Wir möchten mit diesem Beitrag die Gelegenheit nutzen, unser neues Interview-Format für den Blog von RMPrivacy vorzustellen.
Dabei starten wir mit dem Jahresrückblick für 2023 von RMPrivacy! Das Gespräch wurde von unseren Kollegen Moritz Kolb (MK) und Matthias Rosa (MR) geführt.
MK: „2023 war ja wirklich ein turbulentes Jahr im Datenschutzrecht. Insbesondere die vielen Gerichtsurteile haben einiges auf den Kopf gestellt! Was war dein Highlight des Jahres?“
MR: „Das ist dieses Jahr gar nicht so leicht zu beantworten!
Ein großer Schritt, den auch sicherlich alle unsere Mandanten gespürt haben, war der neue Angemessenheitsbeschluss der EU für die USA! Der Einsatz vieler US-Dienstleister ist hierdurch wieder einfacher geworden. Jedoch mussten nahezu alle Verantwortlichen auf Ihren Websites die Datenschutzerklärungen aktualisieren. Und die Experten rechnen natürlich schon damit, dass der neue Angemessenheitsbeschluss schon bald wieder fallen könnte – was wieder mit einem erheblichen Aufwand für uns alle verbunden wäre!
Aber noch deutlich wichtiger und bedeutsamer waren nach meiner Einschätzung die Entwicklungen der künstlichen Intelligenz. Innerhalb eines Jahres wurde KI von einem Nischenthema zum Tagesgeschäft. Sehr viele Unternehmen setzen inzwischen KI ein und damit geht ein hoher Compliance-Aufwand einher. So benötigt der Einsatz von KI regelmäßig eine Datenschutzfolgeabschätzung und Unternehmen sollten sich durch KI-Richtlinien und technische Maßnahmen absichern, um Haftungsfallen und Datenpannen zu verhindern. Auch für uns als Unternehmen war das eine steile Lernkurve und wir bilden uns ständig weiter, um auf dem neusten Stand zu bleiben.
Was waren denn aus deiner Sicht die besonders relevanten Themen?“
MK: „Die Entwicklung von KI war auf jeden Fall ein sehr spannendes Thema! Hier werden viele Herausforderungen auf Verantwortliche zukommen, vor allem mit Hinblick auf die Datenstrategie der Europäischen Union, mit der es viel neue Regulierung geben wird. Mit dem Data Act sollen große Datenmengen endlich zur Wohlfahrtssteigerung nutzbar gemacht werden – das wird gerade kleinen und mittelständischen Unternehmen nützen können. Jedoch wird für Unternehmen die Rechtslage, insbesondere im Rahmen der Nutzung von KI, auch komplizierter! So kann es sein, dass künftig der sogenannte AI Act, die DSGVO und der Data Act gleichzeitig Anwendung finden, so z. B. wenn mit KI personenbezogene Daten in einem IOT-Gerät verarbeitet werden.
Am spannendsten fand ich jedoch, wie umtriebig der Europäische Gerichtshof besonders gegen Ende des Jahres gewesen ist – da gab es viele Entscheidungen zum Datenschutzrecht. Viele Dinge sind jetzt klarer, aber es sind auch neue Fragen entstanden.“
MR: „Welches Urteil fandest du am wichtigsten?“
MK: „Tatsächlich die jüngste Entscheidung jetzt kurz vor Weihnachten zur Haftung bei Hackerangriffen! Hier wurden jetzt gleich mehrere Fragen klargestellt, die wir ja lange diskutiert haben. Cyberangriffe nehmen zu und nun wissen wir endlich, dass es sich hier gerade nicht um höhere Gewalt oder reines Fremdverschulden handelt. Verantwortliche haften für Schadensersatz und riskieren Geldbußen, wenn sie personenbezogene Daten nicht ausreichend vor solchen kriminellen Machenschaften schützen. Und dass bereits die Angst vor einem Missbrauch abhanden gekommener Daten zu einer Schmerzensgeldzahlung führen kann, war natürlich auch ein Kracher in der Entscheidung. Auch über 5 Jahre nach ihrem Inkrafttreten ist die DSGVO also kein zahnloser Tiger, sondern wird im Gegenteil immer durchdringender.“
MR: „Was meinst du, was 2024 im Datenschutzbereich wichtig wird?“
MK: „Ich denke, die Rolle der Künstlichen Intelligenz wird immer bedeutsamer. Der Datenschutz wird komplizierter, da KI in immer mehr Bereichen Anwendung findet. Da müssen wir alle gemeinsam am Ball bleiben, aus der Sicht des Datenschutzes, der IT, aber auch der Unternehmen und Behörden, die KI einsetzen.“
MR: „Stimme ich dir voll zu. Und die EuGH-Entscheidungen zur Haftung bei Hackerangriffen werden wohl auch einiges bewegen. Unternehmen müssen jetzt noch mehr in ihre Datensicherheit investieren, sonst kann es schnell richtig teuer werden.
Aber auch die Pflichten von Unternehmen für die Einführung eines Hinweisgeberschutzsystems können dazu führen, dass künftig mehr potenzielle Datenschutzverletzungen innerhalb eines Unternehmens geprüft werden müssen.“
MK: „Es bleibt also spannend. Schauen wir mal, was 2024 so bringt.“
Nachweis für das Titelbild: KI generiert; Bildnachweis für die anderen Beitragbilder: © Fabian Brandl Photography