Wiesbadener-Kreis

Zum 14.05.2024 wurde das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Außerdem ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) nun das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Es müssen daher folgende Änderungen auf Webseiten vorgenommen werden:

In den Datenschutzhinweisen ist oftmals der Hinweis auf § 25 Abs. 1 TTDSG enthalten, insbesondere, wenn es um die Nennung der Gesetzesgrundlage für Einwilligungen im Bereich von Tracking Tools, wie z.B. Google Analytics, geht. Bitte ändern Sie die Vorschrift ab. Dies bedeutet nunmehr, dass es § 25 Abs. 1 TDDDG und nicht mehr § 25 Abs. 1 TTDSG heißen muss.

Sollten sie auf Ihrer Impressumsseite den § 5 TMG genannt haben, ändern Sie das bitte auf § 5 DDG um.

Damit haben Sie dann Ihre Website aktuell.

Die neue Version des TISAX VDA ISA Katalogs ist jetzt verfügbar. Diese aktualisierte Version enthält erweiterte Anforderungen, die auf die neuesten Sicherheitsstandards abgestimmt sind. Unternehmen wird empfohlen, sich mit den neuen Vorgaben vertraut zu machen, um ihre Daten weiterhin optimal zu schützen.

TISAX (Trusted Information Security Assessment Exchange) ist von großer Bedeutung für die Automobilindustrie, da es eine einheitliche Bewertung der Informationssicherheit ermöglicht. Mit einer TISAX-Zertifizierung können Unternehmen ihren Geschäftspartnern und Kunden nachweisen, dass sie hohen Sicherheitsstandards entsprechen und in der Lage sind, sensible Informationen effektiv zu schützen. Die Einhaltung dieser Standards bietet einen entscheidenden Vorteil in einer Zeit, in der Datenschutz und Informationssicherheit immer wichtiger werden.

Einleitung

Die am 21.05.2024 verabschiedete KI-Verordnung (AI-Act) ist das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz. Es wird erwartet, dass viele Branchen sich zukünftig intensiv mit dieser Verordnung auseinandersetzen müssen.

Geplant ist, dass die KI-Verordnung 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft tritt. Die Veröffentlichung im Amtsblatt der Europäischen Union ist für Juni/Juli 2024 vorgesehen.

Anschließend wird ein gestaffeltes System an Übergangsfristen in Kraft treten. Zunächst werden 6 Monate nach Inkrafttreten die Vorschriften über verbotene KI-Systeme gelten, deren Nutzung eingestellt werden muss. 24 Monate nach Inkrafttreten werden die übrigen Vorgaben der KI-Verordnung, wie etwa die Transparenzpflichten für generative KI-Systeme, gelten. Eine Ausnahme bilden die Pflichten in Bezug auf Hochrisiko-KI-Systeme, für die eine Übergangsfrist von 36 Monaten nach Inkrafttreten vorgesehen ist.

Der Zweck der Verordnung ist, wie aus Art. 1 I KI-VO hervorgeht, die Stärkung des gesellschaftlichen Vertrauens in KI-Anwendungen. Aus diesem Grund werden Compliance-Anforderungen an die KI gestellt, die im Verhältnis zu den jeweiligen drohenden Grundrechtseingriffen stehen. Mit diesem risikobasierten Ansatz soll die KI-Verordnung flexibel auf zukünftige technische Entwicklungen reagieren können. Für betroffene Unternehmen dürften die Herausforderungen vor allem in der formellen Durchführung des Zertifizierungsverfahrens und der Implementierung des Compliance-Managementsystems liegen.

Überblick über wesentliche Inhalte

Ein Hauptaugenmerk verdient die in Art. 3 Nr. 1 KI-VO enthaltene Definition von Künstlicher Intelligenz, die maßgeblich für den sachlichen Anwendungsbereich ist und anhand derer die jeweiligen Anforderungen bei der Entwicklung und dem Einsatz der KI festgelegt werden.

Demnach ist ein KI-System ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann, nach dem Einsatz Anpassungsfähigkeit zeigt und explizite oder implizite Ziele aus den Eingaben ableitet, um Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erzeugen, die physische oder virtuelle Umgebungen beeinflussen können.

Diese weitreichende Definition wird durch die Erwägungsgründe der KI-Verordnung genauer spezifiziert und eingeschränkt. So wird z.B. in Erwägungsgrund 12 ausdrücklich klargestellt, dass eine Anwendung nicht als KI im Sinne der Norm angesehen wird, wenn sie auf Grundlage von Menschen aufgestellten Regeln automatisch erfolgt. Vielmehr setzt eine KI ein eigenständiges Schlussfolgern voraus: „Ein wesentliches Merkmal von KI ist ihre Fähigkeit, abzuleiten.“

A) Anwendungsbereich

Aufgrund der digitalen Natur von KI-Systemen und der Möglichkeit der fortwährenden Weiterentwicklung während des Betriebs, ist das Ziehen von eindeutigen Grenzen hinsichtlich der Anwendbarkeit der KI-VO mitunter schwierig.

Zeitlicher Anwendungsbereich

In zeitlicher Hinsicht verfolgt die KI-VO das Ziel, KI während ihres gesamten Lebenszyklus zu regulieren. Dies bedeutet, dass die KI-VO nicht nur Anforderungen an die Entwicklung von KI aufstellt, sondern auch zahlreiche Pflichten nach dem Inverkehrbringen, beispielsweise Überwachungspflichten, vorsieht. Dies ist aus dem Blickwinkel des Produkthaftungsrechts nichts Neues. Die Pflicht, das jeweilige Produkt nach dem Inverkehrbringen zu überwachen, ist seit jeher ein fester Bestandteil des Produkthaftungsrechts.

Persönlicher Anwendungsbereich

Der persönliche Anwendungsbereich umfasst sowohl die Betreiber (Deployer) als auch die Anbieter (Provider). Gemäß Art. 3 Nr. 4 KI-VO ist der Betreiber die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System unter ihrer Aufsicht einsetzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet.

Gemäß Art. 3 Nr. 3 KI-VO ist der Anbieter die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.

Örtlicher Anwendungsbereich

Der örtliche Anwendungsbereich erfasst gemäß Art. 2 I a) KI-VO Anbieter, die in der Union ein KI-System oder ein System mit allgemeinem Verwendungszweck in den Verkehr bringen oder es dort in Betrieb nehmen. Außerdem umfasst er Betreiber, die ihren Sitz in der Union haben. Neben dem Niederlassungsprinzip findet auch das Marktortsprinzip Anwendung.

Die KI-VO adressiert also auch Anbieter und Betreiber, die ihren Sitz in einem Drittstaat haben, deren KI-System aber in der Union wirkt. So soll verhindert werden, dass Unternehmen in Drittstaaten die Anforderungen der KI-VO nicht beachten müssen.

(wird in Überblick KI-Verordnung Teil 2 fortgeführt)

B) Risikobasierter Ansatz der KI-Verordnung

Die KI-VO verfolgt, wie im Überblick KI-Verordnung Teil 1 bereits beschrieben, einen risikobasierten Ansatz. Dies bedeutet, dass der Grad der Regulierung von der Schwere der Risiken, die von den KI-Anwendungen ausgehen, abhängt. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt. Generell werden KI-Systeme in vier Kategorien unterteilt:

• Nach Art. 5 I KI-VO in KI-Systeme für verbotene Praktiken
• Nach Art. 6 KI-VO in Hochrisiko-Systeme
• Nach Art. 50 KI-VO in KI-Systeme mit beschränktem Risiko
• Nach Art. 95 KI-VO in KI-Systeme mit geringem Risiko

Zusätzliche Voraussetzungen werden für Systeme mit allgemeinem Verwendungszweck gefordert. Dazu später mehr. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt.

a) Verbotene Praktiken

Verbotene Praktiken werden in Art. 5 KI-VO aufgezählt. Es wird davon ausgegangen, dass die von diesen Systemen ausgehende Gefahr für die Betroffenen zu gravierend ist, um eine Nutzung zu genehmigen. So ist z.B. das Inverkehrbringen, die Inbetriebnahme sowie die Verwendung von KI zur unterschwelligen Beeinflussung außerhalb des Bewusstseins eines Menschen verboten, wenn diese Beeinflussung wesentlich ist und darauf abzielt, dieser oder einer anderen Person physischen oder psychischen Schaden zuzufügen.

b) Hochrisikosysteme

Die Regelung von KI-Hochrisikosystemen stellt einen Großteil der KI-Verordnung dar. Eine genaue Definition für Hochrisikosysteme hat der europäische Gesetzgeber nicht in das Gesetz eingefügt. Er setzt vielmehr darauf, hier möglichst anpassungsfähig zu bleiben und keine zu engen Grenzen zu setzen. Anknüpfungspunkte sind daher auf Art. 6 KI-VO und Art. 7 KI-VO verteilt. Gemäß Art. 6 I KI-VO liegt ein Hochrisikosystem vor, wenn es als Sicherheitskomponente für ein Produkt verwendet wird oder selbst ein Produkt ist, das bestimmten EU-Regulierungen unterliegt. In Art. 7 I KI-VO wird die EU-Kommission dazu ermächtigt, einen Katalog von Lebenssachverhalten bzw. Anwendungen zu erstellen, die unter diese Definition fallen. Weitere Anwendungsfälle können von der EU-Kommission zukünftig hinzugefügt werden. So wurden z.B. als Hochrisikosysteme KI-Systeme bestimmt, die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern.

Anforderungen an Hochrisikosysteme

In den Art. 8 ff. KI-VO werden die Compliance-Voraussetzungen für Hochrisiko-KI-Systeme definiert. Zentrale Vorschrift dürfte hier der Art. 9 KI-VO sein, die zur Einrichtung eines Risikomanagementsystems verpflichtet, das den gesamten Lebenszyklus der KI umfasst. Die Risikoanalyse soll hierbei die Gefahren im Hinblick auf Gesundheit, Sicherheit und Grundrechte berücksichtigen, die das KI-System bei einer zweckgemäßen Verwendung mit sich bringt.

c) KI-Systeme mit beschränktem Risiko

Sowohl für Betreiber als auch Anbieter von KI-Systemen mit beschränktem Risiko statuiert Art. 50 KI-VO Informationspflichten. Der Nutzer muss darüber aufgeklärt werden, dass er mit einer KI interagiert, um sich darauf vorbereiten zu können. So müssen KI-Systeme nach Art. 50 I KI-VO derart gestaltet werden, dass eine normale Person eindeutig erkennt, dass sie mit einer KI interagiert.

d) KI-Systeme mit minimalem Risiko

Für KI-Systeme, die weder unter Art. 50 KI-VO fallen noch ein Hochrisikosystem darstellen, kann gemäß Art. 95 KI-VO freiwillig ein Verhaltenskodex befolgt werden. Dies soll nach Aussage des Gesetzgebers dazu dienen, das gesellschaftliche Vertrauen in KI-Anwendungen zu stärken.

e) Sonderbestimmungen für KI-Systeme mit allgemeinem Verwendungszweck

Für KI-Systeme mit allgemeinem Verwendungszweck gelten gemäß Art. 51 ff. KI-VO zusätzliche Pflichten, die neben den Anforderungen der jeweiligen Stufe erfüllt werden müssen.

Es ist zu beachten, dass diese zusätzlichen Pflichten ausschließlich für Anbieter von sogenannten GPAI (General Purpose Artificial Intelligence) gelten. Betreiber solcher Systeme sind von diesen zusätzlichen Pflichten nicht betroffen.

Ein GPAI-Modell ist ein KI-Modell, das, selbst wenn es mit großen Datenmengen unter Verwendung von Selbstüberwachung in großem Maßstab trainiert wurde, eine erhebliche Allgemeinheit aufweist und in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent zu erfüllen. Dies gilt unabhängig davon, wie das Modell auf den Markt gebracht wird. Es kann in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden, mit Ausnahme von KI-Modellen, die für Forschungs-, Entwicklungs- oder Prototyping-Zwecke verwendet werden, bevor sie auf den Markt gebracht werden.

Ein bekanntes Beispiel für ein GPAI-Modell ist derzeit ChatGPT.

Unternehmen, die beabsichtigen, KI-Systeme einzusetzen oder bereits einsetzen, müssen daher eine Reihe von Aspekten berücksichtigen. Es wird dringend empfohlen, sich durch die Einrichtung einer KI-Compliance sich entsprechend vorzubereiten.

NIS2UmsuCG – eine kompliziert klingende Buchstabenkette – kommt noch in diesem Jahr auf uns zu und bedeutet übersetzt NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Mit seiner Einführung wird das Gesetz schätzungsweise mindestens 30 Tausend Unternehmen betreffen.

Wichtig ist also, dass Sie prüfen, ob Sie ebenfalls darunter fallen. Das ist der Fall, wenn Sie zu den „wesentlichen“ und „wichtigen“ Einrichtungen gehören, oder aber wenn Sie KRITIS Betreiber sind. Bis Oktober 2024 ist mit dem Abschluss des Gesetzgebungsverfahrens zu rechnen.

In jedem Fall müssen Sie sich also mit den Vorschriften beschäftigen, wenn Sie in den folgenden Sektoren tätig sind:

Wesentlich: Energie, Transport, Bankwesen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, IKT Service Management, Verwaltung, Finanzmarkt, Raumfahrt,
oder
Wichtig: Post, Abfallwirtschaft, Industrie, digitale Dienste, Forschung, chemische Betriebe, Nahrungsmittelgewerbe,

und wenn Sie ab 50 Mitarbeitern beschäftigen und 10 Millionen Jahresumsatz erwirtschaften.

Wichtig ist aber zu beachten, dass auch kleine Unternehmen in den Anwendungsbereich fallen können, die weniger Umsatz generieren oder weniger Mitarbeitende haben. Üben diese kritischen Tätigkeiten aus, welche Auswirkungen auf die öffentliche Ordnung haben können, oder aber sind grenzüberscheitende Auswirkungen damit verbunden, sind diese ebenfalls betroffen.

Von besonderer Bedeutung ist die NIS 2 Richtlinie auch für Geschäftsführer und Vorstände, da diese in die Verantwortung genommen werden. Konkret bedeutet dies, dass diese Personen das Risikomanagement billigen und auch überwachen müssen.

Kommen sie diesen Pflichten nicht nach, kann dies auch eine persönliche Haftung bedeuten. Auch mangelnde oder nicht ausreichende Vorbereitungshandlungen können eine solche Haftung bereits begründen.

In jedem Fall sollte hier also schnell gehandelt werden und – wenn nötig – auch professionelle Unterstützung herbeigeholt werden. Im Rahmen unserer Informationspflichten weisen wir Sie darauf besonders hin. Auch die GINDAT kann Sie dabei in allen Phasen des Prozesses unterstützen. Zuletzt haben wir im Rahmen unserer ITQC Veranstaltung einen Überblick über diese Thematik referiert, um Sie zu sensibilisieren. Kommen Sie gerne auf uns zu, wenn Sie Fragen oder Unklarheiten haben. Unser Team steht Ihnen jederzeit zur Verfügung.

Das geplante EU-Lieferkettengesetz hat eine entscheidende Hürde überwunden: Trotz Widerständen in der deutschen Bundesregierung unterstützt eine Mehrheit der EU-Staaten das Gesetz zum Schutz der Menschenrechte. Es soll sicherstellen, dass europäische Unternehmen die Einhaltung von Menschenrechts- und Umweltstandards in ihren Lieferketten garantieren – auch bei ihren Lieferanten. Unternehmen müssen künftig nachweisen, dass ihre importierten Produkte aus Drittländern ohne Kinderarbeit oder Umweltschäden hergestellt wurden. Der verabschiedete Entwurf ist weniger streng als ursprünglich vorgesehen: Das Gesetz gilt nun für Unternehmen ab 1.000 Beschäftigten und einem Jahresumsatz von mindestens 450 Millionen Euro, anstatt wie zunächst geplant ab 500 Beschäftigten und 150 Millionen Euro Umsatz. Die Möglichkeit einer zivilrechtlichen Haftung wurde ebenfalls abgeschwächt. Die EU-Mitgliedstaaten, das EU-Parlament und die Kommission hatten sich bereits im Dezember auf das Gesetz geeinigt.

Was Unternehmen nun beachten müssen:

• Sorgfaltspflichten: Durchführung von Risikoanalysen und Ergreifung präventiver Maßnahmen.
• Dokumentation: Regelmäßige Berichte über die Einhaltung von Standards müssen erstellt und öffentlich zugänglich gemacht werden.
• Beschwerdemechanismen: Einrichtung von Systemen zur anonymen Meldung von Verstößen.
• Vertragsanpassungen: Sicherstellung, dass Lieferanten die Standards einhalten.
• Datenschutz: Einhaltung der DSGVO bei der Datenverarbeitung.

Aufgrund unserer Informationspflichten als Ihre externen Datenschutzbeauftragten möchten wir Sie für diese Themen sensibilisieren und stehen Ihnen bei Fragen jederzeit gerne zur Verfügung.

Für einen Cloudanbieter aus Dänemark sind die schlimmsten Folgen eingetreten, die für ein Unternehmen mit einem Hackerangriff einhergehen können.

Im August des vergangenen Jahres wurde das betroffene Unternehmen Opfer eines großen Hackerangriffs, wie er jederzeit die verschiedensten Unternehmen aus diversen Branchen treffen kann. Die Angreifer haben es geschafft, in die Verwaltungssysteme des Unternehmens einzudringen. Durch diesen Zugriff gelang es Ihnen, zum einen die Unternehmensdaten und zum anderen auch die Daten der Kunden zu verschlüsseln. Mit dieser Verschlüsselung wurde das Unternehmen komplett handlungsunfähig, die Daten sind unwiederbringlich verloren gegangen.

Der Zugriff war den kriminellen aufgrund eines Serverumzugs in ein anderes Rechenzentrum möglich. Durch diesen Umzug waren die Verwaltungs- und Backupsysteme des Unternehmens vorübergehend mit Servern, die bereits vor dem Umzug kompromittiert wurden, in einem Netzwerk verbunden.

Nach dem erfolgreichen Angriff stellten die Hacker an das Unternehmen eine Lösegeldforderung in Höhe von sechs Bitcoins, was ca. 150.000€ entspricht. Diese konnte der Cloudanbieter jedoch nicht zahlen. Der damalige CEO erklärte bereits kurz nach dem Vorfall, dass sich das Unternehmen von dem Vorfall wohl nicht erholen wird.

Dieser massive Verlust traf auch zwei weitere Firmen, die mit dem Cloudanbieter zusammen gehörten. Eines davon ist bereits ebenfalls insolvent, das andere folgt aktuell.

Es wird also deutlich, dass Hackerangriffe oder Angriffe von Cyberkriminellen für Unternehmen massive Auswirkungen haben können. Auch wenn die Angriffe nicht immer so weitreichend sind wie für das dänische Unternehmen, ist die Gefahr jedoch bei jedem einzelnen Vorfall vorhanden.

Deshalb sollten Sie unbedingt dafür sorgen, dass Ihre Systeme immer aktuell sind und auch ausreichend abgesichert werden. Dies können Sie durch regelmäßige Scans und Tests stetig überprüfen. Bei diesen Sicherheitsvorkehrungen können wir Ihnen auch gerne behilflich sein.

In jedem Fall aber sollten Sie Sorge dafür tragen, dass Sie gegen derartige Gefahren ausreichend gesichert sind.

Denn leider haben die Angriffe der Cyberkriminellen in der jüngsten Vergangenheit an Häufigkeit und Intensität massiv zugenommen.

Mit dem Urteil vom 26.10.2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die Verfolgung von Zielen, die nicht explizit dem Datenschutz dienen, den Auskunftsanspruch des Betroffenen nicht grundsätzlich ausschließt. Dies wird damit begründet, dass der Auskunftsanspruch nach Art. 15 DSGVO generell keiner Begründung bedarf.

Diese Entscheidung kann auf den ersten Blick dazu führen, dass der Auskunftsanspruch übermäßig weit erscheint. Deshalb versucht dieser Beitrag eine kurze Übersicht über die Möglichkeiten zu gewähren, die Verantwortlichen bei unbegründeten oder exzessiven Auskunftsersuchen zur Verfügung stehen.

1. Aufforderung zur Konkretisierung des Auskunftsanspruchs
   Obwohl dies keinen direkten Grund für eine Einschränkung oder eine Ablehnung darstellt, bietet es den Verantwortlichen eine wertvolle Option, um evtl. unnötigen Aufwand zu vermeiden. Diese Möglichkeit basiert auf den Erwägungsgrund 63 Satz 7 der DSGVO, der betont, dass ein Verantwortlicher, der „eine große Menge von Informationen über eine Person“ verarbeitet, vom Betroffenen verlangen kann, sein Auskunftsersuchen auf bestimmte Informationen oder Verarbeitungsvorgänge zu spezifizieren. Dies begrenzt den Aufwand für den Verantwortlichen auf ein realistisches Maß. Sollte der Betroffene eine solche Präzisierung jedoch ausdrücklich ablehnen oder nicht auf die Aufforderung eingehen, ergibt sich daraus allein kein Recht zur Verweigerung der Auskunft.

2. Einwand des Rechtsmissbrauchs gemäß Art. 12 Abs. 5 DSGVO
   Laut Art. 12 Abs. 5 Satz 2 der DSGVO kann der Verantwortliche die Erteilung von Auskünften verweigern, wenn die Geltendmachung des Auskunftsanspruchs offenkundig unbegründet oder exzessiv ist. Obwohl eine datenschutzfremde Motivation des Betroffenen einem Auskunftsanspruch, wie gesagt, nicht entgegensteht, muss trotzdem ein „legitimes Interesse“ vorliegen. Es bleibt daher möglich, zusätzlich zu den exzessiven Anfragen weitere Fälle zu erfassen, in denen der Betroffene keine legitimen Interessen verfolgt, etwa wenn ein Angebot gemacht wird, gegen eine Zahlung auf eine weitere Verfolgung des Anspruchs zu verzichten.

3. Schutz der Rechte und Freiheiten anderer Personen nach Art. 15 Abs. 4 DSGVO
   Art. 15 Abs. 4 DSGVO stellt klar, dass das Recht auf eine Kopie der eigenen personenbezogenen Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Dies umfasst sowohl die wirtschaftlichen Freiheiten des Unternehmens gemäß Art. 16 der EU-Grundrechtecharta als auch das Geheimhaltungsinteresse des Verantwortlichen an schutzwürdigen Informationen. Die Anwendung dieser Gruppen muss allerdings von Fall zu Fall bestimmt und mit nationalem Recht geprüft werden.

I Gerichtsentscheidungen

1. Personenbezogene Daten: Der Europäische Gerichtshof (EuGH) hat klargestellt, dass nicht alle Daten automatisch personenbezogen sind. Im Fall GVA/Scania wurde entschieden, dass eine Fahrzeugidentifikationsnummer nicht zwangsläufig personenbezogene Daten darstellt. Ob Daten personenbezogen sind, hängt also davon ab, ob das jeweilige Unternehmen die Möglichkeit hat, die Person, zu der die Daten gehören, vernünftigerweise zu identifizieren. Die datenschutzrechtlichen Regelungen greifen demnach erst, wenn eine Identifizierung ohne unverhältnismäßigen Aufwand möglich und wahrscheinlich ist.
2. Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO:
   • Verantwortlichkeit durch Mitwirkung: Der EuGH hat in einem Fall zur litauischen Corona-Warn-App die Rolle des nationalen Zentrums für öffentliche Gesundheit Litauen als Verantwortlichen bestätigt, obwohl die App ohne dessen Genehmigung veröffentlicht wurde. Das Zentrum wurde als verantwortlich eingestuft, weil es aktiv die Datenverarbeitungsparameter mitbestimmt hatte. Eine Verantwortlichkeit kann sich daher auch lediglich aus dem Gesetz ergeben.
3. Rechtmäßigkeit der Datenverarbeitung:
   • Speicherdauer bei Restschuldbefreiungen: Der EuGH hat die Speicherpraxis der SCHUFA kritisiert, die Daten länger als gesetzlich vorgesehen speicherte, und betonte die Schwere des Eingriffs in die EU-Grundrechte der betroffenen Personen. Eine Speicherung für einen längeren Zeitraum als die gesetzlich vorgegebenen 6 Monate sei nicht rechtfertigbar.
4. Auskunftsrecht nach Art. 15 DSGVO: Der EuGH hat entschieden, dass Auskünfte nach dieser Vorschrift grundsätzlich kostenfrei zu erteilen sind, auch wenn nationales Recht eventuell Kosten vorsieht. Das EU-Recht verdrängt hier nationales Recht.
5. Datenschutzverletzungen und Schadenersatz:
   1. Verletzung der Datensicherheitspflicht: Nicht jeder Datenverstoß stellt automatisch eine Verletzung der Datensicherheitspflichten dar. Der Verantwortliche muss jedoch den Nachweis ausreichender Sicherheitsmaßnahmen erbringen.
   2. Schadensersatz: Der EuGH hat bestätigt, dass Schadensersatzansprüche das Vorliegen von tatsächlichen negativen Folgen für den Betroffenen erfordern. Der Schaden kann auch geringfügig sein, muss allerdings auch bezifferbar sein.
6. Bußgelder
   Der EuGH hat präzisiert, dass für die Zuweisung eines Datenschutzverstoßes zur juristischen Person das Handeln einer natürlichen Person ausreicht, die im Rahmen ihrer beruflichen Tätigkeit agiert. Für die Zurechnung eines DSGVO-Verstoßes zu einer juristischen Person reicht es laut dem EuGH aus, wenn der Verstoß von einer „natürlichen Person“ begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im „Namen“ des Verantwortlichen handelt.

II Gesetzgebung

1. Data Governance Act: Seit dem 24.09.2023 ist der EU Data Governance Act bindend und regelt unter anderem die Weiterverwendung von Daten durch öffentliche Stellen.
2. Data Act: Der Data Act, in Kraft seit dem 11.01.2024, regelt den Umgang mit Daten von vernetzten Geräten und den dazugehörigen Diensten, mit einer Übergangsfrist bis zum 12.09.2025.
3. EU AI Act: Am 09.12.2023 wurde im Trilog eine Einigung zum EU AI Act erzielt, die vom EU-Parlament am 13.03.2024 so übernommen wurde. Der neue AI Act sieht eine Regulierung der Anbieter und Betreiber von KI Systemen anhand von Risikoklassen vor, die sich am Einsatzzweck orientieren. Hinzu gekommen ist im Laufe des Gesetzgebungsverfahrens eine Regulierung von „General Purpose AI“. Der AI Act sieht unter anderem Transparenzpflichten und Meldepflichten sowie ein Verbot bestimmter Hochrisiko-KI-Anwendungen vor.
4. Verbraucherrechtedurchsetzungsgesetz (VDuG): Das am 13.10.2023 in Deutschland in Kraft getretene VDuG ermöglicht es Verbraucherschutzverbänden, Verbraucherrechte gerichtlich durchzusetzen und Schadensersatzansprüche für Verbraucher geltend zu machen. Dazu zählen nun auch Ansprüche die sich aus dem Datenschutzrecht ableiten lassen.

 

Wir freuen uns darauf, Ihnen unser benutzerfreundliches Portal vorzustellen, auf dem Sie mühelos navigieren und umfassend entdecken können, wie und wo Sie genau das finden, was Sie benötigen. Lassen Sie sich von uns zeigen, wie Sie die verschiedenen Funktionen und Ressourcen unseres Portals optimal nutzen können, um Ihre Ziele schnell und effektiv zu erreichen.