Das letzte Jahr ist wieder wie im Fluge vergangen und schon steht 2024 vor der Tür. Damit ist es für uns wieder an der Zeit, einen datenschutzrechtlichen Ausblick auf das neue Jahr zu wagen. Zwar können auch wir (leider) nicht in die Datenschutzzukunft blicken, es zeichnen sich jedoch bereits einige neue Themen für das nächste Jahr ab. Ein paar ältere Problemstellungen werden uns aber wohl auch dieses Jahr weiterhin beschäftigen.
Arbeiten mit generativer KI – Chance oder Datenfalle?
Eines der größten Themen des letzten Jahres war ganz eindeutig der vermehrte Einsatz künstlicher Intelligenz. Angefangen mit der mehr als ein Jahr zurückliegenden Veröffentlichung des Tools ChatGPT, welches heutzutage kaum noch wegzudenken ist, folgte letzten Sommer Google mit seiner Version eines chatbasierten KI-Tools – Google Bard. Die Neuerungen folgen Schlag auf Schlag und die Beliebtheit derartiger Tools steigt rasant an. Wir gehen davon aus, dass damit noch nicht das Ende sondern gerade erst der Anfang der Entwicklung erreicht wurde. Die Gesetzgebung und Rechtsprechung kann mit dieser schnellen Entwicklung nicht mithalten. Daher laufen Unternehmen Gefahr, Tools einzusetzen oder Geschäftsmodelle aufzubauen, die kurze Zeit später für datenschutzwidrig erklärt werden. Möglicherweise ziehen diese sogar Schadensersatzansprüche nach sich. Deshalb sollte der Datenschutz immer von Anfang an ein Teil der Projekte sein und einen festen Platz haben. Wir sind gespannt, was das Jahr 2024 hierzu bringen wird.
Open Data und Data Act im Jahr 2024
Was benötigen KI-Tools, um zu funktionieren? Jede Menge Daten natürlich! Auch im Bereich der Zugänglichmachung von Daten ist einiges im Anmarsch. Open Data ist hier das große Stichwort. Hierunter versteht man nach der Richtlinie der EU über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Richtlinie (EU) 2019/1024) Daten, welche von allen und zu jedem Zweck verwendet, weiterverwendet und weitergegeben werden können. Die rechtliche Grundlage war hier zunächst die Änderung des EGovG im Juli 2017. Diese enthielt das erste Open-Data-Gesetz und wurde zwei Jahre später noch einmal unter Ausweitung des Verpflichtetenkreises angepasst.
Der Entwurf des Data Acts wurde vom Europäischen Parlament und Europäischen Rat angenommen. Das Gesetz gilt aber erst 20 Monate nach Inkraftteten. Es soll v. a. Verteilung und Zugang zu der Masse an von IoT-Geräten (Internet of Things) generierten Daten zu regeln. All diese Neuerungen und Möglichkeiten der Datennutzung lassen auf eine effizientere Gestaltung der Abläufe in vielerlei Bereichen, wie Mobilität, Gesundheit und Energie hoffen. Außerdem stellt es eine echte Chance dar, solange die zur Verfügung gestellten Daten keinerlei Personenbezug zulassen.
Data Privacy Framework – Amerikanischer Traum von kurzer Dauer?
Wie bereits in unserem Jahresrückblick angerissen, wird das Data Privacy Framework (Angemessenheitsbeschluss EU – USA) uns wohl auch dieses Jahr wieder im Datenschutzrecht beschäftigen. Noch Ende des letzten Jahres erließ das OLG Köln hierzu ein Urteil. In dem konkreten Fall entschied das Gericht, dass die Datenübertragung ins Ausland unzulässig war. Begründet wurde dies mi der zwar grundsätzlich mglichen Datenübermittlung in die USA aufgrund des Data Privacy Frameworks. Allerdings müssen die allgemeinen Anforderungen an eine rechtmäßige Datenverarbeitung dennoch erfüllt sein. Das bedeutet, dass im Einzelfall ausreichende Rechtsschutzmöglichkeiten und eine Rechtsgrundlage zur Datenverarbeitung vorliegen müssen.
Dies wurde im konkreten Fall verneint. Insbesondere weil bei den US-Datenverarbeiter der Zugriff durch amerikanische Behörden auf die übermittelten personenbezogenen Daten nicht ausgeschlossen werden kann. Des Weiteren mangele es an einer Rechtsgrundlage für die Datenübermittlung in die USA. Denn die erteilten Einwilligungen der Betroffenen waren aufgrund eines nicht rechtmäßig gestalteten Cookie-Banners und widersprüchlichen Aussagen nicht wirksam. Dies wirft also die Frage auf, ob überhaupt irgendein in den US-Unternehmen in der Lage ist die nötigen Rechtsschutzmöglichkeiten zu gewährleisten, wenn ein Zugriff durch die amerikanischen Behörden nicht ausgeschlossen werden kann. Das OLG hat die Revision zum BGH zugelassen, so dass das Verfahren weiter seinen Gang nimmt.
Hinweisgebersystem – Letzter Hinweis für „kleinen“ Unternehmen
Vor ziemlich genau einem Jahr haben wir Sie bereits in unserem Blogbeitrag rund um das Thema Hinweisgebersystem informiert. Jetzt sind die „kleineren“ Unternehmen/Körperschaften mit 50 bis 250 Mitarbeitern an der Reihe. Seit dem 17.12.23 sind auch diese zur Einrichtung eines Hinweisgeberschutzsystems verpflichtet. Somit könnte es ab 2024 auch zu den ersten Bußgeldbescheiden für Unternehmen kommen, die der verpflichtenden Einrichtung eines solchen Systems noch nicht nachkamen. Wenn Sie hierfür nicht die nötige Zeit aufwenden wollen, übernehmen auch wir dies als externe Meldestelle gerne für Sie! Wir freuen uns auf Ihre Kontaktaufnahme und besprechen dann gerne mit Ihnen die verschiedenen Möglichkeiten.
2024: JurSAFE-Fans aufgepasst!
Zuletzt noch ein kleiner Hinweis in eigener Sache: Noch im ersten Quartal 2024 können Sie eine weitere Funktion in JurSAFE, unserem Online-Schulungsportal, hinzubuchen. Wir machen allgemeine Firmenschulungen über JurSAFE möglich! Das bedeutet, Sie haben in Ihrem Unternehmen die Möglichkeit Beschäftigte auch in betriebsspezifischen Themen zu schulen, indem Sie eigene Schulungen (entweder als Video oder PDF) im Schulungsportal hochladen. Natürlich bleiben die allseits beliebten Funktionen, die sich schon von den Datenschutzschulungen kennen, wie automatische Erinnerung, Zertifikate sowie die einfache Handhabung bestehen. Falls wir Ihr Interesse wecken konnten, melden Sie sich gerne bei uns.
Sie sehen also, auch das nächste Jahr verspricht in datenschutzrechtlicher Hinsicht spannend zu werden. Besonders bei den Themen KI und Open Data erwarten wir viele neue Erkenntnisse und Innovationen. Was davon jedoch wirklich eintritt, bleibt abzuwarten. Eines können wir Ihnen aber versichern: Wir bleiben am Ball!
Sollten Sie noch Fragen zum Datenschutz haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.