• Niko Härting

• Florian Werkmeister
• Jonathan Laux

Getreu dem Motto vieler großer Technologieunternehmen „frag nicht um Erlaubnis, bitte um Verzeihung“ schien auch OpenAI ihr Large-Language- Model (LLM) „ChatGPT“ Ende November 2022 auf den Markt gebracht zu haben. Nichtsdestotrotz war die Entscheidung der italienischen Datenschutzaufsichtsbehörde, die im aufsichtsrechtlichen Maßnahmenkatalog des Art. 85 DSGVO weit ausholte und gar eine vorübergehende Beschränkung anordnete, in ihrer Härte überraschend.

• Annette von Westernhagen
• Dr. Nicole Sánchez Cordero Canela

Generative Künstliche Intelligenz (wie beispielsweise ChatGPT, GitHub Copilot, Bard) verändern die Entwicklungen und den Einsatz von Künstlicher Intelligenz in rasender Geschwindigkeit. Doch ein solch rasanter technischer Fortschritt erfordert stets das Bewusstsein, mit bestehenden Risiken umzugehen und somit einen verantwortungsvollen Umgang im Einsatz solcher Technologien zu gewährleisten. Wohl kein Thema ist zurzeit prominenter politisch platziert, als die Rufe nach einer vertrauenswürdigen Künstlicher Intelligenz.

• Erik Petersen

Trotz der klaren weisungsgebundenen Rolle des Auftragsverarbeiters in der DSGVO kommt es in der Praxis häufig zu zusätzlichen „eigenen“ Verarbeitungstätigkeiten durch diesen. Probleme bereitet dabei insbesondere die Einordnung der datenschutzrechtlichen (Un-)Zulässigkeit solcher Verarbeitungen. Dieser Beitrag gibt einen Überblick über die Rechtslage und untersucht die bekannten aufsichtsbehördlichen Positionen.

• Nicole Beranek Zanon

Das neue Schweizer Datenschutzgesetz (nDSG1) tritt am 1. September 2023 in Kraft. Es bringt zahlreiche Änderungen mit sich, die eine Angleichung an die DS-GVO2 zur Folge haben. Insbesondere sind auch die Strafbestimmungen verschärft worden. Der folgende Beitrag stellt die Voraussetzungen dar, bei deren Vorliegen künftig eine Strafbarkeit wegen Verstößen gegen das nDSG in Betracht kommt.

• Eva Skobel

Normen zum Beschäftigtendatenschutz nach Art. 88 Abs. 1 DSGVO dürfen nicht nur die Maßgaben der Datenschutz-Grundverordnung für sämtliche Datenverarbeitungen wiederholen. Es stellt sich die Frage, unter welchen Voraussetzungen solche Normen möglich sind, ob Art. 6 Abs. 2 und 3 DSGVO einschlägige Öffnungsklauseln für Normen, die die Anforderungen des Art. 88 DSGVO nicht erfüllen, sein können und welche deutschen Normen betroffen sind.

• Leon V. C. Bock

Um insbesondere Praktikern einen Überblick über die zentralen Fragen zur Rechenschaftspflicht zu ermöglichen, wird in diesem Beitrag die Kommentarliteratur2 zu Art. 5 Abs. 2 DSGVO systematisiert und zusammengefasst. Es werden folgende Fragen in den Blick genommen: Ist Art. 5 Abs. 2 DSGVO extensiv oder restriktiv auszulegen (I.)? In welcher Form und mit welchen Mitteln hat der Verantwortliche Datenverarbeitungsvorgänge nachzuweisen (II.)? Gilt die Nachweispflicht zeitlich begrenzt oder „unendlich“ (III.)? Folgt aus Art. 5 Abs. 2 DSGVO eine Beweislastumkehr (IV.)? Schließlich widmet sich der Beitrag den Schlussanträgen des Generalanwalts im Verfahren C-340/21 vom 27.04.2023 und wagt einen Ausblick auf anstehende Entscheidungen des EuGH (V.).

• Levke Burfeind

Die Verarbeitung personenbezogener Daten ist gem. Art. 6 Abs. 1 lit. b) DSGVO rechtmäßig, wenn sie „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich [ist], die auf Anfrage der betroffenen Person erfolgen“. Der Wortlaut des Erlaubnistatbestandes bietet den Nährboden für Auslegungsfragen und Kontroversen: Ist die nach lit. b) zulässige Verarbeitung tatsächlich auf die Erfüllung beschränkt? Sind auch einseitige Schuldverhältnisse erfasst? Wie sieht es mit Bonitätsabfragen bei der Vertragsanbahnung aus? Und vor allem, wie ist „erforderlich“ auszulegen? Sind Daten als Entgelt bspw. erforderlich?

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Das Oberlandesgericht Frankfurt a. M. hat in einem aktuellen Urteil entschieden, dass Betroffenen gegen Unternehmen kein Anspruch auf Unterlassung einer Datenübermittlung zusteht. Die DSGVO sei in diesem Zusammenhang abschließend und es könne auch nicht auf die allgemeinen zivilrechtlichen Normen zurückgegriffen werden.

• Heiko Dünkel
• Rosemarie Rodden

Zuletzt haben wir wieder vermehrt über Wirtschaftsauskunfteien gelesen. Die Existenz dieser Unternehmen ist allgemein bekannt, die Bonitätsauskunft läuft hierzulande weithin unter dem Namen „SCHUFA-Auskunft“ – und hat damit ein ähnlich erfolgreiches Markenbranding wie das Tempo-Taschentuch erreicht – und weil es dieses Geschäftsmodell gefühlt schon immer gab, hatten wir uns einfach daran gewöhnt. Nun hat das Verwaltungsgericht Wiesbaden das Thema Wirtschaftsauskunfteien mit drei Vorlagefragen zum EuGH1 wieder ins Rampenlicht gerückt.

• Frederick Richter

Arbeiten Sie hauptberuflich im Datenschutz? Dann kommt es vielleicht auch Ihnen so vor, als wäre die DSGVO schon länger anwendbar als „erst“ seit dem Frühjahr 2018. Mich jedenfalls beschleicht mitunter das Gefühl, schon recht lange in der Realität des – schon nicht mehr ganz so – neuen EU-Datenschutzrechts zu leben.