Umgang mit personenbezogenen Daten bei klassischer Verarbeitungen von Daten wie auch bei der Verarbeitung von Daten mittels Technologien der künstlichen IntelligenzGültigkeit des Gesetzes:Die DSGVO ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anwendbar.Ziel:Schutz personenbezogener Daten natürlicher Personen und Harmonisierung des Datenschutzrechts innerhalb der EU.Wesentliche Punkte:•Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit.•Pflichten für Verantwortliche: Datenschutz-Folgenabschätzung, Verzeichnis von Verarbeitungstätigkeiten.•Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden; zusätzlich Benachrichtigung der betroffenen Personen bei hohem Risiko.•Einführung des Prinzips „Privacy by Design“ und „Privacy by Default“.•Ernennung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen.•Der Datenschutz gilt vollumfänglich auch für die Verarbeitung via KI-Systemen.•Bei Hochrisiko-KI gelten besonders hohe datenschutzrechliche Anforderungen, ähnlich wie bei der Verarbeitung von besonderen Kategorien personenbezogener Daten wie Gesundheitsdaten.•Bei KI-Systemen steht ganz besonders die Transparenzforderung und die Einwillugung im Focus,mit einem berechtigten Interesse sollte - wenn überhaut - nur in gut begründeten und gut geprüften Ausnahmefällen argumentiert werden.•Nicht zu vergessen ist folgendes:Neben der DSGVO gilt entsprechend auch der AI-Act. Grundsätzlich muss die gesamte Verarbeitung, inkl. Test-/Lerndatenverarbeitung, das Lernen sowie die entsprechenden Ausgaben aus Sicht der DSGVO und unabhängig davon auch aus Sicht des AI Acts geprüft werden. Wer ist betroffen (Unternehmensgröße und Umsatz):•Alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von Größe oder Umsatz. Unternehmen die zur Verarbeitung von personenbezogenen Daten KI-Systeme nutzen, sind verpflichtet, diese Verarbeitungen ebenso gewissenhaft zu prüfen und die Anforderungen einzuhalten.•Es ist dringend zu beachten, dass der im Sinne des AI Acts benutzte Begriff „KI-Systeme“ nicht nur Systeme anspricht, welche klar mit KI in Verbindung gebracht werden, sondern auch solche Systeme, die eine gewisse Komplexität der Steuerung aufweisen und einen bestimmtenn Grad der Autonomie erreichen. Eine klare Definition und Ein-/Ausgrenzung ist der Gesetzgeber noch schluldig. Es gibt jedoch einige Anhaltspunte und Überlegungen der Bewertung.To-Do-Liste für Unternehmen:1.Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten.2.Überprüfung und Anpassung von Einwilligungen.3.Implementierung technischer und organisatorischer Maßnahmen zum Datenschutz.4.Schulung der Mitarbeiter im Datenschutzrecht.5.Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen.Erste Schritte:•Erstellen eines Verzeichnisses aller Verarbeitungstätigkeiten von personenbezogenen Daten (Verfahrensverzeichnis)•Identifikation von Auftragverarbeitungstätigkeiten extener Dienstleister.•Spätestens jetzt: Durchführen eine GAP-Analyse•Anpassung von Datenschutzerklärungen und Verträgen mit Auftragsverarbeitern. •Benennung eines Datenschutzbeauftragten, falls erforderlich.•Prüfung, ob externe Unterstützung benötigt wird, denn nun folgen komplexere Prozesse wieoRisikoanalysenoRisk-AssessmentsoDatenschutzfolgenabschätzungoIdentifikation von Lösungsszenarien für konkrete Problemstellungenwelche mit Erfahrung und ggf. auch einem gewissen distanzierten Blick auf das Unternehmen effiziernter durchgeführt und Lösungen einfacher gefunden werden können. •Durchführung eines internen Datenschutz-Audits zur Identifikation von Schwachstellen.•Vieles weitere mehr.
Expertise für die digitale EU-RegulierungBeratung, Unterstützung, Umsetzungsbegleitung, Projektmanagement zuDSGVO + KI, AI Act, Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märktezu Organisation, Prozess/Abläufen, Anforderungen an IT-Systeme
DSGVO und Künstliche Intelligenz
Umgang mit personenbezogenen Daten bei klassischer Verarbeitungen von Daten wie auch bei der Verarbeitung von Daten mittels Technologien der künstlichen IntelligenzGültigkeit des Gesetzes:Die DSGVO ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar anwendbar.Ziel:Schutz personenbezogener Daten natürlicher Personen und Harmonisierung des Datenschutzrechts innerhalb der EU.Wesentliche Punkte:•Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Datenübertragbarkeit.•Pflichten für Verantwortliche: Datenschutz-Folgenabschätzung, Verzeichnis von Verarbeitungstätigkeiten.•Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden; zusätzlich Benachrichtigung der betroffenen Personen bei hohem Risiko.•Einführung des Prinzips „Privacy by Design“ und „Privacy by Default“.•Ernennung eines Datenschutzbeauftragten unter bestimmten Voraussetzungen.•Der Datenschutz gilt vollumfänglich auch für die Verarbeitung via KI-Systemen.•Bei Hochrisiko-KI gelten besonders hohe datenschutzrechliche Anforderungen, ähnlich wie bei der Verarbeitung von besonderen Kategorien personenbezogener Daten wie Gesundheitsdaten.•Bei KI-Systemen steht ganz besonders die Transparenzforderung und die Einwillugung im Focus,mit einem berechtigten Interesse sollte - wenn überhaut - nur in gut begründeten und gut geprüften Ausnahmefällen argumentiert werden.•Nicht zu vergessen ist folgendes:Neben der DSGVO gilt entsprechend auch der AI-Act. Grundsätzlich muss die gesamte Verarbeitung, inkl. Test-/Lerndatenverarbeitung, das Lernen sowie die entsprechenden Ausgaben aus Sicht der DSGVO und unabhängig davon auch aus Sicht des AI Acts geprüft werden. Wer ist betroffen (Unternehmensgröße und Umsatz):•Alle Unternehmen und Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von Größe oder Umsatz. Unternehmen die zur Verarbeitung von personenbezogenen Daten KI-Systeme nutzen, sind verpflichtet, diese Verarbeitungen ebenso gewissenhaft zu prüfen und die Anforderungen einzuhalten.•Es ist dringend zu beachten, dass der im Sinne des AI Acts benutzte Begriff „KI-Systeme“ nicht nur Systeme anspricht, welche klar mit KI in Verbindung gebracht werden, sondern auch solche Systeme, die eine gewisse Komplexität der Steuerung aufweisen und einen bestimmtenn Grad der Autonomie erreichen. Eine klare Definition und Ein-/Ausgrenzung ist der Gesetzgeber noch schluldig. Es gibt jedoch einige Anhaltspunte und Überlegungen der Bewertung.To-Do-Liste für Unternehmen:1.Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten.2.Überprüfung und Anpassung von Einwilligungen.3.Implementierung technischer und organisatorischer Maßnahmen zum Datenschutz.4.Schulung der Mitarbeiter im Datenschutzrecht.5.Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen.Erste Schritte:•Erstellen eines Verzeichnisses aller Verarbeitungstätigkeiten von personenbezogenen Daten (Verfahrensverzeichnis)•Identifikation von Auftragverarbeitungstätigkeiten extener Dienstleister.•Spätestens jetzt: Durchführen eine GAP-Analyse•Anpassung von Datenschutzerklärungen und Verträgen mit Auftragsverarbeitern. •Benennung eines Datenschutzbeauftragten, falls erforderlich.•Prüfung, ob externe Unterstützung benötigt wird, denn nun folgen komplexere Prozesse wieoRisikoanalysenoRisk-AssessmentsoDatenschutzfolgenabschätzungoIdentifikation von Lösungsszenarien für konkrete Problemstellungenwelche mit Erfahrung und ggf. auch einem gewissen distanzierten Blick auf das Unternehmen effiziernter durchgeführt und Lösungen einfacher gefunden werden können. •Durchführung eines internen Datenschutz-Audits zur Identifikation von Schwachstellen.•Vieles weitere mehr.
Expertise für die digitale EU-RegulierungBeratung, Unterstützung, Umsetzungsbegleitung,Projektmanagement zu DSGVO + KI, AI Act, Cyber Resilience Act (CRA), Data Act, NIS-2, Digitale Märktezu Organisation, Prozess/Abläufen, Anforderungenan IT-Systeme
Datenschutzgrundverordnung & KIUmgang mit personenbezogenen Daten
Cyber Resilience ActProduktsicherheit gegen digitaleGefahren
Data ActVerwendung und Weitergabedigitaler, nicht personen-bezogener Daten
Beratungsleistungen
Umgang mit Anwendungen künstlicher Intelligenz und autonomen Systemen
Cybersicherheit für kritischeund wichtige Unternehmensowie für Firmen deren Kundenkritisch oder wichtig sind
Digitale Marktregeln für die Giganten der digitalen Märke
•Über 20 Jahre Erfahrung in der Beratung zu Compliance-Themen, Umsetzung und Projekten•Mit dem Blick für das Wesentliche, das Umsetzbare,die Synergien sowie die Situation des Kunden und der Unternehmensebene•Vom Management, den Fachbereichen bis tief in die Technik•Von der Finanzdienstleistung bis zur Fertigung mit einem Faible für Medizin-Technik
