Liebe Leserinnen und Leser,

im Mai des Jahres 2018 wurde die EU-Datenschutz-Grundverordnung (EU-DSGVO) wirksam. Soweit - so bekannt. Zum selben Zeitpunkt haben Sie per Mail, auf den Internetseiten oder bei sonstigen Anlässen Datenschutzhinweise nach Art. 13 EU-DSGVO bereitgestellt bekommen. Und wenn Sie heute im Internet nach Datenschutzhinweisen mit dem Stand 2018 suchen, z. B. durch die Eingabe von "datenschutzerklärung stand 2018" in ihrer bevorzugten Suchmaschine, finden Sie eine Vielzahl von Informationen zum Datenschutz, welche seit fast sieben Jahren nicht mehr verändert wurden. Wozu auch - werden Sie sich fragen. Immerhin hat sich die DSGVO seitdem nicht verändert. Was Sie jedoch beachten sollten ist, dass sich andere Dinge verändert haben, die auf die Datenschutzhinweise einen Einfluss haben.

Weitere Infos...DSGVO-Gazette #48: Datenschutzhinweise mit Stand "Mai 2018"

Liebe Leserinnen und Leser,

ChatGPT kann nun auch mit Datenresidenz in Europa genutzt werden.

Die gute Nachricht zuerst: Dadurch können datenschutzrechtliche Bedenken in Bezug auf den Datentransfers in die USA entschärft werden.

Die Hauptargumente, welche dadurch entschärft werden, sind:

• Die Verarbeitung von Daten in den USA birgt Risiken im Sinne von Art. 44 DSGVO, weil der Schrems-II-Beschluss des EuGH hohe Anforderungen an den Datentransfer in die USA stellt.
• OpenAI bezieht sich auf das EU-U.S. Data Privacy Framework, aber dieses könnte wie das frühere "Privacy Shield" erneut rechtlich gekippt werden. Hier gilt jedoch, dass OpenAI die Möglichkeit bietet, Standardvertragsklauseln (SCCs) mit zusätzlichen Garantien abzuschließen, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Diese SCCs sind darauf ausgelegt, ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten in Drittländer sicherzustellen.

Das Angebot „Datenresidenz in Europa“ ermöglicht es API-Kunden sowie neuen ChatGPT Enterprise- und Edu-Kunden also nun, ihre Daten innerhalb Europas zu verarbeiten und zu speichern.

Hier sind jedoch zwei Punkte zu beachten:

• Die Datenresidenzoption steht derzeit nur neuen Projekten zur Verfügung. Bestehende Projekte können nachträglich nicht auf europäische Datenresidenz umgestellt werden.
• Diese Funktion ist hauptsächlich für API-Kunden mit Enterprise-Vereinbarungen sowie für neue ChatGPT Enterprise- und Edu-Kunden verfügbar. Für Nutzer der kostenlosen Version und von ChatGPT Plus gilt die Datenresidenz in Europa nicht.

Wie bereits angesprochen, reicht die Datenresidenz in der EU allein nicht aus, um DSGVO-konforme Datensicherheit zu gewährleisten.

Landesdatenschutzbehörden und die Datenschutzkonferenz des Bundes und der Länder (DSK) argumentieren mit dem Zugriff durch US-Geheimdienste (FISA 702 & CLOUD Act), die fehlende vollständige Kontrolle über die Daten und den Alternativen, welche innerhalb der EU vorhanden sind (Aleph Alpha, Mistral AI, usw.). Aber auch bei den letztgenannten bleibt die „Black Box“-KI-Problematik, weil die Nutzung von KI-Modellen bei externen Dienstleistern nicht vollständig überprüfbar ist. Um aus datenschutzrechtlicher Sicht sicher zu gehen, bleiben nur Open-Source-Modelle.

Falls Sie Fragen haben, melden Sie sich einfach.

Viele Grüße aus Aachen
Ingo Goblirsch

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz | Compliance | Informationssicherheit
52076 Aachen

Foto von Guillaume Périgois auf Unsplash. Vielen Dank.

Liebe Leserinnen und Leser,

schon bald - am 02.02.2025 - tritt die neue Vereinbarung gemäß Art. 4 der KI-Verordnung (KI-VO) in Kraft. Diese Regelung verpflichtet Unternehmen dazu, ihren Mitarbeitern Kompetenzen im Umgang mit KI-Tools zu vermitteln.

Hintergrund zur KI-VO und KI-Tools

Die KI-VO wurde ins Leben gerufen, um den sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz in Unternehmen zu gewährleisten. Ein zentraler Bestandteil dieser Verordnung ist die Pflicht, Mitarbeiter im Umgang mit KI zu schulen. KI-Systeme sind Softwarelösungen, die zahlreiche Arbeitsprozesse automatisieren, die Effizienz steigern, gleichzeitig jedoch Risiken im Bereich Datenschutz und Datensicherheit beinhalten.

Warum ist die Schulung so wichtig?

Weitere Infos...DSGVO-Gazette #46: Haben Sie schon Ihr Personal zu KI geschult?

Liebe Leserinnen und Leser,

viele Unternehmen bieten mittlerweile eigene Apps an. Ob als Apotheke, als Fussballverein, als Stromanbieter, als Bank, als Fitnessstudio oder als Friseursalon. Die Angebote von App-Anbietern, in kürzester Zeit und mit geringem Aufwand eine eigene App zu erzeugen, ist verlockend und wird häufig angenommen. Doch was die wenigsten wissen, die eine App für Ihr Unternehmen Ihr Eigen nennen ist, dass sie sich damit auch eine Menge datenschutzrechtlichen Ärger einhandeln können. Denn wer kennt schon die Datenschutz-Anforderungen an eine App und wer kann dies dann auch noch selbstständig überprüfen? Deswegen dient dieser Beitrag dazu, für Sie bei dem Thema Lichts ins Dunkel zu bringen.

Weitere Infos...DSGVO-Gazette #45: Was müssen Sie zu Datenschutz bei Apps beachten