Im neuen Update Datenschutz N0.17 geht es diesmal um Abmahnungen für Datenschutzverstöße, den Cyber Resilience Act und die Überarbeitung unser KI-Richtlinie

Abmahnungen wegen Datenschutzverstößen

Hast du vielleicht auch den einen oder anderen Wettbewerber der den Datenschutz mit Füßen tritt und sich dadurch sogar einen unlauteren Vorteil verschafft? Da gibt es einige Szenarien, an die man so denken kann. Das geht los bei unsauberem Tracking auf der Webseite, wenn zum Beispiel Google Analytics schon scharf geschaltet ist, bevor die Einwilligung erteilt wurde. Dadurch bekommt dein Wettbewerber natürlich eine viel bessere Auswertung. Ein anderes Szenario sind kalte E-Mails, also Newsletter oder sonstige E-Mail-Werbung bei der die Voraussetzungen nicht vorliegen. Bisher war umstritten, ob man als Wettberber gegen diese Praktiken vorgehen kann. Jetzt hat sich der EuGH mit Urteil vom 04.10.2024 (EuGH – C‑21/23) dazu geäußert und dem ganzen freie Bahn gemacht. Also eigentlich hat der EuGH nur entschieden, dass die Regelungen der DSGVO

einer nationalen Regelung nicht entgegenstehen, die – neben den Eingriffsbefugnissen der zur Überwachung und Durchsetzung dieser Verordnung zuständigen Aufsichtsbehörden und den Rechtsschutzmöglichkeiten der betroffenen Personen – Mitbewerbern des mutmaßlichen Verletzers von Vorschriften zum Schutz personenbezogener Daten die Befugnis einräumt, wegen Verstößen gegen die DSGVO gegen den Verletzer im Wege einer Klage vor den Zivilgerichten unter dem Gesichtspunkt des Verbots der Vornahme unlauterer Geschäftspraktiken vorzugehen.

Aber die meisten Kolleginnen und Kollegen sehen darin freie Bahn für Abmahnungen durch Wettbewerber bei Datenschutzverstößen. Das Ganze ist natürlich keine Einbahnstraße. Du solltest also die Zeit nutzen, um vielleicht auch deine Prozesse noch einmal nachzubessern.

Ich glaube zwar eigentlich nicht, dass jetzt eine Abmahnwelle kommt. Wieso, weshalb, warum habe ich hier mal aufgeschrieben: Droht jetzt eine Abmahnung wegen Datenschutzverstoß? Dennoch könnten Wettbewerber, die es ersthaft aufeinander abgesehen haben, durchaus nette Briefe versenden.

Cyber Resilience Act und NIS-2

Vermutlich drohen hier keine Abmahnungen, aber Bußgelder. Wenn du Hersteller oder Vertreiber von digitalen Produkten bist, solltest du dich zeitnah mit dem Cyber Resilience Act beschäftigen. Diesen hat die EU am 04.10.2024 verabschiedet. Der CRA ist Bestandteil der IT-Sicherheitsstrategie der EU und soll ein Mindestmaß an IT-Sicherheit in vernetzten Produkten sicherstellen. Betroffen bist du in erster Linie als Produzent oder Einführer von digitalen Produkten. Digitale Produkte sind dabei nicht nur physische Produkte, sondern auch Software. Die meisten Pflichten aus dem CRA werden in ca. zwei Jahren bindend, die Meldepflichten werden schon in 12 Monaten bindend. Details zum CRA habe ich dir hier zusammengefasst: Cyber Resilience Act.

Update Muster KI-Richtlinie im Unternehmen

Wenn du KI in deinem Unternehmen einsetzt, solltest du verbindliche Regelungen im Umgang mit der KI schaffen. Dafür kannst du eine Richtlinie erlassen. Falls du dich mit dem Thema KI-Richtlinie bisher nicht beschäftigt hast, empfehle ich dir einmal diesen Artikel: KI im Unternehmen: So erstellst du eine KI-Richtlinie mit Augenmaß. Ich habe ein Muster gebastelt. Dieses habe ich jetzt überarbeitet und ein paar Unstimmigkeiten ausgemerzt. Die Richtlinie in der aktuellen Version habe ich in unserem Download-Portal bereitgestellt.