Datenschutzrecht

Der AI Act wurde am 12.07.2024 im Amtsblatt der EU veröffentlicht. Der Podcast befasst sich mit den „First Steps“. Zuerst stellt sich nämlich die Frage, was gilt wann!

Der Vormittag des zweiten Tages der Kölner Tage Datenschutzrecht widmet sich Art. 22 DSGVO und dem AI Act. Der Podcast greift die drei Vorträge auf spricht den Zusammenhang an, regt aber auch dazu an, über den Tellerrand zu blicken!

Der Vortrag von Frau Rechtsanwältin Nina Diercks im Rahmen der Kölner Tage Datenschutzrecht 2024 unter dem Titel „Existiert ein datenschutzrechtliches Mitbestimmungsrecht des Betriebsrats? – Spoiler: Nein!“ ist der Anlass im Podcast der Frage nachzugehen, wie weit die Regelung der betrieblichen Mitbestimmung in Bezug auf den Datenschutz gehen und regen dazu an, mal wieder über die gesetzlichen Regelungen vertieft nachzudenken!

Die Kölner Tage Datenschutzrecht am 20. und 21.06.2024 standen in diesem Jahr unter dem Motto „DSGVO, Datenrecht & Digitale Dekade“. Der Podcast wirft ein Schlaglicht auf die spannenden Vorträge der ersten Hälfte des Vormittags am 20.06.2024 und gibt einen Ausblick auf die weiteren Themen.

Die Schufa-Entscheidung des EuGH ist nicht mehr neu, aber die Auswirkungen sind noch nicht zu Ende diskutiert und vor allem sind noch nicht alle Herausforderungen gelöst. Gleichzeitig steht eine Neuregelung im BDSG im Raum. Dr. Simon Menke, Leiter Group IP and Data Protection, Otto Group, geht im Gespräch auf den Inhalt und die Auswirkungen der Entscheidung ein und gibt einen Ausblick auf die Lösung der Herausforderungen.

Herr Prof. Dr. Kugelmann, Landesbeauftragter für den Datenschutz und Informationsfreiheit in Rheinland-Pfalz gibt im Gespräch wesentliche Einblicke in den AI-Act, das Verhältnis zwischen AI-Act und DSGVO sowie die Rolle der Datenschutzaufsichtsbehörden.

Ist die Betriebsvereinbarung eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten? Und wenn ja: unter welchen Voraussetzungen? Diese Frage beleuchtet der Podcast im Lichte des Vorlagebeschluss des Bundesarbeitsgerichts (BAG, Beschl. v. 22.09.2022, 8 AZR 209/21) – auch mit Blick auf die zu erwartende Entscheidung des EuGH.

Der EuGH hat in der jüngeren Rechtsprechung eine Risikomanagementpflicht herausgestellt. Das LG Mannheim (Urt. v. 15.03.2024, 1 O 93/23) konkretisiert hieran anschließend die Anforderungen an die Dokumentation und Darlegung anhand des BSI-Grundschutzes und des Standard-Datenschutzmodells. Hieraus lassen sich Anforderungen für die Umsetzung der Pflichten durch den Verantwortlichen, aber auch für die Darlegung im Rechtsstreit ableiten.

Der AI Act soll den Einsatz von KI-Systemen regulieren. Hierzu enthält er ein eigenständiges Regelungsregime, „verzahnt“ sich auch mit der DSGVO. Der Podcast beleuchtet die Parallelitäten, die Verzahnung, aber auch die Eigenheiten der Prüfungen nach den beiden EU-Rechtsakten.

Der Data Governance Act ist neben dem Data Act eine weitere Regulierung, die auf das „Sharing“ von Daten abzielt. Er schafft keine Pflicht zum „Sharing“, aber Anforderungen an ein „Sharing“ von Daten. Auf den ersten Blick ein Spannungsverhältnis zur DSGVO oder doch nicht. Dieser Frage geht der Podcast nach!

Der Data Act (Datenverordnung) enthält Regelungen, die das Datenschutzrecht ergänzen und tangieren. Der Podcast gibt einen kurzen Überblick aus Perspektive des Datenschutzrechts!

Der Data Act (Datenverordnung) regelt in Art. 1 Abs. 5 und in ErwGr. 7 das Verhältnis zum Datenschutzrecht. Der Podcast befasst sich mit diesen beiden Regelungen und spricht Überlegungen zu deren Bedeutung an.

Das OLG Stuttgart hat mit seinem Beschluss vom 02.02.2024 (2 U 63/22) grundlegend zur Zulässigkeit der Bereitstellung von Daten zur Direktwerbung mittels Briefpost zur Neukundengewinnung Stellung genommen und diese im Anschluss an die Vorinstanz bestätigt. Neben dem zutreffenden Ergebnis ist auch die Begründung von grundlegender Bedeutung. Der Podcast beleuchtet die Begründung!

Der Digital Markets Act (DMA) reguliert die sog. zentralen Plattformdienste der sogenannten Torwächter und soll dadurch eine faire Marktsituation schaffen. Der Datenschutz ist dadurch unmittelbar und mittelbar betroffen: Der DMA enthält Regelungen zum Datenschutz und Regelungen, die durch die Pflicht zur Bereitstellung von Daten im Konflikt zum Datenschutzrecht stehen können, sowie Regelungen deren Umsetzung auch die Verarbeitung personenbezogener Daten umfasst. Der Podcast hinterfragt dieses – vielleicht nur vermeintliche – Spannungsverhältnis.

Der Digital Services Act (DSA) lässt das Datenschutzrecht unberührt. Was bedeutet das konkret? Ist das so einfach, wie es klingt?

Der EuGH hat sich insbesondere in seinen Entscheidungen vom 14.12.2023 (Rs. C-340/21) und vom 25.01.2024 (Rs. C-687/21) mit der Pflicht zur Risikobeherrschung nach der DSGVO und deren Auswirkungen auf Schadensersatzansprüche befasst. Der Podcast beleuchtet die Pflicht zur Risikobeherrschung und die Fortführung der Auslegung zu Art. 82 DSGVO. Hat der EuGH damit – wie ich meiner – den Ansatz einer datenschutzrechtlichen Verkehrssicherungspflicht begründet?

Das EU-Datenwirtschaftsrecht schafft mit einer Vielzahl von Rechtsakten Vorgaben zum Umgang mit Daten, insbesondere zum „Sharing“ (Data Act, Digital Governance Act, AI Act, etc.) zusätzlich werden weitere Vorgaben geschaffen, welche die Verarbeitung personenbezogener Daten - zumindest - zum Teil erfordern (Digital Services Act, Cyber Resilience Act, DORA, etc.). Hier stellt sich die Frage nach dem Vorrang dieser jüngeren Rechtsakte. Sofern der Gesetzgeber diesen Aspekt geregelt haben sollte, hat er den möglichen Konflikt zum Datenschutzrecht nicht „zu Ende diskutiert“, sondern überlässt ihn mit unterschiedlichen Maßgaben der Praxis. Diese Unterschiede werden in dieser Podcast-Folge beleuchtet.

Der Podcast geht anhand von drei Konstellationen dem nach und wirft die Frage auf, ob nicht differenziertere Betrachtungen geboten sind und das Hinweisgeberschutzgesetz im Lichte der DSGVO doch Unstimmigkeiten – jedenfalls auf den zweiten Blick oder an unerwarteten Stellen – hat.

Der Beschluss der Datenschutzkonferenz vom 31.01.2023 „Zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten“ befasst sich mit der Frage, ob Auftragsverarbeitern mit Muttergesellschaften in Drittländern die Zuverlässigkeit im Sinne des Art. 28 Abs. 1 DSGVO fehlen kann, wenn ein Risiko einer Zugriffsbefugnis durch öffentliche Stelle des Drittlandes besteht und welche Maßnahmen zu ergreifen sind. Der Podcast beleuchtet diesen Beschluss kritisch.

Die Diskussion um den AI Act (KI Verordnung) schafft aktuell Aufmerksamkeit für das Thema Künstliche Intelligenz, aber für das Datenschutzrecht ist die Bewertung von Künstlicher Intelligenz nicht erst und schon gar nicht erst aufgrund des AI Act eine Aufgabe. Die Entwicklung und der Einsatz von KI muss datenschutzrechtliche bewertet werden – unabhängig davon, ab wann ein AI Act in Kraft tritt und (Jahre später) Geltung erlangt. Allerdings kann und sollte eine datenschutzrechtliche Bewertung schon jetzt im Lichte des AI Act(-Entwurfs) erfolgen. Damit geht aber auch einher, die DSGVO als „Risikobeherrschungsgesetz“ zu verstehen und die Parallelitäten in der Bewertung bereits jetzt zu identifizieren.

Der Podcast setzt sich mit dem Rechtsrahmen und den Anforderungen zur Erstellung und Verwendung von Fotos mit abgebildeten Personen auseinander. Ein viel diskutiertes und nur in wenigen Punkten geklärtes Thema. Aber nicht nur die rechtlichen Anforderungen, sondern auch die praktische Umsetzung hat es in sich. Der Podcast wirft ein Schlaglicht hierauf!

Mit Urteil vom 26.10.2023 (Rs. C-307/22) hat sich der EuGH zum vierten Mal in diesem Jahr mit dem Auskunftsanspruch befasst. Er ist damit nicht nur in der Praxis, sondern auch in der Rechtsprechung des EuGH ein Dauerbrenner.

Der Mitarbeiterexzess ist in der DSGVO nicht direkt geregelt, dennoch sieht die DSGVO Regelungen hierzu vor. Der Podcast beleuchtet den Mitarbeiterexzess unter verschiedenen Blickwinkeln.

Die LDI Bremen hat mir ihrer Stellungnahme zur Verschlüsselung von E-Mail-Kommunikation die Frage nach der Dispositionsbefugnis der betroffenen Person wieder ins Spiel gebracht. Das Sozialgericht Hamburg befasste sich jüngste mit den Auswirkungen der strikten Verneinung der Dispositionsbefugnis und machte deutlich, dass diese noch größere Nachteile für die betroffene Person bergen kann.

Der Referentenentwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes sieht in § 40a BDSG eine Regelung zur Schaffung der Zuständigkeit einer Aufsichtsbehörde für gemeinsam verantwortlicher Unternehmen. Das Ziel ist wünschenswert. Die konkrete Ausgestaltung der Regelung wird im Podcast kritisch hinterfragt.

Wirkt sich das EU-U.S. Data Privacy Frameworks auf die Einwilligung nach Art. 49 Abs. 1 UAbs. 1 lit. a DSGVO aus und – falls ja – wie? Über diese Frage wird im Podcast laut nachgedacht.

Die Wirkung des EU-U.S. Data Privacy Frameworks nach Maßgabe des Art. 45 Abs. 3 DSGVO liegen auf der Hand. Der Podcast beleuchtet die Frage, ob und wie sich die Begründung des gemessenheitsbeschlusses durch die EU-Kommission auch auf andere Instrumente zur Legitimation des Drittlandtransfers auswirken (können).

Das AG Stuttgart hat sich in einer Entscheidung zum Straßenverkehrsrecht mit der Frage befasst, ob personenbezogene Daten allein zum Geltendmachen von Regressansprüchen erhoben und verarbeitet werden dürfen (Beschl. v. 03.06.2023 - Az.: 20 OWi 1497/23). Wenngleich diese Entscheidung nicht direkt für Datenverarbeitungen im Vertragsverhältnis ins Auge springt, gibt die Entscheidung doch Anlass über die Grenzen einer Verarbeitung personenbezogener Daten allein für den Fall von Regressansprüchen zu sprechen.

Die EU-Kommission hat am 10.07.2023 das EU-U.S. Data Privacy Framework als Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO veröffentlicht. Für die Praxis stellt sich zunächst die Frage, wie der Beschluss für Standardvertragsklauseln und Binding Corporate Rules wirkt, und zwar sowohl unmittelbar als auch sogar mittelbar . Diesem ersten Blick auf die Wirkung widmet sich der Podcast.

Mit Urteil vom 22.06.2023, Rs. C-579/21, hat sich der EuGH erneut mit dem Auskunftsanspruch nach Art. 15 DSGVO befasst und ihm eine Grenzen durch Interessenabwägung gezogen. Der Podcast stellt die Entscheidung in den Kontext der Entscheidungen vom 12.01.2023 und 04.05.2023 und beleuchtet die Grenzen des Auskunftsanspruchs anhand der aktuellen EuGH-Entscheidung.