Tag: EDPB

EDSA Meinung zu KI

Der EDSA hat aufgrund von Fragen der irischen Aufsichtsbehörde eine Meinung zur Verarbeitung personenbezogener Daten in KI Systemen und Modellen veröffentlicht. Dabei wird auf die Entwicklung und die Bereitstellung von solchen Modellen Bezug genommen. Die Fragen umfassten:

  1. Ob das fertige Modell, welches mit personenbezognen Daten trainiert wurde in jedem Fall unter die Definition personenbezogener Daten fällt oder ob diese auch nur noch anonyme Daten aufweisen kann?
  2. Wie der Verantwortliche die Angemessenheit des berechtigten Interesses als Rechtsgrundlage, sofern er sich auf diese bei der Entwicklung oder Bereitstellung stützt belegen kann?
  3. Wie der Verantwortliche ein berechtigtes Interesse beim Post-Training belegen kann?
  4. Wie sich die rechtswidrige Verwendeung von personebezogenen Daten in der Entwicklung eines KI-Modells auswirkt, anbhängig davon ob dieses in der Verwendung personenbezogen Daten nutzt?

 

EDSA Meinung zur einheitlichen Interpretation der Bestimmungen über Auftragsverarbeitung

Der EDSA hat aufgrund von Fragen der dänischen Aufsichtsbehörde eine Meinung zur einheitlichen Auslegung der Bestimmungen über Auftragsverarbeiter (Art. 28 DSGVO) veröffentlicht. Darin beschäftigt er sich mit den Auslegungsfragen ob ein Verantwortlicher alle Unterauftragsverarbeiter in einer Auftragsverarbeiterkette identifizieren muss und kommt zu dem Schluss das dies gegeben sein muss. Es reicht nicht nur die erste Ebene von Auftragsverarbeitern zu kennen. Weitere Themen sind, inwieweit der Verantwortliche innerhalb der Auftragsverarbeiterkette die technischen und organisatorischen Maßnahmen, die vertraglichen Bindungen und das Erfüllen der Anforderungen des Verantwortlichen überprüfen und dokumentieren muss. Weitere Themen sind der Drittstaatstransfer im Wege einer Auftragsverarbeitung, bestimmte vertragliche Bestimmungen (zB das  Abstellen auf gesetzliche Bestimmungen denen der Auftragsverarbeiter unterliegt) und inwieweit das Risiko der Verarbeitung einen Einuss auf all diese Pfichten hat.

EDSA Richtlinie zum berechtigten Interesse

Der EDSA hat eine Richtlinie zum überwiegenden Interesse gemäß Art. 6(1)(f) DSGVO zur öffentlichen Konsultation herausgegeben. Darin wird festgestellt, das die Kriterienˆ

  • des Verfolgen eines überwiegenden Interesses des Verantwortlichen oder eines Dritten,ˆ
  • der Notwendigkeit personenbezogene Daten dafür verarbeiten zu müssen
  • undˆ dass diesem Interesse keine schutzwürdigen Interessen der Betroffenen entgegenstehen

auch tatsächlich einer Einschätzung unterzogen werden müssen. Eine pauschale Annahme reicht nicht aus. Daraus kann gefolgert werden, dass dies auch zu dokumentieren ist. Aufgrund der Informationspfichten der Art. 12, 13 und 14 sieht die Richtlinie auch vor, das die Abwägung der Interessen den Betroenen zur Kenntnis gebracht werden kann. Zumindest die Information, dass die Betroenen dies verlangen können, hat der Verantwortliche zu erbringen.

EDSA zu CSA und Chatkontrolle

Der Europäische Datenschutzausschuss hat basierend auf der gemeinsamen Stellungnahme mit dem Europäischen Datenschutzbeauftragen sich erneut zum Stand der CSA-Verordnung (Entwurf einer Verordnung zur Verhinderung und Schutz sexuellen Mißbrauchs von Kindern) geäußert. Unter den umstrittenen Punkten dieses Gesetzes sind die sogenannte Chat-Kontrolle (müssen Provider den Strafverfolgungsbehörden Möglichkeiten bieten die Ende zu Ende Verschlüsselung aufbrechen zu können) und wie weit Anordnungen zur Ermittlungstätigkeit in den Schutzbereich Dritter eingreifen dürfen. Der EDSA sieht zwar Fortschritte zum Schutz der Privtasphäre durch die Änderungsvorschläge des EU Parlamentes, stellte aber fest, dass die Bestimmungen zum Teil noch immer zu ungenau sind.