EU: EDPB verabschiedet endgültige Leitlinien zur Berechnung von Geldbußen nach der Datenschutz-Grundverordnung
Der Europäische Datenschutzausschuss (EDPB) gab am 7. Juni 2023 bekannt, dass er die Leitlinien für die Berechnung von Bußgeldern im Rahmen der Datenschutz-Grundverordnung (DSGVO) angenommen hat. Der EDSB erklärte, dass die Leitlinien darauf abzielen, die von den Datenschutzbehörden zur Berechnung von Bußgeldern verwendete Methodik zu harmonisieren und harmonisierte Ausgangspunkte vorzusehen. Der EDSB stellte fest, dass drei Elemente berücksichtigt werden: (i) die Kategorisierung der Verstöße nach ihrer Art, (ii) die Schwere des Verstoßes und (iii) der Umsatz eines Unternehmens.
Im Einzelnen wird in den Leitlinien eine fünfstufige Methodik dargelegt, und zwar
Ermittlung der Verarbeitungen in einem Fall und Bewertung der Anwendung von Artikel 83 Absatz 3 der DSGVO;
Ermittlung des Ausgangspunkts für die weitere Berechnung auf der Grundlage einer Bewertung von:
der Einstufung;
der Schwere des Verstoßes; und
des Umsatzes des Unternehmens als ein relevantes Element, das im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße zu berücksichtigen ist;
Bewertung erschwerender und mildernder Umstände im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des für die Verarbeitung Verantwortlichen/Verarbeiters und entsprechende Erhöhung oder Herabsetzung der Geldbuße;
Ermittlung der einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verarbeitungsvorgänge - insbesondere dürfen Erhöhungen, die in vorhergehenden oder nachfolgenden Schritten vorgenommen werden, diesen Betrag nicht überschreiten; und
Analyse, ob der endgültige Betrag der berechneten Geldbuße die Anforderungen an Wirksamkeit, Abschreckung und Verhältnismäßigkeit erfüllt, und entsprechende Erhöhung oder Herabsetzung der Geldbuße.
EU, 08.06.2023
Connecticut: Gesetzentwurf zum Thema KI und Datenschutz vom Gouverneur unterzeichnet und in Kraft gesetzt
Am 7. Juni 2023 wurde die Senate Bill 1103 für ein Gesetz über künstliche Intelligenz, automatisierte Entscheidungsfindung und den Schutz personenbezogener Daten vom Gouverneur von Connecticut unterzeichnet. Insbesondere die Abschnitte 1 bis 3 des Gesetzes treten ab dem 1. Juli 2023 in Kraft, Abschnitt 4 des Gesetzes ab dem 1. Oktober 2023, und Abschnitt 5 des Gesetzes tritt mit der Verabschiedung des Gesetzes in Kraft.
Begriffsbestimmungen
Darüber hinaus enthält das Gesetz eine Definition von künstlicher Intelligenz (KI) als:
ein künstliches System, das:
Aufgaben unter wechselnden und unvorhersehbaren Umständen ohne nennenswerte menschliche Aufsicht ausführt oder aus Erfahrung lernen und diese Leistung verbessern kann, wenn es Datensätzen ausgesetzt wird;
in einem beliebigen Kontext entwickelt wird, einschließlich, aber nicht beschränkt auf Software oder physische Hardware, und Aufgaben löst, die eine menschenähnliche Wahrnehmung, Kognition, Planung, Lernen, Kommunikation oder physische Aktion erfordern; oder
entworfen ist, um;
wie ein Mensch zu denken oder zu handeln, einschließlich, aber nicht beschränkt auf eine kognitive Architektur oder ein neuronales Netz; oder
rational zu handeln, einschließlich, aber nicht beschränkt auf einen intelligenten Software-Agenten oder verkörperten Roboter, der Ziele durch Wahrnehmung, Planung, Argumentation, Lernen, Kommunikation, Entscheidungsfindung oder Handeln erreicht; oder
eine Reihe von Techniken, einschließlich, aber nicht beschränkt auf maschinelles Lernen, die zur Annäherung an eine kognitive Aufgabe konzipiert sind.
Verpflichtungen
Darüber hinaus sieht das Gesetz vor, dass das Ministerium für Verwaltungsdienste bis zum 31. Dezember 2023 und danach jährlich eine Bestandsaufnahme aller Systeme durchführen muss, die KI einsetzen und von einer staatlichen Behörde genutzt werden. Insbesondere sieht das Gesetz vor, dass jede Bestandsaufnahme mindestens die folgenden Informationen für jedes System enthalten muss:
den Namen des Systems und ggf. den Anbieter, der das System zur Verfügung gestellt hat;
eine Beschreibung der allgemeinen Fähigkeiten und Verwendungszwecke eines solchen Systems
ob ein solches System verwendet wurde, um unabhängig eine Schlussfolgerung, eine Entscheidung oder ein Urteil zu treffen, zu informieren oder wesentlich zu unterstützen, und
ob ein solches System vor seiner Einführung einer Folgenabschätzung unterzogen wurde.
Conneticut, 08.06.2023
Florida: Gesetzentwurf zur Schaffung einer Digital Bill of Rights vom Gouverneur unterzeichnet und in Kraft gesetzt
Am 6. Juni 2023 wurde die Senate Bill 262 zur Schaffung der Florida Digital Bill of Rights vom Gouverneur von Florida, Ron DeSantis, unterzeichnet und wird am 1. Juli 2024 in Kraft treten.
Geltungsbereich
Die Digital Bill of Rights gilt für Personen, die in Florida geschäftlich tätig sind oder ein Produkt oder eine Dienstleistung anbieten, die von Einwohnern Floridas genutzt wird, und die personenbezogene Daten verarbeiten oder verkaufen. Der Begriff "für die Verarbeitung Verantwortlicher" wird jedoch als Einzelunternehmen, Personengesellschaft, Gesellschaft mit beschränkter Haftung, Körperschaft, Vereinigung oder juristische Person definiert, die bestimmte Anforderungen erfüllt, darunter einen Bruttojahresumsatz von mehr als 1 Milliarde US-Dollar.
Rechte der Verbraucher
Der Gesetzentwurf legt Verbraucherrechte fest, darunter:
das Recht auf Zugang;
das Recht auf Berichtigung;
das Recht auf Löschung;
das Recht auf Übertragbarkeit; und
das Recht, einer bestimmten Verarbeitung zu widersprechen.
Der Gesetzentwurf legt auch spezifische Anforderungen für die Antwort des für die Verarbeitung Verantwortlichen auf solche Anträge fest.
Anforderungen an den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter
Der Gesetzentwurf sieht Verpflichtungen für die für die Verarbeitung Verantwortlichen vor, darunter Grundsätze für die Datenverarbeitung, Einschränkungen für die Verarbeitung sensibler Daten und Anforderungen für die Veröffentlichung eines Datenschutzhinweises. Darüber hinaus schreibt der Gesetzentwurf die Durchführung von Datenschutzbeurteilungen (Data Protection Assessments, DPA) unter bestimmten Umständen vor und enthält Regeln für die Verarbeitung von anonymisierten Daten, pseudonymen Daten und aggregierten Verbraucherinformationen.
Für Datenverarbeiter sieht der Gesetzentwurf Anforderungen an das Lieferantenmanagement vor, einschließlich Informationen, die in den Vertrag zwischen dem Verantwortlichen und dem Verarbeiter aufgenommen werden müssen.
Florida, 06.06.2023
Erstellt:
Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.
