:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/c2/4f/c24fa71856579436103293b63bbd631a/0112178358.jpeg "Die Kommunikationsschnittstelle MOVEit war kompromittiert. Die AOK hat deswegen die Verbindung vorläufig getrennt. Auch Verbraucherdaten waren möglicherweise offen zugänglich. (© Sven Krautwald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ziele und Hintergründe zum Entwurf der EU-Kommission Entwurf zu einem EU Data Act
Die EU-Kommission hat am 23.02.2022 einen Vorschlag für einen EU Data Act veröffentlicht. Mit diesem weiteren Baustein ihrer Europäischen Datenstrategie soll ein europäischer Binnenmarkt für Daten etabliert werden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Das Angebot von digital vernetzen Produkten (Internet of Things), bei denen Nutzungsdaten systematisch an die Hersteller oder Betreiber übertragen werden, hat stetig zugenommen. Beispielhaft auf Verbraucherseite sind Fitnessgeräte, sprachgesteuerte Assistenzsysteme wie Alexa oder Siri oder sogar vernetzte „Weiße Ware“. Doch auch in der Wirtschaft sind Erntemaschinen, Messtechnik oder Werkzeuge für Handwerker standardmäßig digital vernetzt.
Den so generierten Daten wohnt ein hohes wirtschaftliches Potenzial inne. Daher wird immer bedeutsamer, wer diese Daten und auf welche Art und Weise nutzen darf. Bisher sind die Nutzungsdaten in der Regel allein für die Hersteller/ Betreiber verfügbar, da die Daten in der dortigen Cloud verarbeitet werden. Dem Nutzer hingegen bleibt der Zugang zu den Daten verwehrt, obwohl er sie quasi erzeugt hat.
Genau hier setzt der EU Data Act nun an: Mit horizontaler Regulierung sollen künftig branchen- und sektorenübergreifend durchsetzbare Ansprüche auf Nutzung und Zugang zu diesen Nutzungsdaten geschaffen werden und so die faktischen „Daten-Monopole“ der Hersteller aufgebrochen werden. Neben dem horizontalen EU Data Act arbeitet die EU-Kommission an einer Reihe weiterer branchenspezifischer vertikaler Rechtsakte für die Nutzung von Daten, etwa für den Verkehrs- und den Gesundheitssektor.
Der EU Data Act ist mit dem EU Data Governance Act als Teil der Europäischen Datenstrategie in Zusammenhang zu sehen. Letzterer soll die Weiterverwendung bestimmter Daten des öffentlichen Sektors vereinfachen und den sogenannten Datenaltruismus fördern. Der EU Data Act hingegen macht Vorgaben, wer unter welchen Bedingungen Zugang zu Daten haben muss und wie vertragliche Vereinbarungen zur Nutzung von Daten und Cloud Services gestaltet werden sollten:
Datennutzungs- und Zugangsrechte für Nutzer
Für Unternehmen, die mindestens 50 Mitarbeiter und einen Jahresumsatz oder eine Bilanzsumme von mehr als 10 Millionen Euro haben, gibt Art. 3 des Verordnungsentwurfs („VO-E“) vor, vernetzte Produkte und zugehörige Services von vornherein so zu gestalten, dass die generierten Daten dem Nutzer direkt und leicht zugänglich sind. Darüber hinaus wird ein Katalog an Informationen definiert, welchem dem Nutzer vor Erwerb eines vernetzten Produkts mitgeteilt werden müssen. Hierzu zählen der Umfang der generierten Daten, wie der Nutzer auf diese zugreifen kann und ob diese kontinuierlich und in Echtzeit generiert werden. Art. 4 VO-E gewährt dem Nutzer das Recht, Zugang zu den durch die Nutzung des Produkts oder zugehörigen Services entstandenen Daten zu erhalten. Darüber hinaus räumt Art. 5 VO-E dem Nutzer das Recht ein, vom Hersteller zu verlangen, die durch die Nutzung entstandenen Daten kostenfrei an einen anderen Hersteller seiner Wahl zu übermitteln.
Für die Reichweite der Nutzungs- und Zugangsrechte des Nutzers ist der Begriff des „Produkts“ elementar. Art. 2 Nr. 2 VO-E definiert ein Produkt als greifbaren, beweglichen Gegenstand, der Daten über seinen Gebrauch oder die Umgebung erhebt oder generiert, über eine Internetanbindung Daten austauschen kann und dessen Hauptfunktion nicht in der Datenspeicherung oder -verarbeitung besteht. Hersteller von vernetzten Fitnessarmbändern, Kühlschränken oder Spielzeugen müssen dem Entwurf nach damit rechnen, dass Nutzer künftig ihre Datenzugangs- und Nutzungsrechte ihnen gegenüber geltend machen. Hingegen sind Anbieter von ausschließlich digitalen Diensten, deren Nutzung keine Hardware erfordert, vom Anwendungsbereich ausgenommen. Dies betrifft beispielsweise Streaming Plattformen wie Spotify, Netflix oder Anbieter von cloudbasierter Software.
Der Entwurf sieht weiterhin keine Möglichkeit einer Kompensation für den Nutzer für die Verwendung seiner Daten vor. Während dem Hersteller die Möglichkeit gegeben wird, mit dem Datenempfänger eine mögliche Entschädigung für die Bereitstellung der Daten zu vereinbaren (vgl. Art. 9 VO-E), verlangt der Verordnungsentwurf vom Nutzer eine „Datenspende“.
Zugangsrechte für den öffentlichen Sektor
Im Falle einer absoluten Notsituation („exceptional need“) können öffentliche Stellen die Herausgabe von Nutzungsdaten vom Datenhalter verlangen. Eine absolute Notsituation liegt vor, wenn die Datenanfrage zur Reaktion auf einen öffentlichen Notfall erforderlich sowie zeitlich und vom Umfang auf diesen Notfall begrenzt ist und die öffentliche Stelle nicht in der Lage ist, sich die Daten anderweitig zu beschaffen. Explizit ausgenommen sind Anfragen zur Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten oder der Vollstreckung von strafrechtlichen Sanktionen oder für die Zoll- oder Steuerverwaltung. Der Datenzugang wird angesichts der immanenten Gefahr einer „Datenhortung“ bzw. Vorratsdatenspeicherung und der damit verbundenen Überwachungsmöglichkeiten zurecht auf absolute Notsituationen beschränkt. Zudem könnte ein zu weit gehendes Datenzugangsrecht des öffentlichen Sektors gegenüber Unternehmen für Wettbewerbsverzerrungen sorgen.
Regulierung von Cloud- und IT-Services
Für Nutzer soll der Wechsel von Cloud- und IT Services erleichtert werden. Dazu dienen sollen Kündigungsfristen bis maximal 30 Tage, die Unzulässigkeit vertraglicher Hindernisse eines Anbieterwechsels, Datenportabilität, die graduelle Abschaffung von Wechselkosten sowie Interoperabilität.
Letztere ist auch essenziell für sogenannte Datenraumbetreiber („data space operators“). Unter dieser Definition fallen Betreiber von Cloud-Plattformen, mit deren Hilfe Dokumente und Informationen online gespeichert und mit anderen geteilt werden können. Nutzer von Datenräumen sollen ihre in einer Cloud gespeicherten Daten möglichst unkompliziert in die Cloud eines anderen Anbieters transferieren können. So sollen Datenraumbetreiber beispielsweise ausreichende Beschreibungen zu Datensätzen, Nutzungsbeschränkungen, Lizenzen, Methodik der Datenerhebung sowie der Datenqualität erstellen. Weiterhin sollen Datenstrukturen und -formate, Vokabulare, Klassifizierungsschemata und die technischen Mittel für den Zugang zu den Daten beschrieben und öffentlich sein.
Insgesamt geht die Kommission mit diesem Entwurf einen mutigen rechtspolitischen Schritt zur Förderung der Datenökonomie. Abzuwarten bleibt, ob und wie der Entwurf den Weg durch das komplexe EU-Gesetzgebungsverfahren nimmt.
Über den Autor: Dr. Peter Katko, licencié en droit ist Rechtsanwalt und Partner, Global Digital Law Leader bei EY Law.
(ID:48099347)
:quality(80)/images.vogel.de/vogelonline/bdb/1933100/1933125/original.jpg "Die Verordnung zum EU Data Act ist ein zentraler Baustein der 2020 vorgestellten europäischen Datenstrategie. (mixmagic - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1964100/1964140/original.jpg "EU-Datenschützer äußern bedenken bezüglich der im Data Act geplanten Notfallklausel (gopixa – stock.adobe.com)")