DS-GVO aktuell
22. September 2024
Neue Anforderungen durch die KI-Verordnung
Auch die KMU müssen die KI-Verordnung (KI-Vo / AI Act) in vollen Umfang umsetzen
Die Einführung von KI und die Automatisierung von Prozessen bringen neue rechtliche Anforderungen, insbesondere in den Bereichen Datenschutz und Informationssicherheit. Große Unternehmen sind in der Regel gut ausgestattet, um diese Anforderungen zu erfüllen, während Kleinstunternehmen und KMU häufig auf sich allein gestellt sind.
Trotz ihrer begrenzten Ressourcen müssen auch kleinere Unternehmen alle Pflichten der EU-KI-Verordnung erfüllen, unabhängig von der Unternehmensgröße. Dies stellt eine erhebliche Herausforderung dar, da die Verordnung keine Unterschiede zwischen kleinen und großen Unternehmen macht.
Verantwortliche für den Einsatz von KI-Systeme müssen angesichts der umfangreichen KI-Verordnung und die daraus resultierenden Anforderungen;
– inventarisieren welche KI-Systeme bereits benutzt, zukünftig beschafft, und/oder entwickelt werden sollen,
– analysieren, welche Rolle das Unternehmen im Rahmen der KI-Regulierung haben wird (z. B. als „verantwortlicher Nutzer“ bzw. „Betreiber“ oder möglicherweise auch als „Anbieter“), und welche Risikokategorie(n) mit welchen Verpflichtungen/Anforderungen gelten,
– sicherstellen, dass das Unternehmen die erforderliche Dokumentation gemäß der AI-Verordnung umsetzt und diese regelmäßig aktualisiert,
– eine Bestandsaufnahme darüber machen, welche (personenbezogenen) Daten diese KI-Systeme verwenden, woher die Daten stammen und wie diese verwendet werden,
– Wie das zugrunde liegende Modell trainiert wird und wie man die (Cyber-)Sicherheit gewährleisten kann,
– Prüfen, ob die eingesetzte KI die Datenschutzverpflichtungen nach der Allgemeinen Datenschutzgrundverordnung (DS-GVO) ausreichend berücksichtigt,
– sich kritisch mit Verträgen mit Anbietern von KI-Systemen, KI-Modellen und anderen KI-Tools auseinandersetzen,
– klare interne (Richtlinien-)Regeln für den Einsatz von KI innerhalb des Unternehmens erstellen,
– die Mitarbeiter, welche mit der KI arbeiten sollen, für den Einsatz zu schulen,
– die Verwendung einer KI für die Betroffenen, extern wie intern, so transparent und verständlich wie möglich kommunizieren.
Ich berate Sie gerne persönlich und freue mich über Ihre Kontaktaufnahme.
Bei Fragen, Anregungen oder Interesse an einer Beratung stehe ich Ihnen gerne persönlich zur Verfügung.
Sie erreichen mich über mein Rückrufservice.
11. September 2024
Auskunftanfrage nach Art. 15 DS-GVO – Empfängerkategorien reichen meist nicht aus!
Informationen zum Verfahren ( Vorabentscheidungsersuchen) EuGH C-154/21 – 12.01.2023
Kurz zusammengefasst:
Nach Art. 15 Datenschutz-Grundverordnung hat jeder Kunde Ihres Unternehmens, aber auch jeder (Ex-)Mitarbeiter, Bewerber, Aushilfskraft oder Praktikant das Recht Auskunft darüber verlangen, welche personenbezogenen Daten Sie von ihm erhoben und an wen Sie diese weitergegeben haben. Der Europäische Gerichtshof (EuGH) hat bereits 2023 klargestellt, wie die Auskunft über die Empfänger der personenbezogenen Daten auszusehen hat.
Hier erfahren Sie mehr
14. August 2024
Der EuGH hat ein, mit einem Bezug zur Datenschutzverstößen von Auftragsverarbeitern, wegweisendes Urteil getroffen.
Informationen zum Verfahren ( Vorabentscheidungsersuchen) EuGH C-683/21 – 14.12.2023
Kurz zusammengefasst:
Mit diesem Urteil wird klargestellt, dass auch dann seitens des Verantwortlichen eine Verantwortung für Datenschutzverstöße besteht, wenn diese nicht von einem Mitarbeiter, sondern von einem Auftragsverarbeiter begangen wurde. Voraussetzung ist, dass die betreffenden Verarbeitungsvorgänge im Namen des Verantwortlichen, also der Auftraggeber, durchgeführt wurden und der Verstoß somit im Zuge der Auftragserfüllung erfolgte.
Hier erfahren Sie mehr
14. Dezember 2023
Schadensersatz bei einem möglichen Missbrauch von persönlicher Daten.
Kurz zusammengefasst:
Mit diesen Gerichtsurteil hat die EuGh die Rechte von Verbrauchern in der EU enorm gestärkt.
Für Unternehmer bzw. Datenverarbeiter wird es im Falle eines Hackerangriffs schwierig sein nachzuweisen, dass ihre Schutzmaßnahmen zum Zeitpunkt der Datenschutzverletzung geeignet waren und sie in keinerlei Hinsicht für den Schaden verantwortlich sind. Als Folge dieses Urteil müssen Verantwortliche dafür sorgen das die Dokumentationen auch dazu geeignet sind die Sicherheitsmaßnahmen für einen zurückliegenden Zeitraum zu beweisen. Dabei geht vorallem um den Nachweis das eine Sicherheitsmaßnahme nicht nur geplant, sondern auch tatsächlich umgesetzt wurde.
Da sich die EuGH bei dieser Feststellung nicht auf eine “größere” Menge von betroffenen Daten bezieht, wird es zukünftig vorallem für kleinere Unternehmen ein großes Risiko für Schadenersatzansprüche von Einzelpersonen und somit zu einer Zunahme von Klagen wegen immaterieller Schäden führen.
In der Regel wird es dem Verantwortlichen kaum möglich sein, sich zu entlasten bzw. darzulegen und zu beweisen, dass das geforderte Sicherheitsniveau zum Zeitpunkt des Cyberangriffs oder Datenschutzverletzung eingehalten wurde. Es sei denn, er hat Maßnahmen getroffen um das geforderte Sicherheitsniveau und die getroffenen Schutzmaßnahmen auch rückwirkend nachzuweisen.
Die Verantwortlichen aller Unternehmen, Freiberufler, Vereine und öffentliche Organisationen werden zukünftig Ihre Dokumentierungs- und Nachweispflicht weitaus sorgfältiger und für die Vergangenheit nachweisbar nachkommen müssen.
Hier erfahren Sie mehr
Hinweis:
Die DS-GVO, das BDSG und weitere Datenschutzgesetze sowie -verordnungen gelten für ganz oder teilweise automatisierte Verarbeitungen von personenbezogener Daten sowie für die nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem, wie z.B. einem Archiv, gespeichert sind oder gespeichert werden sollen.
Das Urteil in der Rechtssache EuGH C340/21 bezieht sich also auch auf Datenschutzverletzungen von nicht automatisierte Datenverarbeitungen!