Die europäische Datenstrategie – Max Hermann im Datenschutz Talk Podcast

Transkript zur Folge:

Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit.
Wir begrüßen Sie heute wieder zu einer Themenfolge. Mein Name ist Heiko Gossen und heute ist der 16. März, an dem wir aufnehmen,
einem Thema, was in unserer Silvesterfolge angesprochen wurde, mehrfach und wo wenn ich's richtig in Erinnerung habe, Jenny sich gewünscht hat, dass wir da auch zu mal was machen und zwar ging's um die ganzen,
die von der europäischen Ebene im Moment kommen, Data Ac
äh AI Act, Digital Market Act, Digital Service Act, also alleine die alle auszusprechen
ist schon ein kleiner Zungenbrecher, wenn man sie nicht geübt hat und da ist es natürlich schön, dass wir dafür einen äh Gast heute hier in unserer Themenfolge haben, der sich mit diesen Themen sehr intensiv beschäftigt
Und daher darf ich sehr, sehr herzlich äh einen Kollegen begrüßen, der schon lange auch im Datenschutz tätig ist und ich begrüße recht herzlich Max Hermann. Hallo Max, ich grüße dich.
Hallo Heiko, vielen Dank, dass ich hier sein darf.
Es hat mich sehr gefreut, dass äh du dich für diese Themen insbesondere auch ähm bereit erklärt hast, hier zu unterstützen. Ich darf dich kurz vorstellen. Du bist nämlich syndicus, Rechtsanwalt und Lied Council bei der,
ENBW Energie Baden-Württemberg AG und bist dort im Team,
Rechtmarkt, Datenschutz und digitale Geschäftsmodelle und außerdem, das finde ich auch sehr spannend, Lehrbeauftragte im Datenschutzrecht an der äh TH Köln,
mit dem Tätigkeitsschwerpunkt Recht der Digitalwirtschaft, Querschnittsmaterie, Datenrecht, also das passt natürlich das Datenrecht, glaube ich, hier deswegen auch so gut. Ähm hervorragend.
Und du bist auch Autor von diversen Veröffentlichungen, unter anderem halt auch von einem Kommentar oder hat's mitgeschrieben an einem Kommentar zum äh zur DSGVO?
Das ist natürlich auch immer eine ganz hervorragende Referenz und von daher freut's mich sehr, dass du dich bereit erklärt hast, heute hier,
insbesondere bei diesem Thema zu unterstützen, was jetzt vielleicht nur,
Ein Stück weit vielleicht äh direkt Datenschutz ist, aber was und das haben wir in unserer Silvesterfolge auch gemerkt, doch viele beschäftigt, weil man halt am Thema Datenschutz trotzdem auch nicht vorbeikommt.
Wir sprechen halt über das Thema Digitalstrategie der EU,
Das Ziel, was ich verstanden habe, ist ja dabei, dass es einen äh Binnenmarkt für Daten innerhalb der EU ermöglichen soll,
da stellt sich für mich natürlich als erstes mal die Frage, was soll das bedeuten, den Binnenmarkt für Daten schaffen und warum braucht's dafür jetzt eigentlich so viele Gesetze?
Ziel der EU ist an der Stelle tatsächlich irgendwie an die Spitze einer datengesteuerten Gesellschaft zu kommen,
erstmal eine sehr große Ambition, wie ich finde. Also hört sich wild an äh meiner Meinung nach, aber dafür braucht's einfach den Binnenmarkt für Daten
Dieser Binnenmarkt für Daten soll am Ende eine eine EU-weite und branchenübergreifende Datenweitergabe.
Zum Nutzen von Unternehmen forschenden und öffentlichen Verwaltung werden. Das heißt,
was wir heute an anderen Stellen kennen, dass wir beispielsweise einen Binnenmarkt äh für Arbeitnehmer und Arbeitgeber haben in der EU. Das soll auch für Daten entstehen.
Die Daten sollen fließen, sie sollen zugänglich werden und sie sollen verwertbar sein,
weil das natürlich äh durchaus ein Szenario ist. Ich meine, wenn wir aus der datenschutzrechtlichen Beratung kommen, dann wissen wir, welche Herausforderungen da entstehen, vor allem bei den tatsächlichen Sachverhalten, hat die EU sich gedacht,
diesen Binnenmarkt schaffen, also dieses was tatsächlich neu entstehen soll, dann muss das mit entsprechenden rechtlichen Regelungen, Gesetzen flankiert werden.
Das heißt, wenn wir über Daten sprechen, also im Datenschutz sprechen wir ja typischerweise über personenbezogene Daten, also die Daten, die halt in irgendeiner Form,
Menschen mit Menschen in Verbindung zu bringen sind, sei es, dass sie die Menschen beschreiben oder dass sie halt deren Umfeld beschreiben. Jetzt sprechen wir aber über Daten im Allgemeinen, das heißt also, wir
erstmal sehr viel weiter und mal ein bisschen vereinfacht gesprochen, würde ich behaupten, nachdem, was du gesagt hast, das ist jetzt quasi das Pendant zur DSGVO.
Nämlich all den Bereich zu Regeln, der nicht personenbezogen ist, wer deswegen keine Persönlichkeitsrechte in der Form von Menschen berücksichtigen müssen und genau dafür,
den Gegenpol zu schaffen, nämlich da den Datenfluss zu ermöglichen oder sogar ein Stück weit zu erzwingen, im Gegensatz zur DSGVO, wo es ja eigentlich immer eher darum geht,
minimalistisch und keine Datenweitergabe ohne Rechtsgrundlage zu betreiben. Also das muss man sich nachher so ein bisschen wie Ying und Yang vorstellen, richtig?
Ich glaube Yin und Yang trifft's tatsächlich sehr gut. In der Tat,
von zentraler Bedeutung sind die Daten hier dann wirklich auch als wirtschaftliches Asset. Das heißt, ich kann mit Daten auch Wertschöpfung betreiben. Da kann hinten raus was Zählbares kommen. Ähm das ist glaube ich ganz zentral an der Stelle und ja, ganz richtig,
das Datenschutzrecht als Persönlichkeitsrechtsschutz,
stoppt ja eigentlich die ausufernde Verarbeitung und Verwendung von Daten, personenbezogenen Daten,
Um aber jetzt dieser äh Strategie der Europäischen Union zu begegnen, muss in den anderen Bereichen, so würde ich's mal beschreiben wollen, ähm das heißt den nicht personenbezogenen Teil von Daten. Genau dieser Fluss ermöglicht werden.
Das ist natürlich ein Thema, das bringt Dynamik und wird mit Sicherheit auch Abgrenzungsschwierigkeiten mit sich bringen.
Jetzt wollen wir heute ein bisschen intensiver auf den Data-Act und den AI-Act gucken. Aber ich hab's ja in der Einleitung schon,
verhaspelt gesagt, dass es ein paar mehr gibt und wenn du einverstanden bist, würde ich
so ein paar nochmal ganz kurz einsortieren, weil ich glaube, das ist für unsere Zuhörenden, die jetzt vielleicht in den Themen auch nicht ganz so tief drinstecken wie du.
Ganz hilfreich, dass wir da vielleicht einmal so ein paar uns noch mal anschauen und ich würde mal mit dem Digital Market
eckt anfangen. Kannst du uns dazu was sagen? Wen adressiert das? Was ist da besonders vor allen Dingen Regelungsinhalt?
Gerne ähm der Digital Markets Act nimmt im Prinzip Player in den Blick
in der Vergangenheit einfach mit Daten gute Wertschöpfung betrieben haben. Also es sind Plattformbetreiber, insbesondere sogenannte Gateke, die mehr als mehr als sechseinhalb Milliarden Umsatz im Jahr machen, also wirklich die großen.
Und die sollen tatsächlich hier in den Fokus genommen werden und der Fokus des Digital Market Acts liegt am Ende auf dem freien Wettbewerb.
Das heißt, diesen Geldkeepern wird eine Reihe von Pflichten auferlegt. So müssen zum Beispiel Messengerdienste interoperabel sein. Es muss Zugang zu diesen
Diensten und Services dieser Gate-Keeper ermöglicht werden.
Diese Interporabilität von dem Messenger finde ich übrigens eine hervorragende Idee, aber ein anderes Thema. Nächstes wäre das Digital Services Act. Was ist da der Kern und wer muss sich da vor allen Dingen drum kümmern?
Der Digital Service ist Act nimmt intermediäre in den Blick, prägend, glaube ich, für den für den Regelungsinhalt des Digital Services Act
ist, dass hier Verbraucher geschützt werden vor
Situationen im Netz, beispielsweise gegen illegale Inhalte, so wird beispielsweise Notis in Takedown-Verfahren vorgesehen. Das ist was, was wir in Deutschland übrigens aus dem Netz DG ein wenig kennen, dass wir da auf eine europäische Ebene gehoben.
Sehr gut, dann gibt's noch den Data Governance Act. Was muss ich mir darunter vorstellen?
Delta Governance Act hat als Adressat eher öffentliche Stellen im Blick, aber auch
potenzielle Anbieter von Datenvermittlungsdiensten, hier finden sich viele Regelungen zur Weiterverwendung von Daten.
Im Besitz der öffentlichen Stellen sind, aber auch Regelungen dann zum Anmelden und zum Aufsichtsrahmen von solchen,
Vermittlungsdiensten, die es geben kann, also Datentreuhänder, glaube ich, umschreibt's ein wenig besser. Jemanden, dem ich meine Daten in die Hand geben kann, dem ich dann gewisse Rechte einräume, der dann auch Zugang gegenüber anderen ermöglicht zu meinen Daten.
Sehr gut. Dann haben wir natürlich noch die Verordnung. Die dürfte wahrscheinlich dann den Datenschützern schon eher wieder geläufig sein, also insbesondere ja der Bereich, der sich heute auch
in Deutschland zum Beispiel im Titti DSG wiederfindet, also alles, was auf die äh EU-Richtlinie 20582002 zurückgeht.
Und da ist es ja im Moment auch nach wie vor so, dass wir die noch nicht haben. Wie wie schätzt du das da ein? Wie wie ist da im Moment so der Wasserstand?
Na ja, ich denke, die ganze Wahrheit ist, sie ist noch nicht da und ich glaube auch nicht, dass sie bald da sein wird.
Dann haben wir noch auch in dem Kontext können wir vielleicht auch mal kurz drauf schauen, die Niss zwei Richtlinien. Die wird ja auch immer mal wieder äh thematisiert. Ich weiß nicht, ob's jetzt wirklich zu diesem Daten,
Strategiepaket wirklich explizit dazugehört, aber du kannst uns dazu sicherlich auch nochmal ein, zwei Sätze sagen, wie wir die einzusortieren haben.
Mist zwei Richtlinie ist ein ist ein Thema aus dem Bereich Security.
Gehört nicht direkt zu dem Thema EU-Datenstrategie und auch was die rechtlichen Situationen da angeht, aber flankiert natürlich mit den Security Aspe
mit den Sicherheitsasp
also insbesondere auch Angriffe von außen abzuwehren oder entsprechende Meldepflichten gegenüber Behörden, wenn Angriffe erfolgen oder wenn
Pannen erfolgen. So will ich's auch mal beschreiben wollte oder einen Inzident da ist, flankiert natürlich das Ganze. Also ich glaube, das ist was, wenn wir aus der Datenschutzwelt kommen. Da können wir uns recht schnell mit anfreunden, weil
Datenschutz funktioniert nicht ohne Datensicherheit und wenn wir uns jetzt äh wieder überlegen, man will hier ein
digitalen Datenbinnenmarkt schaffen, dann wird das nicht ohne entsprechende Security-Absicherung gehen. Flankiert das Ganze, ist nicht
zentraler Kern dieser Strategie, aber um das Bild komplett zu machen, finde ich immer, es gehört dazu, man sollte es mit im Blick haben,
und so denke ich wird ein gutes Gesamtpaket draus.
Jetzt schauen wir noch auf den Data-Act und den AI-Act ein bisschen genauer drauf. Der Data-Act, also
Hier sprechen wir über den europäischen Data-Act, nicht zu verwechseln mit dem Digital Accountability in Transparency Act von 2014 USA.
Der hatte einen etwas anderen Hintergrund. Der ist hier nicht gemeint. Der äh Data-Act wie würdest du den im Wesentlichen einsortieren, was
regelt der, wo kommt der insbesondere für Unternehmen dann ins Spiel?
Der Data-Act wird mit Sicherheit ähm die zentrale Verordnung sein, wenn's um das Fließen der Daten geht.
Wir leben mit Sicherheit heute in einer Welt, in dem,
Eine einige wenige Hersteller digitaler Produkte auf den Daten setzen und damit weiterarbeiten können. Der Data-Act möchte diese Situation aufbrechen.
Er sagt, es gibt Hersteller von digitalen Produkten,
Es gibt Nutzer dieser Produkte und der Nutzer dieses Produkts soll auch Zugang zu diesen Daten erhalten.
Dateninhaber soll nicht mehr in der Situation sein als Hersteller des Produkts, dass er darüber schalten und walten kann und dann wird's sehr umfangreich, weil,
gewisse Pflichten einfach direkt auferlegt werden, die so einen Anbieter eines digitalen Produkts mitbekommt, nämlich,
Fluss der Daten soll mal per se bei Design erfolgen. Das heißt, ich muss mein Produkt so gestalten, dass der Nutzer an diese Daten kommen kann.
Design ist ein heeres Ziel. Ich glaube, der Gesetzgeber versteht, dass es doch nicht so einfach ist. Hat deswegen auch noch mal so eine Schleife reingebaut.
Design nicht geklappt hat, äh habe ich trotzdem noch einen Zugangsanspruch und das ist eigentlich das zentrale Element. Es soll für den Nutzer dieser Produkte,
Nutzer ist übrigens hier keine natürliche Person, zwingend. Es kann auch eine juristische Person sein. Der Nutzer soll Zugang zu den Daten erhalten, die er durch die Nutzung dieses Produkts generiert hat.
Okay, das
ist schon mal sehr ähm verständlich, dass es darum geht, Zugang zu den Daten zu bekommen und Datenfluss zu ermöglichen.
Gleichzeitig glaube ich, wird uns Datenschützern sehr schnell klar, dass es äh schnell auch in Konflikte damit wahrscheinlich kommen kann mit den gesetzlichen,
Vorgaben zum Datenschutz DSGVO insbesondere.
Und dem Verständnis dessen, was wir ja in der DSGVO haben, nämlich eigentlich, was ich eingangs schon sagte, weniger Daten, weniger Datenfluss und dann hier jetzt sozusagen den den Counterpart dazu. Okay, verstehe ich
Dann gucken wir gleich mal ein bisschen genauer da drauf, aber doch bevor wir das zukommen noch mal ein, zwei Sätze zum AI-Act, also künstliche Intelligenz dürfte da jetzt wahrscheinlich äh sozusagen der Aufhänger sein, aber sag uns da auch nochmal kurz,
Worum geht's? Wer ist Adressat?
AI Acts ähm sind am Ende die Nutzer und Anbieter von künstlicher Intelligenz.
Ziel ist hier tatsächlich Rechtssicherheit bei der Verwendung von KI zu schaffen und vor allem,
möchte ich hier wirklich betonen, die Grundrechte natürlicher und juristischer Person zu schützen. Und dafür sieht der AI-Act so eine Risikoklassifizierung vor.
Ob eine AI Lösung, eine Anwendung mit niedrigem Risiko ist
aber auch auf der an der Spitze der Skala äh sogenannter High-Risk-Anwendung und je nachdem,
auf welcher Risikostufe eine solche Anwendung dann landet, sind entsprechende Anforderungen zu stellen an Dokumentationen, an Überwachung, an Folgenabschätzung bis hin dazu, wenn ich wirklich im
high high risk Bereich unterwegs bin, so will ich's mal sagen, gibt es sogar verbotene Anwendungen.
Das heißt, wenn ich das jetzt mal versuche in diese zwei gegensätzigen äh Pole zu,
packen. Also wir haben einerseits datenschutzrechtliche Anforderungen, die dem Grundrechtsschutz dienen. Andererseits das Data-Act, was jetzt mehr sozusagen den Datenfluss ermöglichen soll, den Zugang zu Daten ermöglichen soll.
Wo würdest du jetzt das Ei Act, den AI Act sehen, eher bei den Grundrechts äh Schutz,
Blog bei Team Team Grundrechtsschutz oder bei Team Datenfluss oder ist es vielleicht sogar was dazwischen, wo man sagt, das ist vielleicht sogar die Brücke, insbesondere wenn's dann um um KI geht zu sagen, da habe ich im Zweifelsfall beides drin.
Also meiner persönlichen Meinung nach, da bin ich Team dazwischen. Also wir haben natürlich einmal,
mit den Regelungen, grade auch mit diesen Klassifizierungsstufen, wann ist eine Anwendung high risk? Sind wir schnell in dem Thema,
Grundrechteschutz drin. Natürlich die Anwendung, die eine erhöhte Gefahr für die äh Rechte und Freiheit natürlicher Personen darstellen. Die landen relativ schnell in diesen Klassifizierungsstufen, aber auf der anderen Seite,
Die Daten, die der Data-Act zugänglich machen soll, die fließen natürlich am Ende in die Entwicklung solcher AI-Anwendungen rein. Also AI-Anwendungen können ja nur mit Leben gefüllt werden.
Bin mir unsicher, ob man im Zusammenhang mit AI Anwendungen schon von Leben sprechen sollte, aber diese Modelle, die da entwickelt werden, die können nur gut funktionieren, wenn sie äh entsprechend mit Daten beliefert werden.
Und da ist einfach der der Data-Act am Ende das Vehikel, der Schlüssel, damit ich an diese Daten komme, ohne dass ich einer der großen Anbieter bin.
Muss ich natürlich auch noch mal der Fairness halber sagen, weil das ist an anderer Stelle auch mein mein Mantra, wo ich immer darauf hinweise, dass natürlich auch die DSGVO nicht
nur dem Grundrechtsschutz der betroffenen Personen dient, sondern es soll ja auch sozusagen genau den Rahmen oder den,
Rahmen schaffen, um auf der anderen Seite auch Datenverkehr zu ermöglichen und das, was halt gerne im,
im Artikel eins, Absatz 1 der Datenschutzgrundverordnung halt überlesen wird, ist halt, dass es auch zum freien Verkehr solcher Daten natürlich unterstützen soll. Deswegen also,
da vielleicht nochmal die Erinnerung dran, dass auch die DSGVO selber nicht nur einschließlich dem Schutz der Betroffenen dient, sondern gleichzeitig auch.
Äh für Unternehmen ermöglichen soll zu verarbeiten mit so einem personenbezogenen Daten, geht das so als kleiner Disclaimer dann vielleicht noch.
Vielleicht aus Unternehmenssicht sogar äh bis dahin gehen, dass man sagt, da könnte durchaus auch eine Verpflichtung drin stecken, äh dass man diese Verarbeitung dann vornimmt, um eben den Anforderungen und Zielen der Datenschutzgrundverordnung überhaupt gerecht zu werden.
Absolut. Dann,
Gucken wir mal auf die Abhängigkeiten und das Wechselspiel mit der DSGVO. Das ist vielleicht dafür auch eine ganz gute Brücke, noch mal zu sagen, ne? DSGVO ist halt natürlich wird insbesondere, wenn's um personenbezogene Daten geht relevant, einerseits Schutz
So eine äh natürliche Person. Andererseits dann aber auch Datenverarbeitung zu ermöglichen für Unternehmen unter bestimmten Voraussetzungen. Jetzt kommen halt,
dazu gibt's
Da schon Klarheit drüber, also vielleicht muss man ja dazu sagen, beide Data-Act und AI Act sind noch nicht verabschiedet. Die sind nach wie vor in der Verhandlung auf EU-Ebene. Also wir sind wir sprechen über Entwürfe aktuell,
Ist aber grundsätzlich schon so, dass es halt sehr viel von dem, was zukünftig zu erwarten sein dürfte, was in der finalen Fassung drinsteht, ist doch schon glaube ich klar. Und ich glaube, gerade diese Frage der Verhältnisse zwischen,
datenschutzrechtlichen Vorschriften und dann jetzt den grade angesprochenen Datanai Eye Act.
Kannst du dazu schon was sagen, wie wird das Verhältnis sein? Gibt's da eine Vorrangigkeit? Wie werden die gegebenenfalls nebeneinander stehen und wie muss ich eventuell auch diese Abgrenzung mir dann angucken?
Hm im im jetzigen Stadium des Gesetzgebungsverfahrens, also ganz richtig, beide sind noch nicht verabschiedet.
Beide sind übrigens auch noch ein Stück weit weg von der Verabschiedung. Also beide sind auch noch nicht im Trilogverfahren. Das heißt, wir wir gucken uns gerade tatsächlich die einzelnen Entwürfe an, ohne dass die schon zwischen,
Kommission, Parlament und Rat verhandelt wurden. Ist ein ganz wichtiger Disclaimer an der Stelle. Die die Abhängigkeit und das Wechselspiel auch mit der DSGVO,
glaub die einzige wahre Antwort ist, da wird's zur Abgrenzungsschwierigkeiten kommen, weil beide Gesetze,
heute schon erklären in allen Entwürfen, dass die datenschutzrechtlichen Regeln unangetastet bleiben,
Sei es die Datenschutzgrundverordnung, wird's ganz normal weiterhin geben und wenn ich einen Sachverhalt habe, indem beispielsweise.
Daten fließen sollen, muss ich mir beide Gesetze angucken
Ich werde mit Sicherheit immer erstmal die Frage beantworten müssen, habe ich's hier mit personenbezogenen beziehungsweise personenbeziehbaren Daten zu tun, wo sich die Regeln der Datenschutzgrundverordnung einhalten.
Wenn ich mir dann den AI-Act angucke, muss ich mir im Klaren darüber sein, der AI-Act
mir keine Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Auch da bleibt die Datenschutzgrundverordnung unangetastet. Äh das heißt,
Wir leben grade oder wir erleben jetzt grade live im Rahmen des Gesetzgebungsprozesses. Finde ich immer,
alles mal einfach nur datenschutzrechtlich interessant war an Sachverhalten.
Nimmt jetzt langsam bisschen die Entwicklung hin zum Datenrecht. Auch auf europäischer Ebene. Also ich muss mir im Prinzip in jedem Sachverhalt dann alle Gesetzgebungsakte nebeneinander legen und überlegen, in welchem bin ich denn jetzt genau drin und,
da glaube ich tatsächlich alleine schon, wenn wir heute manchmal darüber diskutieren, werden denn da gerade personenbezogene Daten verarbeitet oder eben nicht, dann liegen die Abgrenzungsfragen heute schon auf der Hand.
Also die
praktische Frage, die sich mir ja stellt, ist, gibt es in Unternehmen nennenswerte Datenverarbeitungen, die heute ohne Personenbezug überhaupt auskommen und
Auf der anderen Seite dann natürlich wiederum die Abgrenzungsfrage, wenn ich davon ausgehe, dass personenbezogene Daten zum Beispiel in meinen Daten enthalten sind.
Muss ich dann davon ausgehen, dass der Data-Act jetzt zum Beispiel, der,
wir Daten Zugriffe zarten Fluss einfordert, trotzdem Anwendung findet oder bin ich da automatisch raus, sobald ich sage, wir sind ja personenbezogene Daten enthalten und dann muss ich mir den Data-Eck gar nicht mehr angucken, weil der ist ja dann gar nicht zuständig.
Ich glaube, es kommt drauf an, aus welcher Richtung man auf diese Gesetze gucken will. Wenn ich beispielsweise jetzt.
Dateninhaber im Sinne des Data-Acts bin, also jemand, der ein digitales Produkt herstellt und ich bin eigentlich dazu verpflichtet, diese Daten dem Nutzer zugänglich zu machen.
Wäre mit Sicherheit meine Sichtweise relativ schnell, dass ich sagen würde, das sind doch personenbezogene Daten, die darf ich doch nicht einfach rausgeben.
Das heißt, ich kann das als Werkzeug ein wenig nutzen. Das ist auch was, was tatsächlich derzeit diskutiert wird. Wenn ich aber jetzt in der anderen
bin. Ich bin nämlich der Nutzer oder vielleicht einer ein vom Nutzer beauftragter Dritter. So was kann's auch im Data-Act geben, dem die Daten dann zugänglich gemacht werden sollen. Dann würde ich immer argumentieren, das sind keine personenbezogenen Daten.
Abgrenzungsfrage ist, glaube ich, nicht,
nicht äh schwarz weiß zu beantworten. Das sind lebende Sachverhalte, das macht's komplex. Das sind sehr komplexe Sachverhalte, über die wir dann sprechen und ich glaube nicht, dass wir heute schon sagen können, wenn ich jetzt einen Sachverhalt habe, in dem.
Daten fließen sollen, da sich immer schnell zu dem Ergebnis kommen, ach nee, das ist ja Datenschutzgrundverordnung. Die muss ich nicht fließen lassen, ist gut. Bis hin zu der Frage,
Das ist aber jetzt tatsächlich auch ein bisschen eine rechtstheoretische Frage.
Man nicht dann auch, wenn der Data-Act sagt, die nicht personenbezogenen Daten sollen fließen, ob es Verpflichtungen geben kann aus personenbezogenen Daten nicht personenbezogene Daten zu machen. Also so was vielleicht wie eine Verpflichtung zur Anonymisierung, dass die Information,
weiter fließen kann. Informationen vielleicht direkter, die Daten tatsächlich, weil eine Information ist es dann nicht mehr über die betroffene Person.
Also das war jetzt auch mein erster Impuls natürlich zu sagen äh gegebenenfalls muss ich,
kann ich sie natürlich anonymisieren oder vielleicht auch pseudonymisieren, je nachdem was äh möglich ist und was auch nachher datenschutzrechtlich vertretbar ist, aber das ist tatsächlich heute noch nicht ganz klar, ob so eine Verpflichtung sich dann daraus ableiten lässt oder nicht.
Ist total ungeklärt, findet sich, ähm muss man ehrlicherweise auch sagen, nicht im Wortlaut dieser Gesetze. Wenn ich aber dann ein bisschen an Sinn und Zweck denke, was der Data-Act ja ermöglichen soll,
könnte ich theoretisch auf so ein Konstrukt kommen. Also ich glaube, da wird's extrem spannende Rechtsfragen geben, mit denen sich der EuGH dann noch zu beschäftigen hat.
Lass uns mal lass uns mal konkret werden, lass uns mal auf ein Beispiel schauen, was würdest du denn jetzt mal einen Sachverhalt haben, wo du sagst, ja da komme ich genau in so einen Konflikt hinein zwischen DSGVO und
vielleicht dem AI-Act.
Also ich glaube einer einer der klassischsten Sachverhalte vielleicht auch weil's gerade en vogue ist im Zusammenhang mit Tschetschi BT und äh dergleichen.
Ich möchte da einfach Daten aus meinem CRM-System verwenden, um eine KI zu trainieren, welche den Kundenservice Dialog selbstständig führt,
Ich glaube, da liegt's ziemlich auf der Hand. Also wir haben dann eine Situation, da werden personenbezogene Daten verarbeitet, nämlich die Daten der Kunden in meinem Unternehmen.
Und wir haben auch eine Situation, da soll eine KI-Lösung verwendet werden, um direkte Kommunikation mit einer betroffenen oder mit einem Menschen, mit einer natürlichen Person durchzuführen.
Ist ja ein Thema, worüber schon lange diskutiert wird. Muss ich so eine KI-Lösung zu erkennen geben? Muss ich aufdecken, dass es eine AI ist, die jetzt grade in einem Chat aktiv ist.
Und immer dann, wenn ich natürlich in diese Situation komme, werde ich mit Sicherheit im AI-Act äh auf jeden Fall in einer der Risikostufen stehen
nicht in der Situation sein, dass dass der AI Act mir sagen wird, dass es gar kein Risiko, du brauchst keine Anforderungen, sondern du wirst auf jeden Fall in der Risikostufe drin sein, du wirst spezifische Anforderungen haben und da werden dann immer,
DSGVO und AI Act in einem Zusammenwirken nebeneinander stehen. Kernfrage an der Stelle natürlich dann auch,
Was ist denn meine Rechtsgrundlage für die Verarbeitung dieser Daten? Und da muss man wirklich sehr differenziert dann drauf gucken, weil,
Natürlich die Verarbeitung der Daten im direkten
Dialog zwischen Kunde und AI Lösung, aber ich habe natürlich auch die Datenverarbeitung zum Training dieser AI-Lösung. Was ist denn da die Rechtsgrundlage?
Ich möcht's hier gar nicht beantworten wollen. Ich will's auch gar nicht versuchen, das zu beantworten. Ähm ich will damit nur aufzeigen,
Werden wir echt an Herausforderungen kommen, weil eben der AI-Act uns jetzt nicht Rechtsgrundlagen an die Hand gibt
zur Verwendung personenbezogener Daten in den Zusammenhängen, sondern wir müssen ganz einfach und wie wir es heute kennen, als Handwerkszeug in Artikel sechs gucken, was könnte denn meine Rechtsgrundlage sein?
Hilft mir denn die der AI-Aid jetzt in diesem Fall zum Beispiel,
zu legitimieren oder beziehungsweise mal zumindest also ich habe verstanden, es gibt keine Rechtsgrundlage da drin. Ich muss in Artikel 6 DSGVO schauen.
Aber hilft mir der zu,
Zumindest mal dann mit einer solchen Rechtsgrundlage sauber zu sein, wenn es darum geht, die Verarbeitung über eine künstliche Intelligenz von personenbezogenen Daten überhaupt auch nachher,
gewissen Rechtssicherheit zu darzustellen im Sinne von ich kann ja nicht jede Verarbeitung, die dort passiert immer
komplett erklären. Also das, was ja heute viel mit KI verbunden wird aus datenschutzkritischer Sicht, ist ja immer am Ende kann ja keiner genau sagen, wie
sind die Daten zustande gekommen, die jetzt verarbeitet wurden, also was hinten rauskommt, weil halt keiner mehr genau sagen kann, wie jetzt der Algorithmus, weil es ja kein Algorithmus mehr ist, sondern ist ja eine künstliche Intelligenz, funktioniert hat. Hilft mir denn an der Stelle der AI Act?
Äh ey I Act wird uns da an der Stelle keine Rechtssicherheit bringen. Also glaube ich nicht, sehe ich derzeit nicht.
Ich glaube, man wird sich dann eher irgendwann die Frage stellen müssen, wenn ich personenbezogene Daten verwendet habe, um so eine Lösung zu trainieren,
Wenn die dann in dem System drin liegen, sind das dann noch personenbezogene Daten, die einzelnen Datenpunkte, die in solchen am Ende sind's ja neuronale Netze, die auf verschiedenen Ebenen zusammenwirken. Sind das noch personenbezogene Daten? Wenn es solche sind?
Dann muss ich natürlich auch weiterhin äh Themen wie Zweckbindung beachten,
Da sehe ich schon Schwierigkeiten. Ich muss Betroffenenrechte erfüllen können. Ich muss Artikel 15 erfüllen können, Auskunft, wie bei Auskunft ich das.
In den Bereich, wir müssen vielleicht Logiken offenlegen, ähm um die es dann da geht und noch spannender und herausfordernder wird's wahrscheinlich bei der Löschung.
Die Systeme sind nicht darauf ausgelegt, dass gelöscht wird äh in ihnen beziehungsweise heute habe ich noch keine Lösung am Markt gesehen, die dann auch diese ja diese,
Punkte wirklich in den Blick nimmt und auch datenschutzrechtlichen Anforderungen gerecht werden will. Der AI-Act wird auf der Spielwiese keine Rechtssicherheit bringen.
Das heißt, ich kann darüber identifizieren, ob ich jetzt in diesem Fall, in diesem Beispiel, den du hattest. Ich habe also einen Service-Dialog, da
kann ich aber zumindest jetzt daraus ableiten mit den Kriterien, die daran enthalten sind. Inwieweit ist es eine risikobehaftete,
Verarbeitung und dann auch daraus ableiten, inwieweit ich darüber Kenntnis dem Betroffenen verschaffen muss im Vorfeld.
Genau, also so kann man's ganz gut umschreiben und ähm was auch noch klar ist, wenn ich eine solche Anwendung entwickle,
Denke ich, bin ich relativ schnell auch ähm in Artikel 35 DSGVO drin. Ich brauche eine Datenschutzfolgenabschätzung und solche Folgenabschätzung sieht auch der AI-Act vor.
Das heißt, wenn ich in diese Situation reinkomme,
mache ich mir durchaus Gedanken, welche Mechanismen muss ich denn vielleicht ergreifen, um den Schutz der personenbezogenen Daten doch irgendwie gewährleisten zu können? Wo sind die Risiken? Wie kann ich denen begegnen?
Und der Eye Act äh macht das Gleiche im Prinzip auf der auf der AI-Ebene. Der sagt, welche Schutzmechanismen müssen denn da ergriffen werden?
Eine solche Lösung nicht dann in die Rechte und Freiheiten eingreift an der Stelle. Und ich glaube, das ist auch ein ganz schönes Beispiel, um zu sehen, dass diese Gesetze dann doch irgendwo in ihren Mechanismen zusammenwirken, weil das Thema Folgenabschätzung,
ist, glaube ich, für einen Datenschutzrechtler nichts Neues. Ähm und diese Kompetenz wird man auch auf der Spielwiese AI Act hervorragend nutzen können.
Also da wäre ja auch zum Beispiel wahrscheinlich andere Mechanismen, also Organisationskriterien wie zum Beispiel so ein Verarbeitungsverzeichnis, was ich habe. Vielleicht auch ein guter,
Anhaltspunkt, um Dinge zu vereinheitlichen, um darüber natürlich dann die gleichen,
Prozesse im Unternehmen nutzen zu können mit vielleicht na zusätzlichen Anforderungen, die ich dann dort abbilden muss, wie eine Folgenabschätzung aus der aus dem AI Act heraus, wobei
wahrscheinlich bei solchen Verarbeitungen auch eine,
Datenschutzfolgenabschätzung vielleicht auch nicht so fernliegend wäre und dann kann man natürlich darüber hervorragend auch wiederum Synergien schaffen, richtig?
Also ich glaube, man kann's wirklich auch mal sehr operativ greifen. Also wenn ich ein schönes Verarbeitungsverzeichnis habe und auch einen schönen Prozess habe, wie eine solche Verarbeitung, die Neues da reinkommt, dann werde ich mit Sicherheit diese,
Prozesse, die ich brauche, verknüpfen können. Ich werde nämlich im Prinzip im Gleichlauf die Verarbeitungstätigkeit anlegen können und mir darüber Gedanken machen können,
in welcher Risikoklassifizierung ist denn meine AI Lösung? Dichter einsetzen will. Das ist für mich aus Unternehmenssicht ein Gleichlauf. Und damit kann ich natürlich auch dokumentieren. Ich erweitere einfach mein Verfahrensverzeichnis, um einen Punkt, nämlich die
Risikoeinstufung dieser Lösung und dann habe ich direkt diese Dokumentation, die erfolgen soll mit
umgesetzt, ohne dass ich das Rad ganz neu erfinde.
Dann lass uns vielleicht auch mal auf ein Beispiel schauen, was wir im berühren würde.
Also wo kommen wir sozusagen auch da vielleicht mal in eine Situation, in der Praxis, die für den Data-Act relevant ist, die aber auch datenschutzrechtlich eine Relevanz haben könnte?
Ich glaube, da finden sich schöne äh Szenarien im Bereich Smart Home.
Jetzt mal fiktiv. Ich bin Anbieter einer Anwendung im Bereich Smart Home, möchte gerne meine Produktpalette erweitern. Dazu benötige ich aber die Daten der anderen vernetzten Geräte im Haushalt.
Alle Daten, die sonst mit vernetzten Geräten im Haushalt erzeugt wurden und da,
Kann man sich auf den Standpunkt stellende Zugang zu diesen Daten, kann ich über den Data-Act erhalten,
Nutzer kann mir nämlich die Möglichkeit einräumen, dass diese Daten zu mir fließen.
Aber natürlich das sind im Haushalt,
die Nutzung vernetzter Geräte erzeugte Daten, also die natürlichen Personen haben diese Daten durch ihre Nutzung erzeugt und dann wird es werden das oft personenbezogene Daten sein. Und da stellt sich schon die Frage,
Da dann mit einer Rechtsgrundlage auch wiederum aus. Jetzt hatte ich das Szenario so gebildet, dass die betroffene Person das möchte,
Denken wir jetzt aber mal vielleicht an an den Haushalt, in dem nicht nur eine Person lebt
sondern in der in dem vielleicht vier, fünf Leute leben. Es kann auch eine WG sein, müssen ja auch nicht immer irgendwie familiäre äh Situationen sein. Da stellt sich dann doch wiederum die Frage,
sind denn diese personenbezogenen Daten zuzuordnen, darf der.
Hersteller des smarten Endgeräts, die sie überhaupt fließen lassen? Oder sagt er das Datenschutzrecht?
Nein, du brauchst eine Rechtsgrundlage dafür, liefer mir die erstmal. Also ich glaube, da werden wir auch in sehr spannende Situationen reinkommen, an denen dann die Ziele von DSGVO,
Insbesondere der Schutz also dieser Persönlichkeitsrechtsschutz neben den anderen Zielen, die es mit Sicherheit auch noch gibt in der Datenschutzgrundverordnung und das Ziel des Data-Acts, nämlich dieser freie Fluss der Information und Zugang zur Information aufeinanderprallen werden.
Die Thematik hätten wir ja heute wahrscheinlich auch schon, wenn ich,
jetzt privat so einen Dienst nutze, wo ich halt meine smarten Geräte alle mit verknüpfen kann. Da melde ich mich jetzt vielleicht an für die gesamte WG, die,
Datenauskunft zum Beispiel nach Artikel 15 DSGVO, die würde ich heute gegenüber dem Anbieter ja auch geltend machen können. Der würde sie wahrscheinlich auch anstandslos mir geben, weil der
fragt ja im Zweifelsfall gar nicht danach,
denn noch andere Menschen in dem Haushalt oder nicht. Er kann's ja auch gar nicht wissen, geschweige denn überprüfen.
Wo entsteht jetzt durch den Data-Act nochmal eine zusätzliche Herausforderung?
Der Data-Act ist ja darauf angelegt,
dieser Datenfluss wirklich erfolgen soll, auch mit den Nichtpersonen bezogenen Daten, insbesondere
Das ist eigentlich sein Anwendungs-Gope, nämlich der Fluss, der nicht personenbezogenen Daten.
Aber Daten natürlich durch durch die Interaktion mit Menschen entstehen, komme ich auf einmal in die Spielwiese Datenschutzgrundverordnung und dann verlasse ich ja den Scope
Data-Acts
Nämlich das, was er ermöglichen will, den Zugang grad zu diesen erzeugten Daten,
immer dann, so glaube ich, wenn die Daten, um die es geht, über die wir da sprechen,
In Interaktion mit natürlichen Personen entstanden sind, sind wir zwangsläufig in diesem Verhältnis, dass wir Abgrenzungsschwierigkeiten haben werden.
Das heißt also, da geht es um sehr viel mehr, sehr viel detailliertere Daten, die ich vielleicht in so einer Datenauskunft gar nicht sehen würde, weil halt vielleicht dann nur über Auskunft wird, welche Stammdaten über mich da sind oder vielleicht
noch welche Geräte ich angemeldet habe,
hier würde es jetzt aber zum Beispiel dann darum gehen, welche Daten die Sensoren zum Beispiel erfasst haben, also da hätte ich einen Zugang zu sehr viel detaillierteren Informationen und könnte dann,
nachvollziehen, wann wurde zum Beispiel die Haustür geöffnet, weil da halt ein ein Türsensor dran ist, der das an den Anbieter gemeldet hat.
Temperatur, Luftfeuchtigkeit, Lärmpegel, Geräuschpegel, äh wie viel Leute haben sich wann in einem Raum wahrscheinlich aufgehalten? Das sind ja alles,
Situationen, Informationen, die ich dann ableiten kann,
Stromverbrauch, Einstellung des Heizungsthermostats,
Die Information darüber, wann mein Kühlschrank mir gesagt hat, dass ich den Joghurt neu bestellen soll. All diese Informationen, um die geht's dann und ich glaube, hier,
Stand heute ist uns noch gar nicht ganz klar und bewusst, welche Information unsere vernetzten Geräte eigentlich erzeugen.
Weil uns der Zugang bisher dazu fehlt. Ich glaube tatsächlich, wenn wir dann mal darüber Einblick erhalten, weil der Data-Act will ja bei Design, dass wir diese Information erhalten, dann wird's plötzlich sehr spannend.
Und ich glaube, es wird eine spannende Phase, wenn auf einmal die Hersteller dazu verpflichtet sind und die Nutzer plötzlich diese Informationen haben, da wird's, denke ich, viele Aha-Momente geben. Und dann wird man wahrscheinlich auch erst die Tragweite und die Möglichkeit hinter diesen rechtlichen Regelungen begreifen können.
Das stelle ich mir auch gerade so vor, ne. Ich mache jetzt so eine äh Datenabfrage, kriege jetzt die Info und kann zu meinem WG-Mitbewohner gehen und sage hier, hör mal, du drehst den Heizkörper immer auf dreiundzwanzig Grad.
Wir hatten uns aber drauf verständigt, dass es bei 12und Grad bleibt. Und dann habe ich ja schon den Stress und der geht dann im Zweifelsfall zum Anbieter und sagt, wie konntest du das herausgeben?
Wäre eine Möglichkeit oder man einigt sich darauf, dass man sich ein smartes KI gesteuertes Demostat besorgt und dann wird's ja automatisch geregelt.
Wäre das dann was für ein AI-Act, wenn das KI gesteuert ist?
Mit Sicherheit, aber ich kann jetzt im Moment noch nicht äh die Risikolage genau sehen, es sei denn,
Ich bin jetzt im bösen Streit mit meinem Mitbewohner nein, Spaß beiseite. Also das wäre mit Sicherheit eine Anwendung, die wir jetzt nicht irgendwie in einem Risikobereich aber wie wir jetzt das Beispiel gestrickt haben, sehen wir auf einmal,
bespringen vom Data-Act in die Datenschutzgrundverordnung, kommen auch wieder beim AI-Act an. Und ich glaube, genau das wird einfach äh unsere Realität werden
im Prinzip wie immer mit so einer kleinen,
Gesetze, Landkarte unterwegs sein müssen und dann beurteilen müssen, je nachdem, wie ein Sachverhalt einfach lebt, wie er sich auch dynamisch entwickelt, wo sind wir denn gerade drin, was müssen wir denn für Anforderungen auf einmal erfüllen?
Und allein der Umstand, dass ich jetzt dieses dieses fiktive Beispiel gebildet habe, ach komm, wir haben dann so ein äh AI,
Thermostat an der Heizung zeigt
Oh, da muss sich jemand Gedanken darüber machen, in welche Risikoklassifizierung kommen wir rein, welche Anforderungen müssen erfüllt werden? Wer soll diese Anforderung überhaupt alle erfüllen? Also da geht auf einmal eine ganz neue,
ja Latte an Pflichten mit auf und Anforderungen, diese einzuhalten gilt die wir heute nicht haben.
Du hattest vorhin schon mal angesprochen, dass es natürlich eine gewisse,
ja eine gewisse Nähe bei der Systematik bei den Methoden auch wahrscheinlich geben wird zum Datenschutz.
Wie würdest du jetzt die Rolle von den Datenschutzbeauftragten oder Datenschutzmitarbeitern im Unternehmen sehen? Müssten die sich jetzt diese Themen alle drauf schaffen? Wird das jetzt für die plötzlich nochmal eine zusätzliche Baustelle, die sie mit bedienen müssen im Unternehmen?
Hm ich würde nicht sagen, die sie mitbedienen müssen, aber die sie mitbedienen können.
Kolleginnen und Kollegen, die sich mit dem Datenschutzrecht beschäftigen,
gewisse Kompetenzen, die glaube ich, andere nicht haben, auch
durchaus, wenn man sich jetzt mal Juristinnen und Juristen anguckt, dann haben Datenschützer immer noch mal einen anderen Blick auf die Themen, nämlich wir gucken uns ja auch Prozesse an
denken im besten Fall Prozesse von Anfang bis Ende und alleine diese Fähigkeit diese Betrachtung vorzunehmen, gepaart damit,
Wir wissen, was eine Folgenabschätzung ist,
Wir wissen, in welche Richtung man abbiegen kann und muss und ich glaube, wir haben seit 2018 auch gelernt, wie man mit Rechtsunsicherheit umgeht. Bei der Auslegung von Gesetzen und da glaube ich, gibt's einfach,
Chancen, dass man diese Menschen in Unternehmen frühzeitig mit in diese Themen einbindet
die ihre Kompetenz da reinbringen können. Deswegen, ich würde das gar nicht aus der Perspektive,
Datenschützer sehen wollen, sondern für mich ist das ein Thema, das muss man aus Unternehmenssicht aufm Schirm haben.
Jetzt mit diesen ganzen Anforderungen konfrontiert bin, dann bin ich glaube ich sehr gut beraten
ich mir meine Leute mit ins Boot hole, die sich mit dem Datenschutzrecht beschäftigen, übrigens losgelöst davon, ob das interne oder Externe sind.
Die Anwendung,
von diesen Gesetzen, das haben wir ja jetzt bei der DSGVO auch gesehen, das ist für Unternehmen, du hast es auch schon angesprochen, das Thema Rechtsunsicherheit ist halt ein großes.
Die Unternehmen haben die Herausforderungen, gerade wenn es um die Datenverarbeitung geht, jetzt bei manchen Sachen ähm zu entscheiden, darf ich das, darf ich das nicht, das führt oft dazu, dass Unternehmen oft auch,
Ja, ich sage mal, vielleicht den ein oder andere, die ein oder andere Überlegung zurückstellen, weil sie nicht sicher sind, ob sie die personenbezogenen Daten verarbeiten dürfen oder nicht?
Deswegen ist natürlich gerade, wenn's jetzt wieder neue Gesetze gibt auf europäischer Ebene, Data-Act, siehst du da auch
Herausforderung gerade auch für Unternehmen, mittelständische Unternehmen, also du bist jetzt in einem großen Konzern, die werden sicherlich eher auch wieder,
Möglichkeiten haben, sich dafür das notwendige Know-How zu holen und Leute auch mit dem Thema zu beschäftigen.
Während ein mittelständisches Unternehmen oder vielleicht auch ein kleines äh Unternehmen da natürlich sehr schneller an Grenzen stößt.
Wie siehst du da die Risiken und und auch die Anwendungsbereiche für diese Unternehmen stehen die vor stehen die vor solchen praktischen Herausforderungen zukünftig?
Ich glaube tatsächlich ja,
Ich meine, der Data-Act äh hat das Herre-Ziel Zugang zu Daten zu schaffen, damit damit Wertschöpfung betrieben werden kann am Ende. Der AI-Act
Ein äh Korsett auf, in dem ich mir im Prinzip, wenn ich diese Lösung einsetzen möchte, ein AI Compliance Managementsystem vorhalten muss, um überhaupt diese Einordnung vornehmen zu können und diese,
Verpflichtungen und Anforderungen dann wiederum umzusetzen, die da rauspurzeln. Ich glaube nicht, dass äh diese Regulierungsdichte zwingend zu Innovation führt,
Glaube tatsächlich, die Gefahr ist heute dann da, dass der der Mittelständler oder auch das kleine Unternehmen.
Sich vielleicht gar nicht darüber bewusst werden kann, welche rechtlichen Risiken da drin lauern können,
Wenn sie sich dessen bewusst werden, glaube ich, wird's oft dazu führen, dass sie sagen, dann lassen wir's lieber,
Weil sie gar nicht die Möglichkeit haben, die Ressourcen darauf zu verwenden, die sauberen Wege in dieser rechtlichen Unsicherheit zu finden,
Es sei denn, das kann man heute noch nicht sagen, dass die
Behörden, die ja auch in diesem Spiel vorgesehen sind, Aufsichtsbehörden auch wieder mit beratenden Funktionen entsprechend ausgestattet werden mit Personal, um hier Angebote zu schaffen.
Nicht ketzerisch sein, aber ich habe die Erfahrung in den letzten Jahren gemacht, dass man im Datenschutzrecht jetzt nicht dafür gesorgt hat, dass,
mit so viel Personal ausgestattet werden, um dieser Beratungsfunktion,
Entsprechend nachkommen zu können.
Da würde ich gleich vielleicht noch mal drauf zurückkommen auf das Thema Aufsichtsbehörden. Hm,
Denke jetzt gerade mal so über diesen Anwendungsbereich. Du hattest ja gesagt, der Data-Act insbesondere für die Anbieter und Nutzer.
Dann hattest du noch von Treuhändern oder so gesprochen glaube ich, die das halt auch quasi dann äh nehmen können. Das ist aber kein,
Also ich sage mal, es ist kein Open Access für Daten darin vorgesehen.
Das ist jetzt nicht so, dass ich damit zum Beispiel aus einer mittelständischen Perspektive heraus vielleicht leichter Zugang zu Daten der großen Player bekomme, weil die jetzt Daten scheren müssen. Das ist das ist nicht der Gegenstand, richtig?
Genau. Also so kann man's glaube ich sagen. Also es ist kein open excess ähm Ansatz.
Es ist allerdings schon so, wenn ich jetzt
Nutzer auch als Unternehmen eines digitalen Produkts bin, bekomme ich ja Zugang zu diesen Daten.
Das ist schon mal eine Möglichkeit, an die Daten ranzukommen.
Und die weitere Möglichkeit ist, die der Data-Act vorsieht, dass ich einen Dritten damit betrauen kann, ihm auch Vollmachten geben darf, dass er auf jeweilige Dateninhaber zugeht, um meine Daten zu erhalten,
um dann mir irgendein tolles Geschäftsmodell anbieten zu können. Auch hier finde ich, ist eigentlich der Bereich Smart Home immer irgendwie sehr greifbar
also was verstehe ich unter Smarthome? Ich habe irgendwie Sensorik aufm Dach, ich habe Sensorik im Keller.
Ich habe äh vernetzte Geräte drin, mein Toaster, mein Kühlschrank, äh all das, der Kaffee kommt raus, weil er schon weiß, äh dass ich morgens irgendwie um halb sieben aufstehe und jetzt kommt einer auf mich zu und sagt,
Lieber Nutzer, wenn du mir erlaubst, dass ich auf alle deine Anbieter deiner smarten Geräte zu
Darf und die mir die Daten liefern, biete ich dir ein wunderschönes Wallet an, mit dem du alles steuern kannst,
eine Lösung wäre heute nicht denkbar, glaube ich,
weil die Hersteller niemals einem Dritten diese Daten in die Hand geben würden,
so einen smarten Zusatzdienst ähm in in den Markt zu bringen. Und da geht schon so eine Tür auf
aber immer in dem Verhältnis,
Der Nutzer muss irgendwie dann da sein Go gegeben haben, damit's weiterfließt. Es geht nicht, dass der Anbieter einer neuen Lösung, eines solchen Wollets beispielsweise.
Direkt auf die Dateninhaber zugeht. Diesen Anspruch gibt's nicht. Den hat der Data-Act nicht vorgesehen. Glaube ich, ist auch richtig.
Aber wir sprechen hier tatsächlich schon im Gegensatz auch zu so einem Auskunftsrecht nach 15 DSGVO, wo ich einmalig quasi jetzt was bekomme, schon über einen regelmäßigen Zugang auch. Das heißt, ich kann jetzt über so eine äh Anbieterfunktion halt
quasi eine Schnittstelle verlangen, dass ich darüber dann auch regelmäßig diese Daten erhalte.
Schnittstelle regelmäßig in Echtzeit. So
in den Entwürfen. Ähm kann man sich natürlich jetzt gut vorstellen,
gibt's mit Sicherheit Player, die finden das gerade nicht so gut, ähm dass dieser Anspruch dadrin generiert wird. Da wird heftig drüber gestritten,
man vielleicht gewisse Zeit in der Walle vorsieht. Es wird heftig darüber gestritten. Wer bezahlt das denn?
Wer bezahlt denn die Schnittstelle, gerade wenn's erstmalig äh eine Schnittstelle geben soll, also im Prinzip die ganze digitale Infrastruktur, die da drinsteckt,
Da glaube ich, wer alles einen Blick in die Glaskugel, wenn man heute sagt, so ist es. Äh ich glaube, es wird noch ganz spannend, was da am Ende wirklich bei rauskommt, wenn der Data-Act mal durch den Trilog ist.
Die Aufsichtsbehörden ja schon angesprochen, ein bisschen bezweifelt, dass es für die überhaupt die Kapazitäten auch für Beratungen gibt. Ist denn überhaupt schon klar, wer die Aufsichtsbehörde werden soll dann für diese Acts?
Noch nicht final,
Beim Data-Act setzt sich zumindest nach meiner Beobachtung gerade durch, dass auch die Datenschutzaufsichtsbehörden da eine Rolle spielen werden, dass sie da mit neuen Zuständigkeiten ausgestattet werden.
Da ist mit Sicherheit noch nicht geklärt, ob das alleine auf europäischer Ebene passieren wird oder ob dann auch
Sind's ja gewohnt in Deutschland mit mehreren Aufsichtsbehörden mitunter zu tun zu haben. Ob das dann auch wieder gestückelt wird an der Stelle. Beim AI-Act wird ein bisschen drüber diskutiert, ob das nicht was wäre für die BNEXA beispielsweise in Deutschland.
Oder auch fürs BSI ist auch denkbar, muss man abwarten. Ich glaube, da ist auch noch nicht final geklärt.
Nicht ich glaube ich weiß, es ist noch nicht final geklärt äh in der Beobachtung des Gesetzgebungsverfahrens ähm wer tatsächlich da die Aufsichtsbehörden werden.
Ich glaube allerdings jetzt beim Data-Act liegt's nahe, dass man da mal in die DSGVO guckt, wie man's da gemacht hat. Und da finden sich auch in den Entwürfen schon entsprechende Passagen, die das erkennen lassen.
Gut, jetzt hast du vorhin ja auch schon gesagt, wir sprechen hier noch über ein sehr frühes Stadium.
Wir sind noch entfernt vom Dialog. Hast du ein Gefühl für die Timeline? Wann können wir überhaupt mit einer Veröffentlichung der finalen Texte rechnen?
Frühestens.
Es ist aktuell so, die die jetzige Legislatur geht noch bis Mai nächsten Jahres und die ähm,
Trilogteilnehmer sind haben sich das Ziel gesetzt es in dieser Legislatur über die Bahn zu bringen,
Wenn man aktuell auf den Data-Act guckt, kann's durchaus sein, dass der Trilog jetzt relativ schnell losgeht. Das heißt, dass äh Kommission, Parlament und Rat
schnell in die Verhandlung einsteigen,
Ich glaube, es ist auch nicht unrealistisch, dass AI Act und Data-Act vielleicht Ende diesen Jahres noch über die Rampe gehen,
Überraschung jederzeit möglich. Also es kann auch durchaus sein, dass man sich relativ fix einigt und im Sommer steht da auf einmal irgendwas. Aber ganz wichtig, in beiden Gesetzen gibt's auch wieder diese Übergangsfristen, die wir auch aus der DSGVO kannten.
So ist zum Beispiel jetzt grade beim Data-Act in einem der letzten Entwürfe, die ich ähm gesehen hatte, eine Frist von 24 Monaten vorgesehen, bis dann wirklich anwendungspflicht da ist, heißt,
Wenn ich jetzt mal den Blick in die Glaskugel wage, würde ich sagen, dieses Jahr könnte's noch zu einer Verabschiedung kommen. Dann haben wir zwei Jahre Zeit,
Anwendungspflicht und das wird, glaube ich, die Zeit sein, in der man sich dann auch äh zurecht ruckeln muss und überlegen muss, wie man umsetzt.
Also vor 225 wahrscheinlich keine Anwendungspflicht.
Gehe ich, Stand heute tatsächlich nicht von aus, um vielleicht auch noch mal so ein bisschen,
den Blick in diese Gesetzgebung in Brüssel ein bisschen zu legen. Ähm es gibt tatsächlich Diskussionen darüber, dass man sagt,
Wir wissen, dass es vielleicht nicht so das Gelbe vom Ei, was wir da jetzt gerade ähm auf die Straße bringen wollen. Das
wird mit Sicherheit für Rechtsunsicherheit sorgen und die Abgrenzungsfragen sind ungeklärt, aber wir bringen's mal über die Rampe in dieser Legislatur und in der nächsten gucken wir dann, wie wir die Gesetze vielleicht aneinander anpassen und gewisse, ja,
Abgrenzungsfragen vielleicht klären können.
Ja, das mit der Überprüfung hat er bei der DSGVO schon sehr hervorragend geklappt mache ich mir große Hoffnung. Aber gut, wir werden äh wir werden sehen.
Vielleicht noch mal, weil wir ja ähm eingangs auch DSA und
DMA durchgegangen sind, da nur nochmal auch zur Klarheit, die sind schon verabschiedet, die wurden Ende letzten Jahres verabschiedet, da sind auch die Unternehmen teilweise natürlich sehr viel früher in der Anwendungspflicht.
Teilweise schon jetzt im Mai diesen Jahres und teilweise auch dann in vierundzwanzig, also das nur noch mal zur Klarstellung. Dann würde ich
Sagen, ich glaube, das haben wir einmal ganz gut jetzt hoffentlich durch äh durchgearbeitet und ein bisschen Klarheit reingebracht. Fehlt dir noch irgendwas sehr Wichtiges, was du auf jeden Fall noch loswerden willst, bevor ich nochmal eine kurze Zusammenfassung mache?
Ja, eine Sache fehlt mir tatsächlich. Ist mir aber gerade auch erst selbst aufgefallen. Wir haben bisher sehr viel darüber gesprochen, was passiert da inhaltlich,
Wunderbare Möglichkeiten, um an Daten zu kommen. AI Act, ja, Herausforderungen, wenn man so Risikoklassifizierung vornehmen muss, um dann eine AI auch in Betrieb zu halten.
Der Gesetzgeber ist aber durchaus konsequent
und denkt auch an Konsequenz, weil er beides natürlich mit einem soliden Bußgeldrahmen abfedert und mein persönlicher Eindruck ist, dem Gesetzgeber reichen diese vier Prozent des Vorjahresumsatzes nicht mehr ganz aus der DSGVO.
Plötzlich tauchen da die sechs Prozent auf und ich glaube damit, dass es wirklich eine Aussage. Also da will man Nachdruck ähm,
Verleihen, indem er sagt, äh diese Gesetze kommen und geht bitte nicht davon aus, dass ihr die einfach nicht anwenden sollt oder vielleicht sagt, jo, das sind's wieder was aufm Papier, was da entstanden ist.
Deswegen das glaube ich ist noch mal ganz wichtig, dass es auch hier wieder Bußgeldtatbestände gibt, wenn ich beispielsweise ein
Ein solches AI-Complice-System gar nicht vorhalte. Das ist so ein Klassiker, Bußgeldtatbestand ausm AI-Act und im Data-Act ist es einer, wenn ich nicht bei Design äh den Datenzugang ermögliche.
Okay, also auch da wird's scharfe Schwerter geben für die Aufsichtsbehörden, wenn sie denn später mal feststehen. Und ja, da ist vielleicht auch das der Aufsichtsbehörden im Bereich
dann was wovon sie profitieren werden dann da vielleicht sogar schneller zu einer Durchsetzung zu kommen, weil sie dann ja jetzt schon ein bisschen geübt sind von den Datenschutzthemen. Okay,
Vielen Dank. Ich äh würde nochmal kurz zusammenfassen, was was mich sozusagen jetzt im Wesentlichen vor allen Dingen,
doch was ich mitgenommen habe. Also zum einen, dass wir im also im,
was die künstliche Intelligenz regeln soll, keine Rechtsgrundlagen finden, das ist auch eine äh gleiche Sache, auch im Data-Eck, keine Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten.
Natürlich grade bei den AI Themen auch dadurch durchaus nochmal Herausforderungen haben für Betroffenenrechte, insbesondere was auch so Löschung, Auskunft nachher angeht, wenn natürlich in diesem System,
sehr fragmentiert vielleicht, aber doch Daten drin gespeichert werden. Auf der anderen Seite für die Unternehmen und für die Datenschützer immer auch zu gucken,
beiden Gesetzen heraus die Anforderungen zu schauen, wie gut können die in die Datenschutzprozesse integriert werden, wie gut kann man Synergien nutzen durch Methoden und Prozesse, die man halt schon hat und die man dann halt auch für diese Anforderungen,
dann nachher heranziehen kann. Beim Data-Eck
deutlich mehr Abgrenzungsschwierigkeiten, insbesondere nachher bei der Frage, auch was für Verpflichtungen entstehen, für die Unternehmen, vielleicht Daten zu anonymisieren oder zu pseudonymisieren.
Einschließlich aller Rechtsfragen auch im datenschutzrecht, die sich daraus wieder ergeben. Wir vergessen, dass äh dürfen nicht vergessen, dass auch für die Anonymisierung ja eine Rechtsgrundlage nach Auffassung der Aufsichtsbehörden zumindest notwendig ist.
Aber auch hier haben wir natürlich am Ende wieder die Synergien in den Methoden und Prozessen, die wir halt nutzen können.
Das Thema Zugang ist vielleicht noch mal spannend, weil man das halt nicht nur als Betroffener selber dann nutzen kann, sondern man kann es halt,
ermöglichen Vollmachts basiert die Daten dort zu verarbeiten und halt über eine Echtzeit Zugang zum Beispiel auch wirklich neue,
Dienste, Leistungen zu erzeugen und bereitzustellen. Das Thema Aufsicht ist noch ein Stück weit unklar, wer die Aufsicht nachher wirklich übernehmen wird.
Und was die Zeitschiene angeht, da ist zumindest mal nicht unrealistisch, dass wir da vielleicht sogar bis zum nächsten Jahr finale Versionen haben in der Übergangsfrist, sodass man Ende zwanzig fünfundzwanzig, Anfang zwanzig, 6undzwanzig vielleicht sogar schon über eine Anwendung,
brechen könnte. Das
Steht natürlich ein Stück weit in den Sternen und wir werden dann natürlich berichten hier in unseren Podcasts, insbesondere natürlich in den Datenschutznews.
Da auch Neuerungen gibt.
Wir können uns gerne für Juni nächsten Jahres verabreden, dann gucken wir auf die verabschiedeten Gesetze und bewerten die.
Das
nehme ich dir heute ab, dass wir das tun werden und ich freue mich drauf, weil dann ist es natürlich immer noch mal schön, wenn man wirklich auch nochmal tiefer in die Details reingehen kann. Das haben wir jetzt heute bewusst nicht getan, weil halt einfach noch zu
auch unklar ist. Das macht wenig Sinn aus meiner Sicht jetzt über,
Fragen zu diskutieren, die einfach nachher vielleicht sich so gar nicht stellen, weil's nachher anders im Gesetz drinstehen wird, aber,
Bis hierhin schon mal, vielen Dank, Max, für deinen wertvollen Input. Ich fand's sehr informativ und ich hoffe, unsere Zuhörenden sehen das ähnlich. Von daher ganz, ganz herzlichen Dank an dich.
Sehr gerne, hat mir viel Spaß gemacht.
Dann freue ich mich natürlich sehr, wenn wir das im äh nach Verabschiedung, sei es jetzt im Juni nächsten Jahres oder auch zu einem anderen Zeitpunkt gerne fortsetzen können,
Ihnen liebe Zuhörer und Zuhörerinnen äh danken wir natürlich auch sehr herzlich fürs Interesse, auch für den Vorschlag nochmal ganz herzlichen Dank.
Wir freuen uns auch, wenn vielleicht Dinge noch unklar sind oder wenn sie wichtige Ergänzungen haben, die wir vielleicht heute nicht angesprochen haben. Sie finden in den Shownotes auch den Link zur Folgenseite, wo sie gerne kommentieren können,
da auch regelmäßig rein und äh greifen das gerne auch wieder auf. Wir freuen uns natürlich auch ansonsten über jedes Feedback
Kanäle kennen sie, ich wiederhole es aber trotzdem nochmal. Sie fühlen uns auf Twitter Unter DS Unterstrich Talk. Sie finden uns auf Instagram unter Datenschutztalk Unterstrich Podcast. Sie finden uns auf Link den unter Datenschutz bei Migosense.
Und Sie können uns natürlich auch gerne eine E-Mail schreiben an Datenschutztalk at Migoszins Punkt DE. Also, ganz viele Möglichkeiten. Wir freuen uns und damit,
Verabschieden wir uns. Bleiben Sie uns gewogen und auf bald.