August 2025: Was hat sich im PrivazyPlan® getan?
Ab dem 25.05.2018 gilt in ganz Europa ein neues Datenschutzrecht:
Die EU Datenschutz-Grundverordnung (DS-GVO). Der PrivazyPlan®
wird als Praxisleitfaden jeden Monat ergänzt und aktualisiert.
Was hat sich diesen Monat getan?
Dies sind die wichtigsten Neuerungen in diesem Monat:
- Der US-Cloud-Act ist relevant für US-Dienstleister
Am 10.06.2025 hat Microsoft unter Eid bestätigt, dass der US-Cloud-Act relevant sei und möglicherweise der geheime Zugriff auf europäische Daten angeordnet werden könne. Allerdings sei dies bisher noch nicht geschehen.
Aus datenschutzrechtlicher Sicht steht also fest: Die USA erhebe noch immer einen weltweiten Anspruch auf (Aus-) Lieferung von personenbezogenen Daten an US-Sicherheitsbehörden… streng geheim und ohne Rechtshilfeabkommen. Seite 282
- Rechtsgrundlage für die Nutzung von KI-Systemen
Richtigkeit von KI-Output
KI mit eigenen Sachdaten trainieren
Drei wichtige Themen im Zusammenhang mit KI und Datenschutz sind hinzugekommen. Insbesondere die Frage der „Rechtsgrundlage“ ist brisant für die Nutzung der LLMs (wie z. B. ChatGPT). Die europäischen Datenschutz-Aufsichtsbehörden sind sich einig: Die zugrundeliegenden Daten wurden in aller Regel nicht rechtskonform erhoben und daher kann deren Nutzung datenschutzrechtlich nicht zulässig sein. Außer in Italien greifen die Aufsichtsbehörden aber (noch) nicht durch. Seite 392
- Daten aus Drittländern verarbeiten/importieren
Diesmal haben wir die umgekehrte Sichtweise: Was gilt es zu beachten, wenn eine Organisation in der EU die Daten aus einem Drittland (wie z. B. China) importiert und verarbeitet? Seite 644
- Model Context Protocol („MCP“) birgt hohe Risiken
Noch ausführlicher warnen wir an dieser Stelle vor der Nutzung dieser KI-Schnittstellen-Technologie. Personenbezogene Daten können – wie bereits in Microsoft 365 geschehen – ungewollt und unbemerkt an Dritte ausgehändigt werden. Jegliche Form von „KI-Workflows“ müssen kritisch betrachtet werden, denn die Ergebnisse lassen sich nicht immer sicher vorhersagen. Seite 815
- Microsoft-Copilot macht aus einem Gerichtsreporter einen
Kinderschänder
Ein weiteres Beispiel im Kapitel „Pleiten, Pech & Pannen bei Künstlicher Intelligenz“: Einem jahrelang tätigen Gerichtsreporter werden die von ihm berichteten Sachverhalte persönlich zugeschrieben. Ein spektakuläres Beispiel dafür, dass die Lage Language Modelle („LLM“) nicht über kein Sachwissen verfügen, sondern „nur“ auf pfiffige Weise Wortsilben verbinden. Seite 815
- Alle Pflichten sind mit https://dataprotection-expert.eu
verlinkt
Alle datenschutzrechtlichen Pflichten sind nun mit einem Klick erreichbar und in Kurzform zu lesen. Außerdem sind von dort aus die Dokumentvorlagen der PrivazyPlan.zip (siehe Seite 35) erreichbar. Allein aus diesem Grund ist der PrivazyPlan® um 6 Seiten angewachsen. [Keine Seitenzahl]
Nutzen Sie
den PrivazyPlan®, um immer
auf dem aktuellen Stand zu sein.
SecureDataService, Dipl.
Ing. (FH) Nicholas Vollmer
Datenschutz
/ Impressum