Datenschutzwoche

#195

EU-Kommission veröffentlicht Liste der Unterzeichner des GPAI-Verhaltenskodex

Die Europäische Kommission hat die endgültige Fassung des Verhaltenskodex für „Code of Practice for General Purpose AIs (GPAIs)“ vorgestellt und eine Liste der bisherigen Unterzeichner veröffentlicht. Dazu gehören u. a. Amazon, Google, Microsoft, IBM, OpenAI, Anthropic, Aleph Alpha, Mistral AI und ServiceNow. Die Liste wird fortlaufend aktualisiert.

Der Kodex wurde von 13 unabhängigen Expertinnen und Experten erarbeitet; die Beiträge zahlreicher Anspruchsgruppen – darunter Modellanbieter, KMU, Wissenschaft und KI-Sicherheit – sind eingeflossen.

Der Kodex ist ein freiwilliges Instrument, das die Einhaltung der Vorgaben der KI-Verordnung (KI-VO) unterstützen soll, die seit dem 2. August 2025 gilt. Durchgesetzt werden sie vom AI Office der Kommission ab August 2026 für neue Modelle und ab August 2027 für bestehende Modelle.

Der Kodex gliedert sich in drei Kapitel: Das Kapitel „Transparenz“ enthält ein standardisiertes Dokumentationsformular, mit dem Anbieter ihre gesetzlichen Informationspflichten nach der KI-VO strukturiert erfüllen können. Im Kapitel „Urheberrecht“ werden praxisnahe Vorgaben bereitgestellt, die Unternehmen bei der Umsetzung der EU-Urheberrechtsvorgaben unterstützen und Rechtssicherheit im Umgang mit Trainings- und Ausgabedaten schaffen sollen. Das dritte Kapitel, „Sicherheit und Schutz“, richtet sich speziell an Anbieter besonders leistungsfähiger Modelle, die mit systemischen Risiken verbunden sind. Hier werden konkrete Maßnahmen beschrieben, die Gefahren durch Fehlfunktionen oder Missbrauch minimieren sollen.

Damit bietet der Kodex sowohl allgemeinen Anbietern als auch Entwicklern fortgeschrittener Systeme einen Orientierungsrahmen, wie die Anforderungen der KI-VO erfüllt werden können. Ziel ist es, eine verlässliche Selbstverpflichtung der Branche zu fördern, die den Verwaltungsaufwand reduziert und zugleich die Einhaltung zentraler Rechtsnormen gewährleistet.

Zwischen technischer Abhängigkeit und digitaler Souveränität - BSI-Präsidentin Claudia Plattner zu ausländischen Clouddiensten

Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird Deutschland noch viele Jahre auf Technologien aus den USA angewiesen bleiben. „Wir haben technologische Abhängigkeiten an ganz vielen Stellen“, sagte BSI-Präsidentin Claudia Plattner der Deutschen Presse-Agentur. Es sei unrealistisch zu glauben, dass Deutschland kurzfristig eigene Alternativen entwickeln könne. Zwar gebe es Fortschritte, doch hätten große US-Unternehmen durch hohe Investitionen bereits einen Vorsprung von rund zehn Jahren.

Behörden bräuchten daher Strategien, um zu entscheiden, welche Technologien sie einkaufen und wie sie ihre Kontrollmechanismen sichern. Als Beispiel nannte sie die eigene Behörde.

Das BSI hatte im Februar eine Vereinbarung mit Google Cloud unterzeichnet, um Cloud-Systeme für die staatliche Verwaltung zu entwickeln. Die Gesellschaft für Informatik kritisierte diese Zusammenarbeit, weil die Rechtslage in den USA, speziell der Cloud Act, US-Behörden den Zugriff auf Daten außerhalb der USA ermöglicht, so dass eine echte Souveränität ausgeschlossen sei.

Internationale Nachrichten

Israel: Am 14. August 2025 ist in Israel eine umfassende Reform des Datenschutzrechts in Kraft getreten, die den Datenschutz stärken soll. Unter anderem müssen Unternehmen in Zukunft Datenschutzbeauftragte benennen, striktere Informationspflichten erfüllen und spezifische Vorgaben für Datenhändler sowie die Verarbeitung sensibler Daten beachten. Mit der Reform strebt Israel eine Annäherung an die DSGVO und internationale Standards an. Daneben liegt ein eigenständiger Fokus auf Cybersicherheit und proaktiver Regulierung. Unternehmen im israelischen Markt müssen ihre Compliance-Strukturen schnell anpassen, um empfindliche Sanktionen zu vermeiden.

Aktuelle Gerichtsentscheidungen

Bundesarbeitsgericht, Urteil vom 08.05.2025, Az. 8 AZR 209/21 (Volltext): Immaterieller Schadenersatz – Die Verarbeitung personenbezogener Daten, um eine neue Personalverwaltungssoftware zu testen, kann nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO zur Wahrung der berechtigten Interessen des Arbeitgebers gerechtfertigt sein, sofern entpersonalisierte "Dummy-Daten" zur Erreichung des Testzwecks nicht ausreichen.
Bundesgerichtshof, Urteil vom 13.05.2025, Az. VI ZR 186/22 (Volltext): Immaterieller Schadenersatz – Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zu einer Entschädigung gemäß Art. 82 Abs. 1 DSGVO führen.
AG Wesel, Urteil vom 23.07.2025, Az. 30 C 138/21 (Volltext): Immaterieller Schadenersatz wegen Fehlversand – Infolge der durch die Beklagte vorgenommenen und kausal durch den Verstoß gegen Art. 5 Abs. 1 lit. d) DSGVO erfolgten, irrtümlichen Versendung war den Klägern die Kontrolle darüber entzogen, welchem Personenkreis die den Beklagten zur Verfügung gestellten und in der Steuererklärung aufgegriffenen personenbezogenen Daten zugänglich waren. Ob die Zeugen den von der Beklagten in Gang gesetzten Kausalverlauf durch das eigenmächtige Öffnen des Briefs unterbrochen haben, ist für den Schadenseintritt unerheblich, da dieser bereits zuvor mit der Versendung des Briefs eingetreten war. [...] Die Sensibilität der Daten erfordert den zugesprochenen Ausgleich, ein Schmerzensgeld von mehr als 500,00 EUR ist aber nicht gerechtfertigt, da nicht festgestellt werden konnte, dass überhaupt ein Dritter von den Daten Kenntnis genommen hat.
OLG Schleswig, Urteil vom 12.08.2025, Az. 6 UKI 3/25 (juris): Entwicklung und Verbesserung von KI-Modellen durch Meta – Der Senat ist der Auffassung, dass die vermutete Dringlichkeit für das klägerische Begehren im Sinne von § 12 UWG durch den Vortrag der Verfügungsbeklagten widerlegt ist, da die Verfügungsklägerin durch die Ankündigungen der Verfügungsbeklagten bereits längere Zeit vor dem Beginn des beanstandeten Verhaltens Kenntnis von demselben hatte. Die Verfügungsbeklagte hat es trotz Kenntnis dieser eindeutigen Ankündigungen unterlassen, bis einen Monat nach Beginn der angekündigten Handlungen um einstweiligen Rechtsschutz nachzusuchen.

Neuigkeiten aus den Aufsichtsbehörden

Der Bayerische Landesbeauftragte für den Datenschutz: „Privacy in Bavaria - Neues für bayerische öffentliche Stellen“– Pressemitteilung vom 12.08.2025
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Gefragte Informationsbroschüre aktualisiert“– Pressemitteilung vom 13.08.2025
Datenschutzaufsicht Niedersachsen: „Einschulung, Fotografieren, Datenschutz – das geht zusammen“– Pressemitteilung vom 14.08.2025

Weitere Ausgaben