Lassen sich künstliche Intelligenz (KI) und die DSGVO miteinander vereinbaren?

30. Juni 2022

Was ist KI im rechtlichen Sinne ?

Bisher gibt es keine allgemeine anerkannte Definition für KI. Die Bundesregierung versteht unter KI „ein Teilgebiet der Informatik, welches sich mit der Erforschung von Mechanismen des intelligenten menschlichen Verhaltens befasst. Dabei geht es darum, technische Systeme so zu konzipieren, dass sie Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können“ (BT-Drs. 19/1982, S. 2). Ähnlich wird dies von der EU-Kommission gesehen. Danach bezeichnet KI „Systeme mit einem ,intelligenten‘ Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (COM(2018) 237, S. 1). 

Die DSGVO spricht an keiner Stelle ausdrücklich von KI,  jedoch ist Erwägungsgrund 15 DSGVO zu entnehmen, dass der Schutz natürlicher Personen technologieneutral und unabhängig von einer verwendeten Technologie sein soll. KI-Systeme als Technologie sind für deren Funktionieren auf die zugeführten Daten angewiesen. Die DSGVO ist einschlägig, sobald diese Daten personenbezogen sind. Von datenschutzrechtlicher Bedeutung ist demnach die Verarbeitung personenbezogener Daten zum Zweck des Trainings und der Erzeugung einer KI-Anwendung. Daneben ist die Anwendung einer bereits trainierten KI auf einen gewissen Sachverhalt relevant. Die KI könne dabei helfen, einige der größten Herausforderungen besser zu bewältigen, dabei müsse aber immer sichergestellt sein, dass Persönlichkeitsrechte, das Recht auf informationelle Selbstbestimmung und andere Grundrechte nicht verletzt würden.

Verarbeitungen personenbezogener Daten durch die KI müssen auf jeden Fall den in Art. 5 Abs. 1 DSGVO entsprechenden Datenschutzgrundprinzipien entsprechen, und somit insbesondere einen legitimen Zweck verfolgen, außerdem auf einer Rechtsgrundlage beruhen und zudem transparent ausgestaltet sein.

Ist bei der Anwendung von künstlicher Intelligenz eine Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO ist die Prüfung einer oder mehrerer Verarbeitungstätigkeiten, die einer Risikoanalyse unterzogen werden. Die DSFA ist also ein zentrales Instrument, welches seinen Zweck darin hat, zu prüfen, ob der Einsatz von KI für eine Verarbeitungstätigkeit auch geeignet ist.

Vorab muss jedoch eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 S. 1 DSGVO durchgeführt werden. Es geht darum, ob eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Weitere Anhaltspunkte ergeben sich zudem aus Erwägungsgrund 91 S. 1 DSGVO, wonach bei Verarbeitungsvorgängen von großen Mengen personenbezogener Daten ein Bedürfnis nach einer DSFA besteht.

Wird KI auf Grundlage personenbezogener Daten angewendet, ist damit in der Regel eine DSFA durchzuführen. Dafür spricht auch das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO, das u.a. Profiling, welches häufig mit KI-bedienten Tools ausgeführt wird, nennt. Ist kein Regelbeispiel einschlägig, ist die Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (vgl. Art. 35 Abs. 4 S. 1 DSGVO), der Aufsichtsbehörden vom 18.7.2018 zu berücksichtigen. In Nr. 11 und Nr. 13 der Liste wird der Einsatz von KI und Algorithmen genannt. Außerdem können die in den Leitlinien der Art. 29-Datenschutzgruppe aufgestellten Kriterien zur Erforderlichkeit der DSFA führen. Im Falle einer KI-Anwendung werden wohl nicht selten alle Kriterien erfüllt sein. Bleibt die Frage nach einer verpflichtenden DSFA offen, sollte eine Durchführung dennoch in Erwägung gezogen werden, da Verantwortliche von einer begleitenden DSFA immer profitieren.

Mit einer sorgfältig durchgeführten DSFA können KI-Anwendungen aus ganz unterschiedlichen Einsatzfeldern über den gesamten Entwicklungsprozess datenschutzrechtlich sicher ausgestaltet werden.

LAG Schleswig-Holstein zur Auslegung und Höhe des Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO

Das Landesarbeitsgericht Schleswig-Holstein wies in seinem Beschluss vom 01.06.2022 (6 Ta 49/22) eine Beschwerde gegen die teilweise Versagung von Prozesskostenhilfe zurück, da es der Auffassung war, das Arbeitsgericht habe im vorangegangenen Verfahren das Schmerzensgeld in angemessener Höhe festgesetzt und der Fall sei nicht vergleichbar mit anderen Fällen, in denen ein wesentlich höheres Schmerzensgeld festgesetzt worden war.

Sachverhalt

In der Hauptsache verlangte die Klägerin nach Beendigung ihres Arbeitsverhältnisses mit der Beklagten von dieser unter anderem Zahlung von 6.000 Euro Schmerzensgeld sowie das Unterlassen der Nutzung eines Werbevideos. Während ihrer Beschäftigung bei der Beklagten hatte die Klägerin der Teilnahme an dem Video mündlich zugestimmt. Die Beklagte hatte die Klägerin dabei vorab jedoch nicht über den Zweck der Datenverarbeitung und auch nicht über ihr Widerrufsrecht bezüglich der Einwilligung in Textform informiert. Anschließend hatte die Beklagte das Video im Internet auf der Plattform „YouTube“ veröffentlicht.

Noch vor der Güteverhandlung nahm die Beklagte das Video von der Plattform und die Parteien schlossen dahingehend einen verfahrensbeendenden Vergleich. Der Prozesskostenhilfeantrag der Klägerin wurde bewilligt, jedoch für ihren Antrag auf Zahlung von Schmerzensgeld nur bis zu einer Höhe von 2.000 Euro. Hiergegen wendete sich die Klägerin mit sofortiger Beschwerde und rügte, das Arbeitsgericht habe nicht ausreichend berücksichtigt, dass das Arbeitsgericht Münster in seinem Urteil vom 25.03.2021 (3 Ca 391/20) in einem vergleichbaren Fall ein wesentlich höheres Schmerzensgeld festgesetzt habe.

Entscheidung des Gerichts

Unter Bezugnahme auf eine Entscheidung des BAG vom 26.08.2021 (8 AZR 253/20, Rn. 33) nahm das LAG Schleswig-Holstein einen Schadensersatzanspruch der Klägerin gem. Art. 82 Abs. 1 DSGVO wegen eines immateriellen Schadens allein aufgrund der Verletzung der DSGVO an. „Der Rechtsanspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO erfordert über die Verletzung der DSGVO hinaus nicht zusätzlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Bereits die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden.“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 14). Einhergehend mit der Rechtsprechung des Europäischen Gerichtshofs (EuGH) wurde der Begriff des Schadens weit und auf eine Weise ausgelegt, die den Zielen der Verordnung in vollem Umfang entspricht. „Angesichts dessen geht die Beschwerdekammer davon aus, dass Art. 82 Abs. 1 DSGVO neben seiner Ausgleichsfunktion auch spezial- bzw. generalpräventiven Charakter hat und dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens zu Lasten des Verantwortlichen zu berücksichtigen ist. Verstöße müssen nämlich effektiv sanktioniert werden. Der Schadensersatz bei Datenschutzverstößen soll eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile).“ (LAG Schleswig-Holstein, Beschluss vom 01.06.2022, 6 Ta 49/22, Rn. 15).

Das LAG hielt die Obergrenze in diesem Fall in Höhe von 2.000 Euro für einen Schadensersatz unter Berücksichtigung und Abwägung aller Umstände für angemessen. Die Beeinträchtigung des Rechts der Klägerin am eigenen Bild sei nicht schwerwiegend gewesen. Die Aufnahmen hätten auch nicht erkennbar die Intimsphäre der Klägerin berührt oder sie diskriminiert. Zudem habe die Beklagte das Video nach der Aufforderung umgehend aus dem Netz genommen. Ein höheres Schmerzensgeld zur Erstattung des immateriellen Schadens aufgrund des Verstoßes der Beklagten gegen die Vorschriften der DSGVO sei nicht zu rechtfertigen.

Auch der Vergleich mit anderen Urteilen zeige die Angemessenheit auf. Richtig sei, dass bei der Festlegung der Höhe eines zuzuerkennenden Schmerzensgeldes auf eine angemessene Relation der Anspruchshöhe zu in anderen vergleichbaren Fällen ausgeurteilten Entschädigungsbeträgen zu achten sei. Bei vergleichbaren Verstößen gegen das Persönlichkeitsrecht des Arbeitnehmers hätten andere Arbeitsgerichte sogar niedrigere Summen für angemessen gehalten. Das Urteil des Arbeitsgerichts Münster sei jedoch nicht vergleichbar und läge in wesentlichen Punkten anders. Insbesondere sei die dortige Verwendung der Aufnahmen nach Ansicht des Arbeitsgerichts diskriminierend gewesen.

Mit der Annahme eines weiten Schadensbegriffs zeigt dieser Beschluss erneut auf, dass die Gerichte hinsichtlich der Auslegung des Art. 82 Abs. 1 DSGVO eine weitestgehend einheitliche und arbeitnehmerfreundliche Auffassung vertreten. Allein aufgrund des Verstoßes gegen eine Pflicht aus der DSGVO entstehen den Betroffenen immaterielle Schäden, welche einen Schadensersatzanspruch auslösen können. Bezüglich der Höhe ist auf den Einzelfall abzustellen.

Europol: neue Verordnung sorgt für Kritik

29. Juni 2022

Am Montag dieser Woche wurde die neue Europol-Verordnung 2022/991 im Amtsblatt der Europäischen Union bekannt gegeben. Damit ändern die Europäische Kommission, der Rat und das Europäisches Parlament nach rund sechs Jahren die bisherige Europol-Verordnung 2016/794 ab.  

Reaktionen auf die Neuerungen folgten prompt. Der europäische Datenschutzbeauftragte Wojciech Wiewiórowski kritisierte in einer offiziellen Erklärung die Änderungen scharf. Insbesondere wies er darauf hin, dass die neue Verordnung das Grundrecht auf Privatsphäre schwäche.

Gesetzliche Änderungen

Mit der neuen Verordnungen erhält Europol mehr Befugnisse hinsichtlich der Verarbeitung personenbezogener Daten. Gem. ErwG 22 Verordnung 2022/991 sollen die nationalen Ermittlungsbehörden Europol „umfangreiche und komplexe Datensätze“ zur Verfügung stellen, sodass Europol diese analysieren kann. Auf diese Weise soll Europol grenzüberschreitende Verbindungen zwischen Straftaten in Mitgliedstaaten und außerhalb der Union aufdecken können. Daran kritisiert der Europäische Datenschutzbeauftragte die gleiche Behandlung der Daten von Personen, bei denen keine Verbindung zu kriminellen Aktivitäten bestehen mit Daten von Personen, die eine Verbindung zu kriminellen Tätigkeit haben.

Außerdem regelt die neue Europol-Verordnung, dass der Verwaltungsrat der Strafverfolgungsbehörde einen Grundrechtsbeauftragten bestimmt. Es ist aber fraglich, ob die Person, die dieses Amt künftig ausüben wird, die Befugnisse Europols, die hinsichtlich der Verarbeitung personenbezogener Daten bestehen, effektiv kontrollieren kann. Dies ist fraglich, da Europol nicht an die Weisungen des Grundrechtsbeauftragten gebunden ist. Aus Sicht des Europäischen Datenschutzbeauftragten fehle es demnach an der „(…) wirksame[n] Überwachung der neuen Befugnisse (…)“ der Europol.

Zusätzlich hinterfragte der Europäische Datenschutzbeauftragte kritisch, dass Europol es unterlassen hatte mehrere Petabyte an Datensätzen zu löschen (wir berichteten). Dazu hatte der Europäische Datenschutzbeauftragte die Strafverfolgungsbehörde bereits Anfang diesen Jahres erfolglos aufgefordert. Mit der neuen Verordnungen können die Mitgliedstaaten Europol rückwirkend dazu ermächtigen Datensätze zu verarbeiten, die sie hätten bereits löschen müssen.

Wiewiórowski fordert abschließend in seiner Erklärung, dass Europol spezifische Garantien zum Schutz personenbezogener Daten vorlegen solle. Mit diesen sollen die Auswirkungen von Eingriffen in die Privatsphäre der betroffenen Personen begrenzt werden.

Überblick zur umstrittenen Palantir-Software

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick:

Um was für eine Software handelt es sich und wozu wird sie eingetzt?

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen auch andere behördliche Datenbanken abfragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüft werden.

Wie weit ist die Software verbreitet?

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen.

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen, dann könnten die Bundespolizei und der Zoll mit der Software arbeiten.

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt.

Was ist die Kritik an der Software?

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen kann, so könne ein Abhängigkeitsverhältnis des Staates entstehen.

Die meiste Kritik kommt jedoch auf Datenschutzebene. Dort wird vor allem kritisert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, dies stelle einen Grundrechtseingriff dar. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten.

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe deren Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben.

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, zB. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen.

US-Repräsentantenhaus und Senat veröffentlichen überparteilichen Gesetzesentwurf zum Datenschutz

24. Juni 2022

Anfang Juni legten drei der vier Vorsitzenden der für den Datenschutz zuständigen US-Kongressausschüsse den Entwurf eines Datenschutzgesetzes (American Data Privacy and Protection Act, kurz ADPPA) zur Beratung vor. Im Falle einer Verabschiedung würde es bestimmte kürzlich verabschiedete Datenschutzgesetze einiger US-Bundesstaaten außer Kraft setzen.

Der Entwurf weist Merkmale des kalifornischen Datenschutzgesetzes (California Consumer Privacy Act) sowie der europäischen Datenschutz-Grundverordnung auf.

Bundesstaaten legten vor

Bisher stand der Datenschutz in den Vereinigten Staaten vornehmlich auf bundesstaatlicher Ebene oben auf der Agenda. In Kalifornien, Colorado, Connecticut, Virginia und Utah wurden kürzlich umfassende Datenschutzgesetze erlassen.  Allein in diesem Jahr wurden schon mehr als 100 Gesetzesentwürfe zum Datenschutz in den Bundesstaaten eingebracht.  Auch wenn diese nicht alle verabschiedet wurden, hat die Vielzahl von einzelstaatlichen Gesetzen und ihre unterschiedlichen regulatorischen Anforderungen dazu geführt, dass immer häufiger die Verabschiedung eines bundesweiten Datenschutzgesetzes gefordert wird. Ein einheitliches Bundesgesetz würde, wenn es verabschiedet wird, den Einrichtungen und Unternehmen die dringend benötigte Klarheit verschaffen und im Idealfall auch die Flut von Sammelklagen und anderen Datenschutzklagen eindämmen, die im Rahmen verschiedener einzelstaatlicher Gesetze erhoben werden.

Betroffene Einrichtungen

Das ADPPA gilt (mit Ausnahmen) im Großen und Ganzen für Organisationen, die in den Vereinigten Staaten tätig sind, die personenbezogene Daten sammeln, verarbeiten oder übertragen und in eine der folgenden Kategorien fallen:

  • Sie unterliegen dem Federal Trade Commission Act
  • Gemeinnützige Organisationen
  • Sog. Common Carrier, die dem Titel II des Communications Act von 1934 unterliegen

Vorgaben des ADPPA (nicht abschließend)

  • Beschränkung der Datenerhebung und -verarbeitung auf das vernünftigerweise notwendige Maß
  • Einhaltung öffentlicher und interner Datenschutzrichtlinien
  • Gewährung von Verbraucherrechten wie Zugang, Berichtigung und Löschung
  • Einspruchsmöglichkeiten
  • Einholung der Zustimmung vor der Erhebung oder Verarbeitung sensibler Daten, z. B. Geolokalisierung, genetische und biometrische Informationen und Browserverläufe
  • Bestellung eines Datenschutzbeauftragten
  • Erbringung eines Nachweises, dass angemessene Kontrollen durchgeführt werden
  • Registrierung der Datenhändler bei der Federal Trade Commission (FTC)
  • Die FTC wird ein durchsuchbares, zentrales öffentliches Online-Register aller registrierten Datenhändler sowie ein „Do Not Collect“-Register einrichten und pflegen, dass es Einzelpersonen ermöglicht, alle Datenhändler aufzufordern, ihre Daten innerhalb von 30 Tagen zu löschen
  • Einrichtungen dürfen die erfassten Daten nicht in einer Weise erheben, verarbeiten oder übertragen, die eine Diskriminierung aufgrund von Rasse, Hautfarbe, Religion, nationaler Herkunft, Geschlecht, sexueller Orientierung oder Behinderung darstellt
  • Einführung angemessener administrativer, technischer und physischer Datensicherheitspraktiken und -verfahren, um die betroffenen Daten vor unbefugtem Zugriff und unbefugter Kenntnisnahme zu schützen

Ausgang noch ungewiss

Kurz nachdem ein Entwurf des ADPPA veröffentlicht worden war, meldeten sich Datenschutzorganisationen, Bürgerrechtsgruppen und Unternehmen zu Wort und ergriffen Partei für und gegen das Gesetz.

Da sich die Legislaturperiode rasch dem Ende zuneigt, sind die Aussichten für die Verabschiedung des ADPPA weiterhin unklar. Zwischen den wichtigsten Interessengruppen herrscht nach wie vor große Uneinigkeit über wichtige Aspekte der vorgeschlagenen Gesetzgebung. Es herrscht jedoch Konsens darüber, dass die Vereinigten Staaten ein Bundesgesetz zum Datenschutz dringend benötigen. Somit ist die Verabschiedung eines entsprechenden Gesetztes in absehbarer Zeit recht wahrscheinlich.

EuGH: Verarbeitung von Fluggastdaten nur im Rahmen des absolut Notwendigen

22. Juni 2022

Diese Woche, am 21.06.2022 entschied der EuGH (Rs. C-817/19), dass Flugunternehmen die personenbezogenen Daten ihrer Reisegäste nicht mehr anlasslos und so umfangreich wie bisher verarbeiten dürfen. Aus Sicht des Gerichtshofs darf sich die Verarbeitung der Fluggastdaten nur noch auf ein absolut notwendiges Maß beschränken.

Der Sachverhalt

Hintergrund der Entscheidung waren rund zehn Vorlagefragen des belgischen Verfassungsgerichtshofs. Diese Fragen legte der Verfassungsgerichtshof dem EuGH im Rahmen eines Verfahrens, dass der gemeinnützige Verein „Ligue des droits humaines“ (Liga für Menschenrechte, LDH) angestrengt hatte, vor. Gegenstand des Vorabentscheidungsverfahrens war ein belgisches Gesetz vom 25.12.2016. Mit diesem Gesetz setzte der belgische Gesetzgeber unter anderem die Richtlinien (EU) 2016/681, die Passanger Name Record-Richtlinie (PNR-Richtlinie) und die Richtlinie 2004/82/EG, die Advance Passanger Information-Richtline (API-Richtlinie) um.

Insbesondere die Bestimmungen der PNR-Richtlinie standen in Frage. Diese verleihen Fluggesellschaften die Befugnis systematisch eine große Anzahl von personenbezogenen Daten ihrer Gäste zu verarbeiten. Zu den überprüfbaren Daten zählen beispielsweise Name, Kontaktdaten, Reiseroute und Zahlungs- sowie Abrechnungsinformationen. Die Befugnis bezieht sich einerseits auf Flüge zwischen Mitgliedstaaten der EU und Drittstaaten bei Ein- und Ausreise und andrerseits auf Flüge zwischen EU-Mitgliedstaaten. Folglich musste der EuGH unter anderem die Frage beantworten, ob das belgische Gesetz Art. 7 und 8 der EU-Grundrechtecharta, die Achtung des Privat- und Familienlebens und das Recht personenbezogener Daten, verletzte.

Ein schwerwiegender Eingriff

Der EuGH stellte zunächst fest, dass ein schwerwiegender Eingriff der PNR-Richtlinie in Art. 7 und 8 EU-Grundrechtecharta existiere.  

Allerdings musste der EuGH anschließend bestimmen, ob eine Rechtfertigung für die schwerwiegenden Eingriffe in Art. 7 und 8 EU-Grundrechte bestand. Der Gerichtshof entschied, dass eine Rechtfertigung für die Eingriffe bestehe, wenn die PNR-Richtlinie so ausgelegt werde, dass sie das absolut Notwendige noch erlaube.

Die Grenze ist das absolut Notwendige

Demnach müssen die Mitgliedstaaten Sorge dafür tragen, dass sie die verarbeiteten Fluggastdaten tatsächlich nur für die Bekämpfung schwerer Straftaten und nicht für die Bekämpfung gewöhnlicher Straftaten einsetzten.

Der Gerichtshof äußerte sich ebenfalls dazu, dass aufgrund der PNR-Richtlinie die Flugunternehmen grundsätzlich die personenbezogenen Daten jeglicher Fluggäste verarbeiten können. Für eine rechtskonforme Anwendung der PNR- Richtlinie sei erforderlich, dass es „(…) hinreichend konkrete Umstände für die Annahme gibt, dass [der Mitgliedstaat] mit einer als real und aktuell oder vorhersehbar einzustufenden terroristischen Bedrohung konfrontiert ist.“ (EuGH, Urteil vom 21.06.2022, C-817/19 Rn.171) In diesem Fall wahre der Mitgliedstaat die Grenzen der EU-Grundrechte, wenn er die PNR-Richtlinie zeitlich begrenzt auf Flüge aus oder nach dem betroffenen Staat anwende.

Problematisch sei außerdem, dass eine eigens hierfür eingerichtete nationale Behörde die gesammelten Fluggastdaten anhand einer Vielzahl von Datenbänken überprüfen kann. Es sei sicherzustellen, dass die herangezogenen Datenbänke „(…) Personen, nach denen gefahndet wird oder die Gegenstand einer Ausschreibung sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.190) betreffen.  Zusätzliche dürfen diese Datenbänke nicht diskriminierend sein und müssen im „(…) objektiven Zusammenhang mit der Beförderung von Fluggästen betrieben werden.“ (EuGH, Urteil vom 21.06.2022, C-817/19, Rn.191)

Weitere Einschränkungen für die PNR-Richtlinie

Der EuGH äußerte sich auch dazu, dass „(…) die automatisierten Analysen der PNR-Daten (…) zwangsläufig mit einer gewissen Fehlerquote behaftet sind (…)“ (EuGH, Urteil vom 21.06.2022, C- 817/19, Rn.106), sodass ein anhand der Daten ermittelter Terrorverdacht in 5 von 6 Fällen nicht bestätigt werden könne.  Zur Verringerung müssen die Mitgliedstaaten klare und präzise Kriterien für eine objektive Überprüfung aufstellen. Die zuständigen Stellen der Mitgliedstaaten sollen diese Kriterien befolgen.

Bei einer nachträglichen Überprüfung der Fluggastdaten, d.h. nach Abflug oder Ankunft des Fluggastes könne die Datenverarbeitung nur bei Vorliegen bestimmter objektiver Kriterien erfolgen. Es sei sicherzustellen, dass ein begründeter Verdacht bestehe, dass die betroffene Person an schwerer Kriminalität beteiligt sei. Der kriminelle Akt müsse außerdem einen mittelbaren Zusammenhang mit der Flugreise aufweisen.

Abschließend behandelte der EuGH die lange Speicherdauer der Fluggastdaten von fünf Jahren. Obwohl die Daten nach sechs Monaten unkenntlich zu machen seien, könne der Verwender sie anschließend wieder offenlegen. Er stellte fest, dass die Speicherung von Fluggastdaten, die über sechs Monate hinausgehe das absolut Notwendige überschreite. 

VG Köln zum Berichtigungsanspruch aus Art. 16 S. 1 DSGVO

15. Juni 2022

Das Verwaltungsgericht (VG) Köln lehnte mit Urteil vom 25.03.2022 (Az.: 25 K 2138/19) einen Berichtigungsanspruch aus Art. 16 S. 1 DSGVO ab, da die Richtigkeit eines personenbezogenen Datums nicht nachgewiesen werden konnte.

Sachverhalt

Der Kläger erhob vor dem Verwaltungsgericht Klage gegen einen Ablehnungsbescheid der Beklagten aus dem Jahr 2019, nachdem diese ihm dadurch die Berichtigung seines Melderegisters verwehrt hatte. Der Kläger begehrte zuvor die Änderung seiner Wohnanschrift für den Zeitraum von Januar bis Oktober 1988. Dies lehnte die Beklagte mit der Begründung ab, dass anderweitige Daten nicht vorlägen, die Daten bereits archiviert seien und eine nachträgliche Änderung nicht mehr möglich sei.

Anwendung der DSGVO

Das Verwaltungsgericht stützt sich unter Bezugnahme auf ein Urteil des Bundesverwaltungsgerichts auf die Annahme, dass für die Frage des Bestehens eines materiellen Anspruchs gegen einen Rechtsträger der Behörde auf die Vornahme einer Handlung grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der gerichtlichen Entscheidung maßgeblich sei. Somit sei § 12 Bundesmeldegesetz (BMG) in der Fassung vom 20. November 2019, welcher auf den § 6 Abs. 1 S. 2 BMG verweist, maßgeblich. Mit dieser Neufassung habe der Gesetzgeber klarstellen wollen, dass sich im Bereich des Melderechts der Berichtigungsanspruch unmittelbar aus Art. 16 DSGVO ergebe.

Entscheidung des Gerichts

Das Verwaltungsgericht Köln wies die Klage jedoch ab. Das Gericht war nicht ausreichend davon überzeugt, dass der Kläger die Anspruchsvoraussetzungen für die Berichtigung seiner Meldedaten gem. Art. 16 S. 1 DSGVO erfüllt. Zwar handle es sich bei der Anschrift des Klägers um ein personenbezogenes Datum, jedoch sei nicht erweislich, dass das Begehren der Änderung der Anschriften auch auf die „Berichtigung“ eines „unrichtigen“ Datums im Sinne des Artikels 16 DSGVO gerichtet sei. Das Tatbestandsmerkmal der „Unrichtigkeit“ sei ein objektives Kriterium, das nur auf Tatsachenangaben anwendbar ist. Die Berichtigung eines unrichtigen Datums „kann (…) nur dadurch erfolgen, dass das unrichtige Datum mit der Wirklichkeit in Übereinstimmung gebracht wird. Ein Berichtigungsanspruch kann sich deshalb nur dann aus Art. 16 S. 1 DSGVO ergeben, wenn feststeht, dass das von dem Verantwortlichen gespeicherte oder sonst verarbeitete Datum objektiv nicht mit der Realität übereinstimmt, und wenn zugleich feststeht, dass das von dem Betroffenen als richtig benannte Datum tatsächlich mit der Wirklichkeit übereinstimmt.“ (VG Köln, Urteil v. 25.03.2022, Az: 25 K 2138/19, Rn. 90). Das Gericht hielt es zwar für möglich, dass die eingetragenen Anschriften für den Zeitraum des Jahres 1988 unrichtig sind, jedoch war es nicht davon überzeugt, dass die Anschriften, welche eingetragen werden sollten, objektiv mit der Realität übereinstimmen und richtig sind.

Das Verwaltungsgericht verdeutlicht mit seinem Urteil, dass es für die gerichtliche Geltendmachung des Berichtigungsanspruchs aus Art. 16 S. 1 DSGVO nicht ausreicht nachzuweisen, dass Daten unrichtig sind oder unrichtige Daten verarbeitet werden. Zusätzlich ist es unerlässlich nachzuweisen, dass auch das als richtig benannte Datum, welches das Unrichtige ersetzen soll, objektiv mit der Realität übereinstimmt und der Wahrheit entspricht.

LG Essen und LG Paderborn urteilen zu Auskunftsrecht aus Art. 15 DSGVO

13. Juni 2022

Das Landgericht (LG) Essen lehnte mit Urteil vom 23.02.2022 (AZ: 18 O 204/21) einen Auskunftsanspruch aus Art. 15 DSGVO unter anderem wegen Rechtsmissbrauchs ab.

Vorausgegangen war ein Rechtsstreit zwischen einem privatversicherten Mann und seiner Versicherung. Die Versicherung passte den monatlich zu zahlenden Betrag mehrmals einseitig an. Dabei sandte sie jeweils Mitteilungs- und Informationsschreiben an den Mann. Dieser ging davon aus, dass die Anpassungen unwirksam waren und forderte sein Geld zurück. Er gab allerdings an, die Versicherungsunterlagen zur Bezifferung der Ansprüche nicht mehr zu haben. Er erhob Klage und machte sowohl Auskunft bezüglich der Unterlagen, als auch Rückzahlungsansprüche geltend.

Das LG Essen wies die Klage jedoch ab. Auskunftsansprüche seien keine ersichtlich. Der Anspruch aus Art. 15 DSGVO scheitere bereits daran, dass es sich bei dem standardisierten Begründungsschreiben, mit dem der Beitrag erhöht wurde, nicht um personenbezogene Daten handle. Außerdem habe die Beklagte ein Weigerungsrecht aus Art. 12 Abs. 5 Satz 2 lit. b) DSGVO, hier stünde dem Antrag des Klägers der Einwand des Rechtsmissbrauchs entgegen. Der Kläger habe hier kein schützenswertes Eigeninteresse. Denn Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Dies liegt in diesem Fall nicht vor: „Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten geht es dem Kläger nach seinem eigenen Klagevorbringen hingegen nicht. Der Kläger macht keines der vorgenannten Interessen geltend. […] Es geht ihm mithin einzig allein um die Überprüfung etwaiger geldwerter Ansprüche gegen die Beklagte. Eine solche Vorgehensweise ist vom Schutzzweck der DSGVO aber nicht umfasst.“

In einer sehr ähnlichen Sache hatte das Landgericht (LG) Paderborn am 15.12.2021 (AZ: 4 O 275/21) ebenfalls einen Anspruch nach Art. 15 DSGVO verneint. Auch hier verlangte ein Versicherungsnehmer von seiner privaten Krankenversicherung Auskünfte, um nach Beitragserhöhungen eine Rückzahlungsforderung geltend machen zu können. In diesem Fall wertete das Gericht die Beitragsanpassungsschreiben allerdings als personenbezogene Daten. Trotzdem griff Art. 15 DSGVO nicht, denn der Versicherung stand auch hier der Eingriff des Rechtsmissbrauches zu. Das Gericht führte dazu aus, dem Kläger ginge es „ausschließlich darum, sich auf möglichst einfache und bequeme Art gebündelt die Informationen zu beschaffen, die er benötigt, um eine bezifferte Leistungsklage auf Rückzahlung möglicherweise rechtsgrundlos gezahlter Beiträge vorbereiten zu können“.

Auch das Oberlandesgericht (OLG) Nürnberg hatte vor kurzem sein Urteil zu rechtsmissbräuchlichen Auskunftsansprüchen ähnlich begründet.

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

EU-Kommission veröffentlicht Frage-Antwort-Katalog zu Standardvertragsklauseln

Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.

Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.

Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: „Welche Vorteile haben die Standardvertragsklauseln?“ und „Kann der Text der Standardvertragsklauseln geändert werden?“. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.

Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.

1 2 3 244