Die KI-Kompetenz ist seit dem 02.02.2025 Pflicht! In der Praxis ist ­damit die Frage verbunden, was das genau heißt. Bedeutet es etwa auch, ­einen KI-Beauftragten haben zu müssen? Der Beitrag erläutert die Pflicht und stellt sie in den Kontext weiterer Regelungen des AI Act.

Wesentliche NIS-2-Pflichten haben Ähnlichkeiten zu Pflichten der ­DSGVO, sind aber doch nicht deckungsgleich. Der Beitrag beleuchtet die Parallelitäten und Unterschiede im Interesse einer möglichst einfachen einheitlichen Erfüllung. Datenschutzbeauftragte (DSB) können sich daher bei der Umsetzung der NIS-2-Vorgaben einbringen.

Die Vorgaben der NIS-2-Richtlinie zur Verbesserung der Netz- und Informationssicherheit zu erfüllen und umzusetzen, wird zwangsläufig die Verarbeitung personenbezogener Daten erfordern. Der Beitrag zeigt das Spannungsverhältnis und Lösungsansätze auf.

Die gemeinsame Verantwortlichkeit (Joint Controllership) ist ein Rollenmodell, das schon vor der Datenschutz-Grundverordnung (­DSGVO) bestand. Aber sie gewinnt aufgrund der Ausgestaltung durch die DSGVO und zukünftig z.B. für die datenschutzrechtliche Bewertung der Nutzung künstlicher Intelligenz zunehmend an Bedeutung.

In zwei Entscheidungen hat der EuGH klargestellt, dass den Verantwortlichen die Pflicht zu einem Risikomanagement trifft, aber keine Pflicht zur Risikofreiheit besteht. Auch für den Schadensersatz stellt der EuGH die Weichen. Diese Entscheidungen des EuGH haben damit grundsätzliche Bedeutung für die Umsetzung der DSGVO.

Das Datenwirtschaftsrecht der EU befasst sich wenig überraschend mit der Verarbeitung von Daten. Es ist jedoch in seinen Zielen nicht deckungsgleich mit dem Datenschutzrecht. Datenschutzbeauftragten kommt bei der Umsetzung dennoch eine Schlüsselrolle zu.

Die EU-Richtlinie NIS 2 ist ein allgegenwärtiges Thema. Die Umsetzung muss jetzt angegangen werden, aber zur Umsetzung kursieren auch Mythen. Die zeitlichen Abläufe zu kennen, ist dafür ebenso wichtig, wie die Vorgaben umzusetzen.

Gerade hatten Sie sich an das Telekommunikation-Telemedien-Datenschutzgesetz gewöhnt, schon heißt es Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Und das Digitale-Dienste-Gesetz ersetzt das Telemediengesetz. Aber was ändert sich außer den Namen?

Künstliche Intelligenz (KI) ist Teil der Unternehmensstrategie geworden. Der AI Act (KI-Verordnung) zur Regelung des Einsatzes von KI ist in Kraft. Die ersten Umsetzungsfristen laufen im Februar 2025 ab. Nicht alle Mitarbeitenden müssen das Wissen von „KI-Beauftragten“ haben, aber alle müssen wissen, was sie (nicht) dürfen. Eine KI-Richtline ist deshalb ein wichtiges Compliance-Element.

Wann eine Information personenbezogen ist, ist eine grundlegende Frage für die Anwendbarkeit der DSGVO. Gerade mit Blick auf KI & Co. ist sie entscheidend dafür, ob die Grundsätze der DSGVO zu beachten sind. Aber die Frage stellt sich – wenngleich mit leicht geänderter Perspektive – auch z.B. bei einer Kopie im Rahmen des Auskunftsanspruchs.

Die Verletzung des Schutzes personenbezogener Daten sowie die Melde- und Benachrichtigungspflichten sind ein wiederkehrendes Thema in der Praxis. Der EDSA hat dazu aktualisierte „Guidelines“ veröffentlicht. Auch wenn nicht alles neu ist, sind einzelne Aspekte hervorzuheben.

Für Webshops, Internetseiten u.Ä. sieht das TTDSG spezielle Auskunftspflichten vor. Diese Auskunft geht nicht an die betroffene Person, sondern an Dritte. Das Auskunftsverlangen muss jedoch vor der Erteilung geprüft werden. Hier kommen Datenschutzbeauftragte ins Spiel!

Die Bundesnetzagentur hat die Dokumentation von Telefonwerbung-Einwilligungen gemäß UWG neu ausgelegt. Im Detail ergeben sich Unklarheiten im Zusammenspiel mit dem Datenschutz und dadurch Handlungsbedarf für Datenschutzbeauftragte.

Viele Unternehmen stellen Formulare, den Speiseplan der Kantine, aber auch Registrierungen etc. im Intranet bereit. Bei der Nutzung verarbeiten sie personenbezogene Daten der Mitarbeiter. Damit stellt sich die Frage nach dem anwendbaren Datenschutzrecht: TTDSG oder DSGVO?

Die DSK hat in ihrer neuen Fassung der Orientierungshilfe zur Direktwerbung einige Aspekte konkretisiert und ergänzt – und die Zügel angezogen. Die Bedeutung für die Praxis ist nicht zu unterschätzen.

Kann die betroffene Person auf den Schutz durch Art. 32 DSGVO – also auf Maßnahmen zur Sicherheit der Verarbeitung – ganz oder teil­weise verzichten? Anders formuliert: Kann sie den Verantwortlichen von ­diesen Pflichten befreien? Die DSK hat hierzu Stellung genommen.

Mit § 25 TTDSG tritt am 01.12.2021 die Regelung zum Schutz der Privatsphäre von Endeinrichtungen in Kraft. Diskutiert wurde diese Vorgabe unter dem Schlagwort „Cookie-Regelung“. Doch Achtung: Zwar geht es auch um den Einsatz von Cookies. Es beschränkt sich aber nicht darauf.

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) tritt am 01.12.2021 in Kraft und regelt den Datenschutz in der elektronischen Kommunikation. Dafür ist u.a. die Sicherheit der Verarbeitung zentral – doch das TTDSG macht es den Anwendern nicht gerade leicht.

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) regelt die Anforderungen an den Datenschutz im Bereich Telekommunikation und Telemedien – schreibt aber in einigen Bereichen nur die alten Regelungen fort. Das kann Segen und Fluch zugleich sein.

Nachdem wir in der letzten Ausgabe Schadenersatzansprüchen nach DSGVO generell auf den Grund gegangen sind, schauen wir uns in diesem Zusammenhang einmal das Thema „Auskunftspflicht“ genauer an.

Joint Controllership und Auftragsverarbeitung (AV) schließen einander aus. So weit die Theorie. In der Praxis sind viele Verantwortliche jedoch unsicher. Der EU-Datenschutzausschuss hat nun einen Entwurf für Leitlinien veröffentlicht, der LfDI Baden-Württemberg FAQ dazu.

Seit Kurzem kursiert der Entwurf für ein „Telekommunikations-Telemedien-Datenschutzgesetz – TTDSG“. Da kommt die Frage auf: Fortschritt, Status quo oder Rückschritt? Jedenfalls wird das Gesetz, so es denn kommt, ein Zwischenschritt bis zur ePrivacy-Verordnung.

Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko.

Die DSGVO regelt die Pflichten, die mit Anfragen der Aufsichtsbehörden verbunden sind, an verschiedenen Stellen. Und die Grundverordnung hat sie stark unterschiedlich ausgestaltet. Als DSB müssen Sie die Regelungen und ihre Inhalte kennen, um Stolperfallen zu vermeiden.

Anfang September gab es Wirbel um ein vermeintlich „geheimes Bußgeldmodell“ der Aufsichtsbehörden. Die Datenschutzkonferenz hat das Modell mittlerweile veröffentlicht. Was bedeutet es für die Praxis?

Was hat sich geändert? Oder hat sich etwa gar nichts geändert? Das Ergebnis der EuGH-Entscheidung und damit ihre Auswirkungen sind nicht so offensichtlich, wie es scheint. Denn das Gericht hat sich – überspitzt formuliert – mit einer zum Zeitpunkt der Entscheidung in Deutschland nicht geltenden Cookie-Regelung befasst.

Der Widerruf einer Einwilligung löst Pflichten für den Werbeversender aus. Allerdings zeigt die Praxis, dass die betroffenen Personen manchmal die Umsetzung dieser Pflichten erschweren oder gar vereiteln. Mit dieser Spannungslage muss der Verantwortliche umgehen (können).

Direktwerbung dient nicht nur dazu, Bestandskunden zu bewerben, sondern sie will auch Neukunden gewinnen. Dafür sind oft Fremdadressen nötig. Was ist hierbei zulässig, was nicht?

Vielerorts ist zu lesen, dass ein berechtigtes Interesse als Grundlage – sogar für E-Mail-Werbung – genügen soll. Datenschutzrechtlich ist das nur die halbe Wahrheit. Ein genauerer Blick ist daher zwingend.

Die Aufregung, wie es mit dem Direktmarketing unter der Datenschutz-Grundverordnung (DSGVO) weitergeht, war groß. War sie auch berechtigt? Der Artikel befasst sich mit dieser Frage anhand von drei Konstellationen.