Südkorea: PIPC veröffentlicht Verordnungsentwurf zur Übermittlung personenbezogener Daten ins Ausland zur öffentlichen Stellungnahme
Am 26. Juli 2023 kündigte die Personal Information Protection Commission (PIPC) die Veröffentlichung des Entwurfs einer Verordnung über die Übermittlung personenbezogener Daten ins Ausland zur öffentlichen Stellungnahme an. Die PIPC erklärte insbesondere, dass:
Der Sachverständigenausschuss für die Übermittlung ins Ausland besteht aus höchstens 20 Mitgliedern, einschließlich eines Vorsitzenden, der vom Vorsitzenden des PIPC ernannt wird;
der Sachverständigenausschuss für Auslandsüberweisungen auf Ersuchen des PIPC einberufen wird und seine Sitzungen unter Ausschluss der Öffentlichkeit stattfinden;
Auf Ersuchen des PIPC bewerten und überprüfen die Zertifizierungsstelle für den Schutz personenbezogener Daten und der Sachverständigenausschuss für den Überseetransfer das durch eine Zertifizierung für den Überseetransfer personenbezogener Daten gewährleistete Datenschutzniveau und legen dem PIPC den Inhalt einer solchen Überprüfung vor;
der PIPC berät und entscheidet über die Zertifizierung für die Übermittlung personenbezogener Daten ins Ausland auf der Grundlage der Bewertung der Zertifizierungsstellen für personenbezogene Daten und des Inhalts der Beratung durch den Sachverständigenausschuss für die Übermittlung ins Ausland, einschließlich der Gültigkeitsdauer der betreffenden Zertifizierung;
Auf Ersuchen des PIPC prüft der Sachverständigenausschuss für Auslandsübermittlungen das Schutzniveau für personenbezogene Daten in einem Zielland, in das die Auslandsübermittlung erfolgen soll, und legt den Inhalt der Prüfung dem PIPC vor, der dann entscheidet, ob das Zielland mit einer auf dem Inhalt der Beratungen des Sachverständigenausschusses für Auslandsübermittlungen basierenden Entschließung als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet oder nicht;
Wenn der PIPC zu der Auffassung gelangt, dass das Schutzniveau für personenbezogene Daten des Ziellandes nicht dem Schutzniveau für personenbezogene Daten gemäß dem Gesetz zum Schutz personenbezogener Daten (PIPA) entspricht, kann die Anerkennung der Angemessenheit des Ziellandes widerrufen werden;
auf Ersuchen des PIPC berät der Sachverständigenausschuss für Überseeübermittlungen über die Notwendigkeit einer Anordnung zur Aussetzung der Übermittlung personenbezogener Daten ins Ausland und legt dem PIPC den Inhalt der Überprüfung auf der Grundlage der Anwendung der Kriterien gemäß Artikel 29-12 des Durchführungserlasses zum PIPA vor; und
der PIPC berät und entscheidet auf der Grundlage des Inhalts der oben genannten Überprüfung, ob er die Aussetzung der Auslandsübermittlung anordnet, und unterrichtet den Verwalter der personenbezogenen Daten über diese Entscheidung.
Schließlich wies das PIPC darauf hin, dass interessierte Kreise ihre Meinung zu den Verordnungsentwürfen bis zum 14. August 2023 per E-Mail an kse1003@korea.kr übermitteln können.
Südkorea, 27.07.2023
Südkorea: PIPC verhängt Geldstrafe gegen OpenAI in Höhe von 3,6 Millionen KRW nach Datenschutzverletzung
Am 27. Juli 2023 gab die Personal Information Protection Commission (PIPC) bekannt, dass sie eine Geldstrafe in Höhe von 3,6 Millionen KRW (ca. 2.812 US-Dollar) gegen OpenAI OpCo, LLC (OpenAI) wegen Verstößen gegen das Gesetz zum Schutz persönlicher Daten von 2011 (in der Fassung von 2020) (PIPA) verhängt hat.
Feststellungen des PIPC
Die PIPC erklärte, sie habe im März 2022 eine Untersuchung eingeleitet, nachdem Medienberichte über einen möglichen Verstoß gegen den Schutz personenbezogener Daten durch den ChatGPT-Dienst von OpenAI bekannt geworden waren. Nach Angaben der PIPC wurden im März 2022 im Rahmen einer weltweiten Datenpanne personenbezogene Daten, darunter Namen, E-Mails und Kreditkartendaten von etwa 687 südkoreanischen Nutzern von ChatGPT Plus, veröffentlicht.
Obwohl die PIPC feststellte, dass sie nicht zu dem Schluss kommen konnte, dass OpenAI die erwarteten Schutzmaßnahmen vernachlässigt hatte, rügte die PIPC OpenAI dafür, dass es die Datenschutzverletzung nicht innerhalb von 24 Stunden an die PIPC gemeldet hatte, was einen Verstoß gegen das PIPA darstellt.
Ergebnisse
Infolge des Verstoßes verhängte die PIPC gegen OpenAI eine Geldstrafe in Höhe von 3,6 Millionen KRW (ca. 2.812 US-Dollar).
Darüber hinaus stellte das PIPC bestimmte Mängel bei der Einhaltung der lokalen Datenschutzgesetze durch OpenAI fest, darunter die Bereitstellung von Richtlinien nur in englischer Sprache, das Fehlen eines ausdrücklichen Zustimmungsverfahrens, unklare Datenverarbeitungsbeziehungen, spezielle Datenvernichtungsprozesse und Unstimmigkeiten in Bezug auf Altersbeschränkungen für Nutzer.
Das PIPC empfahl OpenAI, seine Systeme zur Verarbeitung personenbezogener Daten zu überprüfen, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.
Südkorea, 27.07.2023
Frankreich: CNIL bittet um Beiträge zum KI-Bericht
Am 27. Juli 2023 kündigte die französische Datenschutzbehörde (CNIL) die Erstellung eines Berichts über künstliche Intelligenz (KI) an. Insbesondere erinnerte die CNIL daran, dass sie im Mai 2023 einen Aktionsplan zu KI herausgegeben hat, um Fragen im Zusammenhang mit der Nutzung personenbezogener Daten durch KI und der Anwendung der Allgemeinen Datenschutzverordnung (GDPR) zu klären. Im Einzelnen erklärte die CNIL, dass sie Beiträge zu folgenden Fragen sammeln will
der Zweck, insbesondere von KI für allgemeine Zwecke;
die Methoden der Auswahl, Bereinigung und Minimierung von Daten, die auf dem neuesten Stand der Technik sind;
Ansätze, die für Datenschutz durch Voreinstellung und durch Design in Betracht zu ziehen sind; und
die Kriterien, die zu berücksichtigen sind, wenn ein berechtigtes Interesse die Rechtsgrundlage für eine Datenbankschulung ist.
Die CNIL stellte klar, dass sich jeder private oder öffentliche Akteur an der Aufforderung zur Einreichung von Beiträgen beteiligen kann, und ist besonders an konkreten Beispielen von KI-Organisationen interessiert.
Öffentliche Kommentare können per E-Mail an ia@cnil.fr gesendet werden.
Frankreich, 27.07.2023
Erstellt:
Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.
