DSB – Datenschutz-Berater

Laurenz Strassemeyer – Schriftleitung – Datenschutz-Berater

Onlineshops könnten sich schon bald für KI-gestützte Agenten öffnen, die eigenständig Produkte suchen, Preise vergleichen und Bestellungen abschließen sollen. Nicht mehr der Mensch navigiert den Shop, sondern eine Softwareroutine in seinem Auftrag. Das Versprechen ist groß: Beide Seiten sollen profitieren. Käufern werden Bequemlichkeit und Preistransparenz versprochen, Anbieter von Shopsystemen testen bereits entsprechende Schnittstellen und Shopbetreiber erhoffen sich Reichweite, neue Kunden. Die datenschutzrechtlichen Folgen preist bislang keine Seite ein. Dieser Beitrag skizziert sie.

Die KI-VO verpflichtet die Mitgliedstaaten gemäß Art. 113 bis zum 2.8.2025 die für die Umsetzung der KI-VO zuständigen Behörden zu benennen. In Deutschland wurde noch kein nationales Umsetzungsgesetz erlassen. Nachdem sich der erste Entwurf der Bundesregierung infolge des Bruchs der Regierungskoalition durch das Prinzip der sachlichen Diskontinuität erledigt hat, veröffentlichte die Bundesregierung am 13.2.2026 einen neuen Entwurf für ein Gesetz zur Durchführung der Verordnung über künstliche Intelligenz (BT-Drs. 21/4594). Kern des KI-MIG ist die Aufsichtsstruktur über KI-Modelle und KI-Systeme in Deutschland. Es bleibt zu prüfen, ob der Gesetzesentwurf nunmehr den europarechtlichen Anforderungen der KI-Verordnung und Anforderungen des nationalen Verfassungsrechts entspricht.

Philipp Quiel Schriftleitung Datenschutz-Berater

Datenschutzhinweise, Datenschutzerklärung, Privacy Policy oder wie auch immer die Dokumente zur Umsetzung der Informationspflichten aus Art. 13, 14 DSGVO genannt werden: Ungeachtet der Pflicht des Verantwortlichen zu deren Übermittlung (Art. 12 Abs. 1 Satz 1 DSGVO), Mitteilung (Art. 13 Abs. 1, 14. Abs. 1 DSGVO) oder Bereitstellung (Art. 13 Abs. 2, Art. 14 Abs. 2 DSGVO) „in einer klaren und einfachen Sprache“ toben sich seit beinahe einem Jahrzehnt Jurist:innen, Vertriebs- und Marketingmitarbeitende an ausufernden Textwüsten aus, in denen – gerne auch über die gesetzlichen Vorgaben hinaus – liebevoll und detailliert die Datenverarbeitungen beschrieben werden. Doch sind es wirklich diese Inhalte, die der EuGH meint, wenn er die Erfüllung der Informationspflichten zur Voraussetzung für die Rechtmäßigkeit diverser Datenverarbeitungen macht?

IT-Sicherheit ist das Gebot der Stunde. Allein im Jahr 2024 ist durch Cybercrime nach der Studie Wirtschaftsschutz des BITKOM e. V. ein Schaden von 178,6 Mrd. Euro entstanden. Um Angriffen auf die IT-Infrastruktur eines Unternehmens präventiv entgegenzuwirken, sollten Penetrationstests (Pentests) ein essenzieller Baustein in der IT-Sicherheitsarchitektur eines jeden Unternehmens sein. Nicht selten sind die Tests sogar gesetzlich vorgeschrieben. Bei dieser IT-Sicherheitsmaßnahme gibt es jedoch einige datenschutzrechtliche Stolpersteine zu beachten. Zudem stellt sich die Frage, wie weitreichend das Unterrichtungs- und Mitbestimmungsrecht des Betriebsrats ist. Die Antwort hängt im Wesentlichen davon ab, inwieweit das jeweilige Unternehmen zur Durchführung von Pentests verpflichtet ist.

Die Transkription von Videokonferenzen zählt heute zu den verbreitetsten praktischen Anwendungsfeldern von KI‑Technologien in Unternehmen. Softwarelösungen erstellen nahezu in Echtzeit Mitschriften, strukturieren Inhalte, identifizieren Sprecherwechsel und ermöglichen eine bis vor wenigen Jahren unvorstellbare Effizienz in der Dokumentation. Für Unternehmen bedeutet dies erhebliche Vorteile, jedoch ergeben sich daraus auch datenschutz- sowie auch strafrechtliche Fragestellungen. Dieser Beitrag beleuchtet, wie eine KI-gestützte Transkription datenschutzrechtlich zulässig ausgestaltet werden kann, inwieweit die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO tragfähig ist und welche Rolle das für die strafrechtliche Befugnis spielt.

Systeme, die Emotionen lesen. Hotlines, die Konflikte entschärfen bevor der Kunde überhaupt wütend wird. „Semantische Intelligenz“ verspricht Effizienz, Qualität, Kundenzufriedenheit. High-Tech Revolution im Kundenservice – High-Risk im Datenschutz? Emotionserkennung, Sprachmusteranalyse, Echtzeitbewertung: Was als Instrument für Kundenzufriedenheit gemeint ist, analysiert gleichzeitig auch die Emotionen von Beschäftigten. Reguliert der Betriebsrat bald „Neusprech“ und „Doppeldenk“?

Die aufsichtsbehördlichen Einschätzungen hinsichtlich Microsoft 365 (M365) verändern sich langsam, aber stetig. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hatte 2020 in einer umstrittenen Entscheidung Office 365 noch faktisch abgelehnt und diese Position dann 2022 abgeschwächt. Die niedersächsische Aufsichtsbehörde (LfD Nds) und der Europäische Datenschutzbeauftragte (EDSB) haben den Einsatz von Microsoft 365 zuletzt für akzeptabel gehalten. Nun geht der hessische Datenschutzbeauftragte noch weiter. Er schreibt den Verantwortlichen aber auch eine Reihe von Aufgaben und Hinweisen ins Pflichtenheft.

Mit dem EU Data Act tritt ein neues Regelwerk in Kraft, das die Spielregeln für Cloud- und insbesondere SaaS-Anbieter grundlegend verändert. Insbesondere die neuen Pflichten zu Datenportabilität, Interoperabilität und Anbieterwechsel setzen etablierte Geschäftsmodelle unter Druck. Für Datenschutzbeauftragte und Vertragsverantwortliche bedeutet das: Die bisherige Vertrags- und Datenschutzpraxis muss umfassend überprüft werden. Wer seine Alt-verträge, AGB und Auftragsverarbeitungsverträge jetzt nicht anpasst, riskiert nicht nur Compliance-Lücken und Bußgelder, sondern auch eine Kundenabwanderung durch Sonderkündigungen.