Seit Juli 2024 muss eine Blackbox als Pflichtausstattung in allen Neufahrzeugen installiert werden. Die Blackbox wird auch als Unfalldatenspeicher oder Event-Data-Recorder (EDR) bezeichnet und ist bisher vor allem aus Flugzeugen bekannt. Ihre Aufgabe ist es, den Datenverkehr aller im Flugzeug ablaufenden Vorgänge aufzuzeichnen. Ziel ist es, nach Unfällen oder Abstürzen auf Grundlage der gespeicherten Informationen […]
Juli 2024
AI Act: Hochrisiko-KI-Systeme – Jetzt klassifizieren
In den vorherigen Blogbeiträgen unserer Reihe haben wir uns mit der Frage beschäftigt, ab wann die Pflichten des AI Acts gelten. Schulungspflichten und das Verbot bestimmter KI-Praktiken gelten ab dem 5. Februar 2025. Wir haben zudem dargestellt, wie verbotene KI-Praktiken identifiziert werden können, damit diese rechtzeitig eingestellt oder modifiziert werden können. Ist man mit diesen […]
CNIL veröffentlicht neue datenschutzrechtliche Anleitungen für die Entwicklung von KI-Systemen
Am 2. Juli 2024 hat die französische Datenschutzbehörde (CNIL) neue Anleitungen (sog. „How-to Sheets“) veröffentlicht, die sich mit der Entwicklung von Systemen der Künstlichen Intelligenz (KI) aus Sicht des Datenschutzes befassen. Diese folgen auf die Veröffentlichung früherer How-to Sheets zum gleichen Thema aus Juni 2024. Die neuen Anleitungen vom Juli werden bis zum 1. September […]
KI Im Schwimmbad
Der Einsatz Künstlicher Intelligenz (KI) durchzieht zunehmend mehr Bereiche unseres Lebens. Auch in Schwimmbädern kommt KI bereits zum Einsatz. Im vergangenen Jahr sind laut Statistik der DLRG mindestens 378 Menschen in Deutschland ertrunken, davon acht in Schwimmbädern. Entgegen der weit verbreiteten Annahme, Ertrinkende würden sich durch Hilferufe bemerkbar machen oder durch wildes Plantschen auffallen, erfolgt […]
Geplante Erhöhung der Benennungsgrenze für einen Datenschutzbeauftragten
Die Bundesregierung plant derzeit im Rahmen einer „Wachstumsinitiative“ u. a. Maßnahmen, um den bürokratischen Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen zu reduzieren. Nach aktueller Gesetzeslage müssen Verantwortliche gemäß § 38 Abs. 1 S. 1 BDSG einen Datenschutzbeauftragen benennen, „[…] soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ […]
Zeig mir deine Kaufhistorie und ich sag dir, wer du bist.
Bei der Vorbereitung für einen Schnorchelurlaub und der Suche nach UV-Schutzkleidung fand ich mich in einem Online-Shop für Burkinis wieder. Berufsbedingt überlegte ich, was es datenschutzrechtlich bedeuten würde, wenn ich das Produkt in meinen Warenkorb lege. Könnte der Betreiber des Online-Shops davon ausgehen, dass ich eine bestimmte religiöse Überzeugung teile? Wenn es nach der bisherigen […]
Resolution from the DSK regarding the secondary use of genetic data
Before we delve into the position paper of the Conference of Independent Federal and State Data Protection Supervisory Authorities (DSK), it is important to discuss the exceptional nature of genetic data. Genetic data, defined in Art. 4 (13) GDPR and in Recital 34 GDPR, was included within the special categories of data by the GDPR, […]
AI Act: Verbotene KI-Praktiken – Schritt 1 der Klassifizierung von KI-Systemen
In den ersten beiden Blogbeiträgen dieser Reihe haben wir uns damit beschäftigt, ab wann der AI Act (KI-Verordnung) seine Wirksamkeit entfaltet und welche Schutzziele der AI Act verfolgt. Dabei haben wir auch darauf hingewiesen, dass Schulungspflichten und Verbote schon ab dem 2. Februar 2025 gelten. Darüber hinaus muss in bestimmten Fällen eine Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme […]
Wann ist ein Auskunftsersuchen rechtsmissbräuchlich?
Immer wieder sind Unternehmen mit Auskunftsverlangen nach Art. 15 DSGVO konfrontiert. Im Rahmen der Prüfung solcher Auskunftsbegehren stellt sich dann hin und wieder die Frage, ob die Auskunft eventuell verweigert werden kann. Dies insbesondere dann, wenn eine betroffene Person sich wiederholt mit dem Auskunftsbegehren an ein Unternehmen wendet. Das OLG Wien als Berufungsgericht hat sich […]
Einwilligung mittels Datenschutzinformation?
Das Landgericht Augsburg hat eine Klage auf Schadensersatz wegen unzulässiger Datenübermittlung an eine Auskunftei mit der Begründung abgewiesen, dass der Kläger in die Datenübermittlung durch Abschluss des Vertrags eingewilligt hätte (LG Augsburg, Endurteil v. 05.07.2024 – 041 O 3703/23). Und das obwohl weder eine Einwilligung eingeholt wurde oder sich die Beklagte auf eine solche berufen […]
Über 2 Millionen Euro Bußgeld – Verstoß einer Online-Handelsplattform gegen Betroffenenrechte
Ein Bußgeld von fast 2 ½ Millionen Euro wurde jüngst von der litauischen Datenschutzaufsichtsbehörde gegen die Online-Handelsplattform für Secondhand-Kleidung Vinted verhängt. Kern des Bußgeldes war ein Verstoß gegen die Pflicht zur transparenten Information bzw. Kommunikation bei der Ausübung der Rechte von betroffenen Personen (Art. 12 DSGVO), insbesondere dem Recht auf Löschung ihrer personenbezogenen Daten (Art. […]
Private E-Mails, Telefonate oder Internetnutzung am Arbeitsplatz – gilt das Fernmeldegeheimnis?
Die immer wieder vorherrschende Unsicherheit, ob für den Arbeitgeber nun die Normen aus dem TDDDG (früher TTDSG) und somit das Fernmeldegeheimnis gelten, wenn dieser die private E-Mail-, Telefon- oder Internetnutzung seiner Mitarbeiter gestattet, wurde nun von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in ihrem 29. Jahresbericht zum Datenschutz geklärt. Beim TDDDG handelt […]
Bußgelder wegen Nutzung biometrischer Daten zur Gesichtserkennung auf der Baustelle
Immer häufiger werden sowohl im beruflichen Kontext, als auch im öffentlichen Rahmen biometrische Daten verarbeitet. Eine Beanstandung durch datenschutzrechtliche Aufsichtsbehörden ist hier keine Seltenheit. So hat beispielsweise die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali) Bußgelder gegen mehrere Verantwortliche verhängt. Anlass war die Nutzung einer Gesichtserkennungssoftware, die auf Baustellen kontrollierte, ob die Beschäftigten […]
Schutzziele des AI Acts
In unserem ersten Beitrag der Reihe zum AI Act (KI-Verordnung) haben wir uns mit der Frage beschäftigt, ab wann der AI Act eigentlich gilt. Schulungspflichten im Hinblick auf die Erzeugung einer KI-Kompetenz bei den Beschäftigten und das Verbot für bestimmte Praktiken im KI-Bereich gelten schon ab 2. Februar 2025. Die allgemeinen Pflichten gelten hingegen erst […]
Vorsicht beim E-Mail-Versand – offene Verteiler und Werbemails
Es ist schnell passiert. Meistens in guter Absicht. Und kann doch unerwartet weitreichende Folgen in puncto Datenschutz haben. Aber einmal von Anfang an: Ein Unternehmen möchte seine Kunden über die famose Neuigkeit einer Produktweiterentwicklung informieren. Die Nachricht soll zeitgemäß per E-Mail versendet werden. So können alle Kunden schnell und digital über die guten Neuigkeiten in […]