Immer wenn in Städten die Weihnachtsbeleuchtung aufgehängt wird, der Duft von Plätzchen durch die Luft weht und die Liste der zu besorgenden Weihnachtsgeschenke aufgestellt wird, weiß man, dass das Jahr langsam zu Ende geht und man beginnt zurückzublicken. Was ist im Jahr 2024 an spannenden und interessanten Dingen geschehen? Auch im Datenschutz gab es dieses Jahr einige neue Entwicklungen. Um Ihre sicherlich ohnehin knappe Zeit nicht zu überstrapazieren, haben wir Ihnen hier die wichtigsten Themen kurz zusammengefasst.
Künstliche Intelligenz (KI) und Datenschutz
In diesem, wie auch schon im vergangenen Jahr, darf bei einer Auflistung der aktuellen Themen KI nicht fehlen. Die Einsatzgebiete sowie die Nutzung wuchsen auch in diesem Jahr wieder erheblich. Bereits in unserem Ausblick auf das datenschutzrechtliche Jahr 2024 war das ein dominierendes Thema. Hier warnten wir davor den Datenschutz bei Tools oder Geschäftsmodellen zu ignorieren, denn sobald Gesetzgebung und Rechtsprechung aufgeholt hätten, könnten diese für datenschutzwidrig erklärt werden und ggf. Schadensersatz nach sich ziehen.
Im Juni trat nun der EU-AI Act in Kraft. Er soll den Umgang mit KI regulieren und damit die Rahmenbedingungen für den Einsatz von KI in der EU einheitlich festlegen. Durch die Einteilung von KI-Systemen in drei Risikoklassen wird klargestellt, wie solche KIs eingesetzt werden können und welche Regeln und Vorschriften beim Einsatz zu beachten sind. Nicht zulässig sind KIs, die Personen manipulieren, z. B. KI-Systeme zu Zwecken des Social Scorings, biometrische Echtzeit-Fernidentifizierungssysteme zur Strafverfolgung im öffentlichen Bereich oder Systeme zur Emotionserkennung am Arbeits- oder Bildungsplatz. KIs mit hohem oder geringem Risiko dürfen in der EU– nach Einhaltung der vorgeschriebenen Pflichten – eingesetzt werden.
Microsoft Copilot und Meetingaufzeichnungen mit KI
Natürlich sehen wir uns nicht nur die gesetzlichen und theoretischen Anwendungsgebiete von KI an. Vielmehr versuchen wir unseren Kunden auch immer praktische Tipps mit an die Hand zu geben. 2024 haben wir uns deshalb sowohl den Microsoft Copilot sowie das Thema „Aufzeichnungen von Online-Meetings“ genauer angesehen.
Microsoft Copilot ist die unternehmenseigene KI und in vielen verschiedenen Anwendungen wie Word, Excel, PowerPoint und Outlook bereits integriert. Er soll die Nutzer bei zahlreichen Aufgaben unterstützen, ohne dass diese große Vorkenntnisse im KI-Bereich haben. Beim Einsatz ist besonders zu beachten, dass keine unberechtigten internen Mitarbeiter Zugriff auf personenbezogene Daten erhalten, die Rechtsgrundlage für die Datenverarbeitung oft unklar ist, keine automatisierte Entscheidungsfindung stattfindet und ein erhöhtes Risiko für Datenschutzvorfälle besteht. In unserem Blogbeitrag gegeben wir Ihnen 10 Tipps, wie sie die Risiken beim Einsatz des Copilots reduzieren können.
KI kann jedoch nicht nur bei Texterstellung oder Datenanalyse zum Einsatz kommen, sondern auch bei Online-Meetings effizient genutzt werden. So kann man sich die besprochenen Inhalte zusammenfassen oder zu erledigende Aufgaben auflisten lassen. Das Wichtigste zuerst: Wenn lediglich eine Zusammenfassung der Inhalte erstellt wird (ohne Aufzeichnung des tatsächlich Gesagten!), handelt es sich nicht um eine Aufzeichnung des gesprochenen Wortes im Sinne des § 201 StGB – es ist also keine Einwilligung der Gesprächsteilnehmer notwendig. Nichtsdestotrotz sollten besonders der Umfang der Aufzeichnung sowie der Speicherort genau geprüft werden, bevor das entsprechende Tool eingesetzt wird.
NIS II und Cybersicherheit
Die NIS II-Richtlinie (Network and Information Security) liegt zwar bisher nur als Regierungsentwurf vor, soll aber bis März 2025 umgesetzt werden. Die EU möchte besonders die Resilienz sowie Sicherheit (im Cyberbereich) erhöhen und die Sicherheitsstandards für die Mitgliedstaaten vereinheitlichen. Schon jetzt beschäftigt diese Richtlinie viele Unternehmen, denn sie stellt klare Regeln für Unternehmen der kritischen Infrastrukturen auf. Neben den Anforderungen, die entsprechende Unternehmen direkt betreffen, können auch Zulieferer und Partner besagter Unternehmen der kritischen Infrastruktur unter diese Richtlinie fallen. Man sollte also genau prüfen, ob und welche der Regelungen das eigene Unternehmen betreffen und die Umsetzung der Regelungen im Unternehmen bereits frühzeitig angehen.
2024 Urteil zur Kontrolle der Subunternehmer
Im Oktober 2024 gab es zwei Neuerungen zum Thema Verarbeitungskette & Kontrolle der (Sub-)Unternehmer: Ein Urteil des OLG Dresden sowie eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA). Beide befassen sich mit der Verantwortung von Unternehmen bei der Auftragsverarbeitung – insbesondere mit den Pflichten zur Überwachung der gesamten Verarbeiterkette. Das OLG Dresden betont besonders die Notwendigkeit der Kontrolle der (Sub)Auftragnehmer durch den Verantwortlichen (i.d.R. das Unternehmen). Die Stellungnahme der EDSA hebt besonders die Rechenschaftspflicht entlang der gesamten Verarbeiterkette hervor – bis hin zu Sub-Sub-Sub-…-Unternehmern. Wie man als Verantwortlicher diese Vorgaben möglichst praxisnah umsetzen kann, erklären wir uns unserem Blogbeitrag.
Auch im Datenschutz – wie in so vielen anderen Bereichen unseres Lebens – gab es in diesem Jahr viele Neuerungen oder Anpassungen. Wie es mit diesen und anderen Themen weitergeht und was das Jahr 2025 für uns und den Datenschutz bereithält, erfahren Sie in unserem nächsten Blogbeitrag im Januar.
Sollten Sie Fragen zum Datenschutz haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.
