Umgang mit personenbezogenen Daten bei klassischer Verarbeitungen von Daten wie auch bei der Verarbeitung von Daten mittels Technologien der künstlichen Intelligenz Gültigkeit des Gesetzes: Die DSGVO ist seit dem 25. Mai 2018 in allen EU- Mitgliedstaaten unmittelbar anwendbar. Ziel: Schutz personenbezogener Daten natürlicher Personen und Harmonisierung des Datenschutzrechts innerhalb der EU. Wesentliche Punkte: • Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit. • Pflichten für Verantwortliche: Datenschutz- Folgenabschätzung, Verzeichnis von Verarbeitungstätigkeiten. • Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden; zusätzlich Benachrichtigung der betroffenen Personen bei hohem Risiko. • Einführung des Prinzips „Privacy by Design“ und „Privacy by Default“. • Ernennung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen. • Der Datenschutz gilt vollumfänglich auch für die Verarbeitung via KI-Systemen. • Bei Hochrisiko-KI gelten besonders hohe datenschutzrechliche Anforderungen, ähnlich wie bei der Verarbeitung von besonderen Kategorien personenbezogener Daten wie Gesundheitsdaten. • Bei KI-Systemen steht ganz besonders die Transparenzforderung und die Einwillugung im Focus, mit einem berechtigten Interesse sollte - wenn überhaut - nur in gut begründeten und gut geprüften Ausnahmefällen argumentiert werden. • Nicht zu vergessen ist folgendes: Neben der DSGVO gilt entsprechend auch der AI-Act. Grundsätzlich muss die gesamte Verarbeitung, inkl. Test- /Lerndatenverarbeitung, das Lernen sowie die entsprechenden Ausgaben aus Sicht der DSGVO und unabhängig davon auch aus Sicht des AI Acts geprüft werden. Wer ist betroffen (Unternehmensgröße und Umsatz): • Alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von Größe oder Umsatz. Unternehmen die zur Verarbeitung von personenbezogenen Daten KI- Systeme nutzen, sind verpflichtet, diese Verarbeitungen ebenso gewissenhaft zu prüfen und die Anforderungen einzuhalten. • Es ist dringend zu beachten, dass der im Sinne des AI Acts benutzte Begriff „KI-Systeme“ nicht nur Systeme anspricht, welche klar mit KI in Verbindung gebracht werden, sondern auch solche Systeme, die eine gewisse Komplexität der Steuerung aufweisen und einen bestimmtenn Grad der Autonomie erreichen. Eine klare Definition und Ein-/Ausgrenzung ist der Gesetzgeber noch schluldig. Es gibt jedoch einige Anhaltspunte und Überlegungen der Bewertung. To-Do-Liste für Unternehmen: 1. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten. 2. Überprüfung und Anpassung von Einwilligungen. 3. Implementierung technischer und organisatorischer Maßnahmen zum Datenschutz. 4. Schulung der Mitarbeiter im Datenschutzrecht. 5. Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen. Erste Schritte: • Erstellen eines Verzeichnisses aller Verarbeitungstätigkeiten von personenbezogenen Daten (Verfahrensverzeichnis) • Identifikation von Auftragverarbeitungstätigkeiten extener Dienstleister. • Spätestens jetzt: Durchführen eine GAP-Analyse • Anpassung von Datenschutzerklärungen und Verträgen mit Auftragsverarbeitern. • Benennung eines Datenschutzbeauftragten, falls erforderlich. • Prüfung, ob externe Unterstützung benötigt wird, denn nun folgen komplexere Prozesse wie o Risikoanalysen o Risk-Assessments o Datenschutzfolgenabschätzung o Identifikation von Lösungsszenarien für konkrete Problemstellungen welche mit Erfahrung und ggf. auch einem gewissen distanzierten Blick auf das Unternehmen effiziernter durchgeführt und Lösungen einfacher gefunden werden können. • Durchführung eines internen Datenschutz-Audits zur Identifikation von Schwachstellen. • Vieles weitere mehr.