openart-image NhYKfVOO 1734466695473 raw

Von KI-Regulierung bis Löschpflichten - Schlüsselentwicklungen im Überblick

18.12.2024 Andrea Andersen

Willkommen zu unserem großen Datenschutz-Rückblick 2024 und Ausblick auf 2025! In einer Welt, in der die digitale Landschaft sich schneller denn je wandelt, bleibt der Datenschutz ein spannendes und kontroverses Thema. Ob es um den komplexen Datenaustausch zwischen der EU und den USA durch das neue Data Privacy Framework geht, die Verzögerungen bei der NIS-2-Richtlinie oder die Herausforderungen und Chancen der neuen KI-Verordnung – all diese Themen zeigen, wie wichtig es ist, in puncto Datenschutz auf dem Laufenden zu bleiben. Erfahren Sie außerdem, warum das Urteil des OLG Dresden zum Thema Kontrollpflichten bei Auftragsverarbeitern auch sie betreffen kann.

Data Privacy Framework: Datenaustausch zwischen der EU und den USA

Der Datenaustausch zwischen der EU und den USA ist seit jeher komplex und von unterschiedlichen Datenschutzabkommen und dem unterschiedlichen Verständnis über die Schutzwürdigkeit personenbezogener Daten geprägt.

Das EuGH -Urteil im Fall Schrems II erklärte 2020 das EU-US-Abkommens Privacy Shield für ungültig und machte somit den Datentransfers in die USA ungleich schwieriger, da nun kein angemessenes Datenschutzniveau mehr bestand. Unternehmen mussten sich mit komplexen und aufwendigen einzelvertraglichen Regelungen mit Standardvertragsklauseln behelfen, immer mit dem Risiko, dass auch diese für unwirksam erklärt werden.

Daraufhin verhandelten die EU und die USA unter Präsident Joe Biden intensiv und einigten sich auf einen neuen transatlantischen Datenschutzrahmen (Data-Privacy-Framework), der am 10.07.2023 in Kraft trat. Danach gilt ein US-Unternehmen derzeit als sicherer Datenempfänger, wenn es sich einem Selbstzertifizierungsverfahren des US-Handelsministeriums unterzieht. Seitdem müssen europäische Unternehmen vor einer Datenübermittlung in die USA prüfen, ob die entsprechende US-Organisation zertifiziert ist und ob diese Zertifizierung auch für die verarbeiteten Datenarten gültig ist. Darauf sollte man vor allem bei einer geplanten Verarbeitung von Beschäftigtendaten in den USA achten, nicht alle Dienstleister sind für diese Datenkategorie zertifiziert.

Im Jahr 2025 könnten politische Veränderungen aufgrund des Amtsantritts von Donald Trump das Fortbestehen des Frameworks gefährden. Zudem besteht weiterhin die Möglichkeit, dass das Framework von Datenschützern erneut vor Gericht angefochten wird. An dem eigentlich kritisierten und durch den EuGH bestätigten Sachverhalt, dem umfangreichen Zugriff amerikanischer Dienste auf Daten hat sich auch durch das DPF nichts geändert. Die weitere Entwicklung des DPF bleibt abzuwarten, mit einer EuGH-Entscheidung ist im Jahr 2025 jedoch eher nicht zu rechnen.

Unabhängig davon sollten Unternehmen jedoch bei der Auswahl von Dienstleistern, vor allem für kritische Prozesse, Lieferanten aus der EU bevorzugen, um hier keine unnötigen Abhängigkeiten zu schaffen die sich später nur sehr schwer wieder auflösen lassen.

Sichern Sie Ihre Datentransfers mit unserem Know-how! Kontaktieren Sie uns für eine maßgeschneiderte Datenschutzberatung.

NIS-2: Umsetzung der Richtlinie zur Netz- und Informationssicherheit verzögert sich erneut

Die Umsetzung der NIS-2-Richtlinie, eine EU-weite Verordnung zur Verbesserung der Cybersicherheit, in nationales Recht verzögert sich. Ursprünglich war die Umsetzung in nationales Recht bis zum 17.10.2024 vorgesehen. Ein verzögertes parlamentarisches Verfahren und das vorzeitige Ende der Ampelkoalition verhinderten jedoch die Verabschiedung dieses Gesetzes in der aktuellen Legislaturperiode. Erst nach einer erneuten Regierungsbildung wird hier mit einer Entscheidung gerechnet, im schlimmsten Fall wird es noch zu Änderungen durch die neue Koalition kommen.

Das sollte Unternehmen nicht von der Umsetzung abhalten, denn die grundsätzlichen Regelungen sind klar. Die Sektoren und Größenklassen sind festgelegt und auch die generellen Anforderungen wie die Einführung eines Risikomanagementsystems, die Meldungen von Vorfällen an das BSI und die Dokumentationspflichten sind absolut eindeutig und werden sich nicht mehr ändern.

Ähnlich äußerte sich auch der Vizepräsident des BSI, Dr. Gerhard Schabhüser auf der Protekt Konferenz 2024 in Leipzig. [SL1] Unternehmen die später beginnen, laufen dann Gefahr mit allen anderen um die knappen Ressourcen, hier vor allem entsprechendes Fachpersonal, zu konkurrieren.

Neben der notwendigen Dokumentation sollten Unternehmen ebenfalls die praktische Umsetzung in den Blick nehmen, dazu gehört auch die bestehenden Notfallpläne durch Tests und Übungen auf ihre Wirksamkeit zu überprüfen. Dies ist meist deutlich effizienter als die Pläne in langwierigen Beraterprojekten im Detail zu verbessern. [SL2] Auch darauf hat Herr Dr. Schabhüser in seiner Keynote in Leipzig hingewiesen.

Auch wenn man selbst die Kriterien für eine Einstufung nicht erfüllt, kann die Richtlinie Auswirkungen auf das eigene Unternehmen haben, da betroffene Einrichtungen auch ihre Lieferanten entsprechend überprüfen und im Zweifel auf Einhaltung verpflichten müssen.

Ob Ihr Unternehmen von NIS-2 betroffen ist, können Sie auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit der sogenannten Betroffenheitsprüfung testen. Wenn Sie noch mehr zum Thema NIS 2.0 wissen möchten, können wir ihren die Webseite openkritis.de empfehlen.

Sollten sie Hilfe bei der Umsetzung benötigen oder eine erste Einschätzung zum Aufwand oder den Auswirkungen von NIS2.0 auf ihr Unternehmen benötigen, sprechen Sie uns gern an.

EU-KI-Verordnung 2025: Weichenstellung für Wirtschaft und Technologie

Die im August 2024 in Kraft getretene KI-Verordnung ist ein wichtiger Schritt hin zu einer gewissenhaften Regulierung der künstlichen Intelligenz (KI). Sie soll sicherstellen, dass KI in der EU verantwortungsvoll eingesetzt wird und gleichzeitig Innovationen gefördert werden. Diese wiederum legt umfassende Regeln fest, wie KI in der EU sicher eingesetzt werden soll.

Wir empfehlen Ihnen, zu prüfen, inwieweit Ihre eigenen Prozesse und Systeme bereits den Anforderungen der KI-Verordnung entsprechen. Dazu gehört im Wesentlichen eine gründliche Risikobewertung durch das einsetzende Unternehmen. Je nachdem, welches Risiko von einem System ausgeht, gelten unterschiedliche Anforderungen. Jedes KI-System wird zunächst einmal einer bestimmten Risikokategorie zugeordnet. Die Bandbreite reicht von minimalem oder keinem Risiko (Kategorie 1) bis hin zu verbotenen Anwendungen (Kategorie 4). Daraus ergeben sich dann mehr oder weniger umfangreiche Anforderungen an den Einsatz.

Zudem ist es wichtig, dass bestimmte Entscheidungen, die von KI-Systemen getroffen werden, nachvollziehbar sind. Dies ist z.B. bei Kreditentscheidungen oder anderen Vertragsabschlüssen der Fall. KI-Daten enthalten oft unbewusste Diskriminierungen von Minderheiten oder haben Vorurteile aus ihren Trainingsdaten übernommen. Dies kann zu falschen Entscheidungen führen.

Manchmal erfinden Modelle auch einfach neue Inhalte, was als Halluzination bezeichnet wird. Beispielsweise erfand Whisper, das OpenAI-Modell zur Transkription von Sprache in Text, ganze Absätze, wenn Ärzte ihre Berichte damit transkribieren ließen (englische Quelle hier[FL4] ). Eine manuelle Nachkontrolle ist daher in jedem Fall erforderlich.

Detaillierte Aufzeichnungen über ihre KI-Systeme helfen im Bedarfsfall gegenüber Betroffenen Nachweise erbringen zu können. Transparenz bei der Datenverarbeitung durch KI-Systeme ist absolut entscheidend. Wenn die Modelle mit ihren eigenen Unternehmensdaten trainiert werden sollen müssen sie hier auch auf eine entsprechende Datenqualität achten.

Unternehmen sollten bei der Einführung von KI-Systemen auch die Datensicherheit berücksichtigen. Tools oder Anwendungen, die auf den gesamten Datenbestand des Unternehmens zugreifen können, wie z.B. Microsoft Copilot, können schnell sensible Daten offenlegen. Sind die Berechtigungen nicht richtig gesetzt bekommt ein Mitarbeiter sonst auch schnell Informationen aus dem Laufwerk des Geschäftsführers serviert. Hier muss unbedingt vor der Einführung auf ein klares Rechtemanagement geachtet werden.

Zusätzlich müssen die Mitarbeiter/innen noch für den Umgang mit KI-Systemen fit gemacht werden. Nur so können sie die neuen Anforderungen verstehen und umsetzen. Begleitend empfehlen wir die Einführung einer Richtlinie, die klare Regeln für die Nutzung von KI-Systemen durch die Beschäftigten enthält. Beispielweise sollten keine kostenfrei verfügbaren Angebote mit sensiblen Daten genutzt werden, dort werden die Eingaben regelmäßig zum Training des Modells genutzt und können dann auch von anderen Nutzern extrahiert werden. Entsprechend sollten den Mitarbeitern die Tools vorgegeben werden und die notwendigen Verträge mit den Anbietern geschlossen werden.

Wir sind davon überzeugt, dass Unternehmen ab 2025 verstärkt in Maßnahmen zur Einhaltung der KI-Verordnung investieren werden müssen. Dazu zählen beispielsweise Schulungen, Audits und die Entwicklung entsprechender Prozesse inklusive einer Risikobewertung[SL5] . Gerade wenn der Output von KI-Systemen konkrete Auswirkungen auf Menschen oder die Dienstleistung hat, sind entsprechende Maßnahmen unerlässlich.

Wir unterstützen sie gern bei der Umsetzung ihres KI-Einführungsprojektes oder der datenschutzrechtlichen Begleitung.

Urteil OLG Dresden: Kontrollpflicht des Verantwortlichen zur Löschung personenbezogener Daten

Das OLG Dresden hat in seinem Urteil vom 15.10.2024 (Az. 4 U 940/24) die Pflichten von Verantwortlichen bei der Kontrolle von Auftragsverarbeitern konkretisiert. Im vorliegenden Fall hatte ein Musikstreamingdienst einen Auftragsverarbeiter in Israel beauftragt. Zum Vertragsende im November 2019 kündigte der Dienstleister an, die Daten am Folgetag zu löschen, bestätigte die tatsächliche Löschung aber erst im Februar 2023, nachdem ein Hackerangriff bekannt geworden war. Das Gericht stellte klar, dass Verantwortliche insbesondere bei der Verarbeitung großer Datenmengen eine umfassende Kontrolle ihrer Auftragsverarbeiter sicherstellen müssen. Die bloße Ankündigung der Löschung reiche nicht aus, vielmehr müsse sich der Verantwortliche die erfolgte Löschung schriftlich bestätigen lassen. Das OLG betonte, dass die Kontrollpflicht auch die Überwachung der Löschung nach Vertragsende umfasse.

Das Urteil des OLG Dresden vom 15. Oktober 2024 zeigt, wie wichtig es ist, sich bei der Zusammenarbeit mit Auftragsverarbeitern genau abzusichern. Verantwortliche sollten sich nicht auf mündliche Zusagen oder allgemeine Ankündigungen verlassen. Sie müssen nachweisen können, dass sie die Datenschutzvorgaben einhalten, und vor allem auch aktiv überwachen, ob personenbezogene Daten gelöscht werden. Der datenschutzrechtlich Verantwortliche ist nämlich verpflichtet, nach Beendigung der Zusammenarbeit zu kontrollieren, ob der Auftragsverarbeiter die Daten ordnungsgemäß gelöscht hat.

Für Sie als Unternehmen bedeutet dies, dass Sie klare Prozesse für die Zusammenarbeit mit Dienstleistern einführen – vom Beginn bis zum Ende einer Zusammenarbeit. Regelmäßige Kontrollen, ein detaillierter Vertrag nach Art. 28 DSGVO und ein eindeutiger Nachweis der Datenlöschung sind unverzichtbar, um sich vor Haftungsrisiken zu schützen.

Unser Tipp: Der Nachweis der Datenlöschung sollte sich nicht darauf beschränken, dass die Daten gelöscht wurden. Besser ist es, möglichst konkret nachzuweisen, wann, wie und durch wen die Löschung erfolgt ist. Dazu sollte ein entsprechender schriftlicher Nachweis vom Auftragsverarbeiter gefordert werden. So bleibt keine Unsicherheit und das Unternehmen hat einen aussagekräftigen Nachweis.

Nebenbei hat das Gericht noch eine weitere, für verantwortliche Unternehmer wichtige, Entscheidung getroffen: Ein eventueller Schadenersatz kann nicht auf den Dienstleister abgewälzt werden. Gerade kritische Dienstleister sollten entsprechend engmaschig und regelmäßig auf die Einhaltung der Vorgaben geprüft werden. Das setzt jedoch eine gut gepflegte Dokumentation im Verzeichnis der Verarbeitungstätigkeiten voraus, Eine unabhängige, von Dritten bestätigte, Zertifizierung wie die ISO 27001 kann hier den Prüfprozess deutlich vereinfachen.

Fazit

In einem hochregulierten Land wie Deutschland werden die Anforderungen an Unternehmen jeder Größe nicht geringer. Der Teufel steckt dabei oft im Detail, eine gute und pragmatische Lösung des Problems erfordert Erfahrung und auf das Wesentliche beschränkte Umsetzung. Die Auslagerung der Dienstleistung an erfahrene und effiziente Partner kann hier viel Geld und Zeit sparen. Schließlich ist es nicht die Aufgabe des Unternehmens perfekte Dokumente zu produzieren, sondern hervorragende Produkte und Dienstleistungen. Wir begleiten Sie gern auch im Jahr 2025 dabei.