In Ergänzung zum Artikel zur Stellungnahme des Europäischen Datenschutzausschusses zu „pay-or-consent“-Modellen vom 31.05.2024:
Parallel zum Europäischen Datenschutzausschuss (EDSA) befasst sich mittlerweile auch die Europäische Kommission mit den „pay-or-consent“-Modellen von Meta, dem Konzern hinter Facebook und Instagram. Sie hat bereits am 25. März 2024 ein Verfahren gegen Meta eingeleitet. Die Kommission untersucht, ob Meta mit ihrem „pay-or-consent“-Modell gegen das Gesetz über digitale Märkte (DMA) verstößt.
Gesetz über digitale Märkte
Das Gesetz über digitale Märkte beschäftigt sich mit dem Wettbewerb im digitalen Raum. Unternehmen mit einer marktbeherrschenden Stellung in bestimmten Bereichen der Internetwirtschaft gelten als Gatekeeper und müssen sich so verhalten, dass sie den Wettbewerb nicht verhindern. Meta wurde im Rahmen des DMA als Gatekeeper eingestuft und muss daher strenge Regeln einhalten, um Wettbewerb zu ermöglichen. Aufgrund ihrer starken Stellung auf digitalen Märkten können Gatekeeper ihrer großen Nutzerzahl Dienstleistungsbedingungen auferlegen, die es ihnen ermöglichen, riesige Mengen personenbezogener Daten zu sammeln. Damit sind sie gegenüber Wettbewerbern, die keinen Zugang zu einer solch großen Datenmenge haben, deutlich im Vorteil, was zu hohen Hürden für die Online-Werbung und Diensten für soziale Netze geführt hat.
Meta hatte im Rahmen dessen das „pay-or-okay“-Modell eingeführt, bei dem die Nutzer von Meta-Netzwerken in der EU zwischen einem monatlichen Abonnement einer werbefreien Version oder dem kostenlosen Zugang zu einer Version dieser sozialen Netze mit personalisierten Anzeigen wählen mussten.
Untersuchung durch EU-Kommission
Margarethe Vestager, die für Wettbewerbspolitik zuständige Vizepräsidentin der Europäischen Kommission, sagte im Rahmen einer Pressekonferenz dazu: „Wir haben den Verdacht, dass die von den drei Unternehmen [Google, Apple und Meta] vorgeschlagenen Lösungen nicht vollständig im Einklang mit dem DMA stehen.“
Die Untersuchung wird voraussichtlich innerhalb von 12 Monaten nach der Eröffnung abgeschlossen sein, die Kommission hat jedoch bereits im Juli vorläufige Ergebnisse in einer Pressemitteilung veröffentlicht. Darin hat sie nun vorläufig festgestellt, dass Metas „pay-or-okay“-Modelle gegen das Gesetz über digitale Märkte verstößt.
Im Mittelpunkt der Untersuchung steht Art. 5 Abs. 2 des Gesetzes über digitale Märkte. Danach müssen Gatekeeper die Einwilligung der Nutzer in die Zusammenführung der Daten aus dienstübergreifenden Systemen einholen und dem Endnutzer dabei eine spezifische Wahl geben. Verweigert ein Nutzer eine solche Einwilligung, so sollten sie Zugang zu einer weniger personalisierten, aber gleichwertigen Alternative haben. Gatekeeper dürfen den Dienst oder bestimmte Funktionalitäten nicht von der Einwilligung der Nutzer abhängig machen. Die von Meta angebotene Alternative zur Datenverarbeitung ist laut der Kommission nicht gleichwertig und zugleich weniger personalisiert. Somit sei eine ungezwungene Einwilligung der Nutzer zu der Zusammenführung ihrer Daten nicht möglich.
Die Kommission hat sich damit der Einschätzung des EDSA angeschlossen, indem sie die „pay-or-okay“-Modelle von Meta in ihrer derzeitigen Ausgestaltung als nicht zulässig ansieht und ausführt, dass das Abo-Modell die Nutzenden zwingt, der Verarbeitung ihrer persönlichen Daten zuzustimmen und sie einer weniger personalisierten, aber gleichwertigen Version der sozialen Netzwerke von Meta beraubt.
In Reaktion auf diese vorläufigen Ergebnisse hat Meta nun die Möglichkeit, seine Verteidigungsrechte wahrzunehmen, indem es die Unterlagen der Untersuchung prüft und schriftlich zu den vorläufigen Ergebnissen Stellung nimmt. Sollte sich die vorläufige Auffassung der Kommission im Endergebnis bestätigen, würde die Kommission einen Beschluss erlassen, in dem sie feststellt, dass das Modell von Meta nicht mit Art. 5 Abs. 2 des Gesetzes über digitale Märkte vereinbar ist. Im Fall einer Nichteinhaltung kann die Kommission Geldbußen in Höhe von bis zu 10% des weltweiten Jahresumsatzes des Konzerns verhängen. Bei systematischer Missachtung des Gesetzes kann die Kommission zusätzliche Abhilfemaßnahmen anordnen, wie den Verkauf des Unternehmens oder von Unternehmensteilen. Zunächst setze man jedoch seine „konstruktive Zusammenarbeit mit Meta fort, um einen zufriedenstellenden Weg hin zu einer wirksamen Einhaltung der Vorschriften zu finden.“
Anwendbarkeit auf andere Unternehmen
Die Untersuchung der Kommission konzentriert sich in diesem Fall auf Meta als große Online-Plattform und Gatekeeper im Sinne des Gesetzes über digitale Märkte und bewertet die Situation im Licht des Wettbewerbsrechts. Daraus ergibt sich der große Kritikpunkt der Kommission, dass Plattformen, wie Meta aufgrund ihrer großen Reichweite den Nutzenden bislang beliebige Geschäftsbedingungen aufdrücken und so große Datenmengen anhäufen können. Darauf stützt sich die Bewertung der Modelle als unzulässig. Dies ist ein Kriterium, das kleinere Plattformen und solche, die nicht als Gatekeeper eingestuft sind, meist nicht erfüllen. Der mögliche Vorteil, der sich nach Einschätzung der Kommission gegenüber anderen Wettbewerbern daraus ergeben kann, kann sich folglich nicht realisieren.
Somit kann die wettbewerbsrechtliche Einschätzung der Zulässigkeit von „pay-or-okay“-Modellen nicht ohne weiteres auf Plattformen, die nicht als Gatekeeper gelten, übertragen werden, da sie bereits die grundlegenden Kriterien nicht erfüllen, auf denen diese Einschätzung basiert. Wie jedoch im vorangegangenen Artikel aufgezeigt, werden die „pay-or-okay“-Modelle auch datenschutzrechtlich kritisch beurteilt, wonach sich wiederum eine Relevanz für kleinere Plattformen ergeben kann.
Gemäß Art 82 Abs. 1 DSG-VO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz.
In zwei Vorabentscheidungsersuchen hatte sich das Amtsgericht München an den EuGH gewandt, um die Auslegung von Art. 82 der DS-GVO zu klären, insbesondere in Bezug auf die Höhe des Schadensersatzes sowie die Definitionen von „immateriellem Schaden“ und „Identitätsdiebstahl bzw. -betrug“.
Mit dem nunmehr ergangenen Urteil vom 20.06.2024 in den Rechtssachen C‑182/22 und C‑189/22 (Scalable Capital GmbH) hat der EuGH seine Rechtsprechung zum Datenschutz-Schadensersatz erneut um einige Grundsätze angereichert, die sich wie folgt zusammenfassen lassen:
- Nicht jeder Verstoß gegen die DS-GVO führt zu einem Schadensersatzanspruch nach Art. 82 DS-GVO.
- Ein Schadensersatzanspruch nach Art. 82 DS-GVO setzt im Kern dreierlei voraus:
(1) einen Verstoß gegen die DSG-VO
(2) einen materiellen oder immateriellen „Schaden“
(3) einen Kausalzusammenhang zwischen dem Schaden und dem Rechtsverstoß
wobei alle drei Voraussetzungen kumulativ vorliegen müssen.
- Die Darlegungs- und Beweislast für diese drei Voraussetzungen liegt beim Anspruchsteller.
- Eine „Bagatellgrenze“, die überschritten sein muss, um einen Schadenersatzanspruch zu begründen, gibt es nicht.
- Ein abstrakter Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar. Hinzukommen muss zumindest eine objektiv begründete Befürchtung, dass die Daten, über die der Anspruchsteller die Kontrolle verloren hat, missbräuchlich verwendet wurden oder künftig verwendet werden.
- Der durch eine Verletzung des Datenschutzes verursachte Schaden ist seiner Natur nach nicht weniger schwerwiegend, als eine Körperverletzung.
- Art. 82 DS-GVO erfüllt keine Straf-, sondern eine Ausgleichsfunktion.
- Art 82 DS-GVO verlangt nicht, dass der Grad der Schwere oder eine etwaige Vorsätzlichkeit des Verstoßes bei der Bemessung der Höhe des Schadenersatzes zu berücksichtigen sind.
- Die nationalen Gerichte sind nicht gehindert, einen Schadenersatz in geringer Höhe zuzusprechen, wenn und soweit dieser Schadenersatz den jeweiligen Schaden in vollem Umfang ausgleicht.
- Art. 82 DS-GVO hindert den Verantwortlichen, dessen Haftung unterstellt wird, nicht, sich durch den Nachweis, dass ihm die Handlung, die den Schaden verursacht hat, nicht zurechenbar ist, zu exkulpieren.
- Der Begriff „Identitätsdiebstahl“ ist nur dann erfüllt, wenn ein Dritter die Identität einer Person, die von einem Datendiebstahl betroffen ist, tatsächlich angenommen hat. Jedoch ist ein Schadensersatz nicht nur auf Fälle beschränkt, in denen der Datendiebstahl nachweislich zu einem Identitätsdiebstahl oder ‑betrug geführt hat.
Diese (erweiterten) Grundsätze werden sich – wie üblich zeitversetzt – in den Entscheidungen der nationalen Gerichte, insbesondere auch der Arbeitsgerichte, widerspiegeln. Aktuelle Beispiele hierfür sind:
- LAG Nürnberg vom 25.1.2023 – 4 Sa 201/22 („Die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DSGVO stellt als solche keinen immateriellen Schaden dar“).
- LAG Baden-Württemberg vom 05.03.2024 – 15 Sa 45/23 („Allein der Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar“).
- LAG Düsseldorf vom 07.03.2024 – 11 Sa 808/23 („Nicht jeder Verstoß gegen Auskunftsansprüche aus der DSGVO verursacht „automatisch“ einen Schaden“).
Fazit: Das Urteil des EuGH vom 20.06.2024 verdeutlicht, dass die Anforderungen an die Geltendmachung und Durchsetzung von Schadensersatzansprüchen in Fällen von DS-GVO-Verstößen nicht zu unterschätzen sind. Andererseits besteht kein Grund zur Annahme, dass es bei § 82 DS-GVO nur um „symbolische“ Beträge geht.
Das Thema „Fernmeldegeheimnis am Arbeitsplatz“ ist ein Dauerbrenner im Arbeitnehmer-Datenschutzrecht, das bereits mehrere gesetzliche Neuregelungen überdauert hat. Bis 2021 galt das TKG (Telekommunikationsgesetz), seit dem 01.12.2021 das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz), welches seit dem 13.05.2024 den Namen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) trägt. Doch egal unter welchem Namen, das Problem bleibt das gleiche. Sind Arbeitgeber Telekommunikationsanbieter und haben somit das Fernmeldegeheimnis zu beachten, wenn Sie ihren Mitarbeitern die Privatnutzung betrieblicher Kommunikationsmittel erlauben?
Zur Wahrung des Fernmeldegeheimnisses sind nach dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) Anbieter von öffentlich zugänglichen und von geschäftsmäßig angebotenen Telekommunikationsdiensten sowie Betreiber von öffentlichen Telekommunikationsnetzen und von geschäftsmäßig ausgerichteten Telekommunikationsanlagen verpflichtet.
Ob der Arbeitgeber gegenüber seinen Beschäftigten als eben solcher „geschäftsmäßiger Telekommunikationsanbieter“ anzusehen ist, der das Fernmeldegeheimnis einzuhalten hat, wenn er die Privatnutzung des betrieblichen Internet- und Telefon-Anschlusses oder des betrieblichen E-Mail-Accounts erlaubt, ist seit jeher umstritten.
Während in der arbeits- und verwaltungsgerichtlichen Rechtsprechung in den vergangenen Jahren die Tendenz zu beobachten war, den Arbeitgeber nicht als „geschäftsmäßigen Telekommunikationsdienstleister“ anzusehen, gingen die Datenschutz-Aufsichtsbehörden und die vorherrschende Meinung in der Literatur von einer Anwendbarkeit des Fernmeldegeheimnisses aus.
Die Geister scheiden sich unter anderem am Tatbestand der „geschäftsmäßigen Erbringung“, den § 3 Abs. 2 Nr. 2 TDDDG voraussetzt. Die eine Ansicht geht davon aus, dass kein geschäftsmäßiges Erbringen von Telekommunikationsdienstleistungen vorliegt, wenn der Arbeitgeber seinen Mitarbeitern Telekommunikationsdienste zur Verfügung stellt, da die „geschäftsmäßige Erbringung“ voraussetzen würde, dass das Angebot von Telekommunikation an außerhalb der Sphäre des Diensteanbieters liegende Dritte gerichtet ist. Arbeitnehmer des jeweiligen Arbeitgebers sind jedoch nicht außerhalb der Sphäre des Arbeitgebers stehende Dritte. Nach der Gegenansicht erfordert ein „geschäftsmäßiges Erbringen“ lediglich das nachhaltige Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte. Dies ist bei der Bereitstellung von betrieblichen Kommunikationsmitteln durch den Arbeitgeber meist der Fall.
Auch die Datenschutz-Aufsichtsbehörden folgten bisher dieser Ansicht und gingen somit bislang von der Anwendbarkeit des Fernmeldegeheimnisses bei erlaubter Privatnutzung aus.
Nun zeichnet sich jedoch ein Kurswechsel ab. Die Landesbeauftragte für Datenschutz und Informationssicherheit in NRW (LDI NRW), Frau Bettina Gayk hat am 08.07.2024 den jährlichen Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2023 veröffentlicht. Darin äußert sich die LDI NRW unter anderem auch zu privaten E-Mails und Telefonaten am Arbeitsplatz (S. 76, 12.2):
„Für Arbeitgeber*innen gilt nicht mehr das Fernmeldegeheimnis, wenn sie die private Nutzung der betrieblichen E-Mail- oder Internetdienste erlauben oder dulden.“
„Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat: Arbeitgeber*innen, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben oder dulden, unterliegen nicht mehr dem Telekommunikationsrecht. Deshalb haben sie gegenüber ihren Beschäftigten auch nicht das Fernmeldegeheimnis zu garantieren.“
Das hat praktisch relevante Folgen:
Bisher galt: ist das Fernmeldegeheimnis einschlägig, so besteht ein umfassendes Verarbeitungsverbot des Arbeitgebers für private Kommunikationsinhalte des Arbeitnehmers. Dieses schlägt sogar auf die ansonsten zulässige Verarbeitung der dienstlichen Kommunikationsinhalte durch und „infiziert“ diese, da erst nach Einsichtnahme erkennbar ist, ob es sich um eine private oder dienstliche Nachricht handelt.
Sollte das Fernmeldegeheimnis nicht einschlägig sein, beurteilt sich die Zulässigkeit eines Zugriffs des Arbeitsgebers auf Kommunikationsinhalte seiner Mitarbeiter nur nach allgemeinen datenschutzrechtlichen Maßstäben. Gem. § 26 Abs. 1 BDSG können Arbeitgeber dienstliche Kommunikation nach Maßgabe der Verhältnismäßigkeit grundsätzlich einer Überprüfung unterziehen.
Es zeigt, wie kompliziert der Umgang mit privater Nutzung betrieblicher Telekommunikationsmittel am Arbeitsplatz ist. Es bleibt abzuwarten, wie sich die Gerichte, insbesondere das BAG, zu der Problematik positionieren werden. Bis dahin sollten Arbeitgeber entsprechend vorsorgen und eine schriftliche Regelung über die betriebliche und/oder private Nutzung der Telekommunikationsmittel im Betrieb treffen.
Trend Micro, einer der weltweit führenden Anbieter für Cybersicherheitslösungen, stellt die Neuauflage seines juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmenvor. Dieser gibt einen Einblick in wichtige juristische Themengebiete, die für den Einsatz von IT und Internet in Unternehmen relevant sind. Der Leitfaden wurde im Zuge von NIS2 und DORA von TCI Partner Dr. Thomas Stögmüller überarbeitet. Hinzugekommen sind insbesondere Kapitel zu den Verantwortlichkeiten und Pflichten, die die neuen EU-Regularien mit sich bringen. Außerdem beantwortet der Ratgeber Fragen zur DSGVO-Compliance beim Einsatz von Cybersicherheitslösungen und zu den Sicherheitsanforderungen an Cloud-Dienste gemäß C5-Kriterienkatalog.
Seit dem 16. Januar 2023 sind die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) in Kraft. Beide definieren Mindestanforderungen an die Cybersicherheit in Unternehmen. Während sich NIS2 an Unternehmen in 18 als wichtig oder besonders wichtig eigestuften Branchen richtet, adressiert DORA Finanzunternehmen und deren IKT-Dienstleister. Viele IT-Verantwortliche und Geschäftsführungen fragen sich jetzt, was sie tun müssen, um compliant zu sein. Die Neuauflage des juristischen Leitfadens Cybersicherheit und IT-Compliance im Unternehmen stellt NIS2 und DORA ausführlich dar und veranschaulicht komplexe Sachverhalte anhand von Praxisbeispielen. Außerdem beantwortet der Ratgeber wichtige Fragen rund um Datenschutz und Datensouveränität beim Einsatz von Cloud-Lösungen.
„Wir freuen uns, dass wir auch für die neue Auflage des juristischen Leitfadens wieder Dr. Thomas Stögmüller als Autor gewinnen konnten, einen erfahrenen Rechtsanwalt und Fachanwalt für Informationstechnologierecht“, sagt Richard Werner, Security Advisor bei Trend Micro. „NIS2 und DORA werfen viele Fragen auf. Unser Leitfaden hilft Verantwortlichen dabei, mehr Sicherheit zu gewinnen und die richtigen Entscheidungen zu treffen – gerade auch im Hinblick auf Security-Lösungen aus der Cloud. Denn ohne Cloud-basierte Technologien wie XDR (Extended Detection & Response) und ASRM (Attack Surface Risk Management) ist es heute kaum noch möglich, die gesetzlich vorgegebenen Sicherheitsanforderungen zu erfüllen.“
Download des Leitfadens: https://resources.trendmicro.com/juristischerLeitfaden_Auflage8_Mai_2024.html?utm_source=pr&utm_medium=referral&utm_campaign=cm_corporate_lg_e_de_int_juristischer+leitfaden_2024
Die „Verordnung über Künstliche Intelligenz“ – kurz „KI-Gesetz“ – der Europäischen Union wurde am 13. Juni 2024 erlassen. Sie tritt 20 Tage nach der Veröffentlichung im Amtsblatt der EU in Kraft und die Vorschriften gelten – mit einigen wenigen Ausnahmen – nach einer Übergangsfrist von zwei Jahren.
Bedeutsam ist bereits die Definition der „KI-Systeme“, die durch das KI-Gesetz reguliert werden:
„KI-System“ bezeichnet „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“
Das KI-Gesetz erfasst nicht nur Anbieter sondern auch Betreiber von KI-Systemen in der EU. „Betreiber“ sind u.a. Unternehmen, Behörden und Einrichtungen, die ein KI-System in eigener Verantwortung beruflich verwenden.
Das KI-Gesetz verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines Schadens für die Gesellschaft ist, desto strenger sind die Vorschriften.
– Das KI-Gesetz verbietet bestimmte KI-Praktiken bzw. KI-Systeme generell, etwa Systeme zur kognitiven Verhaltensmanipulation, Sozialkreditsysteme und KI-Systeme, die biometrische Daten nutzen, um auf die Rasse, Religion, politische Einstellung, Gewerkschaftszugehörigkeit oder sexuelle Ausrichtung einer Person zu schließen, da ihr Risiko als unannehmbar gilt.
Nicht verbotene KI-Systeme werden nach Risiken kategorisiert:
– Hochrisiko-KI-Systeme: Darunter fallen bspw. KI-Systeme, die beim Betrieb kritischer Infrastruktur, im Personalmanagement, zur Bonitätsbewertung oder von einem Gericht bei der Rechtsanwendung verwendet werden. Für diese müssen bestimmte Anforderungen eingehalten werden, wie etwa die Einrichtung eines Risikomanagementsystems. Trainings-, Validierungs- und Testdatensätze müssen bestimmten Qualitätskriterien entsprechen. Eine menschliche Aufsicht muss sichergestellt werden. Hochrisiko-KI-Systeme bedürfen einer Konformitätsbewertung und CE-Kennzeichnung und in bestimmten Fällen muss vor ihrer Inbetriebnahme eine Grundrechte-Folgenabschätzung erfolgen.
– KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck: Das KI-Gesetz regelt auch die Verwendung von KI-Systemen und KI-Modellen mit allgemeinem Verwendungszweck („general-purpose AI“ – GPAI), zu denen bekannte Large Language Modelle wie ChatGPT zählen. Anbieter von KI-Modellen mit allgemeinem Verwendungszweck müssen u.a. bestimmte Transparenzanforderungen erfüllen, das EU-Urheberrecht einhalten und eine Zusammenfassung der Trainingsdaten veröffentlichen. Für GPAI-Modelle mit systemischen Risiken gelten strengere Vorschriften.
– KI-Systeme mit begrenztem Risiko: Für diese bestehen je nach Verwendungszweck und Risiko Transparenzpflichten. Dies umfasst insbesondere eine Offenlegung, dass der Inhalt durch KI generiert wurde.
Die Geldbußen für Verstöße gegen das KI-Gesetz können bis zu 35 Millionen EUR oder – im Falle von Unternehmen – bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.
Der Einsatz von KI-Systemen in Unternehmen hat in den letzten Monaten rapide zugenommen. Da das KI-Gesetz sowohl für Anbieter als auch für Betreiber von KI-Systemen gilt, sollten Unternehmen, die KI anbieten oder einsetzen, prüfen, ob sie sich rechtskonform verhalten und welchen Risiken sie ausgesetzt sind. Dies umfasst insbesondere:
– Kategorisierung des eingesetzten KI-Systems unter dem KI-Gesetz
– Je nach Kategorisierung Ermittlung und Einhaltung der Pflichten unter dem KI-Gesetz wie bspw. Transparenzanforderungen
– Einhaltung des Urheberrechts insbesondere in Bezug auf Trainingsdaten, den Input bzw. Prompt und den Output
– Einhaltung des Datenschutzrechts, wenn in KI-Systeme personenbezogene Daten eingegeben und durch diese verarbeitet werden
– Abschätzung der Haftungsrisiken beim Einsatz von KI-Systemen, etwa im Falle eines fehlerhaften Outputs, der durch das Unternehmen verwendet wird
– Prüfung der Vertragsbedingungen des Anbieters des KI-Systems
Werbung im Internet bietet zahlreiche Möglichkeiten – und ist ein lukratives Geschäft. Dabei werden auch zahlreiche personenbezogene Daten der Nutzer verarbeitet, was den Datenschutzbehörden ein Dorn im Auge ist. Eine aktuelle EuGH-Entscheidung hat sich damit auseinandergesetzt.
Der EuGH (Urt. v. 07.03.2024 – C-604/22 – IAB Europe/Gegevensbeschermingsautoriteit) hat entschieden, dass der sog. Transparency & Consent String (TC-String) ein personenbezogenes Datum ist und dass IAB Europe und die Teilnehmenden am Transparency & Consent Framework (TCF) gemeinsame Verantwortliche i.S.d. der DSGVO sind.
In der aktuellen Ausgabe der WRP 2024, 790 bespricht Stephan Schmidt diese Entscheidung des EuGH und ihre Auswirkungen auf die Praxis.
Transparency & Consent Framework (TCF)
Das TCF ist ein Rahmenwerk aus verschiedenen Richtlinien, Protokollen und vertraglichen Verpflichtungen, welches ermöglicht die Präferenzen von Nutzern anhand deren Einwilligungen in Datenverarbeitungen zu erkennen und speichern.
Gespeichert wird das im sog. TC-String.
Verfahren der Datenschutzbehörde
Wegen dieses TC-Strings und des TCF gingen bei der belgischen Datenschutzbehörde zahlreiche Beschwerden ein.
Die Behörde forderte IAB Europe dazu auf, das Verfahren DSGVO-konform zu gestalten und verhängte eine Geldbuße.
Hiergegen ging IAB Europe gerichtlich vor. Der Appellationshof Brüssel legte schließlich dem EuGH zwei Fragen zur Vorabentscheidung vor.
Entscheidung des EuGH
Der EuGH entschied, dass der TC-String ein personenbezogenes Datum ist und dass IAB Europe und die jeweiligen Verwender gemeinsame Verantwortliche im Sinne der DSGVO sind.
Auswirkungen auf die Praxis
Welche Auswirkungen diese Entscheidung des EuGH auf die Praxis hat, hat Stephan Schmidt ausführlich in der WRP dargestellt.
Mit der NIS-2-Richtlinie der EU werden für große Teile der Wirtschaft gesetzliche Pflichten zur Erreichung eines hohen Cybersicherheitsniveaus normiert. In Deutschland sind davon schätzungsweise ca. 30.000 Unternehmen betroffen. Die Richtlinie ist bis zum 17. Oktober 2024 in deutsches Recht umzusetzen.
Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner von TCI Rechtanwälte referiert hierzu online auf dem DiMitEx-ExpertDay „NIS-2 kommt!“ am 6. Juni 2024. In seinem Vortrag behandelt er u.a.:
– Wer ist von NIS-2 betroffen?
– Welche rechtlichen Anforderungen an die Cybersicherheit bringt NIS-2 mit sich?
– Was müssen Betreiber kritischer Anlagen besonders beachten?
– Welche Pflichten und Verantwortlichkeiten hat die Geschäftsleitung?
– Welche Sanktionen drohen bei Verstößen?
– Wie ist der Stand des Gesetzgebungsverfahrens in Deutschland?
Weitere Informationen und Anmeldung unter https://event.gotowebinar.com/event/c48fa5a1-63c0-46ae-b2a8-e27d950d04b0
Im November 2023 führte Meta, der Konzern hinter Facebook und Instagram, ein „Pay or Consent“-Modell ein. Seitdem müssen die Nutzenden entweder eine Gebühr entrichten oder sie müssen dem Tracking durch Meta zustimmen. Dies erfolgte als Reaktion auf die Entscheidung C-252/21 des EuGHs („Bundeskartellamt“-Entscheidung), der nur eine Einwilligung als ausreichende Rechtsgrundlage für das Tracking durch Meta angesehen hat.
1. Stellungnahme des EDSA
Aufgrund datenschutzrechtlicher Bedenken haben die Datenschutzbehörden der Niederlande, Norwegens und Deutschlands (Hamburg) diesbezüglich den Europäischen Datenschutzausschuss (EDSA) angerufen. Dieser hat daraufhin im April 2024 eine Stellungnahme zu eben diesen „Pay or Consent“-Modellen veröffentlicht. Darin positioniert er sich zur Wirksamkeit der Einwilligung zur Verarbeitung personenbezogener Daten zum Zwecke der verhaltensbezogenen Werbung im Rahmen von Zustimmungs- oder Bezahlmodellen („Pay or Consent“-Modellen), die von großen Online-Plattformen eingesetzt werden.
In der Stellungnahme vertritt der EDSA die Auffassung, dass bei großen Online-Plattformen die Einwilligung unwirksam sei, wenn der Nutzer lediglich die Wahl zwischen einer kostenpflichtigen und einer kostenlosen Option in Verbindung mit Tracking zu Werbezwecken hat.
Vorab stellt der EDSA klar, dass sich seine Stellungnahme auf die Zulässigkeit von Zustimmungs- oder Bezahlmodellen bei großen Online-Plattformen beschränkt, die anhand ihrer Nutzerzahlen, ihrer Marktposition sowie der verarbeiteten Datenmenge zu definieren sein. Dieses Verständnis dürfte jedenfalls sehr große Online-Plattformen im Sinne des Digital Services Acts (Art. 33 ff.) sowie Gatekeeper im Sinne des Digital Markets Act (Art. 2 Abs. 1) umfassen, während im Übrigen den Plattformbetreibern selbst die Prüfung überlassen bleibt, ob sie vom Anwendungsbereich der Stellungnahme umfasst sind.
In seiner Kernthese führt der EDSA sodann aus, dass es in den meisten Fällen für große Online-Plattformen nicht möglich sein wird, die Anforderungen der DSGVO an eine wirksame Einwilligung zu erfüllen, wenn sie die Nutzer nur vor die Wahl stellen, entweder der Verarbeitung personenbezogener Daten zu Zwecken der verhaltensbezogenen Werbung zuzustimmen oder eine Gebühr zu zahlen, um Zugang zu den angebotenen Diensten zu erhalten.
In diesem Rahmen äußert der EDSA insbesondere Zweifel an der Freiwilligkeit der Einwilligung. Die derzeitige Vorgehensweise großer Online-Plattformen geht für die Nutzer der Dienste mit Nachteilen einher, die die Freiwilligkeit der Einwilligung ausschließt. Zum einen dürfen die erhobenen Gebühren nicht so hoch sein, dass die Betroffenen tatsächlich daran gehindert sind, eine freie Entscheidung zu treffen, zum anderen kann der Ausschluss von bestimmten Diensten etwa soziale oder berufliche Nachteile mit sich bringen. Auch im Hinblick auf die Punkte eines möglichen Machtungleichgewichts zwischen Betroffenen und Verantwortlichen, der Konditionalität, sowie der Granularität sieht der EDSA die Freiwilligkeit der Einwilligung in den meisten Fällen als nicht gegeben an. Im Kontext der Konditionalität ist zu beleuchten, ob eine Einwilligung erforderlich ist, um Zugang zu Waren oder Dienstleistungen zu erhalten, obwohl die Verarbeitung nicht für die Erfüllung des Vertrages erforderlich ist. Die Granularität setzt voraus, dass die betroffene Person frei wählen kann, welchen Zweck der Verarbeitung sie akzeptiert, anstatt mit einer Einwilligungsanfrage konfrontiert zu werden, die mehrere Zwecke bündelt. Das Angebot (nur) einer kostenpflichtigen Alternative zu dem Dienst, der die Verarbeitung zu Zwecken der verhaltensbezogenen Werbung voraussetzt, könne für die Verantwortlichen nicht der Standardweg sein. Vielmehr sollten die Verantwortlichen in Erwägung ziehen eine gleichwertige Alternative anzubieten, bei der keine personenbezogenen Daten zu Zwecken der verhaltensbezogenen Werbung werden und die im Idealfall nicht gebührenpflichtig ist. Dieser Faktor sei besonders wichtig bei der Bewertung einer gültigen Einwilligung nach der DSGVO.
Sollten die Verantwortlichen eine Gebühr erheben, sollten sie in einer Fall-zu-Fall-Prüfung untersuchen, ob, und wenn in welcher Höhe, eine Gebühr angemessen ist. Dabei erinnert der EDSA daran, dass personenbezogene Daten nicht als handelbare Ware betrachtet werden können und, dass die Verantwortlichen berücksichtigen sollten, dass das Grundrecht auf Datenschutz nicht in ein Merkmal umgewandelt werden darf, für dessen Inanspruchnahme die betroffenen Personen bezahlen müssen.
2. Kritik an der Rechtsauffassung des EDSA
Mit dieser Stellungnahme erteilt der EDSA also dem derzeit von großen Online-Plattformen praktizierten Zustimmungs- oder Bezahlmodell eine Absage. Die Stellungnahme des EDSA zeichnet jedoch ein realitätsfernes und paternalistisches Bild. Es wird das Bild eines unmündigen Verbrauchers impliziert, der das Ausmaß seiner Entscheidungen nicht überblicken kann und den es vor sich selbst zu schützen gilt. Der EDSA-Vorsitzenden Anu Talus zufolge „stimmen die meisten Nutzer der Verarbeitung zu, um einen Dienst zu nutzen und sie verstehen nicht die vollen Auswirkungen ihrer Entscheidungen.“ Dieser Ansatz steht im Widerspruch zur Datensouveränität des Einzelnen. Grundsätzlich kann nach der Digitale-Inhalte-Richtlinie und den daraufhin eingeführten §§ 312 Abs. 1a, 327 Abs. 3 BGB jeder frei über seine Daten verfügen und eben auch mit ihnen bezahlen. Indem der EDSA sich gegen das Konzept von Daten als Zahlungsmittel ausspricht, schlägt er eine gegensätzliche Linie zur Datenstrategie der EU und auch der Bundesregierung ein, die die Datennutzung und den Datenschutz in ein harmonisches Gleichgewicht bringen wollen. „Daten gegen Leistung“ ist ein gesetzlich niedergeschriebenes, anerkanntes Prinzip. Zudem scheint der EDSA zu verkennen, dass es auch in der digitalen Welt zur Bereitstellung von Dienstleistungen und Waren einer Gegenleistung bedarf. Eine Zahlungsunwilligkeit oder auch -unfähigkeit führt sowohl in der digitalen als auch in der analogen Welt nicht zur Unzulässigkeit des angewandten Modells.
Auch wenn der EDSA auf den ersten Blick mit seiner Stellungnahme an die oben genannte „Bundeskartellamt“-Entscheidung des EuGH anknüpft, widerspricht er ihm letztlich. Die durch den EuGH akzeptierte kostenpflichtige Alternative scheint ihm nicht auszureichen, um der Freiwilligkeit der Einwilligung zu genügen. Dem geforderten dritten Modell fehlen jedoch die klaren Umrisse. Die aufgeführten Kriterien und Bewertungsmaßstäbe sind offen und allgemein gehalten und schaffen keine Rechtssicherheit.
3. Anwendbarkeit auch auf andere Verantwortliche?
Die EDSA-Stellungnahme richtet sich ausdrücklich nur an große Online-Plattformen. Die Argumente des EDSA gegen ein „pay or consent“-Modell sind jedoch auch auf andere Konstellationen übertragbar. Wenn beispielsweise, wie vom EDSA behauptet, personenbezogene Daten nicht „handelbar“ sind, würde dies einem „pay or consent“-Modell auch dann entgegenstehen, wenn es sich beim Anbieter nicht um eine „große Online-Plattform“ im Sinne des DSA oder DMA handelt.
So verbleibt eine große Unsicherheit auf Seiten der Verantwortlichen. Der EDSA hat es leider versäumt, die Rechtssicherheit zu schaffen. Es bleibt abzuwarten, wie Meta und Co. reagieren. Es bleibt aber auch abzuwarten, wie sich die EDSA-Stellungnahme auf vergleichbare Geschäfts- und Einwilligungsmodelle andere Verantwortlicher auswirkt.
Rechtsanwalt und Fachanwalt für Informationstechnologierecht Dr. Thomas Stögmüller, LL.M. (Berkeley), hält am 10. April 2024 ein Grundlagenseminar zur Datenschutzgrundverordnung (DSGVO). Das 2,5-stündige Online-Seminar erfolgt im Rahmen der Fortbildung der Rechtsanwaltskammer München und richtet sich an Rechtsanwältinnen und Rechtsanwälte (nähere Informationen unter https://seminare.rak-muenchen.de/65004-12-grundlagenseminar-dsgvo-5655763/). Neben einem generellen Überblick über die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung werden auch aktuelle Themen wie das Auskunftsrecht, Anforderungen an Cookies, die Datenübermittlung in die USA und die jüngste EuGH-Rechtsprechung zum Schadensersatzanspruch unter der DSGVO behandelt.
Der „Dauerbrenner“ Microsoft 365 beschäftigt nach wie vor die Datenschutz-Aufsichtsbehörden. Nun hat sich der Europäische Datenschutzbeauftragte (EDPS) zu Wort gemeldet, der als unabhängige Aufsichtsbehörde für die Organe und Einrichtungen der EU zuständig ist.
Mit einer Entscheidung vom 11. März 2024 (https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en) hat der EDPS der EU-Kommission angewiesen, bis zum 9. Dezember 2024
- alle Datenflüsse, die sich aus der Nutzung von Microsoft 365 an Microsoft und an seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR ergeben und die nicht unter einen Angemessenheitsbeschluss fallen, auszusetzen und
- die Verarbeitungsvorgänge, die sich aus der Verwendung von Microsoft 365 ergeben, mit der Verordnung (EU) 2018/1725 in Einklang zu bringen.
Die Entscheidung des EDPS stellt nicht auf die DSGVO, sondern auf die Verordnung 2018/1725 ab. Dabei handelt es sich um das Datenschutzrecht für Organe und Einrichtungen der EU. Die Verordnung entspricht jedoch inhaltlich weitgehend der DSGVO.
Nach der Meinung des EDPS hat die Kommission nicht ausreichend geprüft und vereinbart, welche personenbezogenen Daten von Microsoft zu welchen Zwecken verarbeitet und an Subunternehmer übermittelt werden.
Der Kommission wurde insbesondere aufgegeben,
- ein „Transfer-Mapping“ durchzuführen, in dem ermittelt wird, welche personenbezogenen Daten an welche Empfänger in welchen Drittländern, zu welchen Zwecken und vorbehaltlich welcher Garantien erfolgen. Dies soll auch Weiterübermittlung (onward transfers) beinhalten, d.h. die gesamte, von Microsoft eingesetzte Subunternehmer-Kette:
„appraise […] what personal data will be transferred to which recipients in which third countries and for which purposes, thereby […] obtaining the minimum information necessary to determine whether any supplementary measures are required to ensure the essentially equivalent level of protection […]”
Die Datenübermittlung an Subunternehmer in Drittländer ohne angemessenes Schutzniveau ist zu unterlassen.
- ausdrücklich festzulegen, welche Daten zu welchen Zwecken von Microsoft verarbeitet werden und dabei den Zweckbindungsgrundsatz zu berücksichtigen:
„sufficiently determine the types of personal data collected under the […] agreement concluded with Microsoft […] in relation to each of the purposes of the processing so as to allow those purposes to be specified and explicit; ensure that the purposes for which Microsoft is permitted to collect personal data [….] are specified and explicit; provide sufficiently clear documented instructions for the processing […]”.
Es muss transparent geregelt werden, welche Daten zu welchen Zwecken vereinbart werden. Diese Verarbeitungen müssen natürlich rechtmäßig sein. Insbesondere soll durch klare und detaillierte Regelungen sichergestellt werden, dass die Daten von Microsoft wirklich nur im Auftrag der Kommission genutzt werden.
Die Kritikpunkte des EDPS entsprechen dabei zum Teil der Kritik der deutschen Aufsichtsbehörden, die zuletzt in der „Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung“ vom 2.11.2022 veröffentlicht wurde (https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf). Es bleibt abzuwarten, welche praktischen Konsequenzen die Entscheidung des EDPS für deutsche Unternehmen haben wird und ob die deutschen Aufsichtsbehörden die Entscheidung zum Anlass nehmen werden, ihre eigene Prüfungspraxis zu verschärfen.