KI und Datenschutz: Large Language Models und Data Sharing

Die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT) – auch genannt „Berlin Group“ – hat am 27. Dezember 2024 unter dem Vorsitz der Bundesbeauftragten für Datenschutz und Informationsformationsfreiheit zwei wegweisende Arbeitspapiere zum Thema „Large Language Models“ (LLMs) und „Data Sharing“ veröffentlicht. Um Innovationen voranzutreiben, neue Erkenntnisse zu gewinnen und neue Produkte und Dienstleistungen zu entwickeln, kommt es immer häufiger zu „Data Sharing“ zwischen Organisationen. Darunter wird die Bereitstellung von Daten zur Nutzung durch andere verstanden. Es findet also eine Datenübertragung (…) Weiterlesen

KI und Datenschutz: EDSA-Stellungnahme zur Verarbeitung personenbezogener Daten in KI-Modellen

Am 18. Dezember 2024 hat der Europäische Datenschutzausschuss (EDSA) eine neue Stellungnahme zu bestimmten datenschutzrechtlichen Aspekten bei der Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI-Modellen veröffentlicht. Die Stellungnahme enthält richtungsweisende Leitlinien für Entwickler und Nutzer von KI-Modellen und adressiert zentrale Themen wie die Frage, wann ein KI-Modell personenbezogene Daten enthält, die Bewertung des berechtigten Interesses als Rechtsgrundlage für die Entwicklung und Nutzung von KI-Modellen und Rechtsfolgen bei unrechtmäßiger Datenverarbeitung bei Entwicklung eines KI-Modells. Mit der Stellungnahme 28/2024 vom 17. (…) Weiterlesen

KI-Kompetenz: Neue Pflicht für Unternehmen ab dem 2. Februar 2025

Im August 2024 ist die europäische KI-Verordnung (Verordnung (EU) 2024/1689, kurz „KI-VO“) in Kraft getreten. Ziel dieser Verordnung ist es vor allem, Risiken zu reduzieren, die von KI-Systemen ausgehen können. Um das umzusetzen, kommen zwangsläufig zahlreiche neue Verpflichtungen auf Unternehmen zu, welche KI-Systeme anbieten oder betreiben, was bei der beruflichen Nutzung schnell der Fall ist. Eine erste Pflicht, die für fast alle im professionellen Umfeld gilt, ist die KI-Kompetenz: Danach ist sicherzustellen, dass Ihr Personal über ausreichende KI-Kompetenz verfügt. Doch (…) Weiterlesen

EDSA konkretisiert Pflichten bei der Auftragsverarbeitung

In einer kürzlich veröffentlichten Stellungnahme hat der EDSA die Pflichten von Verantwortlichen bei der Beauftragung von Auftragsverarbeitern und Unterauftragsverarbeitern konkretisiert. Gefordert wird ein gutes Vertragsmanagement. Verantwortliche müssen jederzeit Informationen über Identität aller Auftrags- und Unterauftragsverarbeiter bereithalten Der Europäische Datenschutzausschuss (EDSA) kommt in seiner Stellungnahme vom 7. Oktober 2024 zu dem Schluss, dass Verantwortliche Informationen über die Identität (d. h. Name, Adresse, Kontaktperson) aller Auftrags- und Unterauftragsverarbeiter jederzeit bereithalten sollten, damit sie ihre Verpflichtungen gemäß Art. 28 DSGVO erfüllen können. Das (…) Weiterlesen

Immaterieller Schadensersatz nach DSGVO nach unbefugter Datenweitergabe durch Impfzentrum

Die versehentliche Offenlegung von personenbezogenen Daten durch Mitarbeiter eines Corona-Impfzentrums veranlasste das OLG Hamm dazu, sich mit dem immateriellen Schadensersatz nach der DSGVO zu befassen. In seinem Urteil bestätigte das OLG insbesondere die Abtretbarkeit des Ersatzanspruches nach Art. 82 DSGVO und behandelte die Anforderungen an datenschutzrechtliche Sicherheitsmaßnahmen. Zudem konkretisierte das Gericht, dass ein immaterieller Schaden nicht schon dann gegeben ist, wenn sich lediglich das allgemeine Risiko einer unbefugten Datenweitergabe realisiert. Was ist passiert? Das Oberlandesgericht (OLG) Hamm beschäftigte sich vor (…) Weiterlesen

Keine Bußgeldpflicht: EuGH zu Ermessen von Aufsichtsbehörden bei Datenschutzverstößen

Aufsichtsbehörden sind bei Datenschutzverstößen nicht in jedem Fall verpflichtet, ein Bußgeld zu verhängen. Vielmehr steht ihnen bei der Durchsetzung der DSGVO ein Auswahlermessen zu, welche Maßnahmen ergriffen werden. Die DSGVO räumt den Aufsichtsbehörden auch die Möglichkeit ein, auf die Verhängung von Bußgeldern zu verzichten, wie der EuGH in einem Fall des Hessischen Datenschutzbeauftragen nun entschied. Untersagung, Anordnung und andere Maßnahmen kjönnen ebenso gewählt werden, wenn sie im konkreten Fall angemessen sind. Kein Anspruch von Betroffenen auf Verhängung eines Bußgelds Der (…) Weiterlesen

EuGH: Neue Beschränkungen für soziale Netzwerke bei Datennutzung zu Werbezwecken

Soziale Netzwerke dürfen nicht alle Daten ihrer Nutzer für Werbewecke verwenden. Außerdem ist eine zeitlich unbegrenzte Verwendung unzulässig. Dies entschied der EuGH in einem Verfahren des österreichischen Datenschutzaktivisten Maximilian Schrems gegen den Facebook-Mutterkonzern Meta. Für Meta ist es derweil nicht der einzige datenschutzrechtliche Verstoß in jüngster Zeit. Worum es beim EuGH ging Der österreichische Datenschutzaktivist Maximilian Schrems hatte gegen die Verarbeitung seiner personenbezogenen Daten, insbesondere der Daten zu seiner sexuellen Orientierung, durch den Facebook-Mutterkonzern Meta geklagt. Schrems hatte sich bei (…) Weiterlesen

EuGH: Wettbewerbsrechtliche Klage bei DSGVO-Verstoß möglich und weiter Begriff „Gesundheitsdaten“

Eine Klage gegen einen Mitbewerber wegen eines DSGVO-Verstoßes, der als unlautere Geschäftspraktik geltend gemacht wird, ist möglich. Das entschied der EuGH in einem kürzlich ergangenen Urteil. Dabei ging es um den DSGVO-widrigen Vertrieb von Arzneimitteln über eine Online-Plattform. Im Ausgangsfall wurde durch den Verkäufer beim Bestellprozess keine datenschutzrechtliche Einwilligung in die Verarbeitung von Gesundheitsdaten von den Kunden eingeholt. Der EuGH musste sich deshalb auch mit der Frage auseinandersetzen, ob die beim Bestellvorgang eingegebene Kundendaten Gesundheitsdaten im Sinne der DSGVO darstellen. (…) Weiterlesen

EuGH: Auch rein wirtschaftliches Interesse von Unternehmen kann „berechtigtes Interesse“ sein

Das „berechtigte Interesse“ i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ist weit auszulegen. Dies hat der EuGH nun bestätigt. Im Fall des niederländischen Tennisverbands entschied das Gericht, dass auch rein wirtschaftliche Interessen „berechtigte Interessen“ sein können. Für die Praxis ist das von großer Bedeutung. Der Fall Im Jahr 2018 legte der niederländische Tennisverband KNLTB gegenüber zwei Sponsoren, darunter dem größten Anbieter von Glücks- und Kasinospielen in den Niederlanden, personenbezogene Daten seiner Mitglieder offen. Für die Bereitstellung der (…) Weiterlesen

DSK: Neues zur Übertragung personenbezogener Daten beim Asset Deal

Unternehmenskäufe bringen regelmäßig eine Vielzahl datenschutzrechtlicher Fragen mit sich. Eine zentrale Frage ist dabei, ob und wann die Übermittlung personenbezogener Daten im Rahmen des Asset Deals zulässig ist. Die Datenschutzkonferenz hat sich in einem Beschluss vom 11.09.2024 erneut damit beschäftigt und ihren Standpunkt aus Mai 2019 überarbeitet und differenziert. Aus dem neuen Beschluss ergeben sich wichtige Leitlinien für die Praxis. Beim Asset Deal als Form des Unternehmenskaufs werden – anders, als im Fall eines Share Deals – (einzelne oder alle) (…) Weiterlesen