Inhalt der Ausgabe 04/2023
Editorial
Inhalt
Privacy Topics
Getreu dem Motto vieler großer Technologieunternehmen „frag nicht um Erlaubnis, bitte um Verzeihung“ schien auch OpenAI ihr Large-Language- Model (LLM) „ChatGPT“ Ende November 2022 auf den Markt gebracht zu haben. Nichtsdestotrotz war die Entscheidung der italienischen Datenschutzaufsichtsbehörde, die im aufsichtsrechtlichen Maßnahmenkatalog des Art. 85 DSGVO weit ausholte und gar eine vorübergehende Beschränkung anordnete, in ihrer Härte überraschend.
Generative Künstliche Intelligenz (wie beispielsweise ChatGPT, GitHub Copilot, Bard) verändern die Entwicklungen und den Einsatz von Künstlicher Intelligenz in rasender Geschwindigkeit. Doch ein solch rasanter technischer Fortschritt erfordert stets das Bewusstsein, mit bestehenden Risiken umzugehen und somit einen verantwortungsvollen Umgang im Einsatz solcher Technologien zu gewährleisten. Wohl kein Thema ist zurzeit prominenter politisch platziert, als die Rufe nach einer vertrauenswürdigen Künstlicher Intelligenz.
Trotz der klaren weisungsgebundenen Rolle des Auftragsverarbeiters in der DSGVO kommt es in der Praxis häufig zu zusätzlichen „eigenen“ Verarbeitungstätigkeiten durch diesen. Probleme bereitet dabei insbesondere die Einordnung der datenschutzrechtlichen (Un-)Zulässigkeit solcher Verarbeitungen. Dieser Beitrag gibt einen Überblick über die Rechtslage und untersucht die bekannten aufsichtsbehördlichen Positionen.
Das neue Schweizer Datenschutzgesetz (nDSG1) tritt am 1. September 2023 in Kraft. Es bringt zahlreiche Änderungen mit sich, die eine Angleichung an die DS-GVO2 zur Folge haben. Insbesondere sind auch die Strafbestimmungen verschärft worden. Der folgende Beitrag stellt die Voraussetzungen dar, bei deren Vorliegen künftig eine Strafbarkeit wegen Verstößen gegen das nDSG in Betracht kommt.
Privacy Compliance
Normen zum Beschäftigtendatenschutz nach Art. 88 Abs. 1 DSGVO dürfen nicht nur die Maßgaben der Datenschutz-Grundverordnung für sämtliche Datenverarbeitungen wiederholen. Es stellt sich die Frage, unter welchen Voraussetzungen solche Normen möglich sind, ob Art. 6 Abs. 2 und 3 DSGVO einschlägige Öffnungsklauseln für Normen, die die Anforderungen des Art. 88 DSGVO nicht erfüllen, sein können und welche deutschen Normen betroffen sind.
Kommentare, Kommentare
Um insbesondere Praktikern einen Überblick über die zentralen Fragen zur Rechenschaftspflicht zu ermöglichen, wird in diesem Beitrag die Kommentarliteratur2 zu Art. 5 Abs. 2 DSGVO systematisiert und zusammengefasst. Es werden folgende Fragen in den Blick genommen: Ist Art. 5 Abs. 2 DSGVO extensiv oder restriktiv auszulegen (I.)? In welcher Form und mit welchen Mitteln hat der Verantwortliche Datenverarbeitungsvorgänge nachzuweisen (II.)? Gilt die Nachweispflicht zeitlich begrenzt oder „unendlich“ (III.)? Folgt aus Art. 5 Abs. 2 DSGVO eine Beweislastumkehr (IV.)? Schließlich widmet sich der Beitrag den Schlussanträgen des Generalanwalts im Verfahren C-340/21 vom 27.04.2023 und wagt einen Ausblick auf anstehende Entscheidungen des EuGH (V.).
Die Verarbeitung personenbezogener Daten ist gem. Art. 6 Abs. 1 lit. b) DSGVO rechtmäßig, wenn sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen“. Der Wortlaut des Erlaubnistatbestandes bietet den Nährboden für Auslegungsfragen und Kontroversen: Ist die nach lit. b) zulässige Verarbeitung tatsächlich auf die Erfüllung beschränkt? Sind auch einseitige Schuldverhältnisse erfasst? Wie sieht es mit Bonitätsabfragen bei der Vertragsanbahnung aus? Und vor allem, wie ist „erforderlich“ auszulegen? Sind Daten als Entgelt bspw. erforderlich?
Privacy News
Das Oberlandesgericht Frankfurt a. M. hat in einem aktuellen Urteil entschieden, dass Betroffenen gegen Unternehmen kein Anspruch auf Unterlassung einer Datenübermittlung zusteht. Die DSGVO sei in diesem Zusammenhang abschließend und es könne auch nicht auf die allgemeinen zivilrechtlichen Normen zurückgegriffen werden.
Zuletzt haben wir wieder vermehrt über Wirtschaftsauskunfteien gelesen. Die Existenz dieser Unternehmen ist allgemein bekannt, die Bonitätsauskunft läuft hierzulande weithin unter dem Namen „SCHUFA-Auskunft“ – und hat damit ein ähnlich erfolgreiches Markenbranding wie das Tempo-Taschentuch erreicht – und weil es dieses Geschäftsmodell gefühlt schon immer gab, hatten wir uns einfach daran gewöhnt. Nun hat das Verwaltungsgericht Wiesbaden das Thema Wirtschaftsauskunfteien mit drei Vorlagefragen zum EuGH1 wieder ins Rampenlicht gerückt.
Arbeiten Sie hauptberuflich im Datenschutz? Dann kommt es vielleicht auch Ihnen so vor, als wäre die DSGVO schon länger anwendbar als „erst“ seit dem Frühjahr 2018. Mich jedenfalls beschleicht mitunter das Gefühl, schon recht lange in der Realität des – schon nicht mehr ganz so – neuen EU-Datenschutzrechts zu leben.
Jetzt bestellen – für den gesamten Campus.
