls Zugriff auf diese Daten erhalten, wobei Patientinnen und Patienten darüber informiert werden.

Zur Umsetzung dieser Vorgaben wird eine zentrale EU-Plattform für digitale Gesundheitsdienste eingerichtet, die mit nationalen Kontaktstellen zusammenarbeitet. Darüber hinaus soll ein einheitliches europäisches Austauschformat für elektronische Patientenakten eingeführt werden.

Jeder EU-Mitgliedstaat muss eine digitale Gesundheitsbehörde bestimmen, die für die Durchsetzung der EHDS-Vorgaben verantwortlich ist. Sie wird auch Patientenbeschwerden bearbeiten.

Sekundärnutzung von Gesundheitsdaten

Die EHDS-Verordnung regelt auch die sogenannte Sekundärnutzung von Gesundheitsdaten. Dies betrifft die datenschutzkonforme Nutzung durch:

  • Wissenschaft
  • Forschung
  • Bildung
  • Wirtschaft
  • Öffentliche Einrichtungen

Für die Nutzung anonymisierter oder pseudonymisierter Gesundheitsdaten ist ein Antragsverfahren vorgesehen. Eine Zugangsstelle für Gesundheitsdaten in jedem EU-Mitgliedstaat prüft, ob die Sekundärnutzung einem legitimen Zweck dient, z. B.:

  • Wissenschaftliche Forschung
  • Entwicklung von Medizinprodukten
  • Training von KI-Systemen

Bestimmte Nutzungszwecke sind jedoch ausdrücklich ausgeschlossen, darunter:

  • Werbung
  • Anpassung von Versicherungsprämien

Patientinnen und Patienten haben ein Widerspruchsrecht, sodass sie entscheiden können, ob ihre Daten für Forschungszwecke genutzt werden dürfen oder nicht.

Nationale Regelungen

Ergänzende Vorschriften finden sich in Deutschland in folgenden Gesetzen:

  • Digitalgesetz
  • Gesundheitsdatennutzungsgesetz (seit 26. März 2024 in Kraft)
  • Patientendatenschutzgesetz (seit Oktober 2020 in Kraft)

Gemäß EHDS können EU-Mitgliedstaaten ein spezifisches Widerspruchsrecht in Bezug auf die Verarbeitung elektronischer Patientenakten einführen. Die in Deutschland bestehende Opt-out-Lösung bleibt somit erhalten.

Fazit

Der European Health Data Space (EHDS) bietet zahlreiche Möglichkeiten für einen sicheren und effizienten Umgang mit Gesundheitsdaten in der EU. Durch die Harmonisierung von Datenstandards und rechtlichen Rahmenbedingungen wird eine bessere Interoperabilität erreicht. Gleichzeitig bleiben Datenschutz und individuelle Entscheidungsfreiheit der Patientinnen und Patienten zentrale Elemente des Systems.

DSGVO

Datenschutzgrundverordnung (DSGVO) und IT-Sicherheit

Die Datenschutzgrundverordnung (DSGVO) regelt den richtigen Umgang mit personenbezogenen Daten. Da es sich hierbei um einen weitreichenden Begriff handelt, begegnen uns personenbezogene Daten in fast allen Bereichen des Arbeitsalltags. Anonyme Daten wie reine Statistiken oder Maschinendaten fallen nicht in den Anwendungsbereich der DSGVO. Sobald jedoch ein Personenbezug besteht, greifen die datenschutzrechtlichen Vorgaben.

Ein zentraler Aspekt der DSGVO ist der Schutz der Daten durch angemessene Maßnahmen. Besonders relevant ist hier Artikel 32 DSGVO, der technische und organisatorische Maßnahmen (TOMs) zur Absicherung der Datenverarbeitung fordert. Ziel ist es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Technische und organisatorische Maßnahmen (TOMs) nach Artikel 32 DSGVO

Artikel 32, Absatz 1 DSGVO beschreibt verschiedene Schutzmaßnahmen, die Unternehmen und Organisationen umsetzen müssen:

  1. Pseudonymisierung und Verschlüsselung von Daten.
  2. Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Datenverarbeitung.
  3. Schnelle Wiederherstellung der Verfügbarkeit der Daten und des Zugangs zu ihnen bei einem physischen oder technischen Zwischenfall.
  4. Regelmäßige Überprüfung, Bewertung und Evaluierung der TOMs, um deren Wirksamkeit sicherzustellen.

Allerdings enthält die DSGVO – abgesehen von Pseudonymisierung und Verschlüsselung – keine konkreten Maßnahmen, sondern beschreibt allgemeine Gewährleistungsziele. Jede verantwortliche Stelle muss selbst entscheiden, welche spezifischen TOMs erforderlich sind.

Risikobasierter Ansatz für IT-Sicherheit

Gemäß Artikel 32 DSGVO müssen verschiedene Faktoren bei der Auswahl und Implementierung der TOMs berücksichtigt werden:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Datenverarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos

Dabei steht nicht das Risiko des Unternehmens im Vordergrund, sondern das Risiko für die betroffenen Personen, deren Daten verarbeitet werden. Es gilt zu verhindern, dass Daten verloren gehen, verändert werden oder unbefugten Dritten zugänglich sind.

Praktische Beispiele für TOMs

Folgende Maßnahmen können zur Umsetzung der Anforderungen aus Artikel 32 DSGVO beitragen:

  • Aktuelle Betriebssysteme und regelmäßige Updates
  • Antivirus-Software und Firewalls
  • Sichere Backup-Strategien
  • Passwortrichtlinien und Multi-Faktor-Authentifizierung
  • Physische Schutzmaßnahmen (Alarmanlagen, Überwachungskameras, Zugangskontrollen)
  • Schulungen und Sensibilisierung der Mitarbeiter
  • Datenschutzrichtlinien und Betriebsvereinbarungen

Die konkrete Auswahl und Umsetzung dieser Maßnahmen sollte auf einem risikobasierten Ansatz beruhen:

  1. Welche Werte müssen geschützt werden?
  2. Welche Risiken bestehen?
  3. Welche Maßnahmen sind erforderlich?
  4. Wie wird die Wirksamkeit der Maßnahmen überprüft?

Unterstützung durch etablierte Standards

Unternehmen müssen nicht alle Sicherheitsmaßnahmen selbst definieren, sondern können sich an bewährten Sicherheitsstandards orientieren:

  • IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • Standard-Datenschutzmodell (SDM) der deutschen Datenschutzaufsichtsbehörden
  • ISO 27001 (Informationssicherheitsmanagement)
  • ISO 27701 (Datenschutzmanagementsystem als Ergänzung zur ISO 27001)

Datenschutz und IT-Sicherheit – Ein gemeinsames Ziel

Die Einhaltung der DSGVO führt nicht nur zur Erfüllung gesetzlicher Vorgaben, sondern trägt auch zur allgemeinen IT-Sicherheit eines Unternehmens bei. Sichere personenbezogene Daten bedeuten auch besseren Schutz für Geschäftsgeheimnisse und andere sensible Informationen. Neben der DSGVO gibt es hierzu ergänzende gesetzliche Regelungen wie das Geschäftsgeheimnisgesetz (GeschGehG).

Fazit

Unternehmen, Behörden und Vereine müssen die Anforderungen von Artikel 32 DSGVO einhalten und geeignete TOMs zur Absicherung personenbezogener Daten implementieren. Ein umfassender, risikobasierter Ansatz und die Nutzung etablierter Sicherheitsstandards sind essenziell, um Datenschutz und IT-Sicherheit wirksam umzusetzen.

Überblick EU-Datenräume

Überblick EU-Datenräume

Die EU-Datenstrategie verfolgt das Ziel, eine datengesteuerte Wirtschaft zu schaffen und einen Binnenmarkt für Daten zu etablieren. Dies umfasst sowohl personenbezogene als auch nicht-personenbezogene Daten sowie sensible Geschäftsdaten, die im Einklang mit den EU-Vorschriften und Werten sicher und nahtlos über Grenzen und Sektoren hinweg fließen können. Dies soll Unternehmen und Bürgern gleichermaßen zugutekommen.

Ein rechtlicher Rahmen für den Datenaustausch wird insbesondere durch den Data Act und den Data Governance Act gesetzt. Weitere wichtige Regelwerke sind der Digital Markets Act und der Digital Services Act, die große Online-Plattformen regulieren, sowie die Open Data Richtlinie, die die Weiterverwendung öffentlicher Daten ermöglicht.

Hauptmerkmale des EU-Datenraums

  • Sichere und datenschutzfreundliche Infrastruktur für die Zusammenführung, Nutzung und Verarbeitung von Daten.
  • Fairer, transparenter und nicht diskriminierender Zugang zu Daten.
  • Vertrauenswürdige Datenverwaltungsmechanismen, unter Berücksichtigung europäischer Vorschriften und Werte.
  • Schutz personenbezogener Daten durch die DSGVO und das Bundes- sowie Landesdatenschutzgesetz.
  • Regulierung der Cybersicherheit durch die NIS2-Richtlinie, das NIS-2-Umsetzungsgesetz, das IT-Sicherheitsgesetz 2.0, den Cyber Resilience Act, den Cybersecurity Act und das Geschäftsgeheimnisgesetz.
  • Schutz kritischer Infrastrukturen durch die CER-Richtlinie und das KRITIS-Dachgesetz.
  • Sicherstellung der Finanzmarktstabilität durch DORA und die Mindestanforderungen an das Risikomanagement (MaRisk).
  • Normen für die Automobilbranche durch TISAX.
  • Regulierung von Online-Plattformen durch den Digital Services Act und den Digital Markets Act.
  • Künstliche Intelligenz und Produktsicherheit durch die KI-Verordnung, die KI-Haftungsrichtlinie, die Produkthaftungsrichtlinie und die Produktsicherungsverordnung.
  • Verbraucherschutz für digitale Inhalte und Waren durch die Richtlinie über digitale Inhalte und die Warenverkaufsrichtlinie.
  • Zertifizierungsanforderungen für ISMS durch den BSI IT-Grundschutz.
  • Regulierung der digitalen Identität durch die eIDAS-Verordnung 2.0.
  • Stärkung der Cyberresilienz durch den Cyber Solidarity Act.

Sektorale EU-Datenräume

Um die Datenstrategie umzusetzen, entwickelt die EU Datenräume in 14 Sektoren:

  1. Landwirtschaft
  2. Kulturerbe
  3. Energie
  4. Finanzen
  5. Green Deal (Umwelt)
  6. Gesundheit
  7. Sprache
  8. Industrie (verarbeitendes Gewerbe)
  9. Medien
  10. Mobilität
  11. Öffentliche Verwaltung
  12. Forschung und Innovation
  13. Qualifikationen
  14. Tourismus

Die Implementierung dieser Datenräume erfordert sowohl technische als auch gesetzliche Voraussetzungen, die durch spezifische Vorschriften geregelt werden. Besonders im Gesundheitsdatenraum gibt es bereits erste Initiativen. Generell legt die EU verstärkt Wert auf Sicherheitsaspekte in ihren gesetzlichen Regelungen.

KI-Gesetz in Deutschland

Das KI-Gesetz in Deutschland: Chancen, Herausforderungen und Auswirkungen auf Wirtschaft und Gesellschaft

Die Künstliche Intelligenz (KI) revolutioniert unsere Welt in rasantem Tempo. Von autonom fahrenden Autos bis hin zu personalisierten Medizinlösungen – KI-Technologien sind aus unserem Alltag nicht mehr wegzudenken. Angesichts dieser Entwicklung stellt sich die Frage: Wie reagiert Deutschland rechtlich auf diese Veränderungen? Gibt es ein spezifisches KI-Gesetz, und welche Fragestellungen ergeben sich daraus für verschiedene Zielgruppen?

Aktueller Stand der KI-Regulierung in Deutschland

Obwohl es in Deutschland bislang kein spezifisches "KI-Gesetz" gibt, arbeiten sowohl nationale als auch europäische Institutionen intensiv an Regulierungsrahmen, um den Einsatz von KI verantwortungsvoll zu gestalten. Besonders hervorzuheben ist der Entwurf der Europäischen Union für eine KI-Verordnung, bekannt als EU AI Act, der direkte Auswirkungen auf Deutschland haben wird.

Der EU AI Act: Ein Überblick

Der EU AI Act zielt darauf ab, einen harmonisierten Rechtsrahmen für KI innerhalb der Europäischen Union zu schaffen. Er sieht eine risikobasierte Regulierung vor, die KI-Anwendungen je nach ihrem potenziellen Risiko für die Gesellschaft in verschiedene Kategorien einteilt:

  • Unvertretbares Risiko: KI-Anwendungen, die als Bedrohung für Sicherheit, Lebensunterhalt oder Rechte von Personen angesehen werden, sollen verboten werden (z. B. Social Scoring durch Regierungen)
  • Hohes Risiko: Anwendungen, die in kritischen Bereichen wie Gesundheit, Verkehr oder Justiz eingesetzt werden, unterliegen strengen Auflagen
  • Geringes oder minimales Risiko: Für die meisten KI-Systeme gelten weniger strenge oder keine spezifischen Anforderungen

Interessante Fragestellungen

  1. Wie wird ethische Verantwortung sichergestellt?
    • Die Frage der ethischen KI-Nutzung ist zentral. Wie können Algorithmen diskriminierungsfrei und transparent gestaltet werden?
  2. Welche Pflichten haben Unternehmen?
    • Unternehmen müssen Compliance-Anforderungen erfüllen, darunter Risikobewertungen, Dokumentationspflichten und Transparenzvorgaben
  3. Wie beeinflusst die Regulierung Innovation?
    • Es besteht die Sorge, dass zu strenge Regeln die Innovationskraft hemmen könnten. Wie kann ein Gleichgewicht zwischen Sicherheit und Fortschritt gefunden werden?
  4. Welche Sanktionen drohen bei Verstößen?
    • Geplant sind erhebliche Bußgelder, die sich an denen der DSGVO orientieren und bis zu 6% des weltweiten Jahresumsatzes betragen können
  5. Wie werden personenbezogene Daten geschützt?
    • Inwieweit überschneiden sich KI-Regulierung und Datenschutz, und wie können synergetische Effekte genutzt werden?

Relevante Zielgruppen

  • Unternehmen und Start-ups: Besonders solche, die KI entwickeln oder einsetzen, müssen sich auf neue Compliance-Anforderungen einstellen
  • Öffentliche Einrichtungen: Behörden, die KI für Verwaltungszwecke nutzen, sind ebenfalls betroffen, insbesondere im Bereich der automatisierten Entscheidungsfindung
  • Verbraucherinnen und Verbraucher: Sie profitieren von erhöhtem Schutz, müssen aber auch über ihre Rechte informiert werden
  • Wissenschaft und Forschung: Forschungsinstitute müssen abwägen, wie offene Innovation mit regulatorischen Anforderungen vereinbart werden kann

Antworten auf die Fragestellungen

  1. Ethische Verantwortung sicherstellen
    • Unternehmen sollten Ethik-Richtlinien entwickeln und ethische Aspekte bereits in der Entwicklungsphase berücksichtigen ("Ethics by Design"). Interdisziplinäre Teams können helfen, blinde Flecken zu vermeiden
  2. Pflichten für Unternehmen
    • Es ist ratsam, ein Compliance-Management-System einzuführen, das speziell auf KI-Anwendungen zugeschnitten ist. Dazu gehören regelmäßige Audits und Schulungen für Mitarbeitende
  3. Einfluss auf Innovation
    • Durch Investitionen in Forschung und Entwicklung sowie die Förderung von "Regulatory Sandboxes" können Unternehmen Innovation fördern und gleichzeitig regulatorischen Anforderungen gerecht werden
  4. Sanktionen bei Verstößen
    • Um Bußgelder zu vermeiden, sollten Unternehmen frühzeitig rechtlichen Rat einholen und interne Prozesse an die neuen Anforderungen anpassen
  5. Schutz personenbezogener Daten
    • Die Integration von Datenschutzkonzepten wie "Privacy by Design" ist essenziell. KI-Systeme sollten so konzipiert sein, dass sie nur die notwendigsten Daten verarbeiten

Ausblick und Empfehlungen

Die Regulierung von KI stellt eine wichtige Weichenstellung für die Zukunft dar. Sie bietet die Chance, Vertrauen in neue Technologien zu schaffen und gleichzeitig Innovation zu fördern. Unternehmen und Institutionen sollten die kommenden Regelungen nicht als Hürde, sondern als Möglichkeit sehen, nachhaltige und verantwortungsvolle KI-Lösungen zu entwickeln.

Empfehlungen:

  • Frühzeitige Auseinandersetzung: Informieren Sie sich proaktiv über aktuelle Entwicklungen und passen Sie Ihre Strategien entsprechend an.
  • Interdisziplinäre Zusammenarbeit: Technik, Recht und Ethik sollten Hand in Hand gehen, um ganzheitliche Lösungen zu erarbeiten.
  • Transparenz fördern: Offene Kommunikation über KI-Einsatz stärkt das Vertrauen von Kunden und Partnern.

Interessante Fakten

  • Künstliche Intelligenz wird immer mehr zu einem entscheidenden Wirtschaftsfaktor. Länder, die frühzeitig auf die richtigen Rahmenbedingungen setzen, können einen Wettbewerbsvorteil erzielen.
  • Deutschland investiert verstärkt in KI-Forschung und -Entwicklung, um im globalen Vergleich eine führende Position einzunehmen.

Fazit

Das kommende KI-Regulierungsumfeld, sowohl auf EU- als auch auf nationaler Ebene, wird einen tiefgreifenden Einfluss auf verschiedene Bereiche haben. Es liegt an den Akteuren, die Herausforderungen anzunehmen und die Chancen zu nutzen, um eine verantwortungsvolle und zukunftsorientierte KI-Landschaft in Deutschland zu gestalten.

Wussten Sie schon? Die Diskussion um KI-Regulierung ist nicht nur eine rechtliche, sondern auch eine gesellschaftliche Aufgabe. Jeder von uns kann dazu beitragen, indem wir uns informieren und aktiv am Diskurs teilnehmen.