Kategorie: DSGVO

Datenschutz 2024

Datenschutz 2024:
Zwischen KI, Datenpannen und Videoüberwachung – Ein Rückblick

Das Jahr 2024 war für Datenschützer alles andere als ruhig. Zwischen Künstlicher Intelligenz, steigenden Beschwerdezahlen und der Einführung der elektronischen Patientenakte (ePA) gab es reichlich Diskussionsstoff. Hier ein Überblick über die wichtigsten Entwicklungen und Ereignisse, sowie verhängte Bußgelder:

Beschwerden und Datenpannen: Ein Rekordjahr

Die Zahl der Beschwerden über Datenschutzverstöße erreichte 2024 neue Höchststände. Allein beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gingen 1.628 Beschwerden ein – ein Anstieg von über 20 Prozent im Vergleich zum Vorjahr. Ein zentraler Auslöser war die Einführung der ePA, bei der viele Versicherte Bedenken hinsichtlich ihrer Daten äußerten.

Auch die Zahl der gemeldeten Datenpannen stieg: 602 Meldungen gingen beim ULD ein, von einfachen Fehlzusendungen bis hin zu groß angelegten IT-Angriffen. Besonders häufig betroffen waren kleine und mittlere Unternehmen, die oft nicht über ausreichende Sicherheitsmaßnahmen verfügten.

KI im Fokus: Chancen und Herausforderungen

Künstliche Intelligenz war im Datenschutz 2024 ein dominierendes Thema. Die Datenschutzkonferenz, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, veröffentlichte ein Positionspapier zu Kriterien für souveräne Clouds und betonte die Notwendigkeit klarer gesetzlicher Regelungen für den Einsatz von KI, insbesondere im öffentlichen Sektor. Ziel ist es, Transparenz und Datenschutz zu gewährleisten.

Videoüberwachung: Ein Dauerbrenner

Die Videoüberwachung blieb ein Dauerbrenner im Datenschutz 2024. Mehr als jede fünfte Beschwerde beim ULD betraf dieses Thema. Häufig ging es um Nachbarschaftsstreitigkeiten, in denen Kameras auf private Grundstücke gerichtet waren. Die Datenschutzbehörden betonten, dass Videoüberwachung nicht generell unzulässig ist, jedoch klare Regeln eingehalten werden müssen.

Cookie Banner, OLG Köln Urteil zu Cookie-Bannern

Das Urteil betont die Notwendigkeit, dass Cookie-Banner so gestaltet sein müssen, dass Nutzer eine echte und informierte Wahl haben. Sowohl die Zustimmung als auch die Ablehnung von Cookies müssen gleichwertig und transparent angeboten werden. Irreführende Gestaltungen, die Nutzer zur Zustimmung drängen, sind unzulässig

Informationsfreiheit: Verzögerungen und Verweigerungen

Auch im Bereich der Informationsfreiheit gingen mehr Beschwerden und Anfragen ein. Die Landesbeauftragte für Informationszugang in Schleswig-Holstein musste im Jahr 2024 viermal Beanstandungen aussprechen, da Informationen an Antragsteller ohne ersichtlichen Grund nicht oder nur verzögert herausgegeben wurden. Die Behörden setzen sich für eine transparente Verwaltung ein und fordern eine proaktive Veröffentlichung von Informationen.

Bußgelder

Im Jahr 2024 wurden von europäischen Datenschutzbehörden zahlreiche Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Die Gründe reichten von unzureichenden Sicherheitsmaßnahmen bis hin zu unrechtmäßiger Datenverarbeitung. Hier sind einige der bedeutendsten Fälle:

LinkedIn Ireland – 310 Millionen Euro (Irland)

Geldstrafe in Höhe von 310 Millionen Euro für die Verarbeitung personenbezogener Daten von Nutzern für Verhaltensanalysen und zielgerichtete Werbung ohne ausreichende Transparenz und Rechtsgrundlage.

Uber – 290 Millionen Euro (Niederlande)

Uber Bußgeld in Höhe von 290 Millionen Euro für die Übertragung sensibler Daten europäischer Fahrer, darunter Standortdaten und Ausweisdokumente, ohne angemessene Schutzmaßnahmen an Server in den USA.

Meta Platforms Ireland Ltd. – 91 Millionen Euro (Irland)

Meta wurde Bußgeld in Höhe von 91 Millionen Euro belegt, für das Speichern von Nutzer-Passwörtern im Klartext.

Clearview AI – 30,5 Millionen Euro (Niederlande)

Clearview AI (USA) erhielt von der niederländischen Datenschutzbehörde ein Bußgeld in Höhe von 30,5 Millionen Euro für die Verarbeitung biometrischer Daten (Gesichtsdaten) von Bürgern der Niederlande, die Clearview AI aus öffentlich zugänglichen Bildern der Betroffenen ohne Einwilligung eingelesen hatte.

The Phone House S.L. – 6,5 Millionen Euro (Spanien)

The Phone House erhielt ein Bußgeld in Höhe von 6,5 Millionen Euro nach einem Ransomware-Angriff. Die Behörde stellte fest, dass unzureichende technische und organisatorische Maßnahmen (TOM) maßgeblich zu dem Vorfall beigetragen hatten.

Und was war in Deutschland los?

Factoring (Hamburg) – 900.000 €

Factoring Unternehmen (Hamburg) zahlte ein Bußgeld in Höhe von € 900.000 für das Nutzen von Kundendaten über die gesetzl. Aufbewahrungsfrist hinaus.

Bank (Berlin) – 300.000 €

Eine Bank in Berlin bekam ein in Höhe von 300.000 € aufgebrummt, weil sie einem Kunden keine nachvollziehbaren Auskünfte über die Gründe einer automatisierten Ablehnung eines Kreditkartenantrags erteilte. Dies verstieß gegen die Transparenzpflichten aus Art, 5 i.V.m. Art. 13, 14 DSGVO.

E-Commerce-Unternehmen – 525.000 €

Ein Unternehmen der Branche E-Commerce fing sich ein Bußgeld von 525.000 € für einen Interessenkonflikt, in dem der der Datenschutzbeauftragte des Unternehmens stand. Dies widersprach der Unabhängigkeitsregel der DSGVO.

Corona-Teststation – 52.500 €

Eine Corona-Teststation erhielt ein Bußgeld in Höhe von € 52.500 für den Impfstatus als Pflichtangabe in ihrem Anmeldeformular und das Vortragen einer Standard-Staatsangehörigkeit. Dies verstieß gegen die Grundsätze der Verarbeitung aus Art. 5 DSGVO.

Apotheke – 6.500 €

Eine Apotheke zahlte ein Bußgeld in Höhe von € 6.500, weil sie Unterlagen mit personenbezogenen Gesundheitsdaten in einem Müllsammelraum offen zugänglich lagerte. Auch überwachte sie die bedienenden Verkaufskräfte per Video. Dies verstieß gegen eine Vielzahl von Normen aus der DSGVO.

Friseurbetrieb – 2.000 €

Auch ein Friseurbetrieb erhielt ein Bußgeld in Höhe von € 2000,- für das Sammeln von Kundendaten ohne ausreichende Einwilligung.

Fazit aus dem Datenschutz 2024: Datenschutz bleibt dynamisch

Das Jahr 2024 zeigte deutlich, dass Datenschutz kein statisches Thema ist. Mit der fortschreitenden Digitalisierung, dem Einsatz von KI und neuen gesetzlichen Regelungen bleibt es spannend. Für Datenschützer bedeutet das: dranbleiben, informieren und mitgestalten.

Quellen:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Tätigkeitsbericht 2024
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), 29. Bericht 2024
Landesbeauftragter für Datenschutz Bremen, 7. Jahresbericht 2024

KI in Unternehmen, was ist zu beachten?

Künstliche Intelligenz in Unternehmen: Chancen, Grenzen und rechtliche Rahmenbedingungen

Künstliche Intelligenz (KI) hat das Potenzial, die Arbeitswelt nachhaltig zu verändern. Sie ermöglicht Unternehmen, effizienter zu arbeiten, repetitive Aufgaben zu automatisieren und neue Innovationsfelder zu erschließen. Doch mit der Nutzung von KI gehen auch rechtliche und ethische Herausforderungen einher, die Unternehmen nicht außer Acht lassen dürfen. In diesem Beitrag beleuchte ich den Nutzen von KI, typische Anwendungsfälle, rechtliche Aspekte und die Frage, welche Daten und Inhalte nicht in KI-Systeme gehören.

Der Nutzen von KI für Unternehmen

KI bringt vor allem Effizienzgewinne und erhebliche Zeitersparnis:

  • Automatisierung: Routineaufgaben wie Datenanalysen, Dokumentenprüfung oder Kundenanfragen können automatisiert werden.
  • Bessere Entscheidungsfindung: KI-gestützte Analysen helfen, datenbasierte Entscheidungen schneller und präziser zu treffen.
  • Personalisierung: Im Marketing oder Kundenservice ermöglicht KI eine maßgeschneiderte Ansprache, die die Kundenzufriedenheit erhöht.
  • Skalierbarkeit: Prozesse, die manuell nicht wirtschaftlich skalierbar wären, können durch KI effizient erweitert werden.
  • Softwareentwicklung: KI ist ín der Lage, nutzbaren Code zu erzeugen, Migrationen vorzubereiten und die Einaebeitung in neue Umgebungen zu erleichten.
  • Erstellung von Texten: KI kann bei der grundlegenden Erstellung von Texten helfen, z.B. für Schulungsunterlagen, Handouts, Texte für Blogs etc.

Diese Vorteile schaffen Freiräume für Mitarbeiter, sich auf strategische und kreative Aufgaben zu konzentrieren. Ich spare durch KI allein in meinem Unternehmensfeld Softwareentwicklung um 30 % Entwicklungszeit, weil aufwändige Recherchen und Machtbarkeitsstudien entfallen.

Typische Anwendungsfälle von KI in Unternehmen

  1. Kundenservice: Chatbots und virtuelle Assistenten können rund um die Uhr Kundenanfragen bearbeiten.
  2. HR & Recruiting: KI unterstützt bei der Vorauswahl von Bewerbungen oder der Planung von Schulungen.
  3. Supply Chain Management: Vorhersagemodelle optimieren Lagerbestände und Lieferketten.
  4. IT-Sicherheit: KI identifiziert Anomalien und potenzielle Sicherheitsbedrohungen schneller als traditionelle Systeme.
  5. Produktentwicklung: KI unterstützt beim Prototyping und bei der Analyse von Kundendaten zur Produktverbesserung.

Was gehört nicht in eine KI?

Die Verwendung von KI ist nicht bedenkenlos. Unternehmen müssen darauf achten, welche Daten und Inhalte in KI-Systeme einfließen. Verantwortlich ist nach wie vor nicht irgendein System, wie z.B. eine KI, sondern derjenige, der die Daten zweckfremd verwendet hat.

  • Persönliche und sensible Daten: Daten mit hohem Datenschutzrisiko, wie Gesundheitsdaten oder personenbezogene Informationen, dürfen nur unter strengen Auflagen verarbeitet werden. Die DSGVO setzt hier klare Grenzen.
  • Diskriminierende Inhalte: KI lernt aus Daten. Wenn diese Daten Vorurteile enthalten, reproduziert oder verstärkt die KI diese. Eine sorgfältige Datenprüfung ist daher unerlässlich.
  • Geschäftskritische Informationen: Unternehmensgeheimnisse sollten nicht unkontrolliert in externe KI-Systeme eingespeist werden, um Datenlecks zu vermeiden.

Beispiel Projektdokumente

Nehmen wir mal an, ich möchte mir aus Projektdokumenten Timelines, ToDo Listen und Tabellen mit Ansprechpartnern und Zuständigkeiten erstellen lassen.

Und nehmen wir weiterhin an, das Projekt  hat eine hohe Sicherheitsstufe, bei uns gang und gäbe, ich habe also eine NDA unterschrieben, desweiteren enthalten die Dokumente Namen von Ansprechpartnern inkl. deren Zuständigkeiten, die so nicht im Netz zu finden sind.

 

Was ist bedenkenlos möglich?

Unternehmen können KI bedenkenlos in Bereichen einsetzen, die auf anonymisierten, aggregierten oder generierten Daten basieren. Beispiele sind:

  • Marktanalyse: Analyse von Trends und anonymisierten Daten.
  • Prozessoptimierung: KI-gestützte Optimierung interner Prozesse ohne personenbezogene Daten.
  • Automatisierung: Standardisierte Aufgaben wie Dokumentenablage oder Datenmigration.

Wichtig ist, dass Transparenz und Kontrolle über die genutzten Algorithmen und Datenquellen gewährleistet sind.

Rechtliche Betrachtungen: Worauf Unternehmen achten müssen

Die rechtliche Nutzung von KI erfordert die Berücksichtigung verschiedener Vorschriften:

  1. Datenschutz (DSGVO):
    • Sicherstellung der Rechtmäßigkeit der Datenverarbeitung.
    • Transparenz über die Verarbeitung (Art. 13, 14 DSGVO).
    • Datenminimierung und Zweckbindung.
    • Besondere Vorsicht bei sensiblen Daten (Art. 9 DSGVO).
  2. Urheberrecht:
    • Beachtung von Lizenzen bei der Verwendung von urheberrechtlich geschützten Inhalten.
    • Die Frage, ob KI-generierte Werke urheberrechtlich geschützt sind, ist aktuell noch ungeklärt.
  3. Haftungsrecht:
    • Unternehmen müssen sicherstellen, dass KI-Systeme fehlerfrei funktionieren. Fehlerhafte Entscheidungen einer KI können Haftungsrisiken auslösen.
  4. Kartell- und Wettbewerbsrecht:
    • Nutzung von KI zur Marktüberwachung oder Preisgestaltung muss kartellrechtskonform sein.
  5. Geplante KI-Regulierung der EU (AI Act):
    • Der AI Act der EU definiert spezifische Anforderungen für Hochrisiko-KI-Systeme, wie Transparenzpflichten, Risikomanagement und unabhängige Prüfungen.

KI erfolgreich und rechtssicher einsetzen

Die Einführung von KI in Unternehmen erfordert mehr als nur technische Expertise – rechtliche und organisatorische Aspekte sind ebenso wichtig. Unternehmen sollten:

  • Daten prüfen: Nur rechtlich einwandfreie und nicht diskriminierende Daten verwenden.
  • KI-Systeme auditieren: Transparenz, Sicherheit und Fairness der eingesetzten Systeme regelmäßig prüfen.
  • Mitarbeiter schulen: Verständnis für den verantwortungsvollen Einsatz von KI fördern.
  • Rechtsberatung einholen: Spezialisierte Expertise hinzuziehen, um alle rechtlichen Anforderungen zu erfüllen.

KI bietet Unternehmen immense Chancen, doch der Erfolg hängt davon ab, wie sorgfältig sie implementiert und genutzt wird. Ein durchdachter Ansatz, der Nutzen, Ethik und Rechtssicherheit vereint, schafft die Grundlage für eine nachhaltige und innovative Nutzung von KI.

Sie benötigen eine Schulung oder einen Workshop zur rechtssicheren Verwendung von KI individuell für Ihr Unternehmen? Schreiben Sie mir, ich rufe Sie zeitnah an!