Fokus IT&C – 4. Quartal 2024

Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. 

Wir wünschen Ihnen und Ihren Familien erholsame Feiertage und alles Gute für das Jahr 2025!

1. Bundesgerichtshof veröffentlicht Urteil zum Schadenersatz wegen Kontrollverlust

2. Künstliche Intelligenz und Urheberrecht: Das Training der KI

3. Verfahren gegen Onlinehändler Temu: Mögliche Verstöße gegen Gesetz über digitale Dienste

4. Droht eine Verzögerung der NIS-2 Umsetzung in Deutschland?

5. Datenzugangsrechte im Gesundheitsbereich nehmen konkrete Formen an

6. EDSA veröffentlicht Entwurf neuer Leitlinien zur Datenverarbeitung aufgrund berechtigter Interessen 

1. Bundesgerichtshof veröffentlicht Urteil zum Schadenersatz wegen Kontrollverlust

Das Urteil des Bundesgerichtshofs (BGH) vom 18. November 2024 (Az. VI ZR 10/24) ist nun veröffentlicht (s. unseren Beitrag v. 27. November 2024). Das Urteil erleichtert den Nachweis eines Schadens durch Kontrollverlust bei Datenschutzvorfällen, bewertet aber die Schadenshöhe als eher gering.

Gegenstand der Entscheidung ist das Abgreifen von Telefonnummern und anderen Daten der Nutzer von Facebook in den Jahren 2018 und 2019 und deren Veröffentlichung im Internet im April 2021. Der Kläger klagte auf Schadenersatz wegen eines spürbaren Kontrollverlustes über seine Daten und daraus resultierender Ängste und Sorgen, sowie auf Feststellung der Verpflichtung zum Ersatz künftiger Schäden, Unterlassung sowie Auskunft. Der BGH hat die ablehnende Entscheidung des OLG Köln in weiten Teilen aufgehoben.

Der BGH ordnet den Verlust der Kontrolle über personenbezogene Daten selbst als immateriellen Schaden ein, sofern der Kläger nachweist, dass er sie zuvor noch die Kontrolle hatte. Ein weiterer Schaden, etwa ein konkreter Missbrauch der Daten oder eine psychische Beeinträchtigung des Klägers, ist nicht erforderlich, außer der Kläger möchte eine andere Art von Schaden geltend machen, den er dann aber konkret nachweisen muss. Diese rechtliche Einordnung des BGH erleichtert das Vorgehen für die Klägerseite jedenfalls teilweise. Sie ist aber durchaus angreifbar, wenn man die Klarstellung des EuGH vor Augen hat, dass der Verstoß nicht dem Schaden gleichzusetzen ist. Auch jüngste Entscheidungen anderer oberster Bundesgerichte wie BSG oder BAG scheinen der Ansicht des BGH zu widersprechen. Auch kann beim Kontrollverlust die notwendige Kausalität zweifelhaft sein, etwa wenn eine E-Mail-Adresse bereits in vorherigen Datenleaks abhandengekommen und veröffentlicht worden ist.

Bei der Bemessung der Schadenhöhe nach § 287 ZPO ist nach dem BGH zu berücksichtigen, dass Art. 82 DSGVO eine reine Ausgleichs-, aber keine Straf- oder Abschreckungsfunktion hat. Liegt der Schaden allein im Kontrollverlust, sind die Sensibilität und die zweckmäßige Verwendung der konkret betroffenen Daten zu berücksichtigen, außerdem die Art und Dauer des Kontrollverlusts und die Möglichkeit der Wiedererlangung der Kontrolle. Der BGH erwägt in diesem Kontext, den Schaden anhand des hypothetischen Aufwands für die Wiedererlangung der Kontrolle durch einen Wechsel der abhandengekommenen Daten zu bemessen. Der BGH hält im konkreten Fall einen Betrag in der Größenordnung von etwa 100 Euro für rechtlich unbedenklich.

Ansonsten (a) bejaht der BGH die Zulässigkeit von Feststellungsanträgen, wenn Verstoß und Schaden bereits festgestellt sind, (b) werden an die Bestimmtheit von Unterlassungsanträgen strenge Anforderungen gestellt, diese sind jedoch schwierig zu erfüllen insbesondere bei Datenleaks in Folge von Cyberangriffen unbekannter Dritter), (c) kann keine Auskunft über konkrete Empfänger der abgegriffenen Daten verlangt werden, wenn es sich um unbekannte dritte Straftäter handelt.

Für die in Deutschland massenhaft anhängigen individuellen Klagen von Verbrauchern wegen DSGVO-Verstößen ist die Leitentscheidung des BGH nur auf den ersten Blick ein Gewinn für Kläger und Verbraucheranwälte. Der Kontrollverlust mag nach dieser Lesart des BGH häufig (aber nicht immer) einen immateriellen Schaden begründen, der Schadenersatz wird sich aber im Regelfall in einer überschaubaren Größenordnung von 100 Euro bewegen. Damit ist den zahlreichen Individualklageverfahren, die auf immateriellen Schadenersatz von mehreren tausend Euro abzielen, der Boden entzogen. Sie können weder für die Klägeranwälte noch für die Kläger kostendeckend betrieben werden. Eine Alternative dürften nun eher Sammelklagen in Form der Musterfeststellungs- oder auch der Abhilfeklage werden, wie sie der vzbv in der vom BGH entschiedenen Fallgruppe angekündigt hat.

Dr. Jürgen Hartung & Dr. Vanessa Pickenpack

Zurück

2. Künstliche Intelligenz und Urheberrecht: Das Training der KI

KI-Systeme werden häufig mit urheberrechtlich geschütztem Material, wie Bildern oder Texten, trainiert. Das Training umfasst (i) das Sammeln von Daten und (ii) deren Einspeisung in das neuronale Netzwerk, um die Parameter zu justieren. Das Training mit Werken Dritter ohne entsprechende Erlaubnis könnte eine Verletzung des ausschließlichen Rechts des Urhebers darstellen, sein Werk zu vervielfältigen (§ 16 UrhG).

1. Vervielfältigungen bei der Datensammlung

Die Sammlung und Speicherung geschützter Werke ohne Zustimmung der Rechteinhaber berührt die Vervielfältigungsrechte nach § 16 UrhG. Der KI-Anbieter benötigt also die Nutzungsrechte vom Rechteinhaber oder muss sich auf eine Schrankenregelung berufen können.

Das Landgericht Hamburg konturierte am 27. September 2024 im Verfahren unter dem Az. 310 O 227/23 die Anwendbarkeit und Voraussetzungen urheberrechtlicher Schrankenregelungen im Kontext des KI-Trainings. Zentrale Fragen des Prozesses vor dem LG Hamburg waren, ob § 44b UrhG für KI-Trainingsdatensätze anwendbar ist und welche Anforderungen an die Maschinenlesbarkeit eines Nutzungsvorbehalts zu stellen sind.

Das Gericht stellte fest, dass die gegenständliche Vervielfältigung grundsätzlich unter die Schrankenregelung des § 44b UrhG fallen könne, aber im hiesigen Fall nicht vorübergehend oder begleitend war, wie es § 44a UrhG erfordert. Zusätzlich entschied das Gericht, dass ein Disclaimer in den AGB maschinenlesbar ist, weil er „maschinenverständlich“ ist und von einer Software automatisch verarbeitet werden konnte. Das Gericht kam zu dem Ergebnis, dass die Vervielfältigungshandlung des Beklagten von der Schrankenregelung in § 60d UrhG umfasst sei, weil die Aktivitäten des Beklagten als nicht-kommerzielle wissenschaftliche Forschung angesehen wurden und der Datensatz kostenlos öffentlich zugänglich gemacht wurde.

2. Keine Vervielfältigung durch Speicherung der Daten im neuronalen Netzwerk

Nach derzeit überwiegender Auffassung berührt die Einspeisung der Trainingsdaten in das neuronale Netzwerk keine urheberrechtlichen Vervielfältigungsrechte, denn das Trainingsmaterial wird nicht im neuronalen Netzwerk gespeichert. Stattdessen werden nur Wahrscheinlichkeiten im Netz berechnet und abgespeichert. Wahrscheinlichkeiten sind aber weder urheberrechtlich geschützte Werke noch personenbezogene Daten (vgl. zum Datenschutzrecht das Diskussionspapier des HamBfDI zu Large Language Models und personenbezogenen Daten).

3. Praxishinweise

Die Diskussion, inwieweit KI-Systeme urheberrechtlich geschützte Werke und personenbezogene Daten speichern, ist im Fluss und nicht abschließend geklärt. Unternehmen sollten daher aktuell

(i) interne Richtlinien zur Datennutzung und Urheberrechtskonformität beim KI-Training aufstellen,

(ii) Nutzungsrechte in ihren Verträgen über den Bezug von KI-Trainingsdatensätzen regeln und

(iii) ihre Datennutzung zum KI-Training protokollieren.

Dr. Axel Grätz

Zurück

3. Verfahren gegen Onlinehändler Temu: Mögliche Verstöße gegen Gesetz über digitale Dienste

Die EU-Kommission hat am 31. Oktober 2024 ein förmliches Verfahren eingeleitet, um zu untersuchen, ob die Online-Plattform Temu gegen das Gesetz über digitale Dienste (DSA) verstoßen hat. Die Untersuchung konzentriert sich insbesondere auf den Verkauf illegaler Produkte, potenziell süchtig machende Designmerkmale des Dienstes, die Algorithmen zur Produktempfehlung sowie den Zugang von Forschern zu Daten.

Der Beschluss zur Einleitung des Verfahrens basiert auf einer vorläufigen Analyse des Risikobewertungsberichts, den Temu Ende September 2024 vorgelegt hatte. Die EU-Kommission stützte sich dabei auf Antworten auf Auskunftsersuche vom 28. Juni und 11. Oktober 2024 sowie auf Informationen von Dritten. Darüber hinaus hat sie Daten aus dem Kooperationsmechanismus zwischen der EU-Kommission und nationalen Behörden, insbesondere der Zusammenarbeit mit dem irischen Koordinator für digitale Dienste, herangezogen.

Untersuchungsgegenstände und potenzielle Verstöße

Die EU-Kommission untersucht mehrere zentrale Themen.

1. Verkauf illegaler Produkte und nicht-konformer Waren:
Temu soll Systeme nutzen, die den Verkauf von Produkten in der EU regulieren. Dabei wird insbesondere geprüft, wie die Plattform mit „Schurkenhändlern“ umgeht, die in der Vergangenheit mit illegalen Waren in Verbindung standen, und wie sie die Wiederaufnahme von nicht-konformen Produkten vermeidet.

2. Suchterzeugende Designmerkmale:
Ein weiteres Augenmerk liegt auf den möglicherweise süchtig machenden Designmerkmalen der Webseite von Temu, wie spielähnlichen Belohnungsmechanismen. Dabei wird geprüft, inwieweit diese Funktionen geeignet sind, das körperliche und geistige Wohlbefinden der Nutzer zu beeinträchtigen, und wie Temu versucht, diese Risiken zu mindern.

3. Empfehlungssysteme und Profiling:
Im Hinblick auf die DSA-Verpflichtungen bezüglich der Produktempfehlungen stellt sich die Frage, ob Temu die wichtigsten Parameter, die in ihren Empfehlungsalgorithmen verwendet werden, ausreichend offenlegt und ob sie den Nutzern eine Option bietet, die nicht auf Profiling basiert.

4. Zugang von Forschern zu Daten:
Die EU-Kommission überprüft auch, ob Temu den Anforderungen zur Bereitstellung von öffentlich zugänglichen Daten für die Forschung nachkommt, wie es der DSA vorschreibt.

Nächste Schritte

Die EU-Kommission wird ihre Untersuchung fortsetzen, indem sie weiterhin Beweise sammelt, etwa durch zusätzliche Auskunftsersuche oder Befragungen. Im Rahmen des Verfahrens könnte sie weitere Durchsetzungsmaßnahmen ergreifen. Dazu hätte sie die Möglichkeit, einen Beschluss über die Nichteinhaltung zu erlassen oder Temu zu verpflichten, festgestellte Mängel zu beheben.

Der DSA gibt keine gesetzliche Frist für den Abschluss des Verfahrens vor. Die Dauer der Untersuchung hängt von verschiedenen Faktoren ab, etwa der Komplexität des Falles und der Kooperationsbereitschaft von Temu.

Haftung bei bestätigtem Verstoß

Sollten sich die Verdachtsmomente bestätigen, kann Temu für Verstöße gegen den DSA haftbar gemacht werden. Insbesondere die Artikel 27, 34, 35, 38 und 40 des DSA könnten betroffen sein. Diese regeln unter anderem die Verantwortlichkeiten einer Online-Plattform bei der Bekämpfung illegaler Inhalte, der Offenlegung von Algorithmen und der Zusammenarbeit mit Forschern. Verstöße könnten zu erheblichen Geldbußen führen, die bis zu 6 % des weltweiten Jahresumsatzes betragen. Außerdem sind regelmäßige Sanktionen von bis zu 5 % des durchschnittlichen weltweiten Tagesumsatzes für jeden Tag der Verzögerung bei der Umsetzung von Abhilfemaßnahmen, einstweiligen Maßnahmen und Verpflichtungen möglich.

Als letztes Mittel könnte die EU-Kommission beantragen, dass der Dienst vorübergehend ausgesetzt wird. Dies kommt dann in Betracht, wenn der Verstoß weiterhin erhebliche Schäden für die Nutzer verursacht und Straftaten umfasst, die das Leben oder die Sicherheit von Personen gefährden.

Dr. Hanna Schmidt

Zurück

4. Droht eine Verzögerung der NIS-2-Umsetzung in Deutschland?

Es zeichnet sich ab, dass sich die geplante Umsetzung der NIS-2-Richtlinie in Deutschland weiter verzögert und diese nicht wie geplant im März 2025 in Kraft treten wird.

Die NIS-2-Richtlinie erstreckt Cybersicherheitspflichten auf mindestens 30.000 betroffene Unternehmen in Deutschland (siehe dazu unseren Beitrag im Fokus IT&C 3. Quartal). Die EU-Mitgliedstaaten mussten diese Pflichten bis zum 17. Oktober 2024 ins nationale Recht überführen. Deutschland ist bereits jetzt in „Umsetzungsverzug“.

Der Europäischen Kommission ist das Verstreichen der Umsetzungsfrist nicht entgangen. Sie hat erste Schritte eines Vertragsverletzungsverfahrens eingeleitet, um die möglichst zügige Umsetzung der NIS-2-Richtlinie – auch durch Deutschland – zu gewährleisten (Pressemitteilung vom 28. November 2024 ).

Ob dies in Deutschland zeitnah erfolgt, ist sehr fraglich. Wahrscheinlich fehlte infolge des außerplanmäßigen Koalitionsendes die zweite und dritte Lesung des NIS-2-Umsetzungsgesetzes auf der Tagesordnung des Deutschen Bundestages vom 5. und 6. Dezember. Damit wackelt der bisherige Zeitplan erheblich und es ist davon auszugehen, dass das NIS-2-Umsetzungsgesetz erst nach den geplanten Neuwahlen erneut auf die Tagesordnung kommt. Ein Inkrafttreten verzögert sich damit bis mindestens Mitte 2025.

Der gegenwärtige Entwurf des Umsetzungsgesetzes kennt kaum und allenfalls nur kurze Umsetzungsfristen, d. h. betroffene Unternehmen müssen ab seinem Inkrafttreten mit einer Vielzahl der normierten Anforderungen und Pflichten konform sein. Sie sind deshalb gut beraten, sich bereits jetzt mit dem Inhalt der Richtlinie und dem aktuellen Stand des Umsetzungsgesetzes zu beschäftigen.

Christian Saßenbach

Zurück

5. Datenzugangsrechte im Gesundheitsbereich nehmen konkrete Formen an

Das Bundesministerium für Gesundheit (BMG) hat am 12. November 2024 einen ersten Entwurf der Verordnung zur näheren Regelung des Verfahrens u. a. zur konkreten Umsetzung von Datenzugangsrechten nach dem nach dem GVNG (GVNG-VO-E) vorgelegt. Der Entwurf erlaubt einen frühen Einblick in die Modalitäten des Datenzugangs und sollte im Rahmen der Datenstrategie forschender Unternehmen im Gesundheitsbereich Berücksichtigung finden.

Nachdem Ende April 2024 das Gesetz zur verbesserten Nutzung von Gesundheitsdaten (GVNG) einen entscheidenden Wendepunkt in der Nutzung von Gesundheitsdaten zu Forschungszwecken markierte, nehmen die dort u. a. geschaffenen Datenzugangsrechte nun konkrete Formen an. Mit dem GVNG hatte der Gesetzgeber die Grundlage dafür geschaffen, Gesundheitsdaten in bisher nie dagewesenem Umfang, welche im Zusammenhang mit der Behandlung von Patienten in elektronischen Patientenakten (ePAs) gespeichert werden, über das beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angesiedelte Forschungsdatenzentrum auf Antrag Forschenden zur Verfügung zu stellen (siehe dazu unseren Beitrag im Fokus IT&C 2. Quartal).

Der GVNG-VO-E regelt in § 14 zunächst die Gründung einer „Arbeitsgruppe Pseudonymisierung“, welche die Details bestimmen soll, wie die in elektronischen Patientenakten entstehenden Gesundheitsdaten verfremdet werden sollen, bevor Sie an das Forschungsdatenzentrum weitergeleitet werden. Die Ergebnisse dieser Arbeitsgruppe werden entscheidend dafür sein, wie nützlich die Daten für Forschende letztlich sein werden. Hier wäre es wünschenswert, auch die forschende Industrie zu beteiligen, was derzeit nicht vorgesehen ist. Allerdings besteht nach § 14 Abs. 3 GVNG-VO-E die Möglichkeit, „weitere relevante Akteure“ beratend zu beteiligen.

Der GVNG-VO-E regelt weiterhin die Details zum Antrag zur Datenverarbeitung an das Forschungsdatenzentrum (§§ 17-20 GVNG-VO-E). Für die Praxis besonders interessant ist hierbei die in der Verordnung geregelte maximale Frist für die Bearbeitung durch das Forschungsdatenzentrum. Nach § 18 Abs. 4 GVNG-VO-E muss das BfArM innerhalb von drei Monaten über einen Antrag entscheiden und kann diese Frist im Fall umfangreicherer Anträge einmalig um einen Monat verlängern.

Wird ein Antrag auf Datenzugang bewilligt, stellt das Forschungsdatenzentrum dem Antragsteller nach § 20 Abs. 1 GVNG-VO-E entweder (i) standardisierte Datensätze in anonymisierter Form oder (ii) aggregierte Datensätze oder Einzeldatensätze in anonymisierter oder pseudonymisierter Form in einer gesicherten virtuellen Umgebung unter Kontrolle des Forschungsdatenzentrums zur Verfügung. Die Bereitstellung von „nur“ pseudonymisierter Daten, also noch personenbezogener Daten, in einer geschützten Umgebung des Forschungsdatenzentrums dient hierbei dem Schutz der betroffenen Personen. Datensätze zu Ergebnissen der Forschungstätigkeit in dieser geschützten Umgebung können nach § 20 Abs. 1 GVNG-VO-E an Forschende übermittelt werden.

Der GVNG-VO-E enthält schließlich Regelungen zu Gebühren (Artikel 2 GVNG-VO-E). Für den Antrag auf Datenzugang ist eine Gebühr von 4.000 Euro vorgesehen. Für die Bereitstellung von Daten in der geschützten Umgebung des Forschungsdatenzentrums ist eine Gebühr von 1.000 Euro pro Tag geplant. Während die Gebühren für öffentliche Antragsteller ermäßigt werden können, ist dies für private Unternehmen sowie sog. Public-Private-Partnerships nicht vorgesehen. Im Sinne eines gleichberechtigten Datenzugangs wäre hier jedenfalls für Public-Private-Partnerships eine Änderung wünschenswert.

Das BMG hat zunächst im Rahmen eines Beteiligungsverfahrens verschiedene Verbände dazu aufgefordert, zum GVNG-VO-E Stellung zu nehmen. Erst nach Abschluss dieses Verfahrens wird das BMG die Verordnung – möglicherweise in geänderter Form – erlassen.

Fazit

Die GVNG-VO-E bietet einen interessanten Einblick in die Details zu durch das GVNG neu geschaffenen Datenzugangsrechten. Forschende Unternehmen im Gesundheitsbereich sollten schon jetzt planen, welche Forschungsprojekte sie mit den neu geschaffenen Möglichkeiten umsetzen können. Es bleibt zu hoffen, dass auch die kommende Bundesregierung einen Fokus auf die Digitalisierung im Gesundheitsbereich legen wird und die Ausarbeitung der Details des Datenzugangs über das Forschungsdatenzentrum weiter vorangetrieben wird.

Marco Degginger

Zurück

6. EDSA veröffentlicht Entwurf neuer Leitlinien zur Datenverarbeitung aufgrund berechtigter Interessen

Im Oktober hat der Europäische Datenschutzausschuss (EDSA) den Entwurf seiner Leitlinien 01/2024 zur Verarbeitung personenbezogener Daten auf der Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO veröffentlicht. Die Leitlinien erläutern, wann eine Datenverarbeitung auf dieser Rechtsgrundlage nach Ansicht des EDSA rechtmäßig möglich ist.

1. Wesentlicher Inhalt der Leitlinien

Unter Berücksichtigung des EuGH-Urteils vom 4. Oktober 2024 (C-621/22) fordert der EDSA hierfür (1) die Verfolgung eines berechtigten Interesses durch den Verantwortlichen oder Dritten, (2) die Notwendigkeit der Verarbeitung zur Verfolgung dieser Interessen und (3) kein Überwiegen von Interessen oder Rechten der betroffenen Person gegenüber den berechtigten Interessen.

1.1 Berechtigtes Interesse und Notwendigkeit

Das berechtigte Interesse muss rechtmäßig, genau formuliert und tatsächlich vorhanden sein. Spekulative Interessen sind ebenso ausgeschlossen wie nicht hinreichend präzisierte Interessen, z. B. das „Wohl der Gemeinschaft“. Die erforderliche Notwendigkeit interpretiert der EDSA strikt. Sie fehlt, wenn weniger eingreifende Mittel zur Verfügung stehen oder der Grundsatz der Datenminimierung nicht beachtet wird.

1.2 Durchführung der Interessenabwägung 

Insbesondere konkretisieren die Leitlinien die Interessenabwägung. Maßgeblich sind u. a. (1) die Interessen und Rechten des Betroffenen, (2) die Auswirkungen auf dessen Person und (3) seine berechtigten Erwartungen. Die Leitlinien schlagen insoweit neue Abwägungsaspekte vor.

1.2.1 Überobligatorische Maßnahmen

Überwiegen die Interessen der Betroffenen, soll dies durch mildernde Maßnahmen des Verantwortlichen oder Dritten ausgeglichen werden können. Nach der DSGVO verpflichtende Maßnahmen werden nicht berücksichtigt. Mildernde Maßnahmen müssen darüber hinausgehen.

1.2.2 Auswirkung auf den Betroffenen

Die Auswirkungen beurteilen sich nach der Art der Daten, dem Datenverarbeitungskontext und den möglichen Folgen der Datenverarbeitung.

Hinsichtlich der Art der Daten sieht der EDSA Pseudonymisierung nicht als relevant an. Maßgeblich soll etwa sein, ob die Daten privater (z. B. Finanzdaten) oder öffentlicher Natur (z. B. Daten über berufliche Rolle) sind.

Den Datenverarbeitungskontext bestimmen u.a. Beziehung zwischen Betroffenen und Verantwortlichen, Status der Beteiligten und Kombinationsmöglichkeit mit anderen Datensätzen. Zudem nehmen die Leitlinien eine allgemeine Vorrangregelung für Interessen von Kindern an. Bei den Folgen der Verarbeitung sollen auch künftige Handlungen Dritter sowie emotionale Auswirkungen der Datenverarbeitung Abwägungsfaktoren darstellen.

1.2.3 Erwartungen des Betroffenen 

Lediglich die Erfüllung der gesetzlichen Informationspflichten (Art. 13, 14 DSGVO) bewirkt nicht, dass der Betroffene eine bestimmte Verarbeitung erwarten konnte. Entscheidende Faktoren sind u.a. Beziehungen, Alter, Grad der Öffentlichkeit und berufliche Stellung des Betroffenen.

Um dem Grundsatz der Rechenschaftspflicht zu entsprechen, verlangen die Leitlinien eine ordnungsgemäße Dokumentation des Prozesses der Interessenabwägung.

2. Was sollten Unternehmen beachten?

Insgesamt interpretiert der EDSA die Rechtsgrundlage der überwiegenden berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) recht strikt. Allerdings befinden sich die Leitlinien noch im Entwurfsstadium. Unternehmen sollten abwarten, welche Änderungen der EDSA im Nachgang zu der öffentlichen Konsultation gegebenenfalls in die Leitlinien aufnimmt. Unternehmen ist – wie bislang – in jedem Fall zu empfehlen, den Prozess der Interessenabwägung hinreichend zu dokumentieren, wenn sie Datenverarbeitungen auf diese Rechtsgrundlage stützen.

Wir werden Sie über die weiteren Entwicklungen zu den Leitlinien auf dem Laufenden halten.

Valentino Halim

Zurück

Legal Tech Tools - Digitale Anwendungen für effizientere Lösungen

Endecken Sie unser umfangreiches Legal Tech Angebot! Erfahren Sie mehr ...

Oppenhoff Taskforce AI

Erfahren Sie hier, wie die fachbereichsübergreifende Oppenhoff Taskforce AI sicher stellt, dass Sie die Anforderungen des AI Act der EU, aber auch die vielfältigen sonstigen rechtlichen Anforderungen an KI, von Anfang an einhalten und KI-Systeme rechtssicher nutzen können.
 

Hier Broschüre downloaden.

Zurück zur Übersicht