• Barbara Thiel

• Sebastian Durchholz

Der Aufsatz untersucht die Regelungen zur Datenübertragung und Interoperabilität in der DSGVO sowie den neuen EU-Digitalgesetze. Dabei werden die entsprechenden Normen analysiert und auf deren Wirksamkeit überprüft. Ferner vergleicht die Untersuchung die verschiedenen Normen und stellt dabei die Gemeinsamkeiten und Unterschiede fest. Die Analyse betrachtet ebenfalls die Herausforderungen und Chancen, die sich aus den Normen für den Digitalmarkt in der EU ergeben.

• Felix Neumann

Die Datenschutzaufsichten in Deutschland sind für öffentliche und nicht-öffentliche Stellen zuständig. Nach alter Lesart sind öffentlich-rechtlich verfasste Religions- und Weltanschauungsgemeinschaften aber weder das eine noch das andere. Alle Landesdatenschutzaufsichten in Deutschland sehen sich trotzdem für solche Körperschaften als zuständig an, wenn sie nicht nach Art. 91 Abs. 2 DSGVO eine spezifische Aufsicht eingerichtet haben – nur die beiden Aufsichten in Bayern nicht.

• Emmelie Pauline Lotzow

Die ausgeprägte Verflechtung des Art. 8 GrCh und des Datenschutzsekundärrechts führt zu erheblichen normenhierarchischen Unsicherheiten. Infolgedessen droht einerseits das sekundärrechtliche Verbotsprinzip in den Verfassungsrang erhoben zu werden und andererseits das Datenschutzgrundrecht zum Sekundärrecht herabgestuft zu werden.

• Prof. Dr. Marco Barenkamp

Das „Recht auf Vergessenwerden“ gewinnt im Kontext der wachsenden Verbreitung von KI-Systemen zunehmend an Bedeutung. Die Umsetzung dieses Rechts stellt jedoch erhebliche technische Herausforderungen dar, da KI-Systeme Datenpunkte nicht einfach gezielt entfernen können. Während die Löschung aus Datenbanken technisch machbar ist, erfordert die Entfernung von Daten aus trainierten KI-Modellen in der Regel ein kostspieliges Neutraining.

• Erdem Durmus
• Georgia Voudoulaki

Die am 12.07.2024 im Amtsblatt der EU veröffentlichte Verordnung 2024/1689 („KI-VO“) legt auf europäischer Ebene erstmals den gesetzlichen Rahmen für den Umgang mit Künstlicher Intelligenz (KI) fest. Nach der KI-VO müssen Anbieter und Betreiber von KI-Systemen über KI-Kompetenz verfügen. Das Gesetz schreibt nicht vor, wie eine solche KI-Kompetenz zu erlangen ist oder welche Funktion, etwa in einem Unternehmen, mit entsprechendem Fachwissen ausgestattet sein muss.

• Streitgespräch Hense ./. Härting

• Dr. Patrick Grosmann

Die systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche bildet nach Art. 35 Abs. 3 lit. c) DSGVO ein Regelbeispiel der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (kurz DSFA). Relevant ist der Terminus auch für die Benennungspflicht eines Datenschutzbeauftragten (siehe Art. 37 Abs. 1 lit. b) DSGVO, § 38 Abs. 1 S. 2 BDSG).

• Frederick Richter

Gleichsam als Strandlektüre veröffentlichte die alte Europäische Kommission als eine der letzten Amtshandlungen Ende Juli dieses Jahres ihren zweiten Bericht über die Evaluation der DSGVO. Der erste dieser gesetzlich vorgeschriebenen Berichte „zur Bewertung und Überprüfung“ der Verordnung war 2020 vorgelegt worden.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst, der von einer gesetzlichen Krankenkasse mit der Erstellung einer gutachterlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden ist, kann nach Art. 9 Abs. 2 lit. h DSGVO auch dann zulässig sein, wenn es sich bei dem Versicherten um einen eigenen Arbeitnehmer des Medizinischen Dienstes handelt.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

In Reaktion auf das EuGH-Urteil zur datenschutzrechtlichen Zulässigkeit der Berechnung von Kreditscores durch Wirtschaftsauskunfteien (EuGH, Urt. v. 07.12.2023 – C-634/21) erfolgt im Jahr 2024 eine Umstellung der Prozesse und Geschäftsmodelle der Stellen, die Scores von Auskunfteien beziehen. Dies betrifft insbesondere Stellen, die Kreditscores beispielsweise zur Entscheidung über einen Vertragsabschluss, zur Berechnung von Kündigungswahrscheinlichkeiten oder zur Ermittlung von Premium-Kunden verwenden.

• Philipp Müller-Peltzer
• Ilan Leonard Selz
• Yakin Surjadi

Der EuGH hat am 20. Juni 2024 gleich zwei Entscheidungen zum Schadensersatz nach Art. 82 Abs. 1 DSGVO getroffen. Dabei hat der EuGH Vorlagefragen zur Bemessung der Höhe des immateriellen Schadensersatzes beantwortet.