Newsletter Technologie & Kommunikation

Ausgabe 8

Während der europäische AI-Act sich weiterhin im Trilog befindet, haben die Vereinigten Staaten ihren ersten Regulierungsrahmen für künstliche Intelligenz abgesteckt. Außerdem hat im letzten Monat der LIBE-Ausschuss des EU-Parlaments einen Kompromissentwurf für eine überarbeitete Fassung der CSAM-Verordnung vorgelegt. Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen!

Möchten Sie stets auf dem Laufenden bleiben und regelmäßige Updates zu den neuesten Entwicklungen erhalten?

Dann melden Sie sich jetzt zu unserem Newsletter an

Nachrichten

AI Act: Suche nach Kompromissvorschlag 

Vertreter von EU-Parlament, -Rat und -Kommission haben sich am 24.10.2023 zur vierten Trilogsitzung zum AI Act getroffen. Angestrebtes Ziel einiger Beteiligter, unter anderem der spanischen EU-Ratspräsidentschaft, ist es, bis zum Jahresende einen gemeinsamen Kompromissvorschlag zu erarbeiten, um den AI Act vor Ende der Legislaturperiode des EU-Parlaments im Juni 2024 zu verabschieden. Ein wesentlicher Diskussionspunkt ist die Regulierung sog. „Foundation Models“. Foundation Models sind umfangreiche, allgemeine KI-Trainingsmodelle, die je nach Kundenbedürfnissen angepasst werden können. Die EU-Gesetzgeber hoffen auf eine Einigung in der fünften Trilogverhandlung am 6.12.2023. 

Weitere Informationen finden Sie auf euractiv.com und heise.de

EDSB: Stellungnahme zum AI Act

Der Europäische Datenschutzbeauftragte (EDSB) hat am 23.11.2023 eine Stellungnahme zum AI Act veröffentlicht. Er spricht sich darin für ein Verbot bestimmter eingriffsintensiver KI-Anwendungen aus, etwa solche, die „social scoring“ ermöglichen, oder die Daten über menschliche Eigenschaften (Gesichter, Fingerabdrücke, Stimme, DNA etc.) verarbeiten. Außerdem fordert der EDSB, Ausnahmen von dem AI Act für bereits auf dem Markt befindliche KI-Systeme sowie für im Bereich der internationalen Strafverfolgung genutzte KI-Systeme zu streichen. 

Die Stellungnahme des EDSB sowie eine Zusammenfassung finden Sie auf der Webseite des EDSB

USA: Executive Order zu KI-Regulierung 

US-Präsident Joe Biden hat am 30.10.23 eine Executive Order zur Regulierung von KI-Systemen erlassen. Diese sieht unter anderem Maßnahmen zur Gewährleistung der Sicherheit sowie Regelungen zum Schutz der Privatsphäre von US-Bürger:innen vor. Außerdem sollen Entwickler einflussreicher KI-Systeme vor Veröffentlichung bestimmte Tests durchführen und die Ergebnisse den zuständigen Behörden mitteilen. Die Executive Order verpflichtet weitestgehend nur Behörden, diese sollen dann wiederum Maßnahmen gegenüber den jeweiligen Unternehmen treffen. 

Weitere Informationen finden Sie auf heise.de, eine Zusammenfassung der Executive Order finden Sie auf whitehouse.gov

Bayern und Hamburg bemängeln Strafbarkeitslücke bei Tracking per Bluetooth

Die Bundesländer Bayern und Hamburg sprechen sich für eine Strafbarkeit der Nachstellung mittels Bluetooth-Trackern aus. Laut eines SWR-Berichts komme es immer häufiger zu Situationen, in denen der Standort einer Person heimlich mithilfe eines zugesteckten Bluetooth-Trackers überwacht werde. Die Strafbarkeit der Nachstellung durch das Ausspähen von Daten wurde im Oktober 2021 eingeführt. Der Tatbestand ist allerdings nicht erfüllt, wenn die Daten von einem Gerät des Täters stammen. 

Weitere Informationen finden Sie auf heise.de

Einigung bei CSAM-Verordnung im EU-Parlament 

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) hat einen Entwurf für eine überarbeitete CSAM-Verordnung beschlossen. Diese Verordnung soll Child Secual Abuse Material (CSAM) bekämpfen und dazu Online-Provider zu bestimmten Maßnahmen verpflichten. Kritisiert wird diese Verordnung u.a. für mögliche Eingriffe in die Vertraulichkeit und Verschlüsselung elektronischer Kommunikation. Die in der Verordnung häufig kritisierte sog. „Chatkontrolle“ ist in dem Kompromissentwurf des Parlaments nur noch in geschwächter Form erhalten geblieben. Sie soll sich nur noch auf einzelne Nutzer oder eine bestimmte Nutzergruppe beziehen. Darüber hinaus soll sie das sog. „Grooming“, also das Anbahnen an Kinder und Jugendliche im Internet nicht mehr umfassen und von der Genehmigung einer „zuständigen Justizbehörde“ abhängig sein. 

Weitere Informationen finden Sie auf netzpolitik.org und heise.de

EuGH: Anspruch auf kostenfreie Kopie der Patientenakte 

Der EuGH hat in seinem Urteil vom 26.10.2023 (Az. C-307/22) entschieden, dass das Recht auf Kopie nach Art. 15 Abs. 3 DSGVO sich auch auf personenbezogene Daten eines Patienten in der Patientenakte erstreckt. Patienten haben demnach einen Anspruch auf kostenfreien Erhalt ihrer Daten gegenüber dem behandelnden Arzt, im Gegensatz zur deutschen Vorschrift des § 630g BGB, die einen Kostenersatz vorsieht. 

Weitere Informationen finden Sie auf heise.de

Immaterieller Schaden nach der DSGVO: Vorlage zum EuGH 

Der BGH hat dem EuGH Fragen zum Begriff des immateriellen Schadens im Sinne der DSGVO vorgelegt (Az. VI ZR 97/22). Zunächst fragt der BGH, ob für das Vorliegen eines immateriellen Schadens negative Gefühle wie Ärger, Unmut, Sorge oder Angst genügen, oder ob ein über diese Gefühle hinausgehender Nachteil für die betroffene Person erforderlich sei. Darüber hinaus möchte der BGH wissen, ob bei der Bemessung der Schadensersatzhöhe der Grad des Verschuldens des Verantwortlichen ein relevantes Kriterium darstellt und ob anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben einem Schadensersatz auch ein Unterlassungsanspruch zusteht.

Erst im Mai diesen Jahres hatte der EuGH ein Grundsatzurteil zu den Voraussetzungen des immateriellen Schadens nach der DSGVO veröffentlicht (Az. C-300/21).

Weitere Informationen finden Sie auf bundesgerichtshof.de und heise.de

EU-US Data Privacy Framework: Antrag auf Aussetzung des Vollzugs gescheitert

Das Gericht der europäischen Union (EuG) hat den Antrag des französischen Abgeordneten Philippe Latombe auf einstweiligen Rechtsschutz gegen das EU-US Data Privacy Framework (DPF) abgewiesen (Az. T-553/23 R). Latombe hatte Anfang September eine Nichtigkeitsklage erhoben und einen Antrag auf einstweiligen Rechtsschutz gestellt. Grund für die Abweisung des Antrags sei, dass Latombe die Dringlichkeit des Antrags nicht nachweisen könne. Das DPF bleibt damit weiterhin in Vollzug. Zur Nichtigkeitsklage als Hauptsacheverfahren enthält der Beschluss keine Ausführungen, sodass deren Ausgang abzuwarten bleibt. 

Den EuG-Beschluss finden Sie auf der Curia-Website

Events

Workshop Mastering Generative AI in Communication

Reputation Management und PR in Werbung und Unternehmenskommunikation

30. November | 14:00 - 21:00 Uhr | Frankfurt am Main

Brand-Building für Produkte und Unternehmen ist multimedial. Bei so viel Kommunikation auf allen Kanälen verspricht künstliche Intelligenz inhaltliche Innovation und Zeitersparnis. Ob gewollt oder ungewollt: Entstehen können dabei Deep Fakes, Fake News oder halluzinierte Werbung. 

Wie Sie rechtssichere Key-Messages entwickeln und generative KI effizient und rechtskonform einsetzen, lernen Sie von PR-, Rechts- und KI-Expert:innen in unserem Workshop in Kooperation mit Bettertrust.

Anmeldung

Veröffentlichungen und Vorträge

Simon Assion und Lukas Willecke zum Data Act 

Unser Partner Dr. Simon Assion und unser Associate Lukas Willecke haben sich in der letzten Ausgabe der Zeitschrift “Multimedia und Recht” (MMR) mit dem aktuellen Entwurf des EU Data Act auseinandergesetzt. Sie nehmen dabei den zentralen Regelungsinhalt der neuen Verordnung in den Fokus und behandeln im Folgenden das Verhältnis zum Datenschutz und die Rechtsaufsicht. [MMR 2023, 805]

Neuauflage des „Auernhammer“-Kommentars 

Unser Partner Sven-Erik Heun und unser Associate Dr. Felix Hempel haben in der Neuauflage des Kommentars „Auernhammer DSGVO/BDSG“ mitgewirkt. Sven-Erik Heun kommentiert darin das Fernmeldegeheimnis und den Telekommunikationsdatenschutz (§§ 1-18 TTDSG), Felix Hempel die Vorschriften zum Europäischen Datenschutzausschuss (Art. 68-76 DSGVO, §§ 17-19 BDSG). 

Den Kommentar können Sie bei Wolters Kluwer und im beck-shop erwerben. 

Christoph Wagner zur Vorratsdatenspeicherung 

Unser wissenschaftlicher Mitarbeiter Christoph Wagner hat sich auf telemedicus.info mit dem Werdegang der Vorratsdatenspeicherung beschäftigt. Er erklärt zunächst die Grundlagen der Vorratsdatenspeicherung und fasst darauffolgend die gesetzgeberische und gerichtliche Entwicklung der Vorratsdatenspeicherung von der EU-Richtlinie 2006 bis zu den Urteilen des EuGH 2016 und 2022 zusammen. Er schließt mit einem Ausblick auf die weitere Entwicklung, insbesondere den in der Bundesregierung diskutierten „Quick-Freeze“. 

Den Beitrag finden Sie auf telemedicus.info.

On Air – Der Bird & Bird Podcast

Dr. Nils Lölfing zu Smart Products 

In unserer neusten Ausgabe des Bird&Bird-Podcasts geht es um Smart Products. Unser Counsel Nils Lölfing gibt uns einen Einblick in die Rechte der Verbraucher:innen und die Anforderungen an die Produktsicherheit im Zusammenhang mit Smart Products sowie das Verhältnis zu künstlicher Intelligenz. 

Den Podcast finden Sie auf iTunes, Spotify und Deezer

Neu auf unserer Website

Daten entziffert? Die VIN / FIN als personenbezogenes Datum nach der EuGH-Entscheidung 

Der Europäische Gerichtshof („EuGH“) hat in der Sache C-319/22 entschieden, dass die Fahrzeug-Identifizierungsnummer („FIN“, in der Praxis oft nach der englischen Übersetzung „Vehicle Identification Number“ als „VIN“ bezeichnet) (i) zumindest als solche kein personenbezogenes Datum darstellt, (ii) jedoch zu einem wird, wenn derjenige, der Zugang zu ihr hat über Mittel verfügt, die er „vernünftigerweise“ zur Identifizierung des Halters des Fahrzeugs einsetzen kann. 

Weiterlesen

Update: Reichweite des Kündigungs- und Abberufungsschutzes des Datenschutzbeauftragten – Unvereinbarkeit mit Vorsitz des Betriebsrates

Das Zusammenspiel von europäischem Recht und nationalem Recht in Bezug auf die rechtliche Stellung des Datenschutzbeauftragten („DSB“) beschäftigte wiederholt sowohl das BAG als auch den EuGH in den letzten Jahren. Nachdem am 22. Juni 2022 der EuGH (Az. C-534/20) entschied, dass der Kündigungsschutz nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 2 BDSG mit den europäischen Vorgaben aus Art. 38 Abs. 3 S. 2 DSGVO vereinbar ist, folgte der BAG diesem Urteil in seiner Entscheidung vom 25. August 2022 (Az. 2 AZR 225/20) und erklärte, dass die Ziele der DSGVO insoweit nicht durch den Kündigungsschutz beeinträchtigt werden. Zuletzt galt es für den EuGH und das BAG zu klären, ob auch die strengen Anforderungen an die Abberufung eines DSB gem. § 6 Abs. 4 S. 1 BDSG europarechtskonform sind. 

Weiterlesen

HinSchG: Das müssen Arbeitgeber beachten (!)

Nach langem Warten: Das Hinweisgeberschutzgesetz ist am 2. Juli 2023 endlich in Kraft getreten. Das müssen Arbeitgeber jetzt wissen. Bereits im Jahr 2019 hat die Europäische Union die Europäische Whistleblower-Richtlinie („WBRL“) verabschiedet. Diese sah eine Umsetzungsfrist bis zum 17. Dezember 2021 vor, die jedoch in Deutschland ebenso wie in vielen anderen EU-Mitgliedstaaten nicht eingehalten wurde. Nach langem Warten ist schließlich das Hinweisgeberschutzgesetz („HinSchG“) am 2. Juli 2023 in Kraft getreten.

Weiterlesen

Class Action goes Germany? Bundesrat verabschiedet Abhilfeklage

Am 29. September 2023 hat der Bundesrat das Verbandsklagerichtlinienumsetzungsgesetz (VRUG) verabschiedet. Das Gesetz dient der Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen. Mit der Einführung des VRUG kommt es gleichzeitig zur Einführung des Verbraucherrechtedurchsetzungsgesetzes (VDuG) sowie zu Änderungen diverser bestehender Gesetze wie der ZPO, dem GVG und dem BGB. Ziel ist es, den kollektiven Rechtsschutz der Verbraucher:innen in Deutschland zu verbessern.

Weiterlesen

Energiedigitalisierungswende durch das EU-Datengesetz

Mit dem EU-Datengesetz setzt die Europäische Union einen weiteren Meilenstein ihrer europäischen Datenstrategie um. Die förmliche Annahme durch das Europäische Parlament und den Rat soll Ende des Jahres erfolgen. Seine Regelungen zielen auf höhere Transparenz und eine stärkere Nutzbarmachung von Daten ab. Damit ergibt sich neues Potenzial auch für die Nutzung von Daten im Energiesektor und für einen weiteren Schub der Energiedigitalisierung. Und viel größere Auswirkungen als vielen derzeit klar ist. 

Weiterlesen

eSafety Commissioner continues to take a tough stance in Australia

Recent developments regarding CSEA transparency notices and registration of various industry codes for class 1 material. The Commissioner’s proactive regulatory approach indicates that social media services, relevant electronic services and designated internet services must be ready to respond to questions from the eSafety Commissioner (particularly given that notices will likely include tight deadlines for responses) and, should a notice be issued, provide sufficiently detailed and specific (as opposed to generic) responses. 

Weiterlesen

China Cybersecurity and Data Protection - Monthly Update - October 2023 Issue 

On 28 September 2023, the Cyberspace Administration of China (“CAC”) released the draft Regulation for Administering and Promoting Cross-border Data Flow (“Draft Regulation”) for public consultation, which proposes to make substantial changes to the current data export regime. The CAC released the Draft Regulation to implement the central government’s policy of boosting economic growth and foreign investment and to address concerns over the burdensome and complex compliance obligations under the current Data Export Regime. For more details, please read our article at the link in the below section. 

Weiterlesen

Which countries have already designated their Digital Services Coordinators under the DSA? 

The European Commission has published a Recommendation encouraging Member States to swiftly appoint, or at least identify, their Digital Service Coordinators (DSCs) who will oversee enforcement of the Digital Services Act (DSA) at national level. So far, only a small number of Member States appear to have designated their DSCs. 

Weiterlesen

Australia: Defamation law reforms on the horizon for digital intermediaries

On 22 September 2023, the Standing Council of Attorneys-General (SCAG) approved law reforms concerning digital intermediary liability in defamation for the publication of third-party defamatory content (among other things) as part of Part A of the Stage 2 Review of the Model Defamation Provisions (MDPs).  

Weiterlesen

Big Tech falls short on child protection claims

The Australian E-safety Commissioner handed down its first major fine last week in a sweeping review of big tech’s compliance with the Basic Online Safety Expectations. 

Weiterlesen

Navigating Regulatory Regime of Data Centres in China (I): – Licensing in China's Data Centre Industry

As the global march towards digitisation accelerates, Internet Data Centres ("IDC") have emerged as the pivotal backbone supporting modern business operations. China attaches great importance to the IDC industry and has issued favourable policies in various relevant sectors to promote its development. Yet establishing IDC in China is also fraught with a myriad of risks and regulatory complexities, especially for foreign investors. This series of articles cover the following topics and delve into these challenges and offer strategies to navigate the intricate Chinese digital landscape.

Weiterlesen

Biometrics under the EU AI Act 

The issue of regulating biometric AI systems dominated the June 2023 debates in the European Parliamentary votes and has been a contentious issue since the European Commission first published the proposal. 

Weiterlesen

The Data Act's implications on privacy & data protection

The Data Act encompasses all data processing activities, with a broad interpretation of data that includes both personal and non-personal categories. As stated in both the recitals and Article 1, the General Data Protection Regulation (GDPR) supersedes the Data Act. Recital 7 emphasises that the Data Act should not undermine or limit the right to privacy, data protection or confidentiality of communications. This results in two consequences: first, in the case of mixed data sets comprising both personal and non-personal data, the GDPR takes precedence. Second, the Data Act does not provide a legal basis for personal data processing; this must be identified by data holders and others. 

Weiterlesen

The Data Act: a facilitator of competition in aftermarkets

This article addresses the impact the Data Act might have on the application of competition law (antitrust) in relation to access to and use of data generated by products connected to the IoT. Most notably in data-driven aftermarkets (e.g. repair and maintenance services) or secondary markets. 

Weiterlesen

Decrypting India's New Data Protection Law: Key Insights and Lessons Learned

On August 11th 2023, the Indian Government enacted the Digital Personal Data Protection Act, 2023 (“DPDP Act” or “the Act”) by publishing it in the Official Gazette. The DPDP Act, when effective (as per dates to be notified), will govern the personal data processing activities of a broad range of organisations that operate in the Indian market. 

Weiterlesen

Generative AI and GDPR Part 2: Privacy considerations for implementing GenAI use cases into organizations 

This is the second of a two-part article reflecting on EU data protection considerations for the implementation of GenAI use cases in organisations. The rapid ascent of generative AI poses fresh challenges for data protection. With these AI systems handling and generating data, including personal information, there's a growing necessity for companies utilizing such systems to handle this data in accordance with GDPR guidelines. 

This article will delve into some of the most crucial GDPR requirements applicable to the use of generative AI (“GenAI”). 

Weiterlesen

Guiding the development of AI: the CMA’s initial report on AI Foundation Models 

On 18 September 2023, the Competition and Markets Authority (CMA) published its initial report on AI Foundation Models (FMs) following a review into the market for FMs from a competition and consumer protection perspective. 

Weiterlesen

Generative AI and GDPR Part 1: Privacy considerations for implementing GenAI use cases into organizations

This is the first of a two-part article reflecting on EU data protection considerations for the implementation of GenAI use cases in organisations. 

Weiterlesen

Insights

Mehr

ESMA -Leitlinien zu Reverse Solicitation unter MiCAR

Feb 28 2024

Mehr lesen

Verschärfte EU-Anforderungen an Produktdesign und -verkauf: welche neuen Pflichten auf Hersteller und Verkäufer zukommen!

Feb 26 2024

Mehr lesen

Die zeitliche Koinzidenz von Arbeitsunfähigkeitsbescheinigungen und Kündigungen

Feb 22 2024

Mehr lesen