Wer künstliche Intelligenz (KI) einsetzt, muss auf die Erfüllung denkbarer Auskunftsansprüche nach Art. 15 DSGVO vorbereitet sein. Sie können sich auch auf Daten in KI-Modellen beziehen. Der Europäische Datenschutzausschuss (EDSA) hat hierzu eine Stellungnahme veröffentlicht.
Für Datenübermittlungen an über 2.400 US-Unternehmen bietet der Angemessenheitsbeschluss der EU-Kommission zum Datenschutzrahmen EU–USA eine sehr willkommene Rechtsgrundlage. Derzeit wachsen Befürchtungen, dass neuere Entwicklungen in den USA seinen rechtlichen Bestand gefährden könnten. Der Beitrag schildert die aktuelle Situation.
Nie wieder Befund weiterleiten, Doppeluntersuchungen veranlassen und immer einen Überblick über die aktuelle Medikation der Patienten – die elektronische Patientenakte verspricht all dies. Doch die Einführung läuft nicht immer reibungslos. Wie die ePA funktioniert, welche Chancen sie bietet und welche Herausforderungen sie im Zusammenhang mit dem Datenschutz mit sich bringt.
Am 10.07.2023 erließ die Europäische Kommission einen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA. Ein Jahr später fand eine Evaluierung dieses Beschlusses statt. Die Ergebnisse sind für alle Unternehmen relevant, die Daten in die USA übermitteln.
Gemeinsam schützen Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG) und Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) in Deutschland das Grundrecht auf informationelle Selbstbestimmung. Doch was genau versteht man unter diesem Grundrecht?
Manchmal sieht man den Wald vor lauter Bäumen nicht mehr. So geht es derzeit vielen Datenschützern angesichts der Flut von EU-Initiativen zu Digitalisierung und Künstlicher Intelligenz. Anlass genug für einen Überblick, der nur die wirklich wichtigen Eckpunkte hervorhebt!
Um die Digitalisierung zu beschleunigen, haben die zuständigen EU- Stellen die eIDAS-Verordnung umfassend geändert und ergänzt, oft „eIDAS 2.0“ genannt. Verantwortliche werden sich v.a. auf technische Anpassungen von Authentifizierungsprozessen einstellen müssen.
Vertraulichkeit ist bekannt als eines der drei zentralen Schutzziele der IT-Sicherheit. Auch der Datenschutz fordert Vertraulichkeit. Doch bedeutet es das gleiche wie in der Informationssicherheit? Passen Maßnahmen der IT-Sicherheit auch im Datenschutz?
Der moderne Datenschutz kommt ohne Maßnahmen der Cybersicherheit nicht mehr aus. Cyberattacken sind inzwischen nicht nur das größte Unternehmensrisiko, sie sind auch Ursache zahlreicher Datenschutzverletzungen. DSB müssen deshalb auch die Cybersicherheit auf ihre Agenda setzen.
Zur EU-Datenstrategie gehört neben einigen weiteren „Acts“ der Data Act – das Datengesetz. Das Datengesetz bringt zahlreiche Änderungen mit sich, die künftig auch Unternehmen beachten müssen, die sich bisher kaum mit gesetzlichen Regelungen zur Datenverarbeitung auseinandersetzen mussten.
Die Anwendung ChatGPT hat einen regelrechten KI-Hype ausgelöst. Und dabei die Frage aufgeworfen, wie sich diese KI-Systeme aus Datenschutzsicht kontrollieren lassen. Welche Aspekte dabei im Mittelpunkt stehen, zeigt der Fragenkatalog der Aufsichtsbehörden an OpenAI.
Informationssicherheit und Datenschutz sind nicht deckungsgleich. Folgerichtig ist der Datenschutz-Baustein kein Bestandteil einer formalen IT-Grundschutz-Zertifizierung. Lesen Sie, warum das Thema „ISMS“ für Datenschutzbeauftragte dennoch wichtig ist.
Die technisch-organisatorischen Maßnahmen im Datenschutz müssen sich an der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren. Der Schutzbedarf hängt u.a. von der Datenkategorie ab. Um diese zu bestimmen, helfen Schutzstufenkonzepte.
Datenschutz ist wesentlich, um Cyberrisiken abzuwehren. Nutzen Sie dieses Argument in Zeiten, in denen Cybersecurity auf der Agenda vieler Unternehmen weit oben steht.
Auch wenn viel von Datendiebstahl die Rede ist: Eigentlich gibt es keinen Diebstahl von Daten. Wohl aber die Ausspähung von Daten, die unter Strafe steht. Neben dem Datenschutzrecht greift hier das Strafrecht.
Spätestens mit ChatGPT-4 sind die erstaunlichen Fähigkeiten von KI spürbar geworden. Moderne KI-Systeme basieren auf Massendaten und neuen Konzepten. Der Beitrag beschreibt die Funktionsweise aktueller KI-Algorithmen auch im Kontext des Datenschutzes.
„Abmahnwellen“ wegen angeblicher oder tatsächlicher Datenschutzverletzungen sind gefürchtet. Bisher bleiben die Abmahnungen meist erfolglos. Aber könnte sich das vielleicht ändern? Dem BGH ist das Thema so wichtig, dass er dazu den EuGH eingeschaltet hat.
Mit einem spektakulären Urteil hat der Europäische Gerichtshof (EuGH) die Auslegungshoheit für Fragen des Beschäftigtendatenschutzes in der EU weitgehend an sich gezogen. Das wird Folgen haben.
Für Webshops, Internetseiten u.Ä. sieht das TTDSG spezielle Auskunftspflichten vor. Diese Auskunft geht nicht an die betroffene Person, sondern an Dritte. Das Auskunftsverlangen muss jedoch vor der Erteilung geprüft werden. Hier kommen Datenschutzbeauftragte ins Spiel!
Betriebsbedingte Kündigungen sind derzeit keine traurigen Ausnahmen, sondern praktisch Tagesgeschäft. Auch wenn Datenschutzbeauftragte bei der Sozialauswahl keine zentrale Rolle spielen, ist ihre fachkundige begleitende Beratung wichtig.
„Mit Kirche habe ich nichts am Hut!“ Diesen Satz hört man öfter von Personen, die nie Mitglied einer Kirche waren oder die irgendwann aus einer Kirche ausgetreten sind. Er stimmt allerdings gerade im Datenschutz nur sehr begrenzt.
Koordiniert durch die Stabsstelle Prüfungsverfahren führt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) vermehrt „fokussierte“ anlasslose Prüfungen mit technischen und rechtlichen Schwerpunkten durch. Wie erstellt das BayLDA solche Prüfungen und wie laufen sie ab?
Um Datenschutzverletzungen zu verhindern, gilt es, innovative Verfahren für den Datenschutz bei Maschinellem Lernen (ML) und KI zu finden. Hier zeichnen sich bereits erfolgversprechende Konzepte ab.
Die Qualität von Phishing-Mails entscheidet über ihren Erfolg und damit über den möglichen Schaden für die Opfer. Dank KI (Künstlicher Intelligenz) wie ChatGPT wird der Aufwand für erfolgversprechende Phishing-Attacken immer geringer, das Phishing-Risiko im Gegenzug immer höher. Wir geben einen Überblick.
Es reicht nicht, die Vorgaben der DSGVO einzuhalten. Verantwortliche in den Unternehmen müssen die ergriffenen Maßnahmen und ihre Wirksamkeit auch nachweisen können. Das sollten Datenschutzbeauftragte dazu wissen.
Ein Unternehmen verletzt die DSGVO erheblich. Rechtfertigt allein das schon eine Geldbuße? Oder muss feststehen, wie es dazu im Einzelnen kam und welche Person konkret etwas falsch gemacht hat? Darüber wird der EuGH in einiger Zeit entscheiden
Der Datenschutz muss in der Entwicklungs- und Testphase von Software genauso gewährleistet sein wie in der Produktivphase. Doch Entwicklerteams benötigen meist erhöhte Zugriffsrechte. Einige Anbieter versprechen, hier datenschutzgerechte Lösungen zu finden.
Bei der Auslegung der DSGVO gibt es noch viele Unklarheiten. Jedes Gericht kann dem Europäischen Gerichtshof dazu Fragen vorlegen. In diesem Beitrag beleuchten wir zwei Vorlageverfahren zur persönlichen Stellung von betrieblichen Datenschutzbeauftragten.
US-Präsident Biden hat eine Anordnung getroffen, die den Forderungen des EuGH aus seiner Schrems-II-Entscheidung entgegenkommen soll. Was genau besagt diese Executive Order?
Harmonisierung ist eines der großen Stichworte der DSGVO. Dazu zählt die Möglichkeit, für Unternehmen einen einheitlichen Konzerndatenschutzbeauftragten zu benennen. Was bringt das in der Praxis?
Die Datenminimierung bzw. die Datensparsamkeit ist ein zentraler Grundsatz der Datenverarbeitung in der DSGVO. Was bedeutet sie konkret für den Datenschutz?
In einigen Unternehmen gibt es sowohl einen Datenschutzbeauftragten als auch einen Compliance Officer. Wer macht was, wie lassen sich die Aufgaben abgrenzen, in welchem Verhältnis stehen sie zueinander?
Auch wenn Microsoft Rechenzentren in der EU betreibt, können US-amerikanische Behörden das Unternehmen zwingen, Daten herauszugeben. Microsoft will gegensteuern, kann dies aber nur begrenzt. Wir geben in diesem Beitrag einen Überblick zum aktuellen Stand.
Die europäische Datenstrategie hat zum Ziel, den Datenfluss und die wirtschaftliche Verwertung von Daten in der EU fair und zum Wohle aller zu regeln. Für Datenschutzbeauftragte und Unternehmen stellt sich die Frage, was das genau für sie bedeutet und welche Auswirkungen es auf den Datenschutz hat.
Mindestens 150.000 Beschwerden wegen unerlaubter Telefonwerbung – Bußgelder in nur 17 Fällen: Um dieses Missverhältnis zu korrigieren, hat der Gesetzgeber neue Dokumentationspflichten bei der Einwilligung in Telefonwerbung eingeführt. Was heißt das für Unternehmen?
In Deutschland gibt es sehr viele Bildungseinrichtungen in vielen verschiedenen Formen und Größen. So komplex diese Strukturen sind, so vielfältig und verflochten sind die Ströme der personenbezogenen Daten, wie zwei Beispiele zeigen.
Integrität gehört wie Vertraulichkeit zu den Grundsätzen der DSGVO für die Verarbeitung personenbezogener Daten. Doch Integrität ist weitaus weniger bekannt und im Fokus als Vertraulichkeit, sodass der Schutz der Integrität leicht zu kurz kommt.
Datenschutzbeauftragte haben nach Datenschutz-Grundverordnung (DSGVO) eine Reihe von verpflichtenden Aufgaben. Dazu gehört, zu überwachen, ob der Verantwortliche oder Auftragsverarbeiter die Datenschutz-Vorschriften einhält. Die Überwachung umfasst zudem, die Strategien für den Schutz personenbezogener Daten zu prüfen. Was bedeutet das konkret?
Mit § 25 TTDSG tritt am 01.12.2021 die Regelung zum Schutz der Privatsphäre von Endeinrichtungen in Kraft. Diskutiert wurde diese Vorgabe unter dem Schlagwort „Cookie-Regelung“. Doch Achtung: Zwar geht es auch um den Einsatz von Cookies. Es beschränkt sich aber nicht darauf.
Zu den Aufgaben von Datenschutzbeauftragten nach der DSGVO zählt, den Verantwortlichen oder Auftragsverarbeiter sowie die Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Datenschutz-Pflichten zu unterrichten und zu beraten. Was bedeutet das konkret?
Juristen beantworten diese Frage knapp mit „Es kommt darauf an.“ Damit es für Sie nicht bei der Lieblingsantwort der Juristen bleibt, gibt dieser Beitrag Hilfestellung für die Praxis.
Nur die neuen EU-Standardvertragsklauseln zu verwenden, reicht nicht. Hinzukommen müssen die „ergänzenden Maßnahmen“. Seine Empfehlungen dazu hat der Europäische Datenschutzausschuss (EDSA) nun in einer Endfassung veröffentlicht.
Was gebietet der Anstand, und was ist datenschutzrechtlich zulässig? Ist die nötige Sensibilität bei anderen Themen oft wenig ausgeprägt, bekommt im Angesicht des Todes der Datenschutz eine neue Bedeutung; zu groß ist die Angst, in ein Fettnäpfchen zu treten.
Nachdem wir in der letzten Ausgabe Schadenersatzansprüchen nach DSGVO generell auf den Grund gegangen sind, schauen wir uns in diesem Zusammenhang einmal das Thema „Auskunftspflicht“ genauer an.
Wie erkennen Mitarbeitende Datenpannen? Wie sorgen wir dafür, dass sie sie auch rechtzeitig melden? Das sind in der Praxis immer wieder schwierige Themen. Unterstützung für die Schulung bieten aktuelle Leitlinien des Europäischen Datenschutzausschusses (EDSA).
Die DSGVO fordert die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen rasch wiederherzustellen. Hinweise zur Umsetzung liefert sie aber nicht. Deshalb sind Hilfestellungen wie der neue BSI-Standard 200-4 mehr als willkommen.
In den meisten Fällen wird der Arbeitgeber für Datenschutz-Verstöße seiner Beschäftigten haften. Doch es gibt auch Fälle, in denen Mitarbeiterinnen und Mitarbeiter höchstpersönlich „dran“ sind.
Wohl die meisten internen Datenschutzbeauftragten erfüllen noch andere Aufgaben. Und externe sind oft für mehrere Unternehmen tätig. Stets stellt sich die Frage, ob Interessenkonflikte auftreten. Die DSGVO zwingt hier dazu, gewohnte Sichtweisen neu zu bewerten.
Die stärkste Verschlüsselung hilft wenig, wenn sie nicht überall dort greift, wo sie notwendig ist. In der Praxis haben viele Verschlüsselungs-Konzepte gefährliche Lücken. Hinterfragen Sie daher die Wirksamkeit der Verschlüsselung regelmäßig.
Die aktuelle Entwicklung rund um das Covid-19-Virus hält auch den Datenschutz auf Trab. Welche personenbezogenen Daten darf der Arbeitgeber in solchen Extremsituationen eigentlich verarbeiten?
Es gibt unzählige private Datenverarbeitungen wie Fotos, Geburtstagslisten und Einladungen. Wann greift eigentlich die DSGVO für Privatpersonen, besonders im Zeitalter sozialer Netzwerke & Co.?
Betriebsärzte verarbeiten zwangsläufig Gesundheitsdaten und übermitteln sie an weitere Beteiligte. Wer ist für diese Daten verantwortlich? Welche Rechtsgrundlage gilt? Und was dürfen Datenschutzbeauftragter und Aufsicht?
Einer der zentralen Grundsätze der Datenverarbeitung in der Datenschutz-Grundverordnung (DSGVO) ist die Datenrichtigkeit. Der Grundsatz ist nicht neu – mit Anwendbarkeit der Verordnung aber beachtenswerter denn je. Denn eine Verletzung ist bußgeldbewehrt. Was gehört alles zur Datenrichtigkeit?
Betriebsvereinbarungen sind ein wichtiges Instrument, um Beschäftigtendaten rechtskonform zu verarbeiten. Wie müssen solche Vereinbarungen ausgestaltet sein, und welche Vorgaben gilt es zu beachten?
Den CLOUD Act kennen viele Datenschutzpraktiker bisher nicht, obwohl er den Zugriff von US-Behörden auf Daten außerhalb der USA regelt. Der Beitrag stellt die wesentlichen Bestimmungen vor und ordnet das Gesetz in einen größeren rechtlichen Zusammenhang ein.
Computerkriminalität oder IuK-Kriminalität bezeichnet im weitesten Sinne alle Handlungsformen, bei denen es sich um strafbare bzw. strafwürdige Verhaltensweisen handelt und bei denen der Computer bzw. die elektronische Datenverarbeitungsanlage Werkzeug oder Ziel der Tat ist.
Ein DSB, der nicht auch einmal vor Ort erscheint und einen Blick auf die Praxis wirft, kann seinen umfangreichen gesetzlichen Aufgaben kaum nachkommen, gerade was die Kontrolle betrifft. Daher gilt: Schauen Sie öfter mal genau hin!
Über die Datenschutz-Grundverordnung (DSGVO) wird auch mehr als fünf Jahre nach ihrer ersten Anwendung viel berichtet und diskutiert. Häufig geht es dabei um spezielle Fragen zum Datenschutzrecht der EU. Vieles wird jedoch verständlicher, wenn man sich gezielt mit den Grundlagen der DSGVO befasst. Das hilft auch, die Mitarbeitenden im Unternehmen zu sensibilisieren.
Das Konstrukt der gemeinsamen Verantwortlichkeit schafft derzeit viel Unmut. Lesen Sie, welche Fragen und Beispiele Sie nutzen können, um eine klarere Trennung zu schaffen.
Die sehnlichst erwarteten Listen der europäischen Datenschutzaufsichtsbehörden, wann eine Datenschutz-Folgenabschätzung nötig ist und wann nicht, trudeln nun nach und nach ein. Doch die Begeisterung hält sich in Grenzen. Denn so deutlich schwarz-weiß wie erhofft ist die Situation damit nicht geworden.
Die Aufregung, wie es mit dem Direktmarketing unter der Datenschutz-Grundverordnung (DSGVO) weitergeht, war groß. War sie auch berechtigt? Der Artikel befasst sich mit dieser Frage anhand von drei Konstellationen.
Welche Abgrenzungs-Beispiele zur Auftragsverarbeitung gibt es? Wann ist das Hosting von Webseiten keine Auftragsverarbeitung? Unterliegen Steuerberater den Anforderungen der Auftragsverarbeitung? Das Bayerische Landesamt für Datenschutz (BayLDA) bietet in einer Neufassung seiner Infoblätter hierzu viele Informationen, die in der Praxis weiterhelfen.
Die im Folgenden vorgestellten Papiere von Aufsichtsbehörden sind im Zusammenhang mit der Qualifikation des Datenschutzbeauftragten von besonderer Bedeutung. Es lohnt sich daher, sich neben den ausgewählten wichtigen Auszügen auch einmal die Originale anzuschauen.
Selbst wenn es noch etwa ein Jahr dauert, bis die Datenschutz-Grundverordnung (DSGVO) tatsächlich wirksam und der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) installiert wird, macht sich die Vorgängerorganisation, die Art.-29-Gruppe, derzeit schon intensiv daran, Leitlinien für den Vollzug der Grundverordnung zu erarbeiten. Sie zeigen schon jetzt, wohin die Reise geht, etwa beim Thema „federführende Aufsichtsbehörde“.
Am 1. Februar 2017 hat die Bundesregierung den Entwurf eines „BDSG-neu“ beschlossen. Es soll das bisherige Bundesdatenschutzgesetz (BDSG) ablösen, wenn ab 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) gilt. Schwerpunkte bilden der komplizierte Aufbau des „BDSG-neu“, ohne dessen Kenntnis viele Regelungen nicht einzuordnen sind, ferner die Bußgeldregelungen und Scoring-Vorschriften.
1 von 0
Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.
