ドイツ DSK GDPRの改革案(AIの利用に関する明確な法規制、IT企業に責任を持たせる)を提案 (2025.12.12)
こんにちは、丸山満彦です。
本日のAI関連第1弾です(1/4)...
ドイツのデータ保護監督機関会議 (Datenschutzkonferenz: DSK) がGDPRの改革案として、
・AIの利用に関する明確な法規制
・IT企業に責任を持たせる
ための改革案を公表していますね...
AIの利用については法規制とイノベーションは両立するとし、法規制を明確にするという方向で提案していますね...私もそう思います...
ルールが不明確であれば、黒の領域に踏み込むことをおそれて安全のバッファーをとったり、黒白の見極めに時間がかかってしまうからです...
プレスリリース...
データ保護会議、一般データ保護規則の改革案を提案
・2025.12.12 Datenschutzkonferenz macht Reformvorschläge für die Datenschutz-Grundverordnung
・[PDF]
| Pressemitteilung | プレスリリース |
| der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12. Dezember 2025 | 2025年12月12日、連邦および州独立データ保護監督機関会議 |
| Datenschutzkonferenz macht Reformvorschläge für die Datenschutz-Grundverordnung | データ保護会議、一般データ保護規則の改革案を提案 |
| Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat auf ihrer 110. Konferenz in Berlin die Vorschläge der EU-Kommission zur Anpassung der Digitalgesetzgebung diskutiert und zwei eigene Vorschläge für gezielte Anpassungen der europäischen Datenschutz-Grundverordnung (DSGVO) beschlossen. Zudem verabschiedete die DSK einen standardisierten Prüfprozess für die Digitalisierung von Verwaltungsleistungen und eine Orientierungshilfe zur vereinfachten Abstimmung mit den Datenschutzbehörden für die Gesundheitsforschung. | 連邦および州独立データ保護監督機関会議(DSK)は、第110回会議(ベルリン)において、EU委員会によるデータ保護法改正案について議論し、欧州一般データ保護規則(GDPR)の改正に関する2つの独自の提案を決定した。会議で、EU 委員会によるデジタル法規制の改正案について議論し、欧州一般データ保護規則(GDPR)の具体的な改正に関する 2 つの提案を採択した。さらに、行政サービスのデジタル化に関する標準化された審査プロセス、および健康研究に関するデータ保護当局との調整を簡素化するためのガイダンスも採択した。 |
| Vorschläge der EU-Kommission | EU 委員会の提案 |
| Die DSK führte eine intensive Diskussion über die Vorschläge der EU-Kommission zur Anpassung der DSGVO, der KI-Verordnung und weiterer Digitalrechtsakte (Digital Omnibus). Die EU-Kommission hat teils weitreichende Änderungen vorgeschlagen, die Auswirkungen auf den Schutz der Privatsphäre und personenbezogener Daten haben würden. | DSK は、GDPR、AI 規則、その他のデジタル関連法(デジタルオムニバス)の改正に関する EU 委員会の提案について、活発な議論を行った。EU 委員会は、プライバシーと個人データの保護に影響を与える、一部は広範囲にわたる改正を提案している。 |
| „Die vorgeschlagenen Regelungen sind an vielen Stellen nicht bis zu Ende gedacht und führen damit zu neuen Rechtsunsicherheiten,“ sagt Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und amtierende DSK-Vorsitzende. „Einfache gesetzliche Anpassungen, die eine Entlastung von kleinen und mittleren Unternehmen bewirken würden, lässt die Kommission hingegen liegen. Das selbst gesetzte Ziel des Bürokratieabbaus erfüllt die EU-Kommission damit nicht. So könnten etwa die Hersteller von Produkten stärker in die Pflicht genommen werden, ihre Produkte datenschutzkonform auszugestalten, sodass kleine und mittlere Unternehmen bei der Auswahl und dem Einsatz solcher Produkte nicht mehr die datenschutzrechtliche Hauptlast tragen.“ | ベルリンのデータ保護・情報自由担当官であり、DSK 議長を務めるマイケ・カンプ氏はtt次のように述べている。「提案されている規制は、多くの点で十分に検討されておらず、新たな法的不安定さをもたらす。一方、中小企業に負担軽減をもたらすような単純な法改正については、委員会は手つかずのままにしている。EU 委員会は、自ら設定した官僚機構の削減という目標を達成していない。例えば、製品メーカーは、自社製品がデータ保護に準拠したものになるよう、より強い責任を課せられるようになるため、中小企業は、そのような製品の選択や使用において、データ保護に関する主な負担をもう負わなくて済むようになるだろう」。 |
| Die DSK hält zudem den Zeitdruck unter dem das Omnibusverfahren durchgeführt wird, für unangemessen. Es handelt sich bei dem Vorschlag der EU-Kommission nämlich nicht nur um vorwiegend redaktionelle und kleinere Anpassungen, sondern unter anderem um solche fundamentalen Anpassungsvorschläge wie die Änderung der Definition von personenbezogenen Daten. Dies muss sorgfältig durchdacht und vor dem Hintergrund der Erfahrungen auch aus der Datenschutzaufsicht diskutiert werden. „Gemeinsam mit den europäischen Datenschutzbehörden werden wir den Vorschlag der Kommission in den kommenden Wochen detailliert analysieren und eine Stellungnahme abgeben“, sagt Meike Kamp. | また、DSK は、オムニバス手続きが実施されている時間的プレッシャーも不適切だと考えている。EU 委員会の提案は、主に編集上の小さな調整だけでなく、個人データの定義の変更など、根本的な調整の提案も含まれているからだ。これは、データ保護監督当局の経験も踏まえて、慎重に検討し、議論する必要がある。「欧州のデータ保護当局と協力し、今後数週間にわたって欧州委員会の提案を詳細に分析し、意見書を提出する予定だ」と、マイケ・カンプ氏は述べている。 |
| Hersteller und Anbieter von IT-Diensten in die Pflicht nehmen | IT サービスの製造業者および提供者に責任を課す |
| Die DSK hält es für erforderlich, die Reform der DSGVO zu nutzen und die datenschutzrechtliche Verantwortung fortzuentwickeln. Künftig sollen Hersteller und Anbieter von IT-Diensten verpflichtet werden, die Grundsätze des Datenschutzes bereits bei der Gestaltung ihrer Produkte stärker zu berücksichtigen. „Mit der Herstellerhaftung wird die datenschutzrechtliche Verantwortung dorthin verlagert, wo die Entscheidungen über die Gestaltung von IT-Produkten getroffen werden,“ sagt Meike Kamp. „Das stärkt besonders die Position von kleinen und mittleren Unternehmen, die derzeit oft nicht in der Lage sind, datenschutzkonforme Prozesse in den genutzten Produkten durchzusetzen, aber bislang allein die rechtliche Verantwortung tragen.“ Auch die Auftragsverarbeiter sollen verpflichtet werden, ihre Dienste von vornherein datenschutzkonform auszugestalten. | DSK は、GDPR の改革を活用し、データ保護に関する責任をさらに発展させる必要があると考えている。将来的には、IT サービスのメーカーやプロバイダーは、自社製品の設計段階から、データ保護の原則をより強く考慮する義務を負うことになる。マイケ・カンプ氏は次のように述べている。「メーカー責任により、データ保護に関する責任は、IT 製品の設計に関する決定が行われる場に移される。これにより、現在、使用する製品においてデータ保護に準拠したプロセスを実施することができないことが多い中小企業は、これまで単独で法的責任を負担してきたが、その立場が特に強化されることになる」。また、委託処理業者も、最初からデータ保護に準拠したサービスを提供する義務を負うことになる。 |
| Einsatz von KI braucht klare gesetzliche Regelung | AI の利用には明確な法的規制が必要 |
| Bei der Verarbeitung personenbezogener Daten durch KI-Systeme sieht die DSK Bedarf für DSGVO-Reformen, die über die Vorschläge der EU-Kommission hinausgehen. Die DSK fordert, spezifische Rechtsgrundlagen für Entwicklung, Training und Betrieb von KI-Modellen und KI-Systemen gesetzlich festzulegen. „Rechtssicherheit und Innovation gehen Hand in Hand“, sagt Meike Kamp. „Anpassungen in der DSGVO zum Einsatz von KI sollten eindeutig und ausbalanciert sein.“ | AI システムによる個人データの処理に関しては、DSK は、EU 委員会の提案以上の GDPR の改革が必要だと考えている。DSK は、AI モデルおよび AI モデルの開発、トレーニング、運用に関する具体的な法的根拠を法律で定めることを要求している。マイケ・カンプ氏は次のように述べた。「法的安定性とイノベーションは密接に関連している。AI の使用に関する GDPR の改正は、明確かつバランスが取れているべきだ」。 |
| Zudem fordert die DSK den europäischen Gesetzgeber auf, die Rechte von betroffenen Personen beim KI-Einsatz stärker zu berücksichtigen. Für Einzelfälle, in denen Betroffenenrechte technisch nur mit unverhältnismäßigem Aufwand umgesetzt werden können, sollen funktionsäquivalente bzw. kompensatorische Schutzmaßnahmen vorgesehen werden. Wer personenbezogene Daten in einem KI-System verarbeitet, muss die betroffenen Personen darüber ausdrücklich informieren. Zudem sollen betroffene Personen das Recht erhalten, von Verantwortlichen Auskunft über den Einsatz eines KI-Systems zur Verarbeitung ihrer Daten zu erhalten. Beides sollte in der DSGVO festgelegt werden. | さらに、DSK は、欧州の立法者に対して、AI の利用において、影響を受ける人々の権利をより強く考慮するよう求めている。影響を受ける人々の権利を技術的に実現するには過大な費用がかかる個別のケースについては、機能的に同等の、あるいは補償的な保護措置を講じるべきだとしている。AI システムで個人データを処理する者は、その旨を関係者に明示的に通知しなければならない。さらに、関係者は、自分のデータの処理に AI システムが使用されていることについて、責任者から情報を得る権利を付与されるべきである。この 2 つは、GDPR で規定されるべきである。 |
| Bereits im November hatte die DSK einen Zehn-Punkte-Plan zur Verbesserung des gesetzlichen Datenschutzes von Kindern verabschiedet. Darin fordert die DSK unter anderem ein Verbot von personalisierter Werbung und kindgerechte Voreinstellungen in Sozialen Netzwerken. | 11 月、DSK は、子供たちの法的データ保護を改善するための 10 項目の計画を採用した。この計画の中で、DSK は、パーソナライズド広告の禁止や、ソーシャルネットワークにおける子供たちにふさわしいデフォルト設定などを要求している。 |
| Weitere Beschlüsse | その他の決定事項 |
| Mit einem neuen, standardisierten Prüfprozess schafft die Datenschutzkonferenz eine gemeinsame Grundlage, um den Datenschutz bei länderübergreifenden Online-Diensten von Behörden einheitlich und transparent umzusetzen. Das Dokument gibt Behörden klare Empfehlungen, wie sie Datenschutzanforderungen dokumentieren, prüfen und nachweisen können – von der Entwicklung bis zum Betrieb ihrer digitalen Angebote. Das Verfahren hilft, das Einer-für-alle-Prinzip des Onlinezugangsgesetzes auch im Datenschutz praktisch umzusetzen. | 新しい標準化された審査プロセスにより、データ保護会議は、州を越えたオンラインサービスにおけるデータ保護を統一的かつ透明的に実施するための共通基盤を構築している。この文書は、開発からデジタルサービスの運用に至るまで、データ保護要件を文書化し、審査し、証明する方法について、当局に明確な推奨事項を示している。このプロセスは、オンラインアクセス法の「1 つで全てに対応」という原則を、データ保護においても実用的に実施するのに役立つ。 |
| Viele Werbe-E-Mails und Newsletter enthalten Tracking Pixel – unsichtbare Grafiken, mit denen genau verfolgt werden kann, wer wann und auf welchem Gerät eine E-Mail geöffnet hat. Dafür ist nach geltendem Recht eine Einwilligung der empfangenden Person notwendig, die jedoch in der Praxis oftmals nicht eingeholt wird. Aufgrund zahlreicher Beschwerden wird die DSK sich dem Thema im nächsten Jahr mit einer Veröffentlichung widmen, um auf die Rechtslage hinzuweisen und der gängigen Praxis entgegenzutreten. | 多くの広告メールやニュースレターには、トラッキングピクセル(誰が、いつ、どのデバイスでメールを開封したかを正確に追跡できる目に見えないグラフィック)が含まれている。現行法では、受信者の同意が必要だが、実際には多くの場合、その同意は得られていない。数多くの苦情を受けて、DSK は来年、この問題について公表を行い、法的状況について指摘し、一般的な慣行に対抗する予定だ。 |
| Zudem beschloss die DSK eine Orientierungshilfe zur vereinfachten Abstimmung mit den Datenschutzbehörden für die Gesundheitsforschung. Das Gesundheitsdatennutzungsgesetz sieht für länderübergreifende Forschungsvorhaben im Gesundheitswesen eine federführende Datenschutzaufsicht vor. Die Orientierungshilfe legt ein einheitliches Verständnis dieser neuen Zuständigkeitsregelungen fest und klärt unter anderem, wann sie zur Anwendung kommen und wie Forschende sie beantragen können. | さらに、DSK は、健康研究に関するデータ保護当局との調整を簡略化するためのガイダンスを決定した。健康データ利用法は、州を越えた医療分野の研究プロジェクトについて、主導的なデータ保護監督機関を規定している。このガイダンスは、この新しい管轄規則について統一的な理解を確立し、それがいつ適用されるか、研究者がそれを申請する方法などを明確にしている。 |
| Die DSK befasste sich auch mit den Vorschlägen aus der Föderalen Modernisierungsagenda von Bund und Ländern. Meike Kamp: „Eine Abschaffung der betrieblichen Datenschutzbeauftragten halten wir für den falschen Weg. Sie sind wichtige Ansprechpartner für alle Datenschutzfragen innerhalb der Unternehmen, sorgen für eine kompetente Beratung und damit auch Entlastung der Geschäftsführungen.“ | DSK は、連邦政府および州政府による連邦近代化アジェンダからの提案についても検討した。マイケ・カンプ氏は、「企業データ保護担当者の廃止は誤った方向性であると考えている。彼らは、企業内のあらゆるデータ保護に関する質問の重要な窓口であり、有能なアドバイスを提供することで、経営陣の負担を軽減している」と述べた。 |
| Auf der Tagesordnung standen ferner zwei Dokumente des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. Die DSK befürwortete das Muster einer Einwilligungs- und Schweigepflichtentbindungserklärung für die Verarbeitung von Gesundheitsdaten in der Lebensversicherung und in der Krankenversicherung. Außerdem sprach sich die DSK für eine Genehmigung des Entwurfs der Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft aus. Die Genehmigung wird durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit erfolgen. | また、議題には、ドイツ保険業界協会(Gesamtverband der Deutschen Versicherungswirtschaft e.V.)の 2 つの文書も含まれていた。DSK は、生命保険および健康保険における健康データの処理に関する同意および守秘義務免除の声明のひな形を承認した。さらに、DSK は、ドイツ保険業界による個人データの取り扱いに関する行動規範草案の承認を支持した。この承認は、ベルリンのデータ保護・情報自由担当官によって行われる。 |
| Mehr Informationen | 詳細情報 |
| • Die Beschlüsse stehen auf der DSK-Website zur Verfügung. | • 決議内容は DSK のウェブサイトに掲載されている。 |
| Über die Datenschutzkonferenz: | データ保護会議について: |
| Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen. | データ保護会議は、連邦および州の各独立データ保護機関で構成されている。その任務は、データ保護に関する基本的権利を保護・擁護し、欧州および国内のデータ保護法を統一的に適用し、そのさらなる発展のために協力することである。これは、決議、決定、指針、標準化、意見書、プレスリリース、および規定によって行われている。 |
GDPRの改革:法的安定性とイノベーションは密接に関連している – AI の調整が必要
・2025.12.12 DSGVO-Reform: Rechtssicherheit und Innovation gehen Hand in Hand – Anpassungen für KI erforderlich
・[PDF]
| Entschließung | 決議 |
| der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12. Dezember 2025 | 2025年12月12日に連邦および州独立データ保護監督機関会議が採択 |
| DSGVO-Reform: Rechtssicherheit und Innovation gehen Hand in Hand – Anpassungen für KI erforderlich | GDPR改革:法的安定性とイノベーションは両立する – AIに関する調整が必要 |
| Die Datenschutzkonferenz (DSK) begrüßt im Ansatz die Initiative der Kommission, durch Rechtsanpassungen mehr Rechtssicherheit für die Entwicklung und den Betrieb von KI-Systemen und KI-Modellen mit personenbezogenen Daten anzustreben. Die DSK stellt einen datenschutzrechtlichen Regelungsbedarf für Verarbeitungen personenbezogener Daten bei Entwicklung, Training und Betrieb von KI-Modellen und -Systemen fest. Sie hält es darüber hinaus für erforderlich, nicht nur das Thema der Rechtmäßigkeit von Verarbeitungen in den Blick zu nehmen, sondern auch in weiteren Abschnitten der DSGVO einen KI-spezifischen Regelungsbedarf zu prüfen. Die Anpassung der DSGVO hinsichtlich KI muss die Technologie ganzheitlich adressieren. Die DSK sieht bei den Rechtsgrundlagen einen dringenden Anpassungsbedarf. Sie betont, dass angesichts der Schwierigkeiten bei der effektiven Verwirklichung von Betroffenenrechten gleichwertige Äquivalente dringend erforderlich sind. Durch mehr Rechtssicherheit wird aus Sicht der DSK ein wirksamer Vollzug der DSGVO erleichtert, der Schutz der Grundrechte der betroffenen Personen gewahrt und gleichzeitig die Möglichkeiten zur Innovation im eindeutigen Rechtsrahmen gestärkt. | データ保護会議(DSK)は、個人データを用いた AI システムおよび AI モデルの開発と運用について、法改正を通じて法的安定性の向上を目指す欧州委員会の取り組みを基本的に歓迎する。DSK は、AI モデルおよび AI システムの開発、トレーニング、運用における個人データの処理について、データ保護に関する規制の必要性を認識している。さらに、処理の合法性の問題だけでなく、GDPR の他の条項についても、AI に関する規制の必要性を検討する必要があると考えている。AI に関する GDPR の調整は、この技術を包括的に扱うものでなければならない。DSK は、法的根拠について緊急の調整が必要だと考えている。関係者の権利を効果的に実現することが困難であることを踏まえ、同等の代替手段が必要だと強調している。DSK は、法的安定性を高めることで、GDPR の効果的な施行が容易になり、関係者の基本的権利の保護が確保されると同時に、明確な法的枠組みの中でイノベーションの可能性が強化されるとの見解だ。 |
| Rechtsgrundlagen für Entwicklung und Betrieb von KI-Modellen und -Systemen | AI モデルおよびシステムの開発と運用に関する法的根拠 |
| Die DSK hält es für erforderlich, für die Verarbeitungen von personenbezogenen Daten bei der Entwicklung und dem Betrieb von KI-Modellen und KI-Systemen neue, spezifische Regelungen, insbesondere Rechtsgrundlagen zu erlassen. Sie sollten sowohl für nicht-öffentliche als auch nach Maßgabe vorhandener Kompetenzen für öffentliche Stellen gelten und Schutzmaßnahmen für Betroffene gewährleisten. Die Anforderungen der Rechtsgrundlagen müssen die technischen Besonderheiten von KI-Modellen und KI-Systemen, die sehr vielfältigen Einsatzmöglichkeiten sowie die unterschiedlichen Rollen der Beteiligten berücksichtigen. Dies ist der beste Weg. die betroffenen Grundrechtspositionen im Sinne der praktischen Konkordanz in einen angemessenen Ausgleich zu bringen. Relevante Regelungsbereiche können sein: | DSK は、AI モデルおよび AI システムの開発と運用における個人データの処理について、新たな具体的な規制、特に法的根拠を制定することが必要であると考えている。これらは、非公開機関と、既存の権限に基づく公的機関の両方に適用され、関係者の保護措置を保証するものであるべきだ。法的根拠の要件は、AI モデルおよび AI システムの技術的な特徴、非常に多様な用途、および関係者のさまざまな役割を考慮に入れる必要がある。これは、実用的な調和の観点から、関係する基本的権利の立場を適切に均衡させる最善の方法である。関連する規制分野としては、以下が考えられる。 |
| • Verarbeitung von durch Web Scraping erlangten personenbezogenen Daten einschließlich besonderen Kategorien für die Entwicklung von KI-Modellen, | • AI モデルの開発のために、ウェブスクレイピングによって取得された個人データ(特別なカテゴリーを含む)の処理 |
| • Weiterverarbeitung von für andere Zwecke erhobenen personenbezogenen Daten einschließlich besonderer Kategorien, um interne domänenspezifische KI-Modelle zu entwickeln | • 他の目的で収集された個人データ(特別なカテゴリーを含む)を、内部ドメイン固有の AI モデルを開発するために再処理すること |
| • Verarbeitungen beim Betrieb von in KI-Modellen memorisierten personenbezogenen Daten | • AI モデルに記憶された個人データの運用における処理 |
| Diese Regelungen müssen einerseits klare Voraussetzungen rechtmäßiger Verarbeitungen für die besonders relevanten Konstellationen abbilden und zugleich rote Linien in Form von Verboten aufzeigen. | これらの規制は、特に重要な状況における合法的な処理の明確な要件を反映すると同時に、禁止事項という形でレッドラインを示す必要がある。 |
| Betroffenenrechte mitdenken | 関係者の権利を考慮する |
| Zur Einhaltung des Datenschutzes bei der Verarbeitung personenbezogener Daten im Zusammenhang mit KI-Modellen und -Systemen gehört auch, Transparenzvorgaben und Betroffenenrechte der DSGVO nach der Rechtsprechung des Europäischen Gerichtshofs zu gewährleisten.[1] Bei der Entscheidung zur Einführung eines KI-Systems, also möglichst frühzeitig, sollte die Sicherung der Rechte der betroffenen Person eine Rolle spielen, quasi als “Betroffenenrechte by Design“. Gleichwohl zeigt sich, dass die Gewährleistung der Betroffenenrechte beim Einsatz vieler KI-Systeme in der Praxis schwierige Fragen aufwerfen kann, wenn die Umsetzung aufgrund der zugrundeliegenden Modelle kaum möglich erscheint. | AI モデルおよびシステムに関連する個人データの処理においてデータ保護を遵守するには、欧州司法裁判所の判例に基づき、GDPR の透明性要件および関係者の権利を保証することも必要だ。[1] AI システムの導入を決定する際、つまり可能な限り早い段階で、関係者の権利の保護、いわば「設計による関係者の権利」が考慮されるべきだ。とはいえ、多くの AI システムの利用において、その基礎となるモデルでは実施がほぼ不可能である場合には、関係者の権利の保証が実際には困難な問題を引き起こす可能性があることも明らかだ。 |
| Um die Rechte der Betroffenen zu wahren und einen eindeutigen rechtssicheren Rahmen für KI zu schaffen, sollten daher im Rahmen des europäischen Reformprozesses zum Datenschutzrecht und den Digitalrechtsakten auch Anpassungen in Form von funktionsäquivalenten oder kompensatorischen Schutzmaßnahmen in den Blick genommen werden. | データ保護法およびデジタル権利に関する欧州の改革プロセスにおいて、関係者の権利を保護し、AI に関する明確な法的枠組みを構築するためには、機能的に同等の、あるいは補償的な保護措置という形で調整を行うことも検討すべきだ。 |
| Bislang sind Verantwortliche im Rahmen der datenschutzrechtlichen Transparenzpflichten nicht explizit verpflichtet, Betroffene ausdrücklich darüber zu informieren, dass ihre personenbezogenen Daten in einem KI-System verarbeitet werden. Daher wird die Aufnahme einer entsprechenden Informationspflicht in die Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO vorgeschlagen. Entsprechendes ist für das Recht der Betroffenen auf Auskunft festzustellen. Um diese Regelungslücke zu schließen, wird die Einführung einer entsprechenden Ergänzung in Art. 15 Abs. 1 DSGVO vorgeschlagen. | これまでのところ、データ保護に関する透明性の義務の枠組みにおいて、責任者は、個人データが AI システムで処理されていることを影響を受ける者に明示的に通知する義務を明示的に負っていない。したがって、GDPR 第 13 条第 2 項および第 14 条第 2 項に、対応する情報提供義務を盛り込むことが提案されている。これは、データ主体の情報アクセス権についても同様である。この規制の抜け穴を埋めるため、GDPR 第 15 条第 1 項に、これに対応する補足条項を追加することが提案されている。 |
| Aus technischen Gründen könnte es in manchen Fällen für den Verantwortlichen nur mit unverhältnismäßigem Aufwand möglich sein, beispielsweise dem kompletten Neutraining eines LLMs, die Erfüllung der Betroffenenrechte aus Art. 16 Abs. 1, Art. 17 Abs. 1, Art. 18 Abs. 1 und Art. 21 DSGVO zu gewährleisten. Hier sollte der europäische Gesetzgeber prüfen, wie die spezifischen Risiken für nicht umgesetzte Transparenz-, Löschungs-, Berichtigungsrechte und Widerspruchsrechte im KI-Modell mitigiert oder Betroffenenrechte funktionsäquivalent gewährleistet werden können, so dass praxistaugliche Lösungen geschaffen und gleichzeitig der Schutzstandard gehalten werden kann. | 技術的な理由により、場合によっては、責任者が、例えば LLM の完全な再トレーニングなど、過大な負担を伴わない限り、GDPR 第 16 条第 1 項、第 17 条第 1 項、第 18 条第 1 項、および第 21 条に基づく関係者の権利の履行を確保できないことがある。ここでは、欧州の立法者は、AI モデルにおいて、透明性、消去、修正、異議申立の権利が実施されない場合の具体的なリスクをどのように軽減するか、あるいはデータ主体の権利を機能的に同等に保証する方法を検討し、実用的な解決策を構築すると同時に、保護基準を維持できるべきだ。 |
| Die DSK wird den laufenden Prozess der DSGVO-Reform weiter konstruktiv begleiten und erneut Stellung nehmen. | DSK は、GDPR 改革の継続的なプロセスを建設的に支援し、改めて意見を述べる予定だ。 |
| [1] Siehe dazu die Orientierungshilfe der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen, Version 1.0 (Stand Juni 2025). Vgl. EuGH, Urteil vom 4. Oktober 2024, Koninklijke Nederlandse Lawn Tennisbond, C-621/22, EU:C:2024:857, Rn. 40, 41 und 49 | [1] これについては、AI システムの開発および運用における推奨される技術的および組織的措置に関する DSK のガイダンス、バージョン 1.0(2025 年 6 月現在)を参照のこと。欧州司法裁判所、2024 年 10 月 4 日の判決、Koninklijke Nederlandse Lawn Tennisbond、C-621/22、EU:C:2024:857、Rn. 40、41 および 49 を参照 |
GDPR改革:ITメーカーに責任を持たせる!
・2025.12.12 DSGVO-Reform: IT-Hersteller in die Verantwortung nehmen!
・[PDF]
| Entschließung | 決議 |
| der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12. Dezember 2025 | 2025年12月12日に連邦および州独立データ保護監督機関会議が採択 |
| DSGVO-Reform: IT-Hersteller in die Verantwortung nehmen! | GDPR 改革:IT メーカーに責任を課す! |
| Die Datenschutzkonferenz (DSK) unterstützt das gemeinsame Ziel des Bundeskanzlers und der Regierungschefinnen und Regierungschefs der Länder[1], die Hersteller und Anbieter von Standardlösungen künftig in die Verantwortung zu nehmen, damit die Anwender unkompliziert und rechtssicher Standardlösungen nutzen können. Sie hält es für erforderlich, die Reform der DSGVO dafür zu nutzen, das System der datenschutzrechtlichen Verantwortlichkeiten durch das Prinzip der Herstellerverantwortung fortzuentwickeln und diesbezüglich an das anderer Digitalrechtsakte wie den Cyber Resilience Act oder die KI-Verordnung anzugleichen. Dies würde zu einer erheblichen Entlastung der Anwender, insbesondere kleinere und mittlere Unternehmen (KMU), und einer substanziellen Vereinfachung für sie führen, wenn sie personenbezogene Daten verarbeiten. | データ保護会議(DSK)は、連邦首相および州知事[1]が、ユーザーが標準ソリューションを簡単に、かつ法的に安全に使用できるよう、標準ソリューションのメーカーおよびプロバイダーに今後責任を課すという共通目標を支持している。DSK は、GDPR の改革を利用して、製造者責任の原則によりデータ保護に関する責任のシステムを発展させ、サイバーレジリエンス法や AI 規制など、他のデジタル関連法と整合させる必要があると考えている。これにより、ユーザー、特に中小企業(SME)の負担が大幅に軽減され、個人データを処理する際に大幅な簡素化が図られることになる。 |
| Die DSGVO stellt bereits heute mit Data Protection by Design and by Default (Art. 25 DSGVO) Grundsätze auf, die sich in der Sache an Hersteller, Importeure und Anbieter richten, nimmt aber nicht diese, sondern ausschließlich die Anwender von Hard- und Software datenschutzrechtlich in die Pflicht. Die Einbeziehung der Anbieter bzw. Hersteller von Standard-Hard- und Software in das etablierte System datenschutzrechtlicher Pflichten würde daher die Verantwortung dorthin verlagern, wo die Entscheidungen über grundsätzliche Weichenstellungen in Systemen getroffen werden. Gleichzeitig würden die Anwender von IT-Produkten, die keinen Einfluss auf das Produktdesign haben, die Haftungsrisiken nicht alleine tragen. | GDPR は、データ保護の設計およびデフォルト(GDPR 第 25 条)によって、製造業者、輸入業者、および供給業者を対象とする原則をすでに定めているが、データ保護法上の義務を課しているのは、これらではなく、ハードウェアおよびソフトウェアのユーザーのみである。標準的なハードウェアおよびソフトウェアのプロバイダーや製造業者を、確立されたデータ保護義務のシステムに組み込むことで、システムの基本的な方向性を決定する責任が、その決定権を持つ者に移るだろう。同時に、製品設計に影響力を持たない IT 製品のユーザーは、単独で責任リスクを負うことはなくなる。 |
| Die DSK hat bereits in ihrer ersten Evaluation der DSGVO im Jahr 2019[2] Vorschläge für eine solche Erstreckung des Grundsatzes von Data Protection by Design auf Hersteller und Anbieter von IT-Produkten unterbreitet, die im Wesentlichen unverändert vorgeschlagen werden. | DSK は、2019 年の GDPR の最初の評価[2] において、IT 製品のメーカーやプロバイダーにも「データ保護による設計」の原則を適用するよう提案しており、その提案は基本的に変更されていない。 |
| Die Ergänzungen entsprechen der grundsätzlichen Ausrichtung der Kommissionsvorschläge, die Anwendung der DSGVO insbesondere für KMU zu vereinfachen und mit den nach ihr erlassenen Digitalrechtsakten zu harmonisieren. Sie erhöhen die Rechtssicherheit für Anwender, denen durch die künftig von Herstellern und Anbietern bereitzustellenden Konformitätserklärungen die Erfüllung ihrer Rechenschaftspflicht erleichtert wird. Demgegenüber entstehen für Hersteller und Anbieter keine erheblichen Zusatzpflichten, da sich diese bereits weitgehend aus dem Cyber Resilience Act ergeben. | この追加事項は、特に中小企業にとって GDPR の適用を簡素化し、GDPR に基づいて制定されたデジタル関連法令と調和させるという、欧州委員会の提案の基本方針に沿ったものである。これにより、メーカーやプロバイダーが将来提供する適合性宣言によって、説明責任の履行が容易になるユーザーにとって、法的安定性が高まる。一方、製造業者や提供業者にとっては、サイバーレジリエンス法によってすでに大部分の義務が定められているため、大きな追加的義務は生じない。 |
| In einer weiteren Stufe kann zudem ein an datenschutzrechtliche Zertifizierungen angelehntes Modell auch für Produktzertifizierungen entwickelt werden. | さらに次の段階では、データ保護に関する認証を参考にしたモデルを、製品認証にも適用できるよう開発することも可能だ。 |
| Ergänzend sollten die bisher alleine an den Verantwortlichen gerichteten Verpflichtungen zu den datenschutzfreundlichen Voreinstellungen (Art. 25 DSGVO) auch auf Auftragsverarbeiter erstreckt werden, um neben Herstellern auch deren Rolle bei der Gewährleistung des Datenschutzes durch Technikgestaltung hervorzuheben und Verantwortliche möglichst umfassend von Aufgaben zu entlasten, die an anderer Stelle effektiver geklärt werden können. | さらに、これまで責任者にのみ課されていた、データ保護に配慮したデフォルト設定(GDPR 第 25 条)に関する義務を、委託処理業者にも拡大し、製造業者に加えて、技術設計によるデータ保護の確保における委託処理業者の役割も強調するとともに、他の場所でより効果的に解決できる業務から、責任者を可能な限り包括的に解放すべきだ。 |
| [1] Beschluss des Bundeskanzlers und der Regierungschefinnen und Regierungschefs der Länder vom 4. Dezember 2025: Die Förderale Modernisierungsagenda, [PDF] | [1] 2025年12月4日の連邦首相および州知事による決定: 連邦近代化アジェンダ、[PDF] |
| [2] DSK: Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, November 2019, [PDF] | [2] DSK:連邦および州独立データ保護監督機関による GDPR の適用に関する経験報告書、2019年11月、[PDF] |
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.11.24 ドイツ DSK 国際子どもの権利デー:子どものデータ保護改善に向けた10の提案 (2025.11.20)
Comments