Nichts wurde in den letzten Wochen in den Medien so ausführlich diskutiert wie das KI-basierte System ChatGPT von OpenAI.
So war zu lesen, dass Studenten bereits das Ende der selbstgeschriebenen Hausarbeiten feiern. Microsoft mit launischen Chatbots kämpft. Unternehmen wie Amazon sich um ihre gut gehüteten Geschäftsgeheimnisse sorgen und Juristen viele Fragen zu Thema Datenschutz und Urheberrecht aufwerfen.
Wie funktioniert ChatGPT?
ChatGPT ist ein KI-basiertes Chatbot-System, das im Gegensatz zu bestehenden Chatbots nicht auf ein bestimmtes Thema oder Anwendungsgebiet beschränkt ist. ChatGPT verwendet Sprachmodelle, die mit großen Datenmengen programmiert wurden, sogenannte Large Language Models (LLM). Die KI lernt in den ersten Schritten nach dem Prinzip des Reinforcement Learning from Human Feedback (RLHF). Dabei entwickelt die KI selbstständig eine Strategie, die durch Belohnung für positives Feedback und Bestrafung für negatives Feedback gesteuert wird, und optimiert sich so auf der höchsten Stufe durch die sogenannte Proximal Policy Optimization (PPO) selbst.
So kann ChatGPT auf fast jede Frage eine verblüffend plausible und menschlich klingende Antwort geben. Der Chatbot kann aber nicht nur Fragen aus allen möglichen Bereichen beantworten, sondern auch Texte schreiben, Lieder komponieren oder Software-Code programmieren.
Da die Trainingsdaten des Programms aus dem Jahr 2021 und früher stammen, ist der Wissensstand nicht ganz aktuell. OpenAI arbeitet aber bereits an Anwendungen, die auf aktuelle Informationen aus dem Internet zugreifen können. Als weitere Informationsquelle nutzt die KI die Informationen, die der Nutzer bei der Nutzung des Programms eingibt und die Inhalte, die die KI darauf auswirft. Die Nutzungsbedingungen von OpenAI sehen vor, dass diese Informationen, der sogenannte Content, für die Weiterentwicklung und Verbesserung des Programms genutzt werden dürfen.
Wo liegen die (rechtlichen) Probleme?
Eines der größten allgemein diskutierten Probleme ist, dass das Programm nicht selten falsche Antworten gibt, die für den Benutzer plausibel erscheinen und daher nicht als solche erkannt werden.
OpenAI gibt nach der Anmeldung folgende Warnmeldung aus:
Diese Warnung führt natürlich nicht dazu, dass die Benutzer eine falsche Antwort eher als falsch erkennen. Sie schafft, wenn überhaupt, nur ein gewisses Bewusstsein dafür, dass es auch falsche Antworten geben kann.
Damit der Nutzer erkennen kann, mit welcher Wahrscheinlichkeit die Antwort richtig oder falsch ist, wäre in jedem Fall die Angabe der Quelle, aus der die Information stammt, hilfreich. Denn je vertrauenswürdiger die Quelle ist, desto höher ist die Wahrscheinlichkeit, dass die Antwort richtig ist. Leider gibt es bei ChatGPT bisher keine Quellenangabe.
Vertrauliche Daten und Datenschutz
Die größte Unbekannte im Zusammenhang mit ChatGPT, der Verwendung von vertraulichen Daten und Datenschutzfragen ist der Benutzer selbst.
Oft ist es der Benutzer, der freiwillig persönliche oder vertrauliche Daten in ChatGPT eingibt. Zum Beispiel, weil die Daten benötigt werden, damit die KI ein brauchbares Ergebnis liefert. Man denke in diesem Zusammenhang beispielsweise an den theoretischen Fall eines Mitarbeiters, der ChatGPT als HR-Tool zur Erstellung von Arbeitszeugnissen oder als Programmierhilfe nutzt und dabei personenbezogene oder vertrauliche interne Daten in das Programm eingibt.
Die Nutzungsbedingungen sehen zwar vor, dass das Programm nicht so verwendet werden darf, dass Rechte Dritter verletzt werden, dies verhindert aber nicht, dass der Nutzer dennoch unbedacht vertrauliche oder personenbezogene Informationen in das Programm eingibt.
Informationen, die auf diese Weise in die Trainingsdaten gelangen, können sich dann in den Antworten wiederfinden, die ein anderer Nutzer erhält.
Auch hier gibt ChatGPT eine entsprechende Warnung aus:
Diese Warnung verhindert nicht, dass im Zweifelsfall dennoch sensible Daten eingegeben werden, sondern kann allenfalls dazu beitragen, das Problembewusstsein des Nutzers überhaupt erst zu wecken.
Urheberrecht – Trainingsdaten
Die Urheberrechtsnovelle, die Mitte 2021 in Kraft trat, enthält mit § 44b UrhG eine Regelung, die die Auswertung frei zugänglicher Werke für Text- und Data-Mining ausdrücklich erlaubt. Für KI-Trainingsdaten bedeutet dies, dass urheberrechtliche geschützte Werke genutzt werden dürfen, wenn und soweit sie frei zugänglich und rechtmäßig im Internet verfügbar sind. Dies gilt jedoch nicht schrankenlos. Rechteinhaber können die Nutzung ihrer öffentlich zugänglichen Werke untersagen. Dazu muss lediglich ein ausdrücklicher Nutzungsvorbehalt maschinenlesbar auf der Website hinterlegt werden. Es stellt sich jedoch die Frage, was passiert, wenn ein Rechteinhaber sich für ein Nutzungsverbot entscheidet, nachdem eine KI mit seinem Werk trainiert wurde. Um den Rechten des Rechteinhabers Rechnung zu tragen, müssten solche Daten nachträglich aus den Trainingsdaten der KI gelöscht werden. Die KI müsste sie sozusagen vergessen.
Urheberrecht – KI-generierte Inhalte
Stellt man ChatGPT die Frage, wem nach deutschem Recht das Urheberrecht an Inhalten zusteht, die von einer KI erstellt wurden, erhält man folgende Antwort:
Nach deutschem Recht steht das Urheberrecht grundsätzlich demjenigen zu, der das Werk geschaffen hat. Da eine KI als Maschine keine natürliche Person ist, kann sie kein Urheber im Sinne des Urheberrechtsgesetzes sein.
In Deutschland wird diskutiert, ob eine KI als „Schöpfer“ eines Werks anerkannt werden soll, wenn sie das Werk ohne menschliches Zutun oder nur aufgrund von menschlichen Vorgaben erstellt hat. Bislang gibt es jedoch keine eindeutige gesetzliche Regelung dazu.
In der Praxis wird das Urheberrecht an von KI erstellten Werken in der Regel demjenigen zugesprochen, der die KI programmiert oder eingesetzt hat. Auch hier gibt es jedoch in bestimmten Fällen juristische Unklarheiten und Herausforderungen.
Dies ist eine verblüffend gute Antwort. Sie bedarf jedoch einer kleinen Korrektur. Der Code einer Software ist urheberrechtlich geschützt. Das heißt, dem Entwickler der Software steht das Urheberrecht an der Software als solcher zu. Das gilt aber nicht für die Produkte, die aus der Software entstehen.
Auch derjenige der die Software eingesetzt, ist nicht der Urheber des von der Software erzeugten Produkts, da es gerade nicht seine eigne persönliche geistige Schöpfung ist.
Da die von einer KI erstellten Inhalte nach dem UrhG grundsätzlich keinen urheberrechtlichen Schutz genießen, können sie von jedermann frei genutzt werden.
Insofern ist die Regelung in den OpenAI-Nutzungsbedingungen, wonach OpenAI dem Nutzer alle OpenAI zustehenden Rechte am Output einräumt, nach deutschem Rechtsverständnis unsinnig. Denn OpenAI stehen keine Rechte zu, die übertragen werden könnten.
Zudem erweckt diese Regelung den Eindruck, dass der Nutzer die von der KI generierten Inhalte uneingeschränkt nutzen kann. Dies ist aber nicht immer der Fall. Vorsicht ist immer dann geboten, wenn der von der KI generierte Inhalt urheberrechtlich geschütztes Material enthält. Denn dann würde die Nutzung der Inhalte eine Urheberrechtsverletzung darstellen.
Fazit
ChatGPT ist ein eindrucksvolles Beispiel für die Fortschritte im Bereich der KI-Technologie. Es steht außer Frage, dass die KI-Technologie mittlerweile ein so hohes Niveau erreicht hat, dass sie das Potenzial hat, die Arbeit in vielen Branchen nachhaltig zu verändern. Wie genau dieser Veränderungsprozess ablaufen wird und welche Rolle dabei die derzeit noch bestehenden rechtlichen Unsicherheiten spielen werden, bleibt abzuwarten. Nach derzeitigem Stand ist jeder Nutzer selbst dafür verantwortlich, dass bei der Nutzung von ChatGPT keine Rechte Dritter verletzt werden. Unter Compliance-Gesichtspunkten ist daher für den Einsatz des Programms im unternehmerischen Umfeld dringend zu empfehlen, den eigenen Mitarbeitern ein Regelwerk für den Umgang mit ChatGPT an die Hand zu geben.
Eine gezielte Beratung von Unternehmen zum Einsatz von KI ist insbesondere vor dem Hintergrund der kommenden KI-Verordnung sinnvoll. Denn diese knüpft besondere Pflichten an den Einsatz von KI in Unternehmen. Gerne beraten wir Sie in diesem Zusammenhang. Sprechen Sie uns an!
Dieser Artikel wurde mit Hilfe von KI optimiert. Das Lektorat erfolgte durch DeepL Write.
In den letzten Wochen und Monaten schwappte eine Welle von Abmahnungen durch Deutschland, die aufgrund der Vielzahl der abgemahnten Unternehmen für Aufsehen gesorgt hat. Abgemahnt wurde die, nach Ansicht der Abmahner datenschutzrechtswidrige, Nutzung von Google Fonts auf Webseiten. Betroffene sollten unter Verweis auf ein Urteil des LG München vom 20. Januar 2022 niedrige dreistelle Beträge als Schmerzensgeld zahlen. Doch sind diese Abmahnungen begründet und wie soll man mit diesen umgehen?
Diese Fragen beantwortet Stephan Schmidt in der aktuellen Ausgabe des DATENSCHUTZ-BERATER (Heft 02/2023). Mit freundlicher Genehmigung des Verlages können Sie den Beitrag hier herunterladen.
Bislang wurde nicht abschließend geklärt, ob zur Erfüllung des datenschutzrechtlichen Auskunftsanspruchs gemäß Art. 15 DSGVO die Benennung der Kategorie des Empfängers, etwa deren Branchenzugehörigkeit, ausreicht oder eine Offenlegung der konkreten Identität des Empfängers vorzunehmen ist. Diese Frage hat der EuGH mit seinem Urteil vom 12.01.2023 beantwortet und entschieden, dass bei einem Auskunftsgesuch nach Art. 15 DSGVO konkrete Angaben über den bzw. die Empfänger der personenbezogenen Daten des Betroffenen gemacht werden müssen.
Im konkreten Fall wandte sich der spätere Kläger an die Österreichische Post, um gemäß Art. 15 DSGVO die Auskunft darüber zu erhalten, welche personenbezogenen Daten über ihn gespeichert werden und wer die Empfänger bei der Weitergabe der Daten waren. Die Österreichische Post teilte zunächst nur mit, dass sie die Daten im Rahmen ihrer Tätigkeit als Herausgabe von Telefonbüchern Geschäftskunden für Marketingzwecken anbiete; später ergänzten sie ihre Angaben dahingehend, dass die Daten zu den werbetreibenden Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spenderorganisationen, Nichtregierungsorganisationen oder politische Parteien weitergegeben wurden.
Art. 15 DSGVO gewährt Betroffenen im Sinne der DSGVO einen Anspruch auf Auskunft hinsichtlich Art und Umfang der Verarbeitung von sie betreffenden personenbezogenen Daten. Neben der Information darüber, ob überhaupt Daten des Betroffenen verarbeitet werden, umfasst der Anspruch zahlreiche weitere in Art. 15 Abs. 1 lit. a) bis h) DSGVO aufgelistete Aspekte der Verarbeitung, z.B. die – streitgegenständliche – Offenlegung von den Empfängern der personenbezogenen Daten.
Aufgrund des nicht eindeutigen Wortlautes des Art. 15 Abs. 1 lit. c) DSGVO – denn auf ein Vorrangverhältnis zwischen Empfängern und Kategorien von Empfängern lässt sich nicht schließen –, sowie der Bedeutung des Aufwandes für den Verantwortlichen je nach Auslegung, stritten sich die Parteien um die Frage nach der Benennung von den Empfängern.
Der EuGH erteilte eine Absage an die für den Verantwortlichen günstige Auslegung und verpflichtet, der betroffenen Person die konkrete Identität der Empfänger mitzuteilen. Dabei lässt der EuGH nur wenige Ausnahmen von dieser Verpflichtung zu, nämlich:
- wenn es nicht möglich ist, die Empfänger zu identifizieren, oder
- wenn der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.
Diese Auslegung stützt der EuGH auf den Zusammenhang sowie auf die Zwecke und Ziele der Vorschrift. Der Erwägungsgrund 63 Satz 3 zur DSGVO sieht vor, dass jede betroffene Person ein Anrecht darauf haben sollte, zu wissen, wer die Empfänger der personenbezogenen Daten sind. Dieses Recht wird nicht auf „Kategorien von Empfängern“ beschränkt. Zudem trage die Preisgabe der konkreten Identität der Empfänger zu einem hohen Datenschutzniveau bei (Erwägungsgrund 10 der DSGVO) und komme dem Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) DSGVO nach. Weiterhin müsse das Auskunftsrecht die betroffene Person in die Lage versetzen, die Überprüfung von den Daten, deren Verarbeitung und Befugnis der Offenlegung gegenüber den Empfängern vornehmen zu können, und ggf. weitere Rechte wahrnehmen zu können.
Eine Frage, die sich aufgrund des Urteils stellt, ist, ob die zu Art. 15 Abs. 1 lit. c) DSGVO getroffene Auslegung auch auf die Informationspflichten aus Art. 13, 14 DSGVO übertragbar sind. Denn diese verlangen vom Verantwortlichen als Teil der Datenschutzinformationen auch die Angabe von „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“. Allerdings haben die beiden Regelungen zur Informations- bzw. Auskunftspflicht unterschiedliche Zwecke und – vor allem – unterschiedliche Zeitpunkte im Blick: Im Zusammenhang mit Art. 13, 14 DSGVO steht zum Zeitpinkt der eigenständigen, proaktiven Pflicht im Zweifel nicht fest an welche konkreten Empfänger (Dritte oder Auftragsverarbeiter) Daten weitegegeben werden. Dagegen sind die Auskünfte im Sinne von Art. 15 DSGVO stets reaktiv und auf eine gezielte Nachfrage eines Betroffenen hin zu erteilen. Zu diesem Zeitpunkt sind dem Verantwortlichen alle Empfänger der Daten bekannt. Deshalb zieht der EuGH wohl auch Art. 13, 14 DSGVO nicht in einer Weise heran, die eine Art. 15 Abs. 1 lit. c) DSGVO vergleichbare Auslegung naheliegen würde. Auch der Generalanwalt formulierte in seinen Schlussanträgen (Nr. 21), dass die Informationspflichten eine andere Zielrichtung als das Auskunftsrecht haben.
Praktisch bedeutet die Entscheidung des EuGH vor allem „mehr Aufwand“ für die Verantwortlichen im Datenschutz: Mehr Aufwand bei der Pflege des Datenschutzmanagements, mehr Aufwand bei der Einholung von Informationen bei der Beantwortung von Auskunftsersuchen, mehr Aufwand bei der Nachhaltung von Auftragsverarbeitern und etwaigen Unterauftragnehmern in der Leistungskette.
Es ist zu beachten, dass das Urteil nicht nur Auswirkungen bezüglich der Identität von „direkten“ Empfängern hat, sondern aufgrund des weiten Empfängerbegriffes aus Art. 4 Nr. 9 DSGVO auch alle Personen oder Stellen außerhalb des Verantwortlichen, die unter der Verantwortung des Verantwortlichen befugt sind, personenbezogenen Daten zu verarbeiten, umfasst sind. Dies schließt alle etwaige Unterauftragnehmer ein, also auch die sogenannten weiteren Auftragsverarbeiter i.S.v. Art. 28 Abs. 1, Abs. 4 DSGVO. Somit ist in der Regel die Preisgabe der Identität aller Empfänger in der Leistungskette erforderlich.
Ehemalige Empfänger der Daten müssen jedoch nicht benannt werden, wenn der Verantwortliche positive Kenntnis davon hat, dass der „nicht mehr aktuelle“ Empfänger die Daten der betroffenen Person bereits gelöscht hat. Ansonsten würde das Recht auf Löschung leerlaufen.
Schließlich hat der EuGH – mit Blick auf die Vorlagefrage – nur einen umfassenden Auskunftsanspruch bejaht, wenn die betroffene Person auch dementsprechend konkrete Auskunft begehrt hat. Nicht entschieden hat der EuGH die Frage, ob der Verantwortliche generell zur umfassenden Auskunft verpflichtet ist. Dies könnte im Umkehrschluss bedeuten, dass die umfassende Offenbarung der Empfänger-Identitäten der Daten nicht bei jeglicher Anfrage durchzuführen ist und der konkrete Wortlaut der Anfrage maßgeblich ist.
Wir freuen uns, auch dieses Jahr wieder aktiv bei den Kölner Tagen IT-Recht mitzuwirken: Dr. Truiken Heydn als Co-Tagungsleiterin und Dr. Michael Karger als Referent zum Thema Auslagerung in die US-Cloud aus Kunden-Perspektive.
EuGH Urteil vom 22.6.2022 – C-534/20
Die Pflicht zur Benennung eines Datenschutzbeauftragten trifft viele Unternehmen. Eine deutsche Besonderheit ist dabei der besondere Kündigungsschutz des internen betrieblichen Datenschutzbeauftragen. Zur Vereinbarkeit dieses Kündigungsschutzes mit europarechtlichen Vorgaben hat nun der EuGH entschieden.
Besonderer Schutz des Datenschutzbeauftragten
Der betriebliche und behördliche Datenschutzbeauftragte wird aufgrund seiner Funktion besonders geschützt. Nach Art. 38 III 2 DSGVO dürfen Datenschutzbeauftragte vom Verantwortlichen oder Auftragsverarbeiter wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden. Allerdings geht der nationale Gesetzgeber in § 6 Abs. 4 BDSG noch einen Schritt weiter und regelt arbeitsrechtliche Vorschriften in Form von einem strengeren Kündigungsschutz – auch dann, wenn die Kündigung nicht mit der Erfüllung der Aufgaben als Datenschutzbeauftragter zusammenhängt, sondern aus anderen Gründen erfolgt. Die Rechtmäßigkeit eines solch starken Kündigungsschutzes ist in der deutschen Fachliteratur stark umstritten, insbesondere ob es sich nur um eine rein arbeitsrechtliche Regelung handelt oder aber gegen EU-Recht verstößt.
Daher befasste sich der EuGH im Rahmen eines Vorabentscheidungsverfahren nach Art. 267 AEUV mit der Frage, ob der stringentere Kündigungsschutz für Datenschutzbeauftragte in Deutschland vereinbar sei mit dem datenschutzrechtlichen Europarecht.
Zulässigkeit einer betriebsbedingten Kündigung des internen Datenschutzbeauftragten
Im konkreten Fall ging es um eine betriebsbedingte Kündigung eines betrieblichen Datenschutzbeauftragten. Dabei berief sich der Arbeitsgeber eines privatrechtlich organisierten Unternehmens auf eine Umstrukturierungsmaßnahme, die zum Wegfall des Beschäftigungsbedürfnisses für die Datenschutzbeauftragte geführt habe. Die Funktion der Datenschutzbeauftragten sollte ausgelagert werden und durch einen Externen wahrgenommen werden. Daraufhin erhob die Datenschutzbeauftragte eine Kündigungsschutzklage, mit der sie die Unwirksamkeit der Kündigung geltend machte. Die Instanzgerichte gaben der Datenschutzbeauftragten Recht, denn aus den speziellen deutschen Datenschutzregelungen in § 38 II iVm § 6 IV 2 BDSG ergibt sich, dass verpflichtend bestellte Datenschutzbeauftragte nur außerordentlich aus wichtigem Grund nach § 626 BGB gekündigt werden können. Dagegen wandte sich das Unternehmen mit seiner Revision beim BAG.
Der EuGH hat eine solche schärfere, schützende Regelung als grundsätzlich mit der DSGVO für vereinbar erklärt. Allerdings schränkt er dies damit ein, dass diese schärfere Regelung nur gelte, solange sie die Zwecke des europäischen Datenschutzes nicht beeinträchtigt. Dies begründet der EuGH im Wesentlichen mit dem Telos des Datenschutzes sowie der jeweiligen Gesetzgebungskompetenz. In der DSGVO ist in Art. 38 III 2 DSGVO nicht geregelt, wie ein Datenschutzbeauftragter gekündigt werden kann. Art. 16 II AEUV bildet nur eine Datenschutzrechtsgrundlage. Hier hat Deutschland seine arbeitsrechtliche Kompetenz genutzt, um den Kündigungsschutz auszuweiten. Denn im Bereich der Sozialpolitik hat die EU keine spezifische Kompetenz, sondern bestehen geteilte Zuständigkeiten. Die EU hat gem. Art. 2 II, 4 II b), 153 AEUV beschränkte Richtlinienkompetenzen. Nach Art. 153 II b) AEUV hat die EU lediglich eine Richtlinienkompetenz für Mindestvorschriften. Nach dem Kohärenzprinzip müssen sich die Mitgliedstaaten an den europarechtlichen Rahmen halten, allerdings ist gegen strengere mitgliedstaatliche Regelungen kein Einwand zu erheben. Somit scheidet mangels entsprechender EU-Gesetzgebungskompetenz eine Kollision von EU-Recht und deutschem Sonderkündigungsschutz aus.
Weiterhin müsse laut EuGH auf die Systematik und Telos der Datenschutzvorschriften abgestellt werden. Aspekte des Arbeitsverhältnisses sind kein direktes Regelungsziel der DSGVO, sondern allenfalls am Rande betroffen, um die Unabhängigkeit von Datenschutzbeauftragten zu gewährleisten. Aus Art. 38 DSGVO sowie den Erwägungsgründen 97 und 10 DSGVO folgt, dass die EU als Zweck der Vorschrift Art. 38 III DSGVO die funktionelle Unabhängigkeit der Datenschutzbeauftragten sichergestellt werden soll. Erwägungsgrund 10 der DSGVO deutet an, welches hohe Harmonisierungsniveau mit der DSGVO erzielt werden soll und infolgedessen das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten gleichwertig sein sollte. Auch der Kündigungsschutz dient der funktionellen Unabhängigkeit eines Datenschutzbeauftragten. Dabei bleibt jedoch die Frage, ob ein derart strenger Kündigungsschutz wie es im deutschen BDSG vorgesehen ist, wirklich erforderlich ist.
Schließlich schränkt der EuGH die Anwendbarkeit des Sonderkündigungsschutzes im BDSG dahingehend ein, dass der Datenschutz damit nicht ausgehebelt werden darf. Ein stärkerer Kündigungsschutz darf nicht bedeuten, dass ein Datenschutzbeauftragter unabhängig von datenschutzrechtlichen Zwecken unkündbar ist und die Kündigung per se verhindert werden kann, wenn ein Datenschutzbeauftragter nicht mehr für die Erfüllung seiner Aufgaben erforderlichen beruflichen Eigenschaften besitzt oder die Aufgaben nicht im Einklang mit der DSGVO erfüllt. Dies zeigt abermals auf, dass es sich beim Datenschutz von Natur aus um eine Querschnittsmaterie handelt und deren Regelungen unvermeidlich auf andere Rechtsbereiche ausstrahlt.
Es ist somit in jedem Einzelfall durch die nationalen Gerichte neu zu prüfen, ob ein wichtiger Kündigungsgrund iSv § 626 BGB vorliegt. Dabei bildet die Europarechtskonformität den übergeordneten Auslegungsmaßstab. Diese Wechselwirkung mit den datenschutzrechtlichen Pflichten nach der DSGVO müssen auch die deutschen Arbeitsgerichte bei ihren Entscheidungen zwingend berücksichtigen. Beispielsweise könnten Interessenkonflikte aus Gründen wie der Wahrnehmung verschiedener Rollen in einer Organisation zu einem anderen Ergebnis im Rahmen einer Abwägung führen.
Der externe Datenschutzbeauftragte als bessere Alternative? Praktisch bedeutet diese EuGH-Entscheidung, dass die relativ starke Stellung und Unabhängigkeit interner Datenschutzbeauftragten bestätigt und bestärkt wurde. Damit bleibt es für Arbeitgeber weiterhin schwierig, sich von internen Datenschutzbeauftragten zu trennen, sofern eine gesetzliche Benennungspflicht vorliegt. Letztlich muss der Verantwortliche bzw. der Auftragsverarbeiter unter Abwägung aller Gesichtspunkte entscheiden, ob er aus Gründen der Flexibilität Externe statt eigene Beschäftige zu betrieblichen Datenschutzbeauftragten bestellen. Eine Möglichkeit für interne Datenschutzbeauftragte könnte eine befristete Benennung sein. Teilweise wird, aus Gründen der Verhinderung des Unterlaufens der gesetzlichen Vorgaben für die Abberufung eines Datenschutzbeauftragten, dazu ein sachlicher, angemessener Grund verlangt.
Der Europäische Gerichtshof (EuGH) (verbundene Rechtssachen C-793/19 und C-794/19) hat am 20.9.2022 entschieden, dass die deutschen Regelungen zur Vorratsdatenspeicherung EU-rechtswidrig sind. Er verweist hierbei auf seine bisherige Rechtsprechung, wonach EU-Recht nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen. Die Regelungen des deutschen Telekommunikationsgesetzes (TKG) zur Vorratsdatenspeicherung erstrecken sich dem EuGH zufolge auf einen umfangreichen Satz von Verkehrs- und Standortdaten, der sehr genaue Schlüsse auf das Privatleben der Personen, deren Daten gespeichert wurden – etwa auf Gewohnheiten des täglichen Lebens, ständige oder vorübergehende Aufenthaltsorte, tägliche oder in anderem Rhythmus erfolgende Ortsveränderungen, ausgeübte Tätigkeiten, soziale Beziehungen dieser Personen und das soziale Umfeld, in dem sie verkehren –, und insbesondere die Erstellung eines Profils dieser Personen ermöglichen kann. Allerdings lässt der EuGH spezielle näher beschriebene Ausnahmen zu, um den nationalen Sicherheitsinteressen der Mitgliedstaaten gerecht zu werden.
Auf das Urteil des EuGH folgt nun noch die Entscheidung des Bundesverwaltungsgerichts, das dem EuGH das Verfahren vorgelegt hatte (siehe https://www.tcilaw.de/eugh-muss-ueber-die-rechtsmaessigkeit-der-deutschen-vorratsdatenspeicherung-entscheiden/). Zudem bleibt abzuwarten, ob es in Deutschland einen weiteren Anlauf gibt, die Vorratsdatenspeicherung in Einklang mit den detaillierten Vorgaben des EuGH zu regeln.
Dr. Stefan Brink ist seit dem 1. Dezember 2016 der Landesbeauftragte für den Datenschutz des Landes Baden-Württemberg. Er hat an unserem TCI-Datenschutztag vom 22.09.2022 in einer interaktiven Diskussionsrunde Näheres zu den Aufgaben der datenschutzrechtlichen Aufsichtsbehörden sowie zum aktuellen Stand des internationalen Datentransfers ausgeführt.
Was macht eigentlich eine datenschutzrechtliche Aufsichtsbehörde?
Die Aufsichtsbehörde ist seit 2018 besonders intensiv in der Beratung unterwegs und berät Bürger, Unternehmen und Behörden – insbesondere in letzter Zeit zur Corona-Verordnung, zu Bildungsplattformen und Proctoring an Hochschulen. Ein weiterer Schwerpunkt ist die Beratung von Unternehmen und Vereinen mit Themen wie 3G am Arbeitsplatz, Lohnfortzahlung im Quarantänefall sowie die Zusammenarbeit mit Institutionen.
In Zahlen lässt sich festhalten, dass der LfDI Baden-Württemberg circa 5000 Beschwerden und 3000 Datenpannenmeldungen pro Jahr erhält. Bei den Datenpannenmeldungen hat ein enormer Anstieg stattgefunden – nicht nur aufgrund der erweiterten Meldepflichten der DSGVO, sondern u.a. wegen neuer Sicherheitslücken wie z.B. die MS Exchange-Sicherheitslücke in 2021. Deutschland ist europaweit das Land mit den meisten Datenpannenmeldungen – vermutlich nicht, weil die IT in Deutschland besonders unsicher ist, sondern eher aufgrund der starken Aufsichts- sowie Melde-„Kultur“.
Auch die Beschwerden haben sich zwischen 2016 und 2021 verdoppelt. Besonders Betroffenen-Themen, wie Beschäftigten-Datenschutz (gleichermaßen im öffentlichen und privaten Sektor) vermehren sich.
Aufgrund dieser hohen Zahlen setzt Baden-Württemberg vermehrt auf automatisierte Kontrollen und Bescheide. Zudem verhängt die Aufsichtsbehörde vorrangig Bußgelder in Fällen, die auch vor Gericht voraussichtlich Aussicht auf Erfolg haben, um die Arbeitslast zu verringern. Vor Gericht haben vorwiegend einfach strukturierte Fälle, die nachweisbar sowie prüfbar sind, eher Aussicht auf Erfolg. Ferner besteht in Baden-Württemberg eine strikte Trennung zwischen der Beratung und den Bußgeldverfahren. Zwischen diesen Abteilungen fließen keine Informationen. Dies ermöglicht es Bürgern und Unternehmen sich zu informieren, ohne gleich ein Bußgeld befürchten zu müssen.
Europäische Perspektiven
Der europäische Datenschutzausschuss arbeitet und funktioniert nach Aussage von Dr. Brink gut. Alle sechs Wochen finden Treffen der europäischen Aufsichtsbehörden der Mitgliedstaaten statt. Es wird dabei versucht, weitestgehend einen einheitlichen Vollzug im Datenschutz zu realisieren. Dies ist jedoch ein langer Prozess, da es sich letztlich um die Vereinheitlichung der europäischen Verwaltungskultur handelt.
Auch wenn noch Nachbesserungsbedarf an der DSGVO besteht, sind bereits informelle (Kommunikation mit US-Unternehmen) wie auch formale (Anordnungen/Bußgelder) Vollzugserfolge zu sehen. Allerdings wird die Uneinheitlichkeit des Vollzugs und der Rechtsprechung in den europäischen Ländern zum Teil ausgenutzt. Zum Beispiel wird ein deutscher Richter vermutlich kein Bußgeld verhängen, wenn der Beklagte belegen kann, dass in einem anderen Land für seine Handlung kein Bußgeld verhängt werden würde. Zurzeit ist ein Wachstum bei dem Gesamtumfang an Bußgeldern sowie deren Höhe in Europa zu sehen. Im Vergleich zum Vorjahr liegt bereits eine Erhöhung von rund 50% vor. Das mag auch daran liegen, dass sich einige Aufsichtsbehörden im EU-Ausland aus den eingetriebenen Bußgeldern (mit-)finanzieren.
Außereuropäische Datentransfers – Schrems II und die Perspektiven
Zum Dauerbrennerthema der Datenübermittlung in das Nicht-EU-Ausland und zur Schrems II-Problematik wird voraussichtlich für Mitte 2023 eine Lösung in Form des „Trans-Atlantic Data Privacy Frameworks“ erwartet – jedenfalls hinsichtlich Datentransfers in die USA.
Bis dahin gilt leider nach wie vor:
- Geeignete Garantien (Art. 46 DSGVO) durch Standarddatenschutzklauseln und Binding Corporate Rules (BCR) (Art. 47 DSGVO) sind nach Schrems II problematisch.
- Ausnahmetatbestände (Art. 49 DSGVO), insbesondere die Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO, sind nur schwer umzusetzen. Eine „informierte Einwilligung“ erfordert eine gute Kenntnis der anderen Landes-Rechtsordnung sowie ständige Aktualisierungen aufgrund neuer Gesetze und Rechtsprechung im jeweiligen Zielland. Nach Auffassung der Aufsichtsbehörden soll zudem die Einwilligung nur in Ausnahme- bzw. Einzelfällen zur Anwendung kommen.
Die derzeit beliebten TIA (Transfer Impact Assessment) sind nach Auffassung von Dr. Brink von eher zweifelhaftem Nutzen. TIA sind in der Welt des Datenschutzes relativ neu – es handelt sich um eine Risikobewertung für Datenübermittlung in unsichere Drittländer. Die Risikobewertung – vor allem die Prüfung der Rechtslage im „Zielland“ – erfordert jedoch einen unverhältnismäßig hohen Aufwand. Dabei ist auch zu beachten, dass die TIA ein dauerhafter Prozess ist und diese regelmäßig überprüft werden muss: schließlich können sich Gesetze und Rechtsprechung im Zielland ändern. Die meisten Aufsichtsbehörden gehen bei der Prüfung von Auslandsübermittlung jedoch mit Augenmaß vor und sind sich ihres Ermessenspielraums bewusst. Zurückhaltung wird oft dann ausgeübt, wenn der Auslands-Dienstleister „alternativlos“ ist, d.h. wenn es keine zumutbaren Alternativangebote ohne Transferproblematik gibt. Verantwortliche sollten deshalb dringend intern dokumentieren, weshalb sie auf einen bestimmten Auslands-Dienstleister angewiesen sind.
Wir freuen uns, dass wir Sie zu einer ganz besonderen Online-Veranstaltung am 22.09.2022 einladen können!
Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, wird über den aktuellen Stand der Auslandsübermittlungen berichten und dabei auch Einblick in die Prüfungs- und Bußgeldpraxis der Aufsichtsbehörden geben.
Danach steht Dr. Brink für Ihre Fragen zur Verfügung. Sie haben die Möglichkeit, uns unter webinar@tcilaw.de vorab Fragen zukommen zu lassen.
Auf Wunsch stellen unsere Moderatoren Ihre Fragen Herrn Dr. Brink auch gerne anonym.
Wir freuen uns über Ihre Teilnahme und bitten um Anmeldung bis zum 19.09.2022 per E-Mail an webinar@tcilaw.de. Sie erhalten Ihre Zugangsdaten per E-Mail. Die Teilnahme ist kostenlos.
Bereits am 24. März 2022 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) einen Beschluss zum Thema „Datenschutzkonformer Online-Handel mittels Gastzugang“.
Nach Ansicht der DSK müssen Shop-Betreiber, die online Waren oder Dienstleistungen anbieten, ihren Kunden grundsätzlich einen Gastzugang (d. h. Verzicht auf Registrierungs- bzw. Zugangsdaten) zur Verfügung stellen. Dies soll unabhängig davon gelten, ob die Shop-Betreiber ihren Kunden daneben einen registrierten Nutzungszugang (ein fortlaufendes Kundenkonto) zur Verfügung stellen.
Onlineshops müssen demnach für Kunden, die keine dauerhafte Geschäftsbeziehung eingehen möchten, die Möglichkeit zur Verfügung stellen, auch ohne Kundenkonto Bestellungen tätigen zu können. Über diesen Gastzugang dürfen nur die zur Durchführung des Vertrages und zur Erfüllung gesetzlicher Pflichten erforderlichen personenbezogenen Daten und Informationen des jeweiligen Kunden erfasst werden. Eine Verarbeitung von nicht zur Geschäftsabwicklung benötigten Daten findet mit einem Gastzugang nämlich nicht statt.
Ebenso muss die „Bestellung als Gast“ in ihrer Art und Weise gleichwertig sein. Dies sei gegeben, „wenn keinerlei Nachteile entstehen, also Bestellaufwand und Zugang zu diesen Möglichkeiten, wie bei einem Gastzugang, denen eines laufenden Kund*innenkontos entsprechen und technisch organisatorische Maßnahmen getroffen werden, die ein angemessenes Datenschutzniveau gewährleisten.“
Ferner ist bei fortlaufenden Kundenkonten für weitere Verarbeitungen der dort gespeicherten Daten (z.B. Profiling der Kundenhistorien, bestellte Produkte / Dienstleistungen, Zusammenführung mit Daten aus anderen Quellen), d. h. jede Verarbeitung, die nicht für die Vertragserfüllung erforderlich ist, vorab eine Einwilligung der Kunden nach Art. 6 Abs. 1 Satz 1 Buchstabe a) DSGVO einzuholen. Denn einen solche Verarbeitung sei eine Verarbeitung, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgehe. So sei das Anlegen eines Kundenkontos nicht erforderlich, um den Kunden die Waren zukommen zu lassen.
Diese extreme Auffassung der DSK ist rechtlich umstritten. So ist insbesondere fraglich, warum sich die Anlage des Kundenkontos und die damit zusammenhängende Datenverarbeitung nicht einfach auf Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO stützen lassen kann. Schließlich haben sowohl der Shop-Betreiber als auch dessen Kunden ein berechtigtes Interesse an der Beschleunigung zukünftiger Bestellungen.
In diesen Kontext passt auch eine aktuelle Nachricht, nach der die EU-Kommission die niederländische Datenschutz-Aufsichtsbehörde wegen eines allzu engen Verständnisses der „berechtigten Interesse“ im Sinne von Art. 6 Abs. 1f DSGVO rügt (siehe https://www.nrc.nl/nieuws/2022/07/03/brussel-tikt-nederlandse-ap-op-de-vingers-om-te-strikte-naleving-privacywetgeving-a4135385 ). Dies führe nach Auffassung der Kommission dazu, dass Unternehmen für praktisch jede Datenverarbeitung Einwilligungen einholen müssten – was nach dem Wortlaut der DSGVO aber eben gerade nicht notwendig sei.
Diese Frage soll nun der EuGH klären. Anlass ist ein Vorlagebeschluss des Bundesgerichtshofs (BGH) vom 29.03.2022, Az. VI ZR 1352/20. Insbesondere soll geklärt werden, unter welchen Voraussetzungen und in welchem Umfang Ärzte ihren Patienten eine unentgeltliche Kopie der Patientenakte herausgeben müssen.
Im konkreten Fall verlangt der Patient für die Prüfung eines möglichen Behandlungsfehlers seiner Ärztin die unentgeltliche Herausgabe einer Kopie sämtlicher bei ihr existierender, ihn betreffender Krankenunterlagen und stützt sich hierbei auf die DSGVO. Die Ärtzin hingegen ist der Auffassung, dass sie nur gegen Erstattung der Kosten eine Kopie der Unterlagen zur Verfügung stellen müsse.
Mit der Begründung, der Patient könne sich auf sein Auskunftsrecht nach der DSGVO berufen, gaben sowohl das Amts- als auch das Landgericht dem Patienten Recht. Der BGH hat allerdings Zweifel, ob das Auskunftsrecht in der DSGVO auch dann greift, wenn es nicht mit dem Anspruch auf eine datenschutzrechtliche Prüfung im Sinne von Erwägungsgrund 63 der DSGVO begründet wird. Vorliegend möchte der Patient die Kopie seiner Daten in erster Linie zur Verfolgung von Schadensersatzansprüchen erhalten, nicht aber zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung.
In diesem Zusammenhang wird der EUGH insbesondere auch der Frage nachgehen, wie es sich mit den Kosten des Auskunftsanspruchs verhält. So ergibt sich aus Art. 15 Abs. 3 DSGVO ganz allgemein das Recht der betroffenen Person vom Verantwortlichen eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten. Hierbei muss die erste Kopie unentgeltlich erfolgen und erst für weitere Kopien kann ein angemessenes Entgelt gefordert werden. Aus § 630g Abs. 2 BGB ergibt sich hingegen das Recht des Patienten eine Abschrift der Patientenakte zu verlangen. Dies kann auch in elektronischer Form erfolgen. Dafür kann der Arzt jedoch die Erstattung der entstandenen Kosten verlangen. Dieses Recht auf eine Kopie ist für den Patienten nach dieser Regelung nicht kostenlos.
Es bleibt daher abzuwarten, ob das Recht auf eine kostenlose Kopie auch dann besteht, wenn der Betroffene die Kopie zur Verfolgung von legitimen Zwecken, aber datenschutzfremden Zwecken, begehrt.
