Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,

ChatGPT kann nun auch mit Datenresidenz in Europa genutzt werden.

Die gute Nachricht zuerst: Dadurch können datenschutzrechtliche Bedenken in Bezug auf den Datentransfers in die USA entschärft werden.

Die Hauptargumente, welche dadurch entschärft werden, sind:

  • Die Verarbeitung von Daten in den USA birgt Risiken im Sinne von Art. 44 DSGVO, weil der Schrems-II-Beschluss des EuGH hohe Anforderungen an den Datentransfer in die USA stellt.
  • OpenAI bezieht sich auf das EU-U.S. Data Privacy Framework, aber dieses könnte wie das frühere "Privacy Shield" erneut rechtlich gekippt werden. Hier gilt jedoch, dass OpenAI die Möglichkeit bietet, Standardvertragsklauseln (SCCs) mit zusätzlichen Garantien abzuschließen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Diese SCCs sind darauf ausgelegt, ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in Drittländer sicherzustellen.

Das Angebot „Datenresidenz in Europa“ ermöglicht es API-Kunden sowie neuen ChatGPT Enterprise- und Edu-Kunden also nun, ihre Daten innerhalb Europas zu verarbeiten und zu speichern.

Hier sind jedoch zwei Punkte zu beachten:

  • Die Datenresidenzoption steht derzeit nur neuen Projekten zur Verfügung. Bestehende Projekte können nachträglich nicht auf europäische Datenresidenz umgestellt werden.
  • Diese Funktion ist hauptsächlich für API-Kunden mit Enterprise-Vereinbarungen sowie für neue ChatGPT Enterprise- und Edu-Kunden verfügbar. Für Nutzer der kostenlosen Version und von ChatGPT Plus gilt die Datenresidenz in Europa nicht.

Wie bereits angesprochen, reicht die Datenresidenz in der EU allein nicht aus, um DSGVO-konforme Datensicherheit zu gewährleisten.

Landesdatenschutzbehörden und die Datenschutzkonferenz des Bundes und der Länder (DSK) argumentieren mit dem Zugriff durch US-Geheimdienste (FISA 702 & CLOUD Act), die fehlende vollständige Kontrolle über die Daten und den Alternativen, welche innerhalb der EU vorhanden sind (Aleph Alpha, Mistral AI, usw.). Aber auch bei den letztgenannten bleibt die „Black Box“-KI-Problematik, weil die Nutzung von KI-Modellen bei externen Dienstleistern nicht vollständig überprüfbar ist. Um aus datenschutzrechtlicher Sicht sicher zu gehen, bleiben nur Open-Source-Modelle.

Falls Sie Fragen haben, melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter

Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Guillaume Périgois auf Unsplash. Vielen Dank.

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,

schon bald - am 02.02.2025 - tritt die neue Vereinbarung gemäß Art. 4 der KI-Verordnung (KI-VO) in Kraft. Diese Regelung verpflichtet Unternehmen dazu, ihren Mitarbeitern Kompetenzen im Umgang mit KI-Tools zu vermitteln.

Hintergrund zur KI-VO und KI-Tools

Die KI-VO wurde ins Leben gerufen, um den sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz in Unternehmen zu gewährleisten. Ein zentraler Bestandteil dieser Verordnung ist die Pflicht, Mitarbeiter im Umgang mit KI zu schulen. KI-Systeme sind Softwarelösungen, die zahlreiche Arbeitsprozesse automatisieren, die Effizienz steigern, gleichzeitig jedoch Risiken im Bereich Datenschutz und Datensicherheit beinhalten.

Warum ist die Schulung so wichtig?

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,

viele Unternehmen bieten mittlerweile eigene Apps an. Ob als Apotheke, als Fussballverein, als Stromanbieter, als Bank, als Fitnessstudio oder als Friseursalon. Die Angebote von App-Anbietern, in kürzester Zeit und mit geringem Aufwand eine eigene App zu erzeugen, ist verlockend und wird häufig angenommen. Doch was die wenigsten wissen, die eine App für Ihr Unternehmen Ihr Eigen nennen ist, dass sie sich damit auch eine Menge datenschutzrechtlichen Ärger einhandeln können. Denn wer kennt schon die Datenschutz-Anforderungen an eine App und wer kann dies dann auch noch selbstständig überprüfen? Deswegen dient dieser Beitrag dazu, für Sie bei dem Thema Lichts ins Dunkel zu bringen.

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Liebe Leserinnen und Leser,

es gibt eine Eigenart bei Webagenturen, die stirbt einfach nicht aus. Die Rede ist von dem Haken bei Webformularen, bei Registrierungen, beim Abschluss eines Online-Kaufvertrages oder bei Newsletteranmeldungen. An vielen Stellen müssen Webseitenbesucher:

  • den Datenschutzhinweisen zustimmen,
  • die Datenschutzerklärung akzeptieren,
  • den Datenschutzinformationen einwilligen,
  • die Datenschutzbestimmungen bestätigen, wie am folgenden Beispiel klar wird.

Beispielhaken.png

Alle genannten Beispiele führen nicht zu einem Mehr an Rechtssicherheit - wie von dem Internetdiensteanbieter beabsichtigt. Vielmehr werden dadurch zwei voneinander zu trennende Datenschutzaspekte miteinander vermischt. Das eine ist die Information nach Art. 13 DSGVO in Bezug auf die Verarbeitung personenbezogener Daten und das andere ist eine Einwilligung gemäß Art. 7 DSGVO.

Informationssicherheitsbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 20+ Jahre Erfahrung

Es war einmal,

da befand ich mich im Urlaub und beschloss, einen Tag in einem etwas größeren Outlet-Center zu verbringen. Ein idealer Ort, um sich nach neuen Kleidungsstücken umzusehen und vielleicht das eine oder andere Schnäppchen zu machen. Nach einiger Zeit des Stöberns und Probierens hatte ich schließlich ein, zwei Teile gefunden, die mir gut gefielen. Mit meiner Auswahl zufrieden, ging ich zur Kasse, um meine Einkäufe zu bezahlen.

Der Kassierer nahm die Kleidung entgegen, scannte sie ein und nannte mir den Preis. Nachdem ich meine Karte durch das Lesegerät gezogen hatte, erwartete ich – wie gewohnt – den Kassenbeleg in Papierform, den man in solchen Situationen ja immer erhält. Doch stattdessen schaute mich der Kassierer freundlich an und stellte eine unerwartete Frage: „Möchten Sie den Kassenbeleg per E-Mail zugeschickt bekommen? Das schützt die Umwelt.“