Die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT) – auch genannt „Berlin Group“ – hat am 27. Dezember 2024 unter dem Vorsitz der Bundesbeauftragten für Datenschutz und Informationsformationsfreiheit zwei wegweisende Arbeitspapiere zum Thema „Large Language Models“ (LLMs) und „Data Sharing“ veröffentlicht. Um Innovationen voranzutreiben, neue Erkenntnisse zu gewinnen und neue Produkte und Dienstleistungen zu entwickeln, kommt es immer häufiger zu „Data Sharing“ zwischen Organisationen. Darunter wird die Bereitstellung von Daten zur Nutzung durch andere verstanden. Es findet also eine Datenübertragung (…) Weiterlesen

Am 18. Dezember 2024 hat der Europäische Datenschutzausschuss (EDSA) eine neue Stellungnahme zu bestimmten datenschutzrechtlichen Aspekten bei der Verarbeitung von personenbezogenen Daten im Zusammenhang mit KI-Modellen veröffentlicht. Die Stellungnahme enthält richtungsweisende Leitlinien für Entwickler und Nutzer von KI-Modellen und adressiert zentrale Themen wie die Frage, wann ein KI-Modell personenbezogene Daten enthält, die Bewertung des berechtigten Interesses als Rechtsgrundlage für die Entwicklung und Nutzung von KI-Modellen und Rechtsfolgen bei unrechtmäßiger Datenverarbeitung bei Entwicklung eines KI-Modells. Mit der Stellungnahme 28/2024 vom 17. (…) Weiterlesen

Im August 2024 ist die europäische KI-Verordnung (Verordnung (EU) 2024/1689, kurz „KI-VO“) in Kraft getreten. Ziel dieser Verordnung ist es vor allem, Risiken zu reduzieren, die von KI-Systemen ausgehen können. Um das umzusetzen, kommen zwangsläufig zahlreiche neue Verpflichtungen auf Unternehmen zu, welche KI-Systeme anbieten oder betreiben, was bei der beruflichen Nutzung schnell der Fall ist. Eine erste Pflicht, die für fast alle im professionellen Umfeld gilt, ist die KI-Kompetenz: Danach ist sicherzustellen, dass Ihr Personal über ausreichende KI-Kompetenz verfügt. Doch (…) Weiterlesen

In einer kürzlich veröffentlichten Stellungnahme hat der EDSA die Pflichten von Verantwortlichen bei der Beauftragung von Auftragsverarbeitern und Unterauftragsverarbeitern konkretisiert. Gefordert wird ein gutes Vertragsmanagement. Verantwortliche müssen jederzeit Informationen über Identität aller Auftrags- und Unterauftragsverarbeiter bereithalten Der Europäische Datenschutzausschuss (EDSA) kommt in seiner Stellungnahme vom 7. Oktober 2024 zu dem Schluss, dass Verantwortliche Informationen über die Identität (d. h. Name, Adresse, Kontaktperson) aller Auftrags- und Unterauftragsverarbeiter jederzeit bereithalten sollten, damit sie ihre Verpflichtungen gemäß Art. 28 DSGVO erfüllen können. Das (…) Weiterlesen

Die versehentliche Offenlegung von personenbezogenen Daten durch Mitarbeiter eines Corona-Impfzentrums veranlasste das OLG Hamm dazu, sich mit dem immateriellen Schadensersatz nach der DSGVO zu befassen. In seinem Urteil bestätigte das OLG insbesondere die Abtretbarkeit des Ersatzanspruches nach Art. 82 DSGVO und behandelte die Anforderungen an datenschutzrechtliche Sicherheitsmaßnahmen. Zudem konkretisierte das Gericht, dass ein immaterieller Schaden nicht schon dann gegeben ist, wenn sich lediglich das allgemeine Risiko einer unbefugten Datenweitergabe realisiert. Was ist passiert? Das Oberlandesgericht (OLG) Hamm beschäftigte sich vor (…) Weiterlesen

Aufsichtsbehörden sind bei Datenschutzverstößen nicht in jedem Fall verpflichtet, ein Bußgeld zu verhängen. Vielmehr steht ihnen bei der Durchsetzung der DSGVO ein Auswahlermessen zu, welche Maßnahmen ergriffen werden. Die DSGVO räumt den Aufsichtsbehörden auch die Möglichkeit ein, auf die Verhängung von Bußgeldern zu verzichten, wie der EuGH in einem Fall des Hessischen Datenschutzbeauftragen nun entschied. Untersagung, Anordnung und andere Maßnahmen kjönnen ebenso gewählt werden, wenn sie im konkreten Fall angemessen sind. Kein Anspruch von Betroffenen auf Verhängung eines Bußgelds Der (…) Weiterlesen

Soziale Netzwerke dürfen nicht alle Daten ihrer Nutzer für Werbewecke verwenden. Außerdem ist eine zeitlich unbegrenzte Verwendung unzulässig. Dies entschied der EuGH in einem Verfahren des österreichischen Datenschutzaktivisten Maximilian Schrems gegen den Facebook-Mutterkonzern Meta. Für Meta ist es derweil nicht der einzige datenschutzrechtliche Verstoß in jüngster Zeit. Worum es beim EuGH ging Der österreichische Datenschutzaktivist Maximilian Schrems hatte gegen die Verarbeitung seiner personenbezogenen Daten, insbesondere der Daten zu seiner sexuellen Orientierung, durch den Facebook-Mutterkonzern Meta geklagt. Schrems hatte sich bei (…) Weiterlesen

Eine Klage gegen einen Mitbewerber wegen eines DSGVO-Verstoßes, der als unlautere Geschäftspraktik geltend gemacht wird, ist möglich. Das entschied der EuGH in einem kürzlich ergangenen Urteil. Dabei ging es um den DSGVO-widrigen Vertrieb von Arzneimitteln über eine Online-Plattform. Im Ausgangsfall wurde durch den Verkäufer beim Bestellprozess keine datenschutzrechtliche Einwilligung in die Verarbeitung von Gesundheitsdaten von den Kunden eingeholt. Der EuGH musste sich deshalb auch mit der Frage auseinandersetzen, ob die beim Bestellvorgang eingegebene Kundendaten Gesundheitsdaten im Sinne der DSGVO darstellen. (…) Weiterlesen

Das „berechtigte Interesse“ i.S.v. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ist weit auszulegen. Dies hat der EuGH nun bestätigt. Im Fall des niederländischen Tennisverbands entschied das Gericht, dass auch rein wirtschaftliche Interessen „berechtigte Interessen“ sein können. Für die Praxis ist das von großer Bedeutung. Der Fall Im Jahr 2018 legte der niederländische Tennisverband KNLTB gegenüber zwei Sponsoren, darunter dem größten Anbieter von Glücks- und Kasinospielen in den Niederlanden, personenbezogene Daten seiner Mitglieder offen. Für die Bereitstellung der (…) Weiterlesen