Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.
(mehr …)Schlagwort: Technikgestaltung
Designprinzipien für LLM-basierte Systeme des BSI
Ein aktuelles BSI-Whitepaper zu Designprinzipien für LLM-basierte Systeme mit „Zero Trust“-Ansatz enthält zentrale Empfehlungen zur sicheren Implementierung von KI-Systemen in Unternehmen und Behörden. Die Vorgaben reichen von der Authentifizierung und dem Input-/Output-Schutz bis hin zum Monitoring und Hintergrundwissen für die Awareness.
Doch Vorsicht, diese Empfehlungen sind mehr als reine IT-Empfehlungen: Sie berühren unmittelbar haftungsrechtliche Fragen und betreffen die konkrete Umsetzung datenschutzrechtlicher Vorgaben gemäß Art. 25 DSGVO („Privacy by Design“ und „Privacy by Default“).
(mehr …)
Kontrollverlust bei Scraping trotz vorheriger Bekanntgabe an ausgewählte Empfänger
Das Oberlandesgericht Koblenz hat in seiner Entscheidung vom 11. Februar 2025 (Az. 3 U 145/24) eine zentrale Frage des Datenschutzrechts beantwortet: Kann ein Nutzer die Kontrolle über seine personenbezogenen Daten verlieren, wenn diese durch einen Scraping-Vorfall aus einem sozialen Netzwerk extrahiert werden, selbst wenn er diese Daten bereits zuvor bewusst an ausgewählte Empfänger außerhalb des Netzwerks weitergegeben hat?
Diese Frage hat das Gericht bejaht und damit eine differenzierte Sicht auf die Bedeutung der Kontrolle über persönliche Daten entwickelt. Die Entscheidung wirft ein Schlaglicht auf die Anwendung von Art. 5, Art. 25 und Art. 82 der Datenschutz-Grundverordnung (DSGVO) und setzt neue Maßstäbe für die Beurteilung von Datenschutzverstößen in sozialen Netzwerken. Doch die Sache bleibt streitig.
(mehr …)
DSGVO-Verstoß: Grenzen und Beweislast im Datenschutzrecht
Ein Fall beim Oberlandesgericht Stuttgart (Urteil vom 22. November 2023, Aktenzeichen: 4 U 20/23) betrifft einen Datenschutzverstoß durch das soziale Netzwerk Facebook, wobei persönliche Daten des Klägers durch sogenanntes Scraping abgegriffen wurden. Der Kläger verlangte Schadenersatz und die Feststellung weiterer Ersatzpflicht sowie Unterlassung. Das OLG arbeitet dabei heraus:
➡️ Art. 5 Abs. 1 lit. f) DSGVO verlangt, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter/unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit”).
➡️ „Vertraulichkeit“ zielt auf Schutz der Daten vor unbefugter Kenntnisnahme und damit unbefugter Verarbeitung. Die Daten sollen vor geplanten Zugriffen und unbeabsichtigten Beeinträchtigungen geschützt werden. Hierzu gehört, dass unbefugte Personen weder Zugang zu den Daten, noch zu den Geräten haben, mit denen sie verarbeitet werden. Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere vom Risiko eines unberechtigten Zugriffs ab
➡️ Art. 32 Abs. 1 DSGVO konkretisiert, dass der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
➡️ Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter – aus ex-ante-Sicht – hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist
➡️ Neben der Verpflichtung aus Art. 25 Abs. 1 DSGVO, die Datenschutzgrundsätze wirksam umzusetzen regelt Art. 25 Abs. 2 DSGVO die Verpflichtung des Verantwortlichen, datenschutzfreundliche Voreinstellungen vorzunehmen (Data-Protection-by-Default [Abs. 2] und Privacy-by-Design [Abs. 1]). Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch die Voreinstellung nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist (Art. 25 Abs. 2 Satz 1 DSGVO). Die Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit (Art. 25 Abs. 2 Satz 2 DSGVO).
(mehr …)
Data-Sharing und Datenlizenzvertrag: Rechtliche Aspekte der Datennutzung
Data-Sharing und Datenlizenzvertrag: Im digitalen Zeitalter sind Daten – so das geflügelte Wort – das „neue Gold“. Sie treiben Innovationen voran, ermöglichen fortschrittliche KI-Technologien und sind zentraler Bestandteil vieler Geschäftsmodelle. Doch mit der zunehmenden Bedeutung von Daten wachsen auch die rechtlichen Herausforderungen. In diesem Beitrag werfen wir einen Blick auf einige der wichtigsten rechtlichen Fragen im Kontext der Nutzung von Daten.
(mehr …)Mehr zu konkreten IT-Verträgen finden Sie auf unserer Webseite, wir sind im IT-Vertragsrecht beratend tätig:
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen bei Scraping
Was geeignete Anti-Scraping-Maßnahmen sind, hat das Landgericht Detmold (02 O 67/22) entschieden. Dabei ging es um die Frage, ob ein Verstoß gegen Art. 25 DSGVO vorliegt, der vom Verantwortlichen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default) verlangt.
(mehr …)
Haftung der Geschäftsführung für IT-Sicherheitslücken
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar? In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.
Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.
(mehr …)