Schlagwortarchiv für: DSGVO

KI – Eine Bedrohung für den Datenschutz? 

KI – „Künstliche Intelligenz“ ist die Bezeichnung für die Fähigkeit von Maschinen, mit Hilfe von Algorithmen Aufgaben selbständig zu lösen und in der Lage zu sein, flexibel auf sich ändernde Situationen zu reagieren. Sie kann aus der Lösung der Aufgaben lernen und ihr Verhalten anpassen. Somit kann sie menschliche Fähigkeiten wie logisches Denken, Planen, Lernen und Kreativität nachahmen.

KI lässt sich hinsichtlich ihrer Anwendung in verschiedene Teilbereiche unterteilen:

  • Natural Language Processing (NLP): Große Sprachmodelle wie ChatGPT
  • Künstliche neuronale Netz: Virtuelle Assistenten und Chatbots, wie Siri, Alexa oder Google Assistant
  • Maschine Learning: Empfehlungsdienste
  • Deep Learning: Betrugserkennung, wie BIG Data Auswertungen
  • Wissensrepräsentation: Content-Moderation, genutzt z.B. zur Auswertung medizinischer Daten

Was ist im Rahmen des Datenschutzes zu beachten?

Das Unternehmen, das ein KI-basiertes System in eigene Prozesse integriert, wird in der Regel als “verantwortlich” einzustufen sein, denn es entscheidet über Zweck und Mittel der Datenverarbeitung.
Der KI-System-Anbieter erfüllt die Rolle des Auftragsverarbeiters, da die Datenverarbeitung zumeist auf seinen Servern erfolgt. Die Daten werden im Auftrag und auf Weisung des Unternehmens, welches das System einsetzt, verarbeitet. Hier ist ein Auftragsverarbeitungsvertrag abzuschließen. Dieser ist inhaltlich auf seine Vollständigkeit zu prüfen.

Viele KI-Anbieter nutzen die erhobenen Daten ebenfalls für die Weiterentwicklung ihrer KI-Modelle, hierfür ist das Einverständnis des Auftraggebers notwendig. Unternehmen sollten diese Zustimmung nicht erteilen bzw. von einer etwaigen Opt-out-Möglichkeit Gebrauch machen und somit ihre Betroffenenrechte schützen.

Die Datenverarbeitung mittels KI kann nur auf der Rechtsgrundlage der Einwilligung der betroffenen Person gemäß DSGVO Artikel 6 (1)a erfolgen. Betroffene müssen gem. Art 13 DSGVO über die Verarbeitung ihrer Daten informiert werden und haben gem. Art. 22 DSGVO das Recht der freien Entscheidung, einer automatisierter Verarbeitung zuzustimmen oder diese abzulehnen.

Das Unternehmen hat außerdem geeignete Prozesse für die Umsetzung der Betroffenenrechte zu etablieren. Die Umsetzung der Betroffenenrechte im Rahmen von Löschung und Berichtigung dürfte schwierig umzusetzen sein, da damit das Modell beeinträchtig werden kann. In jedem Fall besteht die Pflicht zur DSFA (Datenschutzfolgenabschätzung), die durch die Blacklist der deutschen Datenschutzkonferenz festgelegt ist.

Aktueller Rechtsrahmen

Neben der EU DSGVO ist ein EU-Gesetz mit Pioniercharakter in der Entwicklung (EU AI Act). Mit dieser KI-Verordnung will die EU erstmals einen gesetzlichen Rahmen für die Entwicklung und Nutzung von KI schaffen.

Die Entscheidungsvorlage sieht vor, die KI nach den Risiken ihrer Anwendungszwecke zu klassifizieren. Dabei geht es um die Einstufung in

  • risikoarme KI,
  • begrenzt riskante KI,
  • zu riskante KI und
  • verbotene KI.

KI, die imstande ist, Menschen zu unterdrücken, soll ganz verbannt werden. Darunter fallen unter anderem

  • “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten,
  • die automatisierte Erkennung von Emotionen, etwa bei der Vernehmung von Verdächtigen und
  • eine flächendeckende Überwachung mit biometrischen Echtzeitdaten in der Öffentlichkeit.

Auf Grund eines aktuellen richterlichen Beschlusses darf nachträglich auf Daten zugegriffen werden, falls es um schwere Straftaten geht.
Risikoarme Anwendungszwecken, wie z.B. KI-betriebene Spielzeuge, sollen grundsätzlich erlaubt sein. Das gilt auch für sogenannte generative KI, wie den Chatbot ChatGPT, der mithilfe im Internet gesammelter Informationen eigenständig Artikel verfassen kann.

Gefahren durch KI-gestützte Cyber-Attacken

Hacker sind in der Lage, ihre Angriffe durch die Nutzung von KI zu personalisieren und zu optimieren. Damit erhöhen sie die Wahrscheinlichkeit, dass Nutzer auf Phishing-Mails hereinfallen oder dass sie mittels Ransomware in das Unternehmens IT- Netzwerk eindringen können.

Ein aktuelles IKS-System schützt jedes Unternehmen vor weitreichenden Folgen eines Cyber-Angriffs. Ein Basissockel stellt dabei die Schulung und Sensibilisierung der Mitarbeiter, die Aktualität der Sicherheitssysteme, Notfallpläne und Datensicherung dar.

Fazit

KI-gestützte Cyber-Attacken sind eine ernste Bedrohung für Unternehmen und Einzelpersonen. Unter Einhaltung aller datenschutzrechtlichen Anforderungen bietet Künstliche Intelligenz aber auch zahlreiche Vorteile und Möglichkeiten, die unser Leben, unsere Gesellschaft und unsere Geschäftswelt beeinflussen. Die Technologie kann uns dabei helfen, komplexe Probleme schneller und effizienter zu lösen. Sie reduziert Fehler, automatisiert sich wiederholende Aufgaben, unterstützt bei wichtigen Business-Entscheidungen und sorgt für Entlastung, so dass Sie Zeit haben, sich um die wirklich wichtigen Dinge zu kümmern.

Als externe Datenschutzbeauftragte unterstützt iAP Ihr Unternehmen bei der Umsetzung der DSGVO und berät Sie zu datenschutzrechtlichen Themen.

 

Foto: istockphoto.com/ipopba

/von

Einheitliche Regelungen für Bußgelder im europäischen Datenschutz 

Der Europäische Datenschutzausschuss (EDSA) beschloss in seiner Sitzung am 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung bei Datenschutzverstößen.

Die EDSA mit seinen Repräsentantinnen aus den verschiedenen EU-Ländern einigten sich auf einheitliche Maßstäbe in der Bußgeldpraxis.

Die europäischen Aufsichtsbehörden sind berechtigt Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu erlassen. Diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes von Unternehmen betragen. Die europaweit harmonisierten Leitlinien sehen hier ein aus fünf Schritten bestehendes Zumessungsverfahren vor, das spezifisch die Art und Schwere der Datenschutzverstöße sowie den Umsatz der betreffenden Unternehmen berücksichtigt. Damit sind klare Regelungen für die Höhe der Geldbußen gegeben und das trägt zu einem nachvollziehbaren Handeln der Behörden bei.

Die Vereinheitlichung der Bußgeld-Leitlinien in unterschiedlichen europäischen Mitgliedstaaten ist ein wichtiger Schritt in der europäischen Integration und können Vorbild sein für die Durchsetzung anderer EU-Gesetze.

Die Leitlinien finden Sie auf der Internetseite der EDSA.

Haben Sie Fragen in Sachen Datenschutz? Sie sind auf der Suche nach einem externen Datenschutzbeauftragten? In beiden Fällen können wir Ihnen helfen!
Schreiben Sie uns gern eine Mail mit Ihrem Anliegen.

/von

Handelsregisterverordnung den Vorgaben der DSGVO angepasst

Die Handelsregisterverordnung (HRV) wurde zum 23.12.2022 durch das Bundesjustizministerium angepasst. Das Ziel ist, personenbezogenen Daten im digitalen Handelsregister einen besseren Schutz zu geben.

Bisher ließen sich seit dem 01.08.2022 sämtliche Einträge im Handels-, Genossenschafts-, Partnerschafts- und Vereinsregister per Webformular abrufen. Damit waren Dokumente zugänglich, die oft sensible persönliche Daten wie Adresse, Geburtsdaten, Bankverbindung oder auch Unterschriften enthielten. Diese Lücke im Datenschutz entstand durch eine Gesetzesänderung zur Umsetzung der EU-Digitalisierungsrichtlinie. Betreiber des Handelsregisterportals sind die einzelnen Bundesländer und das ist der einzige Bereich, in dem das Bundesjustizministerium selbst als Verordnungsgeber tätig werden kann.

Kritik der Datenschützer am Schutz der Informationen in dem Online-Verzeichnis führte zu Änderungen in der Handelsregisterverordnung. § 9 HRV beinhaltet jetzt, dass nur Unterlagen aufgenommen werden, die aufgrund besonderer Rechtsvorschriften zwingend einzureichen seien, also beispielsweise keine Ausweiskopien. Gleichzeitig wird klargestellt, dass Erbscheine, Erbverträge, öffentliche Testamente und andere nach § 12 Abs. 1 Satz 5 HGB hinterlegte Urkunden nicht in das Register aufgenommen werden sollen. Ebenfalls wurde in dem neuen Absatz 7 § 9 HRV die Möglichkeit des Austausches von Dokumenten geregelt. Damit kann der Betroffene ein neues Dokument ohne die fraglichen Inhalte einreichen und geben das alte Dokument austauschen.

Fazit: Der Prozess ist noch nicht abgeschlossen. Das Bundesministerium der Justiz, die Justizbehörden der Länder und die Bundesnotarkammer arbeiten weiterführend daran, technische Lösungen zur datenschutzrechtlichen Bearbeitung von bereits eingestellten Daten zu finden.

Foto: istockphoto/fotogestoeber

/von

DSGVO: Neue Entscheidung zum Einsatz von Cloud-Anbietern aus den USA

Der Einsatz von Tochterunternehmen von US-amerikanischen Cloud-Anbietern ist per se nicht rechtswidrig im Sinne der DSGVO. 

Das OLG Karlsruhe präsentierte seine aktuelle Entscheidung zum Datenschutz kontroversen Einsatz von US- Cloud- Dienstleistern. 

Der Hintergrund zur Entscheidung 

ist ein Beschluss der von Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 23/22), welcher den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind, thematisiert. Es wurde begründet, dass mit der damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, ein Risiko eines Zugriffs durch U.S.-Behörden einhergeht. In diesem Fall betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus- und Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit US amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Vergabekammer führte in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung nicht relevant. 

Der Einsatz von Cloud Anbietern mit Hosting Leistungen ist für viele Unternehmen Realität und eine Abwahl dieser undenkbar. Der Beschluss der Vergabekammer löste große Unsicherheiten aus und wurde durch Datenschutzbehörden heiß diskutiert (Stellungnahme des LfDI v. 15.8.22). Gegen den Beschluss wurde Beschwerde beim OLG Karlsruhe eingelegt. 

Die Entscheidung zum Einsatz von Cloud – Anbietern aus den USA

der Karlsruher Richter wurde nach nur 8 Wochen getroffen. Am 07. September 2022 wurde die Beschlussfassung der Vergabekammer Baden-Württemberg aufgehoben (Az. 15 Verg 8/22).  

Wörtlich führt der Senat dazu aus: 

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.”
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22) 

Damit vertritt das OLG Karlsruhe die Meinung, das bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen ist, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Im vorliegenden Fall hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Beschlussfassung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen. 

Die Bedeutung beim Einsatz von US-Clouds,

wie Google, Amazon, Microsoft & Co ist groß, denn es wird keine pauschale Einschätzung zur DSGVO-Konformität getroffen. Damit wird Klarheit zum Einsatz von Tochterunternehmen der US-amerikanischen Cloud-Anbietern geschaffen.  

Ergänzend möchten wir darauf hinweisen, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Die vorliegenden Rahmenbedingungen des Auftragsverarbeiters müssen im Transfer Impact Assessment (Artikel zum Thema TIA) aufgenommen werden und in die Datenübertragungsbewertung einfließen. 

Das wird nicht die letzte Entscheidung zu diesem Thema sein, denn nach der Schrems- II- Entscheidung des EuGH vom Juli 2020 verhandeln die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield.  

Mehr zum Thema Datenschutz erfahren Sie hier: Leistungen > Datenschutz

/von

Neues Daten­schutz­gesetz geplant? – TTDSG Entwurf aufgetaucht!

Ein neuer Leak im Umlauf: Die Bundesregierung plant ein neues „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG). Dieses neue Gesetz des Bundeswirtschaftsministeriums (BMWi) soll zukünftig im Bereich der Telemedien und der Telekommunikation für Rechtssicherheit sorgen. Es existieren noch verschiedene Gesetze ( DSGVO, TMG und TKG) nebeneinander. Es soll eine Bündelung des Datenschutzes mit dem TTDSG erfolgen. Ein noch nicht veröffentlichter Referentenentwurf (https://www.heise.de/downloads/18/2/9/4/6/4/2/1/20200731_RefE_TTDSG_cleaned.pdf) liegt bereits vor.

Im Ziel des Gesetzes ist die Rechtsklarheit für alle betroffenen Parteien benannt. Mit dem Gesetzentwurf soll eine geschlossene und von den Bestimmungen des Telemediengesetzes und des Telekommunikationsgesetzes getrennte gesetzliche Reglung zum Datenschutz und zum Schutz der Privatsphäre geschaffen werden Dabei sollen zugleich die erforderlichen Anpassungen an die DSGVO erfolgen.“

Ein wichtiger Hinweis: „Die in Deutschland insbesondere in Hinblick auf das Setzen von Cookies umstrittene Frage der Umsetzung von Artikel 5 Absatz 3 der E-Privacy-Richtlinie soll mit diesem Gesetzentwurf geklärt werden.“

Der Geltungsbereich des neuen Gesetzes wird u.a. im

§1 des geplanten Gesetzestextes definiert, Zitat: Dieses Gesetz regelt den Schutz personenbezogener Daten der Endnutzer von elektronischer Kommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig elektronische Kommunikationsdienste in öffentlichen elektronischen Kommunikationsnetzen betreiben, einschließlich öffentlicher elektronischer Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder anderen Erbringung mitwirken, und von Telemedien.“

§3 trifft Regelungen zu Personal Information- Management-Services (PIMS)

Dies umfasst z.B. Arbeitszeiterfassungssysteme, welche lt. Entwurf PIMS in der Nutzung freiwillig sein müssen. Kein Dienstanbieter darf laut Entwurf einen Nutzer dazu zwingen, ein PIMS zu verwenden.

§9 geht bei „Einwilligung bei Endeinrichtungen“ auch auf Cookies ein.

Dort heißt es, dass es unter drei Bedingungen eine Ausnahme zur Einwilligungspflicht geben soll. Wenn es,

  1. „technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln (…)“
  2. „vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen“
  3. „zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

 

Die Aufsicht ist neu geregelt: Der Gesetzentwurf bereinigt die Regelungen des Telemediengesetz (TMG) um diejenigen Bestimmungen, die aufgrund des Vorranges der DSGVO nicht mehr anwendbar sind.

Einheitliche Zuständigkeit für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDi) ist nun geplant. Der BfDi soll in diesem Bereich zukünftig die Aufsicht über den gesamten Schutz der personenbezogenen Daten übernehmen. Damit ist z.B. die BNetzA für das Abhörverbot und die Einhaltung von Informationspflichten unbeteiligt.

Bußgelder werden an die DSGVO angeglichen.

Es ist ein zeitnahes Inkrafttreten ohne Übergangsfristen geplant.

 

Gez. M. Reichenbacher

/von