In Zeiten von ChatGPT 4o, dem Einsatz von LLMs in Unternehmen, Microsoft Copilot oder Google Gemini kann eine pragmatische Beratung von Unternehmen im Datenschutz nicht mehr nötig sein, als jetzt. Zu unseren Mandanten zählen Tech-Startups, die Lernapps für Kinder erstellen, genauso wie mittelständische Unternehmen, die keinen Trend der Digitalisierung, z.B. den Betrieb eines Metaverse für Kunden, verpassen wollen.
Die Kanzlei Maisch.law Rechtsanwälte ist auch IT- und Datenschutz spezialisiert. Wir sprechen die Sprache Ihrer Entwickler, kennen die Wünsche Ihrer Marketingabteilung und verstehen die Visionen ihrer Geschäftsleitung. Lassen Sie uns skalierbare, effiziente und profitable Geschäftsmodelle auch aus datenschutzrechtlicher Perspektive optimieren, damit Sie sich auf das Tagesgeschäft konzentrieren können.
Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss die Datenschutzgrundverordnung (DSGVO) einhalten. Die Verantwortung liegt bei den Unternehmern selbst, die sicherstellen müssen, dass ihre Organisation die Datenschutzgesetze einhält. Dies kann intern durch einen Datenschutzbeauftragten oder extern durch spezialisierte Berater erfolgen.
Unsere Leistungen: So beraten wir im Datenschutzrecht
Unabhängig von der Frage, ob ein Datenschutzbeauftragter benötigt wird, müssen Unternehmen ein Pflichtenprogramm der DSGVO kennen und umsetzen. Erfahrungsgemäß klappt das am besten, wenn es als Rund-um-sorglos-Paket von externer Seite zu Paketpreisen übernommen wird, was wir allen Mandanten anbieten.
Datenschutzmanagement
Das Datenschutzmanagement eines Startups oder mittelständischen Unternehmens umfasst in der Regel den Aufbau und die Führung eines Verarbeitungsverzeichnisses, ein sorgfältiges Vertragsmanagement, Datenschutzerklärungen und andere Dokumente sowie regelmäßige Schulungen der Mitarbeiter. Bei Unternehmen aus bestimmten Sektoren, z.B. Arztpraxen, Krankenhäusern, Forschungsinstituten oder Verwaltungsbehörden sind weitere Themen zu beachten.
Wir beraten Sie gerne bei der Entwicklung und Implementierung von individuellen Datenschutz-Compliance-Programmen:
- Aufbau und Pflege von Datenschutzmanagement-Systemen (DSM)
- Erstellung von Verzeichnissen über Verarbeitungstätigkeiten (VVT)
- Erstellung von internen Datenschutzkonzepten und Richtlinien
- Erstellung von Datenschutz-Folgenabschätzungen
- Beratung bei Datentransfers in Drittstaaten, Gestaltung von Transfer Impact Assessments (TIA)
- Individuelle Beratung und Gestaltung von Konzepten zur Schutz von Betroffenenrechte
- Erstellen von Einwilligungserklärungen und Betroffeneninformationen
- Gestaltung von Datenschutzerklärungen
Vertragsmanagement im Datenschutzrecht
- Erstellung von Verträgen aus dem IT- und Datenschutzrecht,
- Gestaltung von Auftragsverarbeitungsverträgen (AVV)
- Joint Controllership Agreements
Mitarbeiterschulungen
- Niemals langweilige Schulungen für Führungskräfte und Mitarbeiter zum Datenschutz, Einsatz von KI (ChatGTP 4o uvm) sowie über Cybersecurity
- Ausbildung und Fortbildung von Mitarbeitern zu Datenschutzbeauftragten
Externer betrieblicher Datenschutzbeauftragter
- Wir stellen den externen betrieblichen Datenschutzbeauftragten für Ihr Unternehmen
- Eintragung bei der Aufsichtsbehörde
- Übernahme der Haftung und Versicherung
Welche Fragen gibt es bei Datenschutz und KI?
In einer KI-Anwendung wird ein trainiertes KI-Modell verwendet, das möglicherweise von einem Dritten erstellt wurde oder betrieben wird. Das Modell wird auf spezieller Hardware in einer Anwendungsumgebung geladen, um Eingabewerte von verschiedenen Quellen zu verarbeiten und Ausgaben zu generieren. Oft wird die KI-Anwendung bei einem (Cloud-)Dienstleister betrieben, mit dem über eine Weboberfläche oder eine Softwareschnittstelle interagiert wird.
Es ist wichtig, die Betroffenenrechte bei solchen KI-Anwendungen zu beachten, insbesondere bei Großen Sprachmodellen. Die Verantwortlichkeit für den Datenschutz muss geklärt werden, je nachdem ob ein KI-Anbieter das Modell erstellt und betreibt oder ob der Auftraggeber die Verantwortung trägt. Dies gilt besonders, wenn es sich um einen Anbieter aus dem EU-Ausland handelt.
Die Art der Anwendung und die Daten, die verwendet werden sollen, müssen festgelegt und dokumentiert werden. Es müssen geeignete Maßnahmen getroffen werden, um Datenschutzrisiken zu minimieren und die Datenschutzvorschriften einzuhalten. Darüber hinaus müssen die Betroffenenrechte zur Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch auch bei KI-Anwendungen berücksichtigt werden. Die Verwendung von KI-Anwendungen muss im Datenschutzmanagement integriert und dokumentiert werden, um sicherzustellen, dass alle Vorschriften eingehalten werden.
Datenschutzanforderungen beim Einsatz von KI in Unternehmen
- Rechtskonforme Nutzung: Sicherstellung der Rechtsgrundlage für die Verarbeitung personenbezogener Daten.
- Verzeichnis der Verarbeitungstätigkeiten: Aufnahme der KI-Nutzung in das Verzeichnis gem. Art. 30 DS-GVO.
- Datenschutzfolgenabschätzung: Durchführung und Dokumentation nach Art. 35 DS-GVO.
- Informationspflichten: Umsetzung gemäß Art. 12 ff DS-GVO in Form von Datenschutzerklärungen, z.B. für Apps, Websites, Arbeitsverträge (Microsoft Copilot !).
- Berücksichtigung von Betroffenenrechten: Sicherstellung von Auskunftsersuchen, Berichtigung und Löschung.
Umgang mit Risiken von KI
- Risikomodell: Erstellung und Dokumentation eines Modells zur Bewertung der Datenschutzrisiken.
- Protokollierung und Schulung: Dokumentation der KI-Nutzung und Integration in Datenschutzschulungen.
- Kontinuierliche Prüfung: Regelmäßige Überprüfung und Aktualisierung der Datenschutzmaßnahmen.
Durch diese Maßnahmen können Unternehmen sicherstellen, dass sie die gesetzlichen Anforderungen erfüllen und das Vertrauen der Betroffenen wahren.
Datenschutz in Joint-Controller-Projekten: Wer macht was?
In Joint-Controller-Projekten, wo mehrere Parteien gemeinsam für die Datenverarbeitung verantwortlich sind, muss klar definiert werden, wer welche Datenschutzpflichten übernimmt. Dies erfordert eine genaue Abstimmung und transparente Vereinbarungen.
Datenschutz für Startups: Basics für die Gründerphase
Für Startups ist es wichtig, von Beginn an Datenschutzprinzipien zu implementieren. Dies schafft Vertrauen bei Nutzern und Kunden und vermeidet spätere kostspielige Anpassungen.
Datenschutz für App-Entwickler: ChatGPT und Co
App-Entwickler, insbesondere wenn sie mit KI wie ChatGPT arbeiten, müssen besondere Datenschutzaspekte beachten, da sie oft sensible Nutzerdaten verarbeiten. Eine frühzeitige Auseinandersetzung mit Datenschutz kann hier spätere Probleme verhindern.
Datenschutz für KI-Entwickler
KI-Entwickler stehen vor speziellen Herausforderungen im Datenschutz, da KI-Systeme oft große Datenmengen aus verschiedenen Quellen benötigen. Die Einhaltung der Datenschutzprinzipien ist hier besonders komplex, aber essentiell.
Datenschutz für Social Media und Werbeagenturen
Social Media und Werbeagenturen verarbeiten täglich große Mengen an personenbezogenen Daten. Ein sorgfältiger Umgang mit diesen Daten ist nicht nur rechtlich geboten, sondern auch Teil des Vertrauensverhältnisses zu den Kunden.
Datenschutz für Sportverbände: Gesundheitsdatenschutz, Athletenvereinbarungen, Physiotherapeuten, Ehrenamtliche
Sportverbände müssen den Datenschutz ernst nehmen, insbesondere beim Umgang mit Gesundheitsdaten von Athleten. Ehrenamtliche und Physiotherapeuten müssen in Datenschutzpraktiken eingewiesen werden, und Athletenvereinbarungen müssen datenschutzkonform gestaltet sein.
Datenschutzbeauftragter: Intern, extern oder gar keinen?
Die Entscheidung, ob ein interner oder externer Datenschutzbeauftragter bestellt wird oder ob man auf einen verzichten kann, hängt von verschiedenen Faktoren ab, wie Unternehmensgröße und Datenverarbeitungsaktivitäten. Eine sorgfältige Abwägung ist hier erforderlich.
Haftung bei Datenschutzverletzung
Bei Datenschutzverletzungen drohen Unternehmen empfindliche Strafen. Daher ist es wichtig, Datenschutzverletzungen zu vermeiden und im Falle eines Falles schnell und korrekt zu handeln.
Datenschutz mag für Unternehmer oft nervig erscheinen, aber es ist ein unverzichtbarer Teil des Geschäftsbetriebs im digitalen Zeitalter. Ein proaktiver Ansatz kann nicht nur Haftungsrisiken minimieren, sondern auch das Vertrauen der Kunden stärken.
Ihr Ansprechpartner
Dr. Marc Maisch ist ein angesehener Rechtsanwalt und Fachanwalt für IT-Recht mit Sitz in München. Als Mitgründer der Kanzlei MAISCH LAW Rechtsanwälte hat er sich auf IT-Recht, Datenschutz und Cybersecurity spezialisiert.Mit seiner Kombination aus juristischer Expertise und technischem Verständnis berät Dr. Maisch Unternehmen und Start-ups zu Fragen der Vertragsgestaltung für Websites, Apps und Künstliche Intelligenz. Sein Fokus liegt auf der Abwehr und Prävention von Cybercrime.Als gefragter Keynotespeaker ist Dr. Maisch regelmäßig in den Medien präsent, darunter im ZDF bei „Aktenzeichen XY“. In seinen Vorträgen vermittelt er praxisnahe Einblicke in die Vorgehensweisen von Cyberkriminellen und effektive Schutzmaßnahmen.
Jetzt Kontakt aufnehmenTätigkeitsfelder unserer Rechtsanwälte
Als „Cyberrechtsanwälte“ arbeiten wir in einem hochspezialisierten Team aus Rechtsanwälten und IT-Partnern in Kooperation zusammen. Wir bieten Ihnen daher anwaltliche Beratung, hand-in-hand mit den Lösungen unserer Hacker, Forensiker oder Ermittler. Unser Anwaltsteam aus Deutschland, Österreich und aus der Schweiz freut sich darauf, Sie u.a. in diesen Rechtsbereichen zu beraten: