Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 10. April 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-12-grundlagenseminar-dsgvo-5655763/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie das Auskunftsrecht, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zum Schadensersatzanspruch unter der DSGVO behandelt.
Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.
Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024
- alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
- die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.
Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.
Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.
Der Kommission wurde insbesondere aufgegeben,
- ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:
„appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]”
Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.
- ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:
„sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.
Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.
Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.
Das Problem
„Begin with the end in mind“: Diesen Grundsatz übersehen viele Kunden, wenn sie einen Cloud-Vertrag oder einen Vertrag über SaaS, IaaS oder PaaS abschließen. Der Vertragsschluss auf der Basis von Standardkonditionen der Anbieter ist vergleichsweise einfach. Der Ausstieg aus dem Vertrag stößt aber häufig auf Probleme, weil sich im Vertrag keine oder nur unzureichende Regelungen zum Wechsel vom bisherigen Provider zu einen neuen Provider finden. Zu Unterstützungspflichten des Providers bei Vertragsbeendigung und bei der Überführung der Services auf einen Dritten sowie zu einer diesbezüglichen Vergütung ist häufig nichts geregelt. Hier ist der Anwender derzeit auf das Entgegenkommen des Anbieters angewiesen. Dies führt für den Anwender zu einer schwierigen „Lock-In“-Situation.
Abhilfe durch den Data Act
Durch den im Januar 2024 in Kraft getretenen Data Act soll es nun Abhilfe geben. Ziel des Data Act ist es, den Wechsel zwischen einzelnen Providern oder von einem Provider zurück zu den Systemen des Anwenders zu erleichtern. Die Hindernisse für einen wirksamen Wechsel, insbesondere die vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse sollen beseitigt werden. Der Data Act sieht in den Art. 23 ff. hierzu zahlreiche Regelungen vor. Hierbei handelt es sich um unmittelbar geltendes Gesetzesrecht.
Adressaten der Regelungen
Adressaten der Regelungen sind Anbieter von sogenannten „Datenverarbeitungsdiensten“. Dieser Begriff ist weit zu verstehen. Erfasst wird eine beträchtliche Zahl von Diensten mit einer großen Bandbreite an unterschiedlichen Anwendungszwecken, Funktionen und technischen Strukturen. Hierunter fallen Dienste, die eines oder mehrere der folgenden Modelle anbieten: Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service“ (PaaS) und „Software-as-a-Service“ (SaaS). Aber auch andere Varianten zählen dazu, wie z.B. „Storage-as-a-Service“ und „Database-as-a-Service“.
Verpflichtungen der Provider
Die Provider treffen weitreichende Verpflichtungen. So zwingt sie das Gesetz, in dem Vertrag mit dem Anwender bestimmte Vertragsklauseln zu dessen Schutz zu vereinbaren, z.B. die Regelung einer Wechselmöglichkeit auf Verlangen, die Verpflichtung zur Leistung angemessener Unterstützung oder auch Regelungen zu Wechselentgelten. Des Weiteren treffen den Anbieter u.a. Informationspflichten und die Verpflichtung, technische Vorkehrungen zur Ermöglichung eines Wechsels vorzunehmen. Für die Provider bedeutet dies, dass sie ihre Verträge entsprechend anpassen und die erforderlichen Prozesse und technischen/organisatorischen Maßnahmen treffen müssen.
Ausgenommene Datenverarbeitungsdienste
Von den weitreichenden Pflichten der Provider sind Datenverarbeitungsdienste ausgenommen, die für den Anwender „maßgeschneidert“ wurden und die nicht im größeren Maßstab über den Dienstleistungskatalog des Anbieters im Markt offeriert werden. Die Pflichten gelten auch nicht für Dienste, die nicht als Vollversion, sondern zu Test-und Bewertungszwecken und für einen begrenzten Zeitraum bereitgestellt werden.
Zeitliche Geltung der Bestimmungen
Die entsprechenden Bestimmungen des Data Act gelten ab dem 12. September 2025. Den Providern bleibt deshalb für die Umsetzung und die Anpassung der entsprechenden Verträge noch etwas Zeit. Es ist aber nicht unwahrscheinlich, dass die entsprechenden Regelungen des Data Act bereits zeitlich eine gewisse Vorwirkung entfalten: Viele Anwender werden vermutlich Wert darauf legen, dass die vom Data Act geforderten vertraglichen Regelungen bereits jetzt in Neuverträge aufgenommen werden.
Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner bei TCI Rechtsanwälte München, gibt bei der Rechtsanwaltskammer München ein Update zur Datenschutz-Grundverordnung (DSGVO) und zeigt aktuelle Entwicklungen mit Schwerpunkt im Medienbereich auf. Ein Schwerpunkt des Referats sind jüngere Gerichtsentscheidungen zu Datenschutzhinweisen und der Datenübermittlung an ein Drittland sowie der neue EU-U.S. Data Privacy Framework.
Das Seminar findet am 28.02.2024 als Webinar statt und richtet sich an Rechtsanwältinnen und Rechtanwälte mit Schwerpunk im Medienrecht oder IT-Recht.
Wir freuen uns, dass TCI auch in diesem Jahr auf den Kölner Tagen IT-Recht des Verlags Dr. Otto Schmidt (07.03. und 08.03.2024) vertreten ist.
Dr. Michael Karger (TCI München) übernimmt gemeinsam mit Frau Prof. Dr. Sibylle Gierschmann (Gierschmann Legal, Hamburg) die Leitung der Tagung. Dr. Thomas Stögmüller referiert zum Thema „Computerprogramme: Gesetzliche Mindestrechte des berechtigten Nutzers“.
Die Hybrid-Tagung unter dem Titel „Von der Datenbeschaffung bis zur Lizenz“ deckt eine Vielzahl aktueller Themen des IT-Rechts ab, darunter:
- EU-Datenstrategie und rechtliche Umsetzung (u.a. Data Governance Act, Data Act)
- Datenüberlassungs-Verträge im Lichte des Data Act
- Datenbeschaffung durch Data Scraping
- AI Act: Herausforderungen für die Praxis
- Ethics und Compliance by Design in IT-Verträgen
- Globale Perspektive: Wettstreitende Regulierungsmodelle (USA, EU, China)
- Softwarekomponenten als urheberrechtliche Schutzgegenstände
- Gesetzliche Mindestrechte an Computerprogrammen
- Patentierbarkeit von Software und KI-Systemen
- Neues IT-Sicherheitsrecht: Relevanz für IT-Verträge
- „Digitale Produkte“ als Vertragsgegenstand
Die Tagung ist ein „Muss“ für alle Praktiker, die sich mit der Digitalstrategie auf europäischer und globaler Ebene auseinandersetzen. Sie liefert konkrete Hilfestellungen zur Vertragsgestaltung und gibt ein Update zu den neusten rechtlichen Entwicklungen im IT-Recht.
Ein Themenschwerpunkt ist der Zugang zu Daten sowie der Umgang mit der Regulierung von KI. Dabei legt die Veranstaltung Wert darauf, nicht nur die europäische Strategie zur Regulierung des Datenrechts, sondern auch die globale Perspektive auf wettstreitende Regulierungsmodelle zu berücksichtigen. Ungeachtet der Regulierungsfragen geht die Tagung auf konkrete rechtliche Fragen beim Einsatz von KI-Systemen ein und arbeitet die insoweit naheliegenden Anforderungen an die Vertragsgestaltung heraus. Zudem gehen die Referenten auf umstrittene Fragen zum Urheber- und Patentschutz von IT-Systemen ein. Konkret wird es auch bei der Gestaltung von IT-Verträgen unter dem Blickwinkel des neuen IT-Sicherheitsrechts oder im Hinblick auf digitale Produkte.
Zielgruppe: Rechtsanwälte, Richter, Justiziare und IT-Verantwortliche in Unternehmen, Behörden und Verbänden.
Viele Teilnehmerinnen und Teilnehmer schätzen an den Kölner Tagen IT die ebenso professionelle wie kollegiale und informelle Atmosphäre als Grundlage für Erfahrungsaustausch und Networking.
Weitere Informationen zur Veranstaltung finden Sie hier https://www.otto-schmidt.de/koelner-tage-it-recht.
TCI Rechtsanwälte sponsern auch 2024 das Göttinger Forum IT-Recht, eine der führenden juristischen Fachtagungen zum IT- und Datenschutzrecht, die dieses Jahr zum 10. Mal stattfindet. Das Thema lautet „Mit Recht in die digitale Zukunft – Zwischen innovativer Disruption und Überregulierung“.
Nähere Informationen unter: https://www.goettingen-itrecht.de/
Haftung für Fahrlässigkeit und Auftragsverarbeiter
Der Europäische Gerichtshof (EuGH) hat am 5. Dezember 2023 in zwei Urteilen Fragen im Zusammenhang mit der Verhängung von Bußgeldern gegen Unternehmen bei Verstößen gegen die DSGVO geklärt.
Einführung
Nach Art. 83 DSGVO können u.a. gegen Verantwortliche und Auftragsverarbeiter Geldbußen festgesetzt werden, wenn diese bestimmte Pflichten nach der DSGVO verletzen. Verantwortliche und Auftragsverarbeiter können natürliche oder juristische Personen sein (Art. 4 Nr. 7, Nr. 8 DSGVO).
Diese Bestimmungen kollidieren mit dem deutschen Rechtssystem, nach welchem nur natürliche Personen Straftaten oder Ordnungswidrigkeiten begehen können. Eine Strafe im Sinne des Strafgesetzbuchs, also eine Geldstrafe oder Freiheitsstrafe, kann nur gegen eine natürliche Person verhängt werden. Die Festsetzung einer Geldbuße gegen eine juristische Person, also beispielsweise eine GmbH oder Aktiengesellschaft, ist zwar möglich. Das setzt aber gemäß § 30 Abs. 1 OWiG voraus, dass eine natürliche Person in ihrer Eigenschaft als organschaftlicher Vertreter oder sonst in leitender Stellung eine Straftat oder Ordnungswidrigkeit begangen und dadurch Pflichten der juristischen Person verletzt hat. Daraus folgt im Umkehrschluss, dass eine Geldbuße unzulässig ist, wenn ein Mitarbeiter, der nicht in leitender Stellung tätig ist, eine Verpflichtung der juristischen Person verletzt hat.
Die Verhängung einer Geldbuße setzt nach deutschem Recht immer eine schuldhafte Begehung voraus, also dass die handelnde Person vorsätzlich oder fahrlässig gehandelt hat. Nach deutschem Recht ist die Ahndung fahrlässiger Handlungen nur möglich, wenn das Gesetz dies ausdrücklich bestimmt (§ 10 OWiG).
Sachverhalt
Dem ersten Fall lag eine Auseinandersetzung zwischen der Deutsche Wohnen SE, einem der größten deutschen Wohnungsunternehmen, und der Staatsanwaltschaft Berlin zugrunde. Die Berliner Datenschutz-Aufsichtsbehörde hatte gegen die Deutsche Wohnen SE wegen der Speicherung von personenbezogenen Daten von Mietern in einem elektronischen Archivsystem mehrere Geldbußen festgesetzt. Die Behörde beanstandete, dass nicht nachvollzogen werden konnte, ob die Speicherung erforderlich ist und ob die Löschung nicht mehr erforderlicher Daten gewährleistet ist.
Auf Einspruch der Deutsche Wohnen SE stellte das Landgericht Berlin das Verfahren ein, weil der Bußgeldbescheid unter so gravierenden Mängeln leide, dass er nicht als Grundlage für die Festsetzung einer Geldbuße dienen könne. Der schuldhafte Verstoß eines organschaftlichen Vertreters oder sonst in leitender Stellung tätigen Mitarbeiters sei nicht festgestellt.
Fragen an den EuGH
Auf sofortige Beschwerde der Staatsanwaltschaft Berlin legte das Kammergericht Berlin den Fall dem EuGH vor und fragte, ob nach Art. 83 DSGVO die Möglichkeit bestehen muss, eine Geldbuße gegen eine juristische Person zu verhängen, ohne dass der Verstoß gegen die DSGVO zuvor einer identifizierten natürlichen Person zugerechnet wird. Wenn das der Fall ist, fragte das Kammergericht, welche Kriterien für die Verantwortlichkeit eines Unternehmens für einen Verstoß gegen die DSGVO heranzuziehen sind. Insbesondere wollte das Kamemrgericht wissen, ob eine Geldbuße gegen eine juristische Person verhängt werden kann, ohne dass nachgewiesen werden kann, ob der ihr zuzurechnende Verstoß gegen die DSGVO schuldhaft begangen wurde.
Entscheidung
Keine Zurechnung zu einer natürlichen Person
Der EuGH entschied, dass die Bestimmungen der DSGVO einer nationalen Regelung wie in § 30 OWiG entgegenstehen, mithin also die Festsetzung einer Geldbuße nach der DSGVO nicht davon abhängig gemacht werden darf, dass der Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).
Schuld der juristischen Person erforderlich
Der EuGH entschied des Weiteren, dass Art. 83 DSGVO die Verhängung einer Geldbuße nicht gestattet, ohne dass nachgewiesen ist, dass der Verstoß „von dem Verantwortlichen“ vorsätzlich oder fahrlässig begangen wurde, weil sich aus Art. 83 Abs. 2 Satz 2 b) und Abs. 3 DSGVO ergibt, dass die Verhängung einer Geldbuße vorsätzliches oder fahrlässiges Handeln voraussetzt (Urteil vom 5. Dezember 2023, Rechtssache C-807/21, Deutsche Wohnen SE ./. Staatsanwaltschaft Berlin).
Haftung für Auftragsverarbeiter
In einer zweiten Entscheidung vom selben Tag (Urteil vom 5. Dezember 2023, Rechtssache C-681/21, Nacionalinis visuomenes sveikatos centras prie Sveikatos apsaugos ministerijos ./. Valstybine duomenq apsaugos inspekcija) bestätigte der EuGH die Erforderlichkeit vorsätzlichen oder fahrlässigen Handelns.
Er entschied des Weiteren, dass eine Geldbuße gegen den Verantwortlichen auch dann verhängt werden kann, wenn nicht der Verantwortliche selbst die betreffenden Verarbeitungsvorgänge vornimmt, sondern in seinem Namen ein Auftragsverarbeiter, es sei denn, der Auftragsverarbeiter hat Verarbeitungen vorgenommen
- für eigene Zwecke oder
- auf eine Weise, die nicht mit dem vom Verantwortlichen festgelegten Rahmen vereinbar ist, oder
- auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden kann, dass der Verantwortliche ihr zugestimmt hätte.
Bewertung
Die Vorstellung, dass nicht nur eine natürliche Person, sondern auch eine juristische Person als solche schuldhaft handeln kann, widerspricht der der deutschen Rechtsdogmatik. Wie die Schuld einer juristischen Person konkret festzustellen ist, erläutert der EuGH nicht.
In Fällen, in denen es möglich ist, den Verstoß einer zuvor identifizierten Person zuzurechnen, würde es naheliegen, auf die Schuld dieser Person abzustellen. Allerdings sind durchaus Fälle denkbar, in denen zwar die konkrete Person nicht schuldhaft gehandelt hat, etwa weil ihr ein bestimmtes Wissen fehlte, die juristische Person als solche hingegen schon, etwa weil sie sich das Wissen sämtlicher Mitarbeiter zurechnen lassen muss.
Für Deutschland von besonderer Bedeutung ist, dass § 10 OWiG bei Verstößen gegen die DSGVO schlichtweg nicht gilt. Vielmehr kann fahrlässiges Handeln immer mit einer Geldbuße geahndet werden, auch wenn die betreffende Vorschrift der DSGVO dies nicht explizit regelt.
Bemerkenswert ist schließlich die durch den EuGH etablierte Haftung für Verstöße von Auftragsverarbeitern.
Fazit
Zur Vermeidung von Bußgeldern sollten Unternehmen dringend stringente Vorkehrungen gegen mögliche DSGVO-Verstöße treffen.
Wie ein fahrlässiges Handeln eines Unternehmens konkret nachzuweisen ist, ist zwar auch durch die jüngsten Entscheidungen des EuGH nicht geklärt worden.
Unternehmen, die nicht über ein detailliertes Datenschutzkonzept verfügen und nicht nachweisen können, dass dieses nicht nur als zahnloser Papiertiger in einer Schublade liegt, sondern im täglichen Geschäft beachtet wird und in entsprechenden Workflows (z.B. regelmäßige Löschungen nicht mehr benötigter personenbezogener Daten) umgesetzt wurde, müssen damit rechnen, dass der Fahrlässigkeitsvorwurf erfolgreich erhoben wird.
Am 30. Januar 2024 veranstaltet die Fachzeitschrift connect professional einen Webinar-Thementag rund um das Thema NIS2-Richtlinie. Mit dabei ist unser Mainzer Partner Stephan Schmidt, der erläutern wird, was es bei der Umsetzung der NIS-2-Richtline – insbesondere mit Blick auf die Besonderheiten der deutschen Umsetzung – zu beachten gibt, warum die geplanten Regelungen zumindest teilweise eine Handlungsanweisung in Sachen Cybersicherheit sind und warum es wichtig ist, sich frühzeitig mit diesen zu befassen.
Alle Informationen und kostenfreie Anmeldung unter https://event.gotowebinar.com/event/4b11413b-ef3d-428f-abf6-499c6ed2442e.
Dr. Thomas Stögmüller, Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtsanwälte München, berichtet in der angesehenen „Neuen Juristischen Wochenschrift“ (NJW) über „Die Entwicklung des IT-Rechts“ im Jahr 2023. Der Beitrag ist in NJW 2023, Heft 52, Seiten 3762 – 3769 veröffentlicht und gibt einen Überblick über wesentliche Rechtsprechung, Gesetzesvorhaben und relevante Literatur zum IT-Vertragsrecht, Urheberrecht sowie weiteren Rechtsgebieten mit IT-Bezug wie Künstliche Intelligenz und Legal Tech. Hervorzuheben ist vor allem die vergangenes Jahr schnell fortgeschrittene legislative Rechtsentwicklung im Cybersicherheitsrecht wie der Entwurf des EU-Cyber Resilience Act.
Das „Gesetz über Künstliche Intelligenz“ der Europäischen Union wird aller Voraussicht nach in Kürze verabschiedet und sieht bis zu seiner Geltung teilweise nur eine Übergangsfrist von einem Jahr vor.
Am 8.12.2023 wurde zwischen dem Rat der EU und dem Europäischen Parlament zum KI-Gesetz eine vorläufige Einigung erzielt. Das KI-Gesetz regelt nur einige, jedoch besonders relevante Aspekte des Einsatzes Künstlicher Intelligenz (KI). So werden besondere Anforderungen an „Hochrisiko-KI-Systeme“ gestellt, unter die bspw. KI-Systeme fallen, die zur Beeinflussung des Wahlergebnisses und des Wählerverhaltens eingesetzt werden. Bestimmte KI-Systeme wie biometrische Kategorisierungssysteme, die sensible Merkmale wie etwa religiöse Überzeugungen verwenden, sollen verboten werden. KI-Systeme mit allgemeinem Verwendungszweck („general-purpose AI“ – GPAI) und die GPAI-Modelle, auf denen sie beruhen, müssen bestimmte Transparenzanforderungen erfüllen und das EU-Urheberrecht einhalten.
Ergänzend zum KI-Gesetz werden zwei Richtlinienvorschläge der EU zur Regelung der KI- und IT-Haftung diskutiert, nämlich die „Richtlinie über KI-Haftung“ und die Reform der Produkthaftungsrichtlinie. IT-Produkte bzw. Software einschließlich KI-Systemen und verbundener Dienste sollen künftig der Produkthaftung unterliegen.
Der Einsatz generativer KI-Systeme in Unternehmen hat in den letzten Monaten rapide zugenommen. Da das künftige KI-Gesetz auch für Nutzer von KI-Systemen gilt, sollten bereits jetzt und spätestens mit Geltung des KI-Gesetzes Unternehmen, die KI einsetzen, prüfen, ob sie sich rechtskonform verhalten und welchen Risiken sie ausgesetzt sind. Darunter fallen insbesondere:
– Risiko einer Urheberrechtsverletzung sowohl in Bezug auf den Input bzw. Prompt als auch hinsichtlich des Outputs
– Einhaltung des Datenschutzrechts, wenn in generative KI-Systeme personenbezogene Daten eingegeben und durch diese verarbeitet werden
– Abschätzung der Haftungsrisiken beim Einsatz von KI-Systemen, etwa im Falle eines fehlerhaften Outputs, der durch das Unternehmen verwendet wird
– Beachtung von Transparenzanforderungen des KI-Gesetzes
– Prüfung der Vertragsbedingungen des Anbieters des KI-Systems
