Die Vorgaben der NIS-2-Richtlinie zur Verbesserung der Netz- und Informationssicherheit zu erfüllen und umzusetzen, wird zwangsläufig die Verarbeitung personenbezogener Daten erfordern. Der Beitrag zeigt das Spannungsverhältnis und Lösungsansätze auf.
Am 10.07.2023 erließ die Europäische Kommission einen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA. Ein Jahr später fand eine Evaluierung dieses Beschlusses statt. Die Ergebnisse sind für alle Unternehmen relevant, die Daten in die USA übermitteln.
Können Menschen dazu verpflichtet werden, beim Onlinekauf einer Fahrkarte zwischen der Anrede „Herr“ und „Frau“ zu wählen? Schon die Fragestellung löst verständlicherweise Emotionen aus. Doch lassen Sie sich gegen Ende dieses Artikels überraschen, wo sich die Antwort auf diese Frage überall auswirkt – weit über das Thema „Geschlechtsidentität“ hinaus!
Der Begriff des Schadens ist laut EuGH weit auszulegen. Bei einem Datenschutzvorfall, der 533 Millionen Facebook-Nutzerkonten betraf, zog der BGH daraus jetzt die Konsequenzen: Schon der bloße Verlust der Kontrolle über die eigenen Daten stellt einen Schaden dar. Die Folgen dieser Auslegung reichen weit über den konkreten Fall hinaus.
Unterliegt die Nutzung von Headsets der Mitbestimmung? Und falls dem so ist: Wer darf mitbestimmen? Der Gesamtbetriebsrat oder die Betriebsräte vor Ort in den einzelnen Betrieben? Diese Fragen beantwortet das Bundesarbeitsgericht (BAG) klar. Zu einer wichtigen weiteren Frage sagt es aber kein Wort. Dafür hat sich der Europäische Gerichtshof (EuGH) dazu geäußert.
Die gemeinsame Verantwortlichkeit (Joint Controllership) ist ein Rollenmodell, das schon vor der Datenschutz-Grundverordnung (DSGVO) bestand. Aber sie gewinnt aufgrund der Ausgestaltung durch die DSGVO und zukünftig z.B. für die datenschutzrechtliche Bewertung der Nutzung künstlicher Intelligenz zunehmend an Bedeutung.
Die Fachpresse beobachtet sehr aufmerksam das Projekt Worldcoin, so auch die Datenschutzkontrolle des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Die Worldcoin-Technik berührt zentrale Fragen, die Leitplanken für zukünftige Bewertungen darstellen könnten.
Mit Inkrafttreten der KI-VO wird sich der Compliance-Aufwand v.a. für Unternehmen, die Hochrisiko-KI-Systeme anbieten oder betreiben, um ein weiteres Risikomodul erhöhen. Für die Praxis bietet es sich an, das KI-Thema in das Datenschutzmanagement-System zu integrieren.
In zwei Entscheidungen hat der EuGH klargestellt, dass den Verantwortlichen die Pflicht zu einem Risikomanagement trifft, aber keine Pflicht zur Risikofreiheit besteht. Auch für den Schadensersatz stellt der EuGH die Weichen. Diese Entscheidungen des EuGH haben damit grundsätzliche Bedeutung für die Umsetzung der DSGVO.
Neuerdings hört man Behauptungen wie: Der EuGH hält sich beim Thema Schadensersatz zurück. Und für Bagatellen wie ein „ungutes Gefühl“ gibt es ohnehin nichts. Was ist daran Dichtung, was ist Wahrheit? Eine Analyse von vier EuGH-Entscheidungen schafft Klarheit.
