Featured Artikel

Datenrecht: Was Unternehmen 2024 wissen müssen!

Das Wichtigste im Überblick Was regelt der Data Act für Unternehmen? Mitte Dezember 2023 ist die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) verkündet worden. Damit läuft nun die Umsetzungsfrist: Mitte September 2025 sind die Regelungen einzuhalten. Für Datenzugangsansprüche zu digitalen Produkten gilt eine längere Frist bis September 2026. In den bis dahin verbleibenden Monaten müssen die Vorgaben des Data Act umgesetzt werden. Dafür müssen Produktdesigns angepasst, Informationen erstellt und Verträge überarbeitet (…) Weiterlesen

Featured Artikel

Cyber Security und Informationssicherheit für Unternehmen

Das Wichtigste im Überblick Was ist Informationssicherheit (Cyber Security)? Bei der Informationssicherheit (Cyber Security) geht es für Unternehmen darum, (unternehmensinterne) Informationen zu schützen. Der Schutz gilt: Es geht um Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Auch wenn Unternehmen dabei regelmäßig direkt an digitale Informationen denken, bezieht sich der Begriff auch auf physische und nicht nur auf elektronische Informationen. Der Gewährleistung der digitalen Informationssicherheit (Cyber Security) kommt dabei ein besonderer Stellenwert zu. Dieser Bereich wird in Deutschland regelmäßig als IT-Sicherheit bezeichnet. (…) Weiterlesen

KI und Datenschutz: Large Language Models und Data Sharing

Die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT) – auch genannt „Berlin Group“ – hat am 27. Dezember 2024 unter dem Vorsitz der Bundesbeauftragten für Datenschutz und Informationsformationsfreiheit zwei wegweisende Arbeitspapiere zum Thema „Large Language Models“ (LLMs) und „Data Sharing“ veröffentlicht. Um Innovationen voranzutreiben, neue Erkenntnisse zu gewinnen und neue Produkte und Dienstleistungen zu entwickeln, kommt es immer häufiger zu „Data Sharing“ zwischen Organisationen. Darunter wird die Bereitstellung von Daten zur Nutzung durch andere verstanden. Es findet also eine Datenübertragung (…) Weiterlesen

KI und Datenschutz: EDSA-Stellungnahme zur Verarbeitung personenbezogener Daten in KI-Modellen

Am 18. Dezember 2024 hat der Europäische Datenschutzausschuss (EDSA) eine neue Stellungnahme zu bestimmten datenschutzrechtlichen Aspekten bei der Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI-Modellen veröffentlicht. Die Stellungnahme enthält richtungsweisende Leitlinien für Entwickler und Nutzer von KI-Modellen und adressiert zentrale Themen wie die Frage, wann ein KI-Modell personenbezogene Daten enthält, die Bewertung des berechtigten Interesses als Rechtsgrundlage für die Entwicklung und Nutzung von KI-Modellen und Rechtsfolgen bei unrechtmäßiger Datenverarbeitung bei Entwicklung eines KI-Modells. Mit der Stellungnahme 28/2024 vom 17. (…) Weiterlesen

KI-Kompetenz: Neue Pflicht für Unternehmen ab dem 2. Februar 2025

Im August 2024 ist die europäische KI-Verordnung (Verordnung (EU) 2024/1689, kurz „KI-VO“) in Kraft getreten. Ziel dieser Verordnung ist es vor allem, Risiken zu reduzieren, die von KI-Systemen ausgehen können. Um das umzusetzen, kommen zwangsläufig zahlreiche neue Verpflichtungen auf Unternehmen zu, welche KI-Systeme anbieten oder betreiben, was bei der beruflichen Nutzung schnell der Fall ist. Eine erste Pflicht, die für fast alle im professionellen Umfeld gilt, ist die KI-Kompetenz: Danach ist sicherzustellen, dass Ihr Personal über ausreichende KI-Kompetenz verfügt. Doch (…) Weiterlesen

EDSA konkretisiert Pflichten bei der Auftragsverarbeitung

In einer kürzlich veröffentlichten Stellungnahme hat der EDSA die Pflichten von Verantwortlichen bei der Beauftragung von Auftragsverarbeitern und Unterauftragsverarbeitern konkretisiert. Gefordert wird ein gutes Vertragsmanagement. Verantwortliche müssen jederzeit Informationen über Identität aller Auftrags- und Unterauftragsverarbeiter bereithalten Der Europäische Datenschutzausschuss (EDSA) kommt in seiner Stellungnahme vom 7. Oktober 2024 zu dem Schluss, dass Verantwortliche Informationen über die Identität (d. h. Name, Adresse, Kontaktperson) aller Auftrags- und Unterauftragsverarbeiter jederzeit bereithalten sollten, damit sie ihre Verpflichtungen gemäß Art. 28 DSGVO erfüllen können. Das (…) Weiterlesen

Leitentscheidung des BGH im Scraping-Komplex

Eine aktuelle Entscheidung des BGH zum immateriellen Schadensersatz nach DSGVO-Verstoß sorgt derzeit für Aufregung: Am 18. November 2024 entschied der BGH in einer Leitentscheidung im sog. Scraping-Komplex. Seither feiern sich Klägervertreter medial, da der Schadensnachweis vereinfacht und auch mit Textbausteinen möglich sei. Beklagtenvertreter verweisen auf einen Scheinsieg angesichts der niedrigen Summen, die der BGH als berechtigt ansieht. Auch wenn die Urteilsgründe noch nicht vorliegen, ordnen wir Ihnen die Entscheidung nachfolgend in den Kontext der bisherigen Rechtsprechung zum immateriellen Schadensersatz nach (…) Weiterlesen

Neue EDSA-Leitlinien zur Datenverarbeitung wegen berechtigter Interessen des Verantwortlichen

Die Wahrung berechtigter Interessen des Verantwortlichen wird oftmals als Rechtfertigung für die Verarbeitung personenbezogener Daten herangezogen. Ob die Voraussetzungen nun vorliegen oder nicht, ist allerdings oft streitig: Eine Interessenabwägung zwischen den Interessen an der Verarbeitung und den gegenläufigen Betroffeneninteressen ist naturgemäß keine objektive Entscheidung. In der Praxis helfen hier nun Leitlinien des Europäischen Datenschutzausschusses zur Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO. Darin werden insbesondere die Vorgaben der Norm erläutert: Wann liegt ein berechtigtes Interesse vor? (…) Weiterlesen

Immaterieller Schadensersatz nach DSGVO nach unbefugter Datenweitergabe durch Impfzentrum

Die versehentliche Offenlegung von personenbezogenen Daten durch Mitarbeiter eines Corona-Impfzentrums veranlasste das OLG Hamm dazu, sich mit dem immateriellen Schadensersatz nach der DSGVO zu befassen. In seinem Urteil bestätigte das OLG insbesondere die Abtretbarkeit des Ersatzanspruches nach Art. 82 DSGVO und behandelte die Anforderungen an datenschutzrechtliche Sicherheitsmaßnahmen. Zudem konkretisierte das Gericht, dass ein immaterieller Schaden nicht schon dann gegeben ist, wenn sich lediglich das allgemeine Risiko einer unbefugten Datenweitergabe realisiert. Was ist passiert? Das Oberlandesgericht (OLG) Hamm beschäftigte sich vor (…) Weiterlesen

Keine Bußgeldpflicht: EuGH zu Ermessen von Aufsichtsbehörden bei Datenschutzverstößen

Aufsichtsbehörden sind bei Datenschutzverstößen nicht in jedem Fall verpflichtet, ein Bußgeld zu verhängen. Vielmehr steht ihnen bei der Durchsetzung der DSGVO ein Auswahlermessen zu, welche Maßnahmen ergriffen werden. Die DSGVO räumt den Aufsichtsbehörden auch die Möglichkeit ein, auf die Verhängung von Bußgeldern zu verzichten, wie der EuGH in einem Fall des Hessischen Datenschutzbeauftragen nun entschied. Untersagung, Anordnung und andere Maßnahmen kjönnen ebenso gewählt werden, wenn sie im konkreten Fall angemessen sind. Kein Anspruch von Betroffenen auf Verhängung eines Bußgelds Der (…) Weiterlesen

EuGH: Neue Beschränkungen für soziale Netzwerke bei Datennutzung zu Werbezwecken

Soziale Netzwerke dürfen nicht alle Daten ihrer Nutzer für Werbewecke verwenden. Außerdem ist eine zeitlich unbegrenzte Verwendung unzulässig. Dies entschied der EuGH in einem Verfahren des österreichischen Datenschutzaktivisten Maximilian Schrems gegen den Facebook-Mutterkonzern Meta. Für Meta ist es derweil nicht der einzige datenschutzrechtliche Verstoß in jüngster Zeit. Worum es beim EuGH ging Der österreichische Datenschutzaktivist Maximilian Schrems hatte gegen die Verarbeitung seiner personenbezogenen Daten, insbesondere der Daten zu seiner sexuellen Orientierung, durch den Facebook-Mutterkonzern Meta geklagt. Schrems hatte sich bei (…) Weiterlesen

EuGH: Wettbewerbsrechtliche Klage bei DSGVO-Verstoß möglich und weiter Begriff „Gesundheitsdaten“

Eine Klage gegen einen Mitbewerber wegen eines DSGVO-Verstoßes, der als unlautere Geschäftspraktik geltend gemacht wird, ist möglich. Das entschied der EuGH in einem kürzlich ergangenen Urteil. Dabei ging es um den DSGVO-widrigen Vertrieb von Arzneimitteln über eine Online-Plattform. Im Ausgangsfall wurde durch den Verkäufer beim Bestellprozess keine datenschutzrechtliche Einwilligung in die Verarbeitung von Gesundheitsdaten von den Kunden eingeholt. Der EuGH musste sich deshalb auch mit der Frage auseinandersetzen, ob die beim Bestellvorgang eingegebene Kundendaten Gesundheitsdaten im Sinne der DSGVO darstellen. (…) Weiterlesen