Während der europäische AI-Act sich weiterhin im Trilog befindet, haben die Vereinigten Staaten ihren ersten Regulierungsrahmen für künstliche Intelligenz abgesteckt. Außerdem hat im letzten Monat der LIBE-Ausschuss des EU-Parlaments einen Kompromissentwurf für eine überarbeitete Fassung der CSAM-Verordnung vorgelegt. Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen!
Möchten Sie stets auf dem Laufenden bleiben und regelmäßige Updates zu den neuesten Entwicklungen erhalten?
Dann melden Sie sich jetzt zu unserem Newsletter an
Vertreter von EU-Parlament, -Rat und -Kommission haben sich am 24.10.2023 zur vierten Trilogsitzung zum AI Act getroffen. Angestrebtes Ziel einiger Beteiligter, unter anderem der spanischen EU-Ratspräsidentschaft, ist es, bis zum Jahresende einen gemeinsamen Kompromissvorschlag zu erarbeiten, um den AI Act vor Ende der Legislaturperiode des EU-Parlaments im Juni 2024 zu verabschieden. Ein wesentlicher Diskussionspunkt ist die Regulierung sog. „Foundation Models“. Foundation Models sind umfangreiche, allgemeine KI-Trainingsmodelle, die je nach Kundenbedürfnissen angepasst werden können. Die EU-Gesetzgeber hoffen auf eine Einigung in der fünften Trilogverhandlung am 6.12.2023.
Weitere Informationen finden Sie auf euractiv.com und heise.de.
Der Europäische Datenschutzbeauftragte (EDSB) hat am 23.11.2023 eine Stellungnahme zum AI Act veröffentlicht. Er spricht sich darin für ein Verbot bestimmter eingriffsintensiver KI-Anwendungen aus, etwa solche, die „social scoring“ ermöglichen, oder die Daten über menschliche Eigenschaften (Gesichter, Fingerabdrücke, Stimme, DNA etc.) verarbeiten. Außerdem fordert der EDSB, Ausnahmen von dem AI Act für bereits auf dem Markt befindliche KI-Systeme sowie für im Bereich der internationalen Strafverfolgung genutzte KI-Systeme zu streichen.
Die Stellungnahme des EDSB sowie eine Zusammenfassung finden Sie auf der Webseite des EDSB.
US-Präsident Joe Biden hat am 30.10.23 eine Executive Order zur Regulierung von KI-Systemen erlassen. Diese sieht unter anderem Maßnahmen zur Gewährleistung der Sicherheit sowie Regelungen zum Schutz der Privatsphäre von US-Bürger:innen vor. Außerdem sollen Entwickler einflussreicher KI-Systeme vor Veröffentlichung bestimmte Tests durchführen und die Ergebnisse den zuständigen Behörden mitteilen. Die Executive Order verpflichtet weitestgehend nur Behörden, diese sollen dann wiederum Maßnahmen gegenüber den jeweiligen Unternehmen treffen.
Weitere Informationen finden Sie auf heise.de, eine Zusammenfassung der Executive Order finden Sie auf whitehouse.gov.
Die Bundesländer Bayern und Hamburg sprechen sich für eine Strafbarkeit der Nachstellung mittels Bluetooth-Trackern aus. Laut eines SWR-Berichts komme es immer häufiger zu Situationen, in denen der Standort einer Person heimlich mithilfe eines zugesteckten Bluetooth-Trackers überwacht werde. Die Strafbarkeit der Nachstellung durch das Ausspähen von Daten wurde im Oktober 2021 eingeführt. Der Tatbestand ist allerdings nicht erfüllt, wenn die Daten von einem Gerät des Täters stammen.
Weitere Informationen finden Sie auf heise.de.
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) hat einen Entwurf für eine überarbeitete CSAM-Verordnung beschlossen. Diese Verordnung soll Child Secual Abuse Material (CSAM) bekämpfen und dazu Online-Provider zu bestimmten Maßnahmen verpflichten. Kritisiert wird diese Verordnung u.a. für mögliche Eingriffe in die Vertraulichkeit und Verschlüsselung elektronischer Kommunikation. Die in der Verordnung häufig kritisierte sog. „Chatkontrolle“ ist in dem Kompromissentwurf des Parlaments nur noch in geschwächter Form erhalten geblieben. Sie soll sich nur noch auf einzelne Nutzer oder eine bestimmte Nutzergruppe beziehen. Darüber hinaus soll sie das sog. „Grooming“, also das Anbahnen an Kinder und Jugendliche im Internet nicht mehr umfassen und von der Genehmigung einer „zuständigen Justizbehörde“ abhängig sein.
Weitere Informationen finden Sie auf netzpolitik.org und heise.de.
Der EuGH hat in seinem Urteil vom 26.10.2023 (Az. C-307/22) entschieden, dass das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO sich auch auf personenbezogene Daten eines Patienten in der Patientenakte erstreckt. Patienten haben demnach einen Anspruch auf kostenfreien Erhalt ihrer Daten gegenüber dem behandelnden Arzt, im Gegensatz zur deutschen Vorschrift des § 630g BGB, die einen Kostenersatz vorsieht.
Weitere Informationen finden Sie auf heise.de.
Der BGH hat dem EuGH Fragen zum Begriff des immateriellen Schadens im Sinne der DSGVO vorgelegt (Az. VI ZR 97/22). Zunächst fragt der BGH, ob für das Vorliegen eines immateriellen Schadens negative Gefühle wie Ärger, Unmut, Sorge oder Angst genügen, oder ob ein über diese Gefühle hinausgehender Nachteil für die betroffene Person erforderlich sei. Darüber hinaus möchte der BGH wissen, ob bei der Bemessung der Schadensersatzhöhe der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt und ob anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben einem Schadensersatz auch ein Unterlassungsanspruch zusteht.
Erst im Mai diesen Jahres hatte der EuGH ein Grundsatzurteil zu den Voraussetzungen des immateriellen Schadens nach der DSGVO veröffentlicht (Az. C-300/21).
Weitere Informationen finden Sie auf bundesgerichtshof.de und heise.de.
Das Gericht der europäischen Union (EuG) hat den Antrag des französischen Abgeordneten Philippe Latombe auf einstweiligen Rechtsschutz gegen das EU-US Data Privacy Framework (DPF) abgewiesen (Az. T-553/23 R). Latombe hatte Anfang September eine Nichtigkeitsklage erhoben und einen Antrag auf einstweiligen Rechtsschutz gestellt. Grund für die Abweisung des Antrags sei, dass Latombe die Dringlichkeit des Antrags nicht nachweisen könne. Das DPF bleibt damit weiterhin in Vollzug. Zur Nichtigkeitsklage als Hauptsacheverfahren enthält der Beschluss keine Ausführungen, sodass deren Ausgang abzuwarten bleibt.
Den EuG-Beschluss finden Sie auf der Curia-Website.
Brand-Building für Produkte und Unternehmen ist multimedial. Bei so viel Kommunikation auf allen Kanälen verspricht künstliche Intelligenz inhaltliche Innovation und Zeitersparnis. Ob gewollt oder ungewollt: Entstehen können dabei Deep Fakes, Fake News oder halluzinierte Werbung.
Wie Sie rechtssichere Key-Messages entwickeln und generative KI effizient und rechtskonform einsetzen, lernen Sie von PR-, Rechts- und KI-Expert:innen in unserem Workshop in Kooperation mit Bettertrust.
Unser Partner Dr. Simon Assion und unser Associate Lukas Willecke haben sich in der letzten Ausgabe der Zeitschrift “Multimedia und Recht” (MMR) mit dem aktuellen Entwurf des EU Data Act auseinandergesetzt. Sie nehmen dabei den zentralen Regelungsinhalt der neuen Verordnung in den Fokus und behandeln im Folgenden das Verhältnis zum Datenschutz und die Rechtsaufsicht. [MMR 2023, 805]
Unser Partner Sven-Erik Heun und unser Associate Dr. Felix Hempel haben in der Neuauflage des Kommentars „Auernhammer DSGVO/BDSG“ mitgewirkt. Sven-Erik Heun kommentiert darin das Fernmeldegeheimnis und den Telekommunikationsdatenschutz (§§ 1-18 TTDSG), Felix Hempel die Vorschriften zum Europäischen Datenschutzausschuss (Art. 68-76 DSGVO, §§ 17-19 BDSG).
Den Kommentar können Sie bei Wolters Kluwer und im beck-shop erwerben.
Unser wissenschaftlicher Mitarbeiter Christoph Wagner hat sich auf telemedicus.info mit dem Werdegang der Vorratsdatenspeicherung beschäftigt. Er erklärt zunächst die Grundlagen der Vorratsdatenspeicherung und fasst darauffolgend die gesetzgeberische und gerichtliche Entwicklung der Vorratsdatenspeicherung von der EU-Richtlinie 2006 bis zu den Urteilen des EuGH 2016 und 2022 zusammen. Er schließt mit einem Ausblick auf die weitere Entwicklung, insbesondere den in der Bundesregierung diskutierten „Quick-Freeze“.
Den Beitrag finden Sie auf telemedicus.info.
In unserer neusten Ausgabe des Bird&Bird-Podcasts geht es um Smart Products. Unser Counsel Nils Lölfing gibt uns einen Einblick in die Rechte der Verbraucher:innen und die Anforderungen an die Produktsicherheit im Zusammenhang mit Smart Products sowie das Verhältnis zu künstlicher Intelligenz.
Den Podcast finden Sie auf iTunes, Spotify und Deezer.
Der Europäische Gerichtshof („EuGH“) hat in der Sache C-319/22 entschieden, dass die Fahrzeug-Identifizierungsnummer („FIN“, in der Praxis oft nach der englischen Übersetzung „Vehicle Identification Number“ als „VIN“ bezeichnet) (i) zumindest als solche kein personenbezogenes Datum darstellt, (ii) jedoch zu einem wird, wenn derjenige, der Zugang zu ihr hat über Mittel verfügt, die er „vernünftigerweise“ zur Identifizierung des Halters des Fahrzeugs einsetzen kann.
Das Zusammenspiel von europäischem Recht und nationalem Recht in Bezug auf die rechtliche Stellung des Datenschutzbeauftragten („DSB“) beschäftigte wiederholt sowohl das BAG als auch den EuGH in den letzten Jahren. Nachdem am 22. Juni 2022 der EuGH (Az. C-534/20) entschied, dass der Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 2 BDSG mit den europäischen Vorgaben aus Art. 38 Abs. 3 S. 2 DSGVO vereinbar ist, folgte der BAG diesem Urteil in seiner Entscheidung vom 25. August 2022 (Az. 2 AZR 225/20) und erklärte, dass die Ziele der DSGVO insoweit nicht durch den Kündigungsschutz beeinträchtigt werden. Zuletzt galt es für den EuGH und das BAG zu klären, ob auch die strengen Anforderungen an die Abberufung eines DSB gem. § 6 Abs. 4 S. 1 BDSG europarechtskonform sind.
Nach langem Warten: Das Hinweisgeberschutzgesetz ist am 2. Juli 2023 endlich in Kraft getreten. Das müssen Arbeitgeber jetzt wissen. Bereits im Jahr 2019 hat die Europäische Union die Europäische Whistleblower-Richtlinie („WBRL“) verabschiedet. Diese sah eine Umsetzungsfrist bis zum 17. Dezember 2021 vor, die jedoch in Deutschland ebenso wie in vielen anderen EU-Mitgliedstaaten nicht eingehalten wurde. Nach langem Warten ist schließlich das Hinweisgeberschutzgesetz („HinSchG“) am 2. Juli 2023 in Kraft getreten.
Am 29. September 2023 hat der Bundesrat das Verbandsklagerichtlinienumsetzungsgesetz (VRUG) verabschiedet. Das Gesetz dient der Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen. Mit der Einführung des VRUG kommt es gleichzeitig zur Einführung des Verbraucherrechtedurchsetzungsgesetzes (VDuG) sowie zu Änderungen diverser bestehender Gesetze wie der ZPO, dem GVG und dem BGB. Ziel ist es, den kollektiven Rechtsschutz der Verbraucher:innen in Deutschland zu verbessern.
Mit dem EU-Datengesetz setzt die Europäische Union einen weiteren Meilenstein ihrer europäischen Datenstrategie um. Die förmliche Annahme durch das Europäische Parlament und den Rat soll Ende des Jahres erfolgen. Seine Regelungen zielen auf höhere Transparenz und eine stärkere Nutzbarmachung von Daten ab. Damit ergibt sich neues Potenzial auch für die Nutzung von Daten im Energiesektor und für einen weiteren Schub der Energiedigitalisierung. Und viel größere Auswirkungen als vielen derzeit klar ist.
Recent developments regarding CSEA transparency notices and registration of various industry codes for class 1 material. The Commissioner’s proactive regulatory approach indicates that social media services, relevant electronic services and designated internet services must be ready to respond to questions from the eSafety Commissioner (particularly given that notices will likely include tight deadlines for responses) and, should a notice be issued, provide sufficiently detailed and specific (as opposed to generic) responses.
On 28 September 2023, the Cyberspace Administration of China (“CAC”) released the draft Regulation for Administering and Promoting Cross-border Data Flow (“Draft Regulation”) for public consultation, which proposes to make substantial changes to the current data export regime. The CAC released the Draft Regulation to implement the central government’s policy of boosting economic growth and foreign investment and to address concerns over the burdensome and complex compliance obligations under the current Data Export Regime. For more details, please read our article at the link in the below section.
The European Commission has published a Recommendation encouraging Member States to swiftly appoint, or at least identify, their Digital Service Coordinators (DSCs) who will oversee enforcement of the Digital Services Act (DSA) at national level. So far, only a small number of Member States appear to have designated their DSCs.
On 22 September 2023, the Standing Council of Attorneys-General (SCAG) approved law reforms concerning digital intermediary liability in defamation for the publication of third-party defamatory content (among other things) as part of Part A of the Stage 2 Review of the Model Defamation Provisions (MDPs).
The Australian E-safety Commissioner handed down its first major fine last week in a sweeping review of big tech’s compliance with the Basic Online Safety Expectations.
As the global march towards digitisation accelerates, Internet Data Centres ("IDC") have emerged as the pivotal backbone supporting modern business operations. China attaches great importance to the IDC industry and has issued favourable policies in various relevant sectors to promote its development. Yet establishing IDC in China is also fraught with a myriad of risks and regulatory complexities, especially for foreign investors. This series of articles cover the following topics and delve into these challenges and offer strategies to navigate the intricate Chinese digital landscape.
The issue of regulating biometric AI systems dominated the June 2023 debates in the European Parliamentary votes and has been a contentious issue since the European Commission first published the proposal.
The Data Act encompasses all data processing activities, with a broad interpretation of data that includes both personal and non-personal categories. As stated in both the recitals and Article 1, the General Data Protection Regulation (GDPR) supersedes the Data Act. Recital 7 emphasises that the Data Act should not undermine or limit the right to privacy, data protection or confidentiality of communications. This results in two consequences: first, in the case of mixed data sets comprising both personal and non-personal data, the GDPR takes precedence. Second, the Data Act does not provide a legal basis for personal data processing; this must be identified by data holders and others.
This article addresses the impact the Data Act might have on the application of competition law (antitrust) in relation to access to and use of data generated by products connected to the IoT. Most notably in data-driven aftermarkets (e.g. repair and maintenance services) or secondary markets.
On August 11th 2023, the Indian Government enacted the Digital Personal Data Protection Act, 2023 (“DPDP Act” or “the Act”) by publishing it in the Official Gazette. The DPDP Act, when effective (as per dates to be notified), will govern the personal data processing activities of a broad range of organisations that operate in the Indian market.
This is the second of a two-part article reflecting on EU data protection considerations for the implementation of GenAI use cases in organisations. The rapid ascent of generative AI poses fresh challenges for data protection. With these AI systems handling and generating data, including personal information, there's a growing necessity for companies utilizing such systems to handle this data in accordance with GDPR guidelines.
This article will delve into some of the most crucial GDPR requirements applicable to the use of generative AI (“GenAI”).
On 18 September 2023, the Competition and Markets Authority (CMA) published its initial report on AI Foundation Models (FMs) following a review into the market for FMs from a competition and consumer protection perspective.
This is the first of a two-part article reflecting on EU data protection considerations for the implementation of GenAI use cases in organisations.