DataAgenda Datenschutz Podcast

Die Auslegung und Durchsetzung des Datenschutzrechts obliegt zunächst den Datenschutzaufsichtsbehörden. Im Ergebnis treffen sie aber wenige Entscheidungen. Stattdessen erfolgt die Auslegung konkreter Praxisfragen im Datenschutz zunehmend durch den Europäischen Gerichtshof. Rechtsanwalt Sascha Kremer fordert die Datenschutzaufsichtsbehörden im DataAgenda Datenschutz Podcast dazu auf, die Auslegung der DS-GVO beherzter in die eigenen Hände zu nehmen und streitige Entscheidungen nicht zu scheuen, um die Auslegung der DS-GVO kompetent und sachnah in die eigenen Hände zu nehmen.

Der Europäische Gerichtshof hat die Bedeutung der Datensicherheit in den Fokus der Diskussion um Schadensersatz nach Art. 82 DS-GVO gerückt. Im Dezember 2023 (Rs. C-340/21) hat er entschieden, dass schon die Befürchtung eines möglichen Missbrauchs von Daten ausreicht, um einen Schadensersatzanspruch auszulösen. Das bedeutet: Unternehmen müssen die Anforderungen an die IT-Sicherheit noch ernster nehmen. Aktuell tut sich insgesamt viel im Recht der IT-Sicherheit. Eine Einordnung des komplexen Rechtsrahmens geben Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen und Steve Ritter, Referatsleiter »IT-Sicherheit und Recht« im Bundesamt für Sicherheit in der Informationstechnik (BSI) .

Was war 2023 in Sachen Datenschutz und KI erfreulich, was war ärgerlich, fragen sich Kristin Benedikt, Richterin am Verwaltungsgericht Regensburg, BGH-Richter Dr. Martin Kessen und MdEP Axel Voss. Wo soll die Reise im Jahr 2024 hingehen? Themen des DataAgenda Jahresrückblicks 2023 sind Fragen der KI-Verordnung, die Rechtsprechung und Rolle des EuGH im Jahr 2023 und wo die Möglichkeiten und Grenzen des. insatzes von KI in der Justiz sind.

Der Data Act ist seit dem 9. November 2023 beschlossene Sache. Laut Damian von Boeselager, dem Berichterstatter im Europaparlament für das Europäische Datengesetz wird es zur Schaffung von mehr Wettbewerb und Innovation beitragen. „Der Data Act ist ein Marktdesign für zukünftige Börsen für Industriedaten, mit denen Tausende Unternehmen neue Einnahmequellen erschließen können. Das Gesetz schafft einen Rahmen, den die Wirtschaft mit Leben füllen soll und wird“ „Aber um es klar zu sagen“ so Damian von Boeselager weiter, „der Data Act (...) steht neben der DSGVO, er ändert sie nicht. (…) Als Anwender weiß ich nun, in welchem Gesetz ich welche Regeln für beide Datenarten finden.“ Inwieweit die Praxis diese Einschätzung teilt und welche Herausforderungen das neue Recht für die Wirtschaft bedeutet, geht es im DataAgenda Datenschutzpodcast mit dem auf Rechtsfragen der Informationsgesellschaft spezialisierten Rechtsanwalt Dr. Simon Assion.

After marathon negotiations from December 6 to 9, 2023, the future of the AI Regulation seems secure. In the DataAgenda podcast, Kai Zenner, Head of Office and Political Advisor to MEdP Axel Voss, reports on what the representatives of the Council, Commission and European Parliament have agreed on and how things are progressing and whether there was any gambling during the negotiations.

Nach einem Verhandlungsmarathon vom 6. bis zum 9.12.2023 scheint die Zukunft der KI-Verordnung gesichert. Worauf die Vertreter von Rat, Kommission und Europaparlament sich geeinigt haben und wie es weitergeht und ob bei den Verhandlungen auch gepokert wurde, berichtet Kai Zenner, Büroleiter und Politischer Berater von MEdP Axel Voss im DataAgenda-Podcast.

Menschen nutzen soziale Netzwerke, um miteinander zu kommunizieren. Das Geschäftsmodell dieser Angebote besteht aber nicht darin, Menschen miteinander in Kontakt zu bringen. Es geht darum auszuwerten und zu vermarkten, wer mit wem kommuniziert und wer sich für was interessiert. Nun bietet Meta Facebook und Instagram im Abo an. Ist das fair und was hat es damit auf sich und was haben EuGH und Datenschutzaufsicht damit zu tun? Ein Gespräch mit Kristin Benedikt, Richterin am Verwaltungsgericht Regensburg und Datenschutzberater David Pfau. Hinweis: Zum Zeitpunkt der Aufnahme des Podcast gab es Unklarheiten zum konkreten Preismodell. Die Preise sind hier korrekt dargestellt. Die Rechtsfragen der Preisdiskussion im Podcast verändern sich dadurch nicht. (Quelle: https://www.facebook.com/help/262038446684066?paipv=0&eav=AfYbcX7RKoPJIhPD6aRh8cW8nisXlCVe3xSFXCbyQoRGFs84ay0nvbMXUoymSsRJk1A&_rdr)

Welche Rolle nehmen die deutschen Datenschutzaufsichtsbehörden mit Blick auf die neuen Datenakte der EU ein? Wie ist die Aufsichtsstruktur im Kontext von DSA, DMA, DGA, Data Act und der entstehenden KI-VO) ausgestaltet? Welche Pflichten ergeben sich aus DSA und DDG mit Blick betrieblichen Datenschutz für Unternehmen? Was ist bei dem Einsatz von Bots zur Kundenberatung zu beachten? Antworten auf diese Fragen geben Thomas Fuchs, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit und Rechtsanwalt Dr. Carlo Piltz im DataAgenda Datenschutzpodcast.

The AI Regulation is a central topic of digital policy. But will it still be adopted in the current legislative period of the EU Parliament? What are the current points of contention in the trilogue? What should the business community already be aware of? Answers to these questions are provided by Kai Zenner, office manager of the EVP rapporteur Axel Voss.

Die KI-Verordnung ist ein zentrales Thema der Digitalpolitik. Aber wird sie noch in der aktuellen Legislaturperiode des EU-Parlaments verabschiedet? Was sind die aktuellen Streitpunkte im Trilog? Was sollte die Wirtschaft schon jetzt beachten? Wie ist die Position der Bundesregierung zum Entwurf? Antworten auf diese Fragen gibt Kai Zenner, Büroleiter des EVP-Berichterstatters Axel Voss.

„Zeichne mir einen Menschen in der Küche“. Diese Aufforderung muss eine bildgenerierende Künstliche Intelligenz genderneutral erledigen, wenn kein geschlechterdiskriminierendes Menschenbild erzeugt werden soll. Die Daten, auf die Anwendungen zugreifen, die Sprache oder Bilder erzeugen, müssen unser Verständnis von Gut und Böse kennen, damit sie die Welt so abbilden können, wie wir sie wahrnehmen. Zugleich soll die Datenbasis neutral und unschuldig sein. Aber warum soll eine generative KI-Anwendung eigentlich nicht werten dürfen? Und wer bestimmt, ob eine Datenbasis Gutes oder Böses hervorbringt – die Programmierer, die Nutzer oder doch die Gesellschaft? Wie sieht es die Digitalwirtschaft und wie die Datenschutzaufsicht? Ein DataAgenda-Podcast mit den Aleph Alpha Gründern Jonas Andrulis und Samuel Weinbach im Gespräch mit DSK und ULD-Schleswig Holstein Chefin Dr. hc. Marit Hansen und dem LfDI aus Baden-Württemberg Prof. Dr. Tobias Keber.

Am 8. August 2023 hat das Bundesministerium des Innern einen Referentenentwurf zur Novellierung des Bundesdatenschutzgesetzes vorgelegt. Es geht um drei Themen mit erheblicher Bedeutung für den betrieblichen Datenschutz. Die Datenschutzkonferenz soll institutionalisiert werden und der Regelung zur Videoüberwachung durch private Unternehmen soll die rechtliche Grundlage entzogen werden. Thema ist zudem Auskunftspflicht bei Betriebs- und Geschäftsgeheimnissen. Dr. Stefan Brink und Andreas Jaspers nehmen eine erste Einordnung vor.

Die Debatte um GPT-Anwendungen hat die Unternehmen erreicht. Auf EU-Ebene wird der Einsatz von künstlicher Intelligenz zurzeit in einem Trilog zwischen Parlament, Kommission und Mitgliedstaaten verhandelt. Es wird erwartet, dass das Ergebnis noch in diesem Jahr vorliegen wird. Im Unternehmensalltag sind Chatbots & Co allerdings schon jetzt angekommen. Sie werden vor allem bei der Verarbeitung von Kundendaten eingesetzt. Das ruft Datenschützer auf den Plan, denn die Anforderungen der DS-GVO müssen jetzt und künftig ungeachtet der entstehenden KI-Regularien eingehalten werden. Es bestehen Fragen auf allen Ebenen der DS-GVO, vom Anwendungsbereich, über die Zulässigkeit der Datenverarbeitung bis hin zu den Dokumentations- und Transparenzpflichten, der automatisierten Entscheidung und der Datenschutzfolgenabschätzung. Erste Antworten gibt der Rechtsanwalt Sascha Kremer von Kremer-Rechtsanwälte auf die Fragen von Professor Dr. Tobias Keber, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg und Professor Dr. Rolf Schwartmann.

Beim Einsatz generativer KI spielt neben dem Datenschutzrecht das Urheberrecht eine wichtige Rolle. Die Rechtsbereiche dürfen nicht miteinander vermischt werden. Welche Rechte bei der Erstellung von neuen Inhalten bzw. beim Training der KI tangiert sind (Input), und zum anderen, welche Rechte mit den von KI-(mit)erzeugten Inhalten verbunden sind, gleich ob Musik, Text oder Bild, und wem sie zustehen (Output) ist eine komplexe Problematik. Im Rahmen einer automatisierten Analyse von einzelnen oder mehreren digitalen oder digitalisierten Werken darf man Informationen und Muster gewinnen. Aber wo liegen die Grenzen? Darum geht es im Podcast mit Professor Dr. Christian-Henner Hentsch von der Kölner Forschungsstelle für Medienrecht an der TH Köln und Leiter Recht und Regulierung des GAME.

Die DS-GVO feiert am 25. Mai 2023 ihren fünften Geburtstag. Der DataAgenda-Podcast widmet dem Jahrestag eine Doppelfolge. In Teil 2 geht es um Rückblick, Reflexion und Standortbestimmung. Wie hat sich das Recht entwickelt und wie wird es in der Aufsichtspraxis und der Rechtsprechung ausgestaltet? Muss die DS-GVO im Angesicht der KI angepasst werden? Darüber diskutieren der Richter am Bundesgerichtshof Dr. Peter Allgayer, die Leiterin des ULD Schleswig-Holstein und aktuelle Vorsitzende der DSK Dr. h.c. Marit Hansen und Professor Dr. Jürgen Kühling, Professor an der Universität Regensburg und Vorsitzender der Monopolkommission.

Die DS-GVO feiert am 25. Mai 2023 ihren fünften Geburtstag. Der DataAgenda-Podcast widmet dem Jahrestag eine Doppelfolge. In Teil 1 geht es um die Zukunft des Datenrechts mit Blick auf die KI-Verordnung und das Verhältnis der DS-GVO zum entstehenden Recht. Im Zentrum der Folge steht die Regulierung von Bots wie ChatGPT. Axel Voß, der Berichterstatter der EVP für die KI-Verordnung im europäischen Parlament und sein Büroleiter Kai Zenner stellen den Entwurf auf Grundlage des Änderungsvorschlages des Europäischen Parlaments vom 11. Mai 2023 zum Kommissionsvorschlag der KI-Verordnung vor. Mit dabei ist Professor Dr. Tobias Keber, Professor an der Hochschule der Medien Stuttgart und designierter Beauftragter für den Datenschutz und die Informationsfreiheit.

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“ Mit dieser in Art. 15 Abs. 3 S. 1 DSGVO verankerten Regelung beschäftigten sich Wissenschaft und Praxis seit Inkrafttreten der DSGVO gleicherma-ßen. Der EuGH hat im Januar und im Mai 2023 zwei zentrale Entscheidungen zu Art. 15 DS-GVO gefällt, nämlich im Januar im Hinblick auf ein Vorabentscheidungsersuchen im Rahmen eines Verfahrens gegen die Österreichische Post AG und Anfang dieses Monats im Hinblick auf ein Vorabentscheidungsersuchen im Rahmen eines Verfahrens gegen die Österreichische Datenschutzbehörde. Eine weitere Entscheidung, zu denen die Schlussanträge des Generalanwalts vorliegen, steht an. Im DataAgenda-Podcast werden die Entscheidungen mit Blick auf ihre Auswirkungen für die Praxis beleuchtet mit Dr. Yannick Peisker, wissenschaftlicher Mitarbeiter am Institut für Arbeitsrecht und Recht der sozialen Sicherheit an der Univer-sität Bonn und Yvette Reif, stellvertretende Geschäftsführerin der GDD.

Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs. C-300/21 erstmals zu den Voraussetzungen eines immateriellen Schadensersatzanspruchs nach Art. 82 DSGVO geäußert. Die Aussagen dürften es Klägeranwälten und anderen auf die Geltendmachung von DSGVO-Schadensersatz spezialisierten Dienstleistern zukünftig erheblich erleichtern, massenhafte Schadensersatzansprüche gegen Unternehmen durchzusetzen. Dr. Tobias Jacquemain und Rechtsanwalt Tim Wybitul ordnen die Entscheidung im DataAgenda Datenschutz-Podcast ein.

Der EuGH befasst sich aktuell mit Kreditauskunfteien. Im März 2023 hat sich der zuständige Generalanwalt in seinen Schlussanträgen zu zwei Vorlageverfahren des VG Wiesbaden aus dem Jahr 2021 zum Geschäftsmodell der SCHUFA (Schutzgemeinschaft für allgemeine Kreditsicherung) geäußert. In einem Fall ging es um die Frage, ob das Verfahren, mit dem die Schufa ihren Scorewert vergibt, auf einer von der DSGVO grundsätzlich verbotenen automatisierten Entscheidung beruht oder ob die menschliche Nachentscheidung etwa für eine Kreditvergabe durch einen Bankmitarbeiter rechtlich relevant ist. In einem anderen Verfahren geht es darum, wie lange die Schufa die aus öffentlichen Quellen erhobenen Daten eines Schuldners speichern darf. Gregor Thüsing ist Juraprofessor, Direktor des Instituts für Arbeitsrecht und Recht der sozialen Sicherheit an der Universität Bonn und Mitglied im Vorstand der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.). Er war Prozessvertreter der SCHUFA in der mündlichen Verhandlung vor dem EuGH im Januar 2023 und ordnet die Schlussanträge des Generalanwalts ein. Ein Erfahrungsbericht über die Verhandlung vor dem Europäischen Gerichtshof von Thüsing/Peisker/Musil, Scoring und Restschuldbefreiung in der Datenverarbeitung der Kreditauskunfteien vor dem EuGH, ist abgedruckt in RDV 2023, 82 ff.

Am 16.02.2023 hat das Bundesverfassungsgericht mit einer Entscheidung Regelungen in Hessen (§ 25 Abs. 1 Alt. 1 HSOG) und Hamburg (§ 49 Abs. 1 Alt. 1 HmbPolDVG) zur automatisierten Datenanalyse oder -auswertung aus aggregierten Quellen („Data Mining“) für die vorbeugende Bekämpfung von Straftaten und die Gefahrenabwehr allgemein für verfassungswidrig erklärt. Das BVerfG hat den Beschwerdeführern teilweise recht gegeben. Positiv gewendet ist die automatisierte Datenanalyse oder -auswertung „zur vorbeugenden Bekämpfung schwerer Straftaten” nämlich grundsätzlich legitim. Deren Verhältnismäßigkeit hängt von den Ausnahmen ab. Ein DataAgenda-Podcast über die Auswirkungen des Urteils für die Praxis mit Paula Cipierre, Leiterin des Bereichs Datenschutz und Datenethik bei Palantir Technologies und Markus Hartmann, Leitender Oberstaatsanwalt bei der Generalstaatsanwaltschaft Köln und Leiter der Zentral- und Ansprechstelle Cybercrime (ZAC) NRW.