Dr. Axel Spies ist Rechtsanwalt in der Kanzlei Morgan, Lewis & Bockius in Washington DC und Mitherausgeber der ZD.
Schwerpunkt des diesjährigen Treffens war der Umgang mit KI. Von mehreren 1.000 Teilnehmern stellte die bekannte Unternehmerin und Buchautorin Nina Schick (Bestseller „Deepfakes“ v. 2020) die Auswirkung der generativen AI (GenAI) auf die technische Entwicklung und den Datenschutz dar. Hierzu benutzte sie Grafiken, die zeigen, wie GenAI ein real nicht-existierendes menschliches Gesicht entwirft und in Videos Stimmen manipuliert. Sie schlug zum Schutz der Authentizität von Fotos etc. digitale Wasserzeichen vor. Anderenfalls könne man bald nicht mehr feststellen, welche Inhalte echt seien und welche durch KI generiert oder manipuliert wurden. Eine ihrer Kernaussagen war, dass die GenAI-Technologie extrem schnell voranschreiten werde und die Gesetzgebung jetzt die Möglichkeit habe, die Weiterentwicklung zu steuern. Sie sprach auch über die Fortschritte der KI und den rasanten Aufstieg von ChatGPT, das in den ersten fünf Tagen schon 1 Million Nutzer hatte. Sie machte auch die Vorhersage, dass 90% der online generierten Inhalte bis 2025 von GenAI erstellt werden.
Besonderes Augenmerk fand die Entscheidung der italienischen Datenschutzbehörde (Il Garante), die ChatGPT für Italien vorläufig blockiert hat (vgl. im Beck Blog https://community.beck.de/2023/03/31/italiens-datenschutzbehoerde-blockiert-chatgpt ). Der frühere Inhouse Counsel der Datenschutzbehörde in Italien, Rocco Panetta, betonte, dass die Ermittlungen noch nicht abgeschlossen seien. Man sei sich bei „Il Garante“ bewusst, dass das Verbot in Italien leicht umgangen werden könne. Ob die Suspendierung von anderen Datenschutzbehörden in Europa aufgegriffen wird, könne er nicht sagen. Man müsse die Maßnahme im Zusammenhang mit dem Abschluss des AI Act sehen, über den der Rapporteur im europäischen Parlament, Brando Benefi, im selben Panel berichtete. Er rechnet mit einer abgestimmten Version im EU-Parlament noch im April, die dann im Wege des Trilogs mit den anderen EU-Institutionen verhandelt werden müsse. Ein finales Dokument sollte bis Ende des Jahres vorliegen. Eine Reihe von Punkten sei aber noch offen, zB die genaue Klassifizierung, der verschiedenen AI-Dienste und GenAI (vgl. Vortrag von Nina Schick).
In einem separaten Panel stand das neue EU-US Transatlantic Data Privacy Framework (TDPF) zur Diskussion - einschließlich der Adäquanzentscheidungen der EU-Kommission und deren Auswirkungen. Andrea Jelinek betonte als Vorsitzende des Europäischen Datenschutzausschusses (EDSA), dass man die Fortschritte in den Verhandlungen zwischen den USA und der EU-Kommission anerkenne, aber noch einzelne Probleme sähe, die aber lösbar seien. Eine Datenschutz-Folgeabschätzung (TIAs) sei außerhalb des Privacy Framework für die USA weiterhin erforderlich, zB bei Standardvertragsklauseln, hieß es. Die DS-GVO-Reise war nicht „wunderbar“, kommentierte Max Schrems von noyb.eu. Seine Organisation noyb habe 800 Fälle von DS-GVO-Verstößen bearbeitet, aber der Durchsetzungsprozess ist schwierig: Das Verfahrensrecht sei in den verschiedenen EU-Ländern sehr unterschiedlich, und es sei ein kultureller Wandel zu mehr Datenschutz erforderlich. Das sei nicht das gewesen, was er und seine Mitstreiter erwartet hatten, als die DS-GVO in Kraft trat, gab er zu. Es bedürfe einer Kombination aus Abhilfemaßnahmen und Durchsetzung. „Wenn Sie als großes Unternehmen die Geldstrafe innerhalb von 2 oder 3 Tagen bezahlen können, machen Sie effektiv Gewinne mit der Geldstrafe,“ führte er aus. Hinderlich für die Betroffenen seien die langwierigen Einspruchsverfahren gegen DSB-Entscheidungen, die nach seiner Meinung die Datenlöschung in problematischen Fällen um Jahre verzögern.
Ein weiteres Thema, das ein anderes Panel abgearbeitet hatte, waren die neuen chinesischen Standardvertragsklauseln und Datenübermittlungen aus China (vgl. Spies ZD-Aktuell 2022, 01262 und 2023, 01095). Hörenswert war auch das Panel zum Thema Umgang mit Datenschutzverletzungen mit vielen praktischen Tipps für Unternehmen, die Opfer von Ransom Ware und anderen Attacken werden (vgl. Spies in Forgó/Helfrich/Schneider, Betr. Datenschutz Teil XIII, Kap. 1). Es sei zB wichtig, aus rechtlichen Gründen den Begriff „Bruch“ in der Kommunikation zu vermeiden, sondern man solle lieber von einer Verletzung der Integrität der Datensicherheit reden. Ohne detaillierte Pläne vorab (Data Incidence Policy) seien die Schwierigkeiten, die ein Unternehmen in kurzer Zeit bei Entdeckung eines Bruchs der Datensicherheit bewältigen müsse, kaum in den Griff zu bekommen.
Themenkreis USA: Nach der Verabschiedung des California Privacy Rights Act (CPRA), der den California Consumer Privacy Act zum 1.1.2023 abgeändert hat, wurde das Gesetz zur bisher umfassendsten Datenschutzregelung in den USA (vgl. Spies ZD-Aktuell 2023, 1; ZD-Aktuell 2023, 01050; ZD-Aktuell 2023, 01010; ZD-Aktuell 2023, 01024; ZD-Aktuell 2022, 01396; 2022, 01364; ZD-Aktuell 2021, 05130). Eine Diskussionsrunde mit der stellvertretenden Generalstaatsanwältin von Kalifornien, Stacey Schesser, und dem Direktor der kalifornischen Datenschutzbehörde, Ashkan Soltani. Es ging um die jeweiligen Prioritäten der Behörden, die Durchsetzungsmaßnahmen seit der Verabschiedung des CPRA und die Rolle bei der Umsetzung weiterer bundesstaatlichen Datenschutzgesetze, die 2023 verabschiedet werden könnten (vgl. neulich zu Iowa Spies ZD-Aktuell 2023, 01124). Die Vollstreckung mit Strafen durch den Attorney General hat in Kalifornien bereits begonnen.