Ein aktuelles BSI-Whitepaper zu Designprinzipien für LLM-basierte Systeme mit „Zero Trust“-Ansatz enthält zentrale Empfehlungen zur sicheren Implementierung von KI-Systemen in Unternehmen und Behörden. Die Vorgaben reichen von der Authentifizierung und dem Input-/Output-Schutz bis hin zum Monitoring und Hintergrundwissen für die Awareness. Doch Vorsicht, diese Empfehlungen sind mehr als reine IT-Empfehlungen: Sie berühren unmittelbar haftungsrechtliche Fragen…WeiterlesenDesignprinzipien für LLM-basierte Systeme des BSI
Schlagwort: 25 DSGVO
Art. 25 DSGVO: Ein Verstoß gegen Art. 25 DSGVO liegt vor, wenn vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) nicht ordentlich umgesetzt sind.
Mit Urteil vom 3. April 2025 (Az. 15 U 40/23) hat das Oberlandesgericht Köln seine Rechtsprechung zum immateriellen Schadenersatz nach Datenschutzverstößen weiter konkretisiert und zugleich ein wichtiges Signal für den Schutz der digitalen Selbstbestimmung gesetzt. Im Zentrum stand der unautorisierte Zugriff auf Nutzerdaten durch sogenanntes „Scraping“ bei einer großen Online-Plattform. Der Kläger hatte seine Mobilfunknummer…WeiterlesenDatenkontrolle und digitale Verantwortung: OLG Köln erkennt immateriellen Schadenersatz nach Scraping-Vorfall zu
Das Oberlandesgericht Koblenz hat in seiner Entscheidung vom 11. Februar 2025 (Az. 3 U 145/24) eine zentrale Frage des Datenschutzrechts beantwortet: Kann ein Nutzer die Kontrolle über seine personenbezogenen Daten verlieren, wenn diese durch einen Scraping-Vorfall aus einem sozialen Netzwerk extrahiert werden, selbst wenn er diese Daten bereits zuvor bewusst an ausgewählte Empfänger außerhalb des…WeiterlesenKontrollverlust bei Scraping trotz vorheriger Bekanntgabe an ausgewählte Empfänger
Das Urteil des Amtsgerichts Brandenburg vom 5. Dezember 2024 (Az. 30 C 190/22) setzt neue Akzente im Bereich der Videoüberwachung und des Datenschutzrechts. Diese Entscheidung fügt sich in die jüngere Rechtsprechung ein, die zunehmend die Rechte auf informationelle Selbstbestimmung und den Schutz der Privatsphäre stärkt, insbesondere vor unzulässigen Überwachungsmaßnahmen.WeiterlesenZulässigkeit und prozessuale Probleme einer Videoüberwachung
Das Oberlandesgericht Dresden befasste sich in mehreren aktuellen Urteilen (4 U 1398/23, 4 U 709/23 und 4 U 1094/23) mit dem Thema Scraping und DSGVO, wobei der Fokus auf Art. 25 DSGVO und den erforderlichen Sicherungsmaßnahmen lag. Diese Entscheidungen beleuchten, wie Datenschutz im digitalen Raum verstanden und umgesetzt werden sollte.WeiterlesenDatenschutz im Zeitalter des Scraping: Einblicke in die Urteile des OLG Dresden
Ein Fall beim Oberlandesgericht Stuttgart (Urteil vom 22. November 2023, Aktenzeichen: 4 U 20/23) betrifft einen Datenschutzverstoß durch das soziale Netzwerk Facebook, wobei persönliche Daten des Klägers durch sogenanntes Scraping abgegriffen wurden. Der Kläger verlangte Schadenersatz und die Feststellung weiterer Ersatzpflicht sowie Unterlassung. Das OLG arbeitet dabei heraus: ➡️ Art. 5 Abs. 1 lit. f) DSGVO verlangt,…WeiterlesenDSGVO-Verstoß: Grenzen und Beweislast im Datenschutzrecht
Data-Sharing und Datenlizenzvertrag: Im digitalen Zeitalter sind Daten – so das geflügelte Wort – das „neue Gold“. Sie treiben Innovationen voran, ermöglichen fortschrittliche KI-Technologien und sind zentraler Bestandteil vieler Geschäftsmodelle. Doch mit der zunehmenden Bedeutung von Daten wachsen auch die rechtlichen Herausforderungen. In diesem Beitrag werfen wir einen Blick auf einige der wichtigsten rechtlichen Fragen…WeiterlesenData-Sharing und Datenlizenzvertrag: Rechtliche Aspekte der Datennutzung
Art. 25 Abs. 1 DSGVO verpflichtet den Verantwortlichen, bereits bei der Entwicklung von Produkten, Diensten und Anwendungen sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden („Privacy by Design“). Abs. 2 konkretisiert diese allgemeine Verpflichtung und verlangt, dass bestehende Einstellungsmöglichkeiten standardmäßig auf die „datenschutzfreundlichsten“ Voreinstellungen gesetzt werden („Privacy by default“).WeiterlesenArt. 25 DSGVO: Privacy by Design und Privacy by default
Was geeignete Anti-Scraping-Maßnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoß gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.WeiterlesenDatenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping
Durch eine Verkettung unglücklicher Umstände wurde in einem Fall eine E-Mail mit einer Excel-Tabelle als Anhang versandt, die zuvor versehentlich nicht gelöscht worden war. So wurde die Excel-Datei, die nicht durch ein Passwort vor einfachem Zugriff geschützt war, an 1200 Empfänger versandt. Unmittelbar nach dem Versand der E-Mail wurde der Fehler bemerkt und die versendete…WeiterlesenDatenschutzverstoß durch ungewolltes Versenden von Excel-Tabelle mit personenbezogenen Daten
Immer noch ein wenig im Schatten steht die Vorgabe des „Privacy-by-Default“ des Art. 25 II DSGVO. Nun hat der EUGH die Bedeutung dieses Prinzips hervorgehoben, indem klargestellt wurde, dass die Rechenschaftspflicht nach Art. 5 II DSGVO sich eben hierauf bezieht: In diesem Zusammenhang ist darauf hinzuweisen, dass der für die Verarbeitung Verantwortliche nach dem in…WeiterlesenPrivacy-by-Default von Rechenschaftspflicht erfasst
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar? In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze,…WeiterlesenHaftung der Geschäftsführung für IT-Sicherheitslücken
Dass das Versenden von elektronischen Dokumenten auf einem USB-Stick per Post – ohne gesonderte Schutzmaßnahmen keinen grundsätzlichen datenschutzrechtlichen Bedenken begegnet, hat das Landgericht Essen, 6 O 190/21, hervorgehoben. Insbesondere sah das Gericht keinen Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO.WeiterlesenVersand von USB-Stick per Post
Es gab in der jüngeren Vergangenheit einige Aufregung, weil Protonmail wohl eine IP-Adresse zu einem Account an Ermittler herausgegeben hat. Dazu ist aus juristischer Sicht nur zu sagen: Natürlich haben sie das getan – und sie werden es sicherlich wieder tun. Denn es gibt letztlich keinen absoluten Schutz bei offiziellen Anbietern im geographischen Raum Europa,…WeiterlesenProtonmail gibt IP-Adresse heraus