Kategorie: Allgemein
9. März 2023
Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.
Scoring
Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.
Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.
Automatisierte Entscheidung
Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.
Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.
Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).
Fazit
Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.
7. März 2023
Nach Gesprächen mit dem Consumer Protection Cooperation Network (CPC) der Europäischen Union (EU) hat sich WhatsApp bereiterklärt, in Zukunft die Änderungen seiner Nutzungsbedingungen transparenter zu gestalten. Zudem bestätigte WhatsApp, „dass personenbezogene Daten der Nutzerinnen und Nutzer nicht zu Werbezwecken an Dritte oder andere Meta-Unternehmen – einschließlich Facebook – weitergegeben werden“.
Intensiver Dialog mit Verbraucherschutzbehörden und Kommission
Das CPC besteht neben der Europäischen Kommission aus EU-Verbraucherschutzbehörden. Den Dialog führten federführend die schwedische Verbraucheragentur und die irische Kommission für Wettbewerb und Verbraucherschutz. Anstoß für die Untersuchung hatte eine Beschwerde der Europäischen Verbraucherverbands (BEUC) und acht seiner nationalen Mitgliedsverbände im Juli 2021 gegeben. Diese hatten Bedenken wegen „mutmaßlicher unlauterer Praktiken des Unternehmens bei der Aktualisierung seiner Nutzungsbedingungen und Datenschutzbestimmungen“ geäußert. Das CPC hatte WhatsApp daraufhin im Januar 2022 und erneut im Juni 2022 angeschrieben.
Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“
Ergebnis des Dialogs ist eine Liste von Zusagen, die laut CPC WhatsApps Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“ zeigen. WhatsApp wolle bei künftigen Änderungen seiner Geschäftspolitik geplante Änderungen an den Verträgen und deren Auswirkungen auf die Nutzerschaft erklären, „die Option zur Ablehnung aktualisierter Nutzungsbedingungen so deutlich anbieten wie die Möglichkeit, diese zu akzeptieren“ sowie „gewährleisten, dass Benachrichtigungen mit Update-Informationen ausgeblendet oder die Überprüfungen auf Updates aufgeschoben werden können, die Entscheidungen der Nutzerinnen und Nutzer respektieren und Benachrichtigungen nicht wiederholt versenden.“
Die Umsetzung dieser Zusagen will das CPC aktiv überwachen und falls erforderlich auch mit Bußgeldern durchsetzen.
Enttäuschung vonseiten des Verbraucherschutzverbands
BEUC zeigte sich enttäuscht von den Ergebnissen der Dialoge und bezeichnete sie als „Gelbe Karte“ für WhatsApp. Während EU-Justizkommissar Didier Reynders die Zusagen begrüßte, bedauerte BEUC-Vizedirektorin Ursula Pachl die „schwache Reaktion“ des CIC. Es sei nicht ausreichend, einfach mehr Transparenz und die Möglichkeit, Änderungen der Richtlinien in Zukunft leichter abzulehnen, zu versprechen. Millionen von Nutzerinnen und Nutzern seien aufgrund des aggressiven Verhaltens von WhatsApp 2021 gezwungen worden, die Änderungen zu akzeptieren. Diesen Menschen werde keine Abhilfe verschafft. Die Verbraucherschutzbehörden senden laut Pachl ein „sehr besorgniserregendes Signal aus, indem sie akzeptieren, dass ein Tech-Gigant wie WhatsApp Verbraucherrechte verletzen kann und dann mit dem Versprechen davonkommt, sich in Zukunft zu bessern. Dies zeigt, dass die derzeitige Art und Weise der Durchsetzung des Verbraucherrechts nicht abschreckend genug ist und dass eine dringende Reform erforderlich ist, um eine wirksamere Durchsetzung insbesondere bei EU-weiten Verstößen zu gewährleisten.“
28. Februar 2023
Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.
Datenschutzkonforme Gesamtlösung für EU-Einrichtungen
Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.
Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern
Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.
Alternative zu Microsoft und co.
Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.
Vorbild für den nichtöffentlichen Bereich?
Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.
23. Februar 2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.
Fehlende Rechtsgrundlage und Cookies
Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.
Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.
Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.
Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.
Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.
Fazit
Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.
Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.
22. Februar 2023
Brüssel. Die EU-Kommission klagt vor dem EuGH wegen unzureichendem Schutz für Hinweisgeber. Dieses Vorgehen gegen Deutschland lässt sich auf eine fehlende Umsetzung einer im Jahr 2019 geschaffenen Richtlinie rückführen. In deutsches Recht hätte die Richtline bereits im Dezember 2021 umgesetzt werden sollen. Sogenannten Whistleblowern sollten damit das Aufdecken und Weitergeben von Missständen oder kriminellen Machenschaften in Unternehmen erleichtert werden.
Hinweisgeberschutzgesetz auf der Zielgeraden blockiert
Der Bundesregierung ist grundsätzlich kein Untätig werden vorzuwerfen. Vielmehr ist das entworfene neue Gesetz zum Schutz von Hinweisgebern auf den letzten Metern der Gesetzgebung gescheitert. Durch das Gegenstimmen der Bundesländer, in denen die Union regiert, wurde das Gesetz nun doch noch gekippt. Mit 38 von 69 Stimmen hat die Union mit einer Blockademehrheit dafür gesorgt, dass ein Schutz von Whistleblowern weiterhin nur wünschenswert bleibt. Dieses Vorgehen wird auf das Argument einer möglichen Regulierung über die von der Kommission geforderten Standards bezogen. Die Union wünschte sich aus Angst vor Missbrauch von Meldungen eine Nachbesserung des Gesetzes.
Ampel über die Blockade empört
SPD und Grüne beharren auf dem Gesetzesentwurf und wollen keine Änderungen. SPD-Innenpolitiker Sebastian Fiedler erklärt in einem Interview einen möglichen Plan B. Demnach könnte ein inhaltlich gleicher Gesetzesentwurf in den Bundestag eingebracht werden. Einziger Unterschied wäre eine nicht zustimmungsbedürftige Form.
Fazit
Der Pyrrhussieg der Union durch die Blockade des Gesetzes könnte für die Bundesrepublik nun eine Strafe nach sich ziehen. Durch das Kippen des Gesetzesentwurfes gehen leider mehrere Parteien als Verlierer heraus. Doch neben einer möglichen Sanktionierung des Staates sind die wahren Opfer Hinweisgeber, welche dennoch mit großem Mut auf Missstände aufmerksam machen.
Mit Urteil vom 16. Februar 2023 hat das Bundesverfassungsgericht (BVerfG) automatisierte Datenanalysen der Polizei in Hessen und Hamburg für verfassungswidrig erklärt. Die beiden angegriffenen Landesgesetze erlaubten der Polizei demnach „automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden“.
Schwere Grundrechtseingriffe durch Profiling-ähnliche Analysen
Das BVerfG erkannte in den angegriffenen Vorschriften (§ 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG)) Verstöße gegen das Recht auf informationelle Selbstbestimmung. Die Polizeien der Länder dürfen auf deren Grundlage „bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen […] vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch […] erschließen“ (Rn. 2). Laut BVerfG enthalten die Normen jedoch keine „ausreichende Eingriffsschwelle“. Angesichts des Eingriffsgewichts seien die Befugnisse zu offen formuliert.
Es sei zwar nicht ungewöhnlich, dass die Polizei ihre Erkenntnisse auch in Verknüpfung mit anderen Informationen zum Anstoß weiterer Ermittlungen nutze. Allerdings gehe die Analyse nach den angegriffenen Normen viel weiter. Sie nähere sich bei entsprechendem Einsatz sogenanntem „Profiling“ an, mit dem „sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden“ (Rn. 69).
Rechtlich unbegrenzte Methoden
Angesichts der hohen Eingriffsintensität der Analysemöglichkeiten müssten laut BVerfG strenge Eingriffsvoraussetzungen erfüllt werden. Hier bemängelte das BVerfG, dass die Befugnisse der Polizei hinsichtlich der Methoden praktisch unbegrenzt sei: „In ihrer daten- und methodenoffenen Unbegrenztheit erlauben die Regelungen der Polizei, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat“ (Rn. 150).
Der Gesetzgeber habe zudem den Wortlaut der Normen sehr weit gefasst, sodass diese auch Data-Mining und den Einsatz selbstlernender Systeme (Künstliche Intelligenz) erlaubten.
Hamburger Gesetz nichtig, Übergangsfrist für Hessen
Das BVerfG hält eine automatisierte Datenanalyse oder -auswertung grundsätzlich für möglich. Diese muss jedoch eine verfassungsrechtliche Rechtfertigung bieten. Für Hessen gilt daher nun eine Übergangsfrist für eine Neuregelung bis zum 30. September 2023. Das Programm „HessenData“, welches auf dem Programm „Gotham“ vom US-Software-Unternehmen Palantir beruht, wird dort bereits seit 2017 eingesetzt.
§ 49 Abs. 1 Alt. 1 HmbPolDVG wurde dagegen direkt für nichtig erklärt. Die Norm wurde mit kleinen Änderungen der hessischen Norm nachgebildet, aber bisher noch nicht angewendet.
Bundesweite Auswirkungen des Urteils
Auch Bayern hat Interesse an dem Analyseprogramm bekundet und prüft derzeit den Einsatz. Nordrhein-Westfalen nutzt bereits Palantir-Dienste. Es bleibt abzuwarten, inwieweit die anderen Länder das Urteil in ihre Gesetzgebung einfließen lassen werden. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit zweifelte im Verfahren vor dem BVerfG die Rechtmäßigkeit der fraglichen Normen an. Er bemängelte, dass „falsche Entwicklungen immer erst von den Gerichten gestoppt werden“ müssten, anstatt auf die Proteste aus der Zivilgesellschaft und die Datenschutzbeauftragten einzugehen.
21. Februar 2023
Am 20. Januar 2023 erließ das Oberlandesgericht Hamm ein Urteil zugunsten eines Klägers über 100 Euro Schadensersatz i.S.v. Art. 82 Abs. 1 Alt. 2 DSGVO.
Sachverhalt
Im August 2021 kam es im Impfzentrum der Stadt Essen zu einem menschlichen Fehler, von jedoch großem datenschutzrechtlichem Ausmaß. Anstelle einer E-Mail zur Terminverschiebung der Impfung wurden Excel-Tabellen mit Daten der besonderen Kategorien von mehr als 13.000 Essener Bürgerinnen und Bürgern verschickt. Rund 1.200 Essener sollen auf diesem Weg statt eines neuen Termins sensible Gesundheitsinformationen von ihren Mitbürgern erhalten haben. Neben der Information, wann wer mit welchem Impfstoff geimpft werden sollte, wurden auch Adressen und Telefonnummern preisgegeben.
Die Berufung des Klägers gegen das am 02.06.2022 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen wies das Oberlandesgericht Essen zurück. Das Gericht kam in seinem Urteil zu dem Ergebnis, dass der Fehlversand der Excel-Tabellen einen Verstoß gegen datenschutzrechtliche Vorgaben darstelle. Neben einem Verstoß gegen die Grundsätze der Datenverarbeitung i.S.v. Art. 5 DSGVO liege auch ein Verstoß gegen den Schutz von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO vor. Die Stiftung Datenschutz berichtet, dass das Oberlandesgericht Hamm einen Verstoß gegen die Verpflichtung zu technischen und organisatorischen Maßnahmen zur Datensicherheit offenließe. Dies hatte die Vorinstanz allerdings bejaht. Das OLG Hamm lehnt eine Bagatellgrenze beim Schmerzensgeld ab und betont die Genugtuungsfunktion des Schmerzensgeldanspruchs sowie dessen generalpräventive Wirkung zur Rechtfertigung der Höhe des Schmerzensgeldes.
Fazit
Selbst das höchste Maß technisch-organisatorischer Maßnahmen kann Bedienfehler menschlicher Natur nicht immer ausschließen. Obwohl es sich im beschriebenen Sachverhalt um einen Verstoß gegen die Grundsätze der Verarbeitung personenbezogener Daten handelt und auch Gesundheitsdaten betroffen sind, lässt das Oberlandesgericht Hamm das Bußgeld durchaus milde, aber verhältnismäßig sowie abschreckend ausfallen. Dennoch sollten Verantwortliche sowie Auftragsverarbeiter die Mitarbeitenden , welche sich mit personenbezogenen Daten auseinandersetzen, umfangreich schulen. Ein gut geschultes Bewusstsein für Fehlerquellen kann langfristig die Häufigkeit von Datenschutzvorfällen schmälern.
16. Februar 2023
Mit seinem Urteil vom 09. Februar 2023 (Rs. C-453/21) entschied der Gerichtshof der Europäischen Union (EuGH), dass die deutsche Regelung zur Abberufung des Datenschutzbeauftragten europarechtskonform sei. Demnach sei eine Abberufung aus wichtigem Grund iSd § 626 BGB möglich.
Sachverhalt
Hintergrund der Entscheidung war die Klage eines Datenschutzbeauftragten. Er sei aufgrund der Gefahr eines Interessenkonfliktes abberufen worden. Der Datenschutzbeauftragte habe nämlich neben der datenschutzrechtlichen Funktion das Amt des Betriebsratsvorsitzenden bekleidet. Sein Arbeitgeber sei allerdings der Auffassung gewesen, dass nicht dieselbe Person die Ämter des Betriebsratsvorsitzenden und Datenschutzbeauftragten zeitgleich ausüben könne.
Das vorlegende Gericht stellte fest, dass die Abberufung eines Datenschutzbeauftragten nach § 6 Abs. 4 S. 1 BDSG das Vorliegen eines wichtigen Grundes voraussetze. Insoweit stelle sich die Frage, ob die Abberufung des Datenschutzbeauftragten nach nationalen Vorgaben strengeren Voraussetzungen unterstellt werden könne, als sie das Unionsrecht vorsehe.
Entscheidung
Nach Art. 38 Abs. 3 S. 2 DSGVO dürfe der Verantwortliche oder Auftragsverarbeiter den Datenschutzbeauftragte nicht „wegen der Erfüllung seiner Aufgabe abberufen oder benachteilig[en]“. Demnach habe, so der EuGH, der europäische Gesetzgeber eine Grenze zur Abberufung des Datenschutzbeauftragten festgelegt. Es bestehe ein Verbot, den Datenschutzbeauftragten aus Gründen abzuberufen, die sich aus seinen Aufgaben ergeben. Zu diesen Aufgaben zähle nach Art. 39 Abs. 1 lit. b DSGVO unter anderem, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Diese Regelung gelte für den externen Datenschutzbeauftragten, der auf Grundlage eines Dienstvertrages tätig werde. Daneben gelte die Regelung auch für einen beim Verantwortlichen oder Auftragsverarbeiter angestellten Datenschutzbeauftragten.
Laut EuGH sei das Ziel des Abberufungsverbotes, die Unabhängigkeit jedes Datenschutzbeauftragten zu wahren. Insoweit sei diese Unabhängigkeit notwendig, damit der Datenschutzbeauftragte seine „Aufgaben im Einklang mit dem Ziel der DSGVO“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) ausüben könne.
Demnach könne die nationale Norm grundsätzlich strengere Voraussetzungen an die Abberufung stellen. Allerdings dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen.“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) Insbesondere die Unabhängigkeit des Datenschutzbeauftragten dürfe die strengere Norm nicht tangieren.
Fazit
Im Ergebnis stellte der EuGH folglich fest, dass eine nationale Norm festlegen könne, dass der Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden kann. Allerdings dürfe die nationale Regelung die Umsetzung der DSGVO nicht beeinträchtigen.
14. Februar 2023
Anfang Februar kam durch Recherchen der Reporter von Welt am Sonntag ein beachtliches Datenleck ans Licht. Es handle sich um Listen, welche ausführliche Informationen über Aktivistinnen und Aktivisten der Gruppierung „Letze Generation“ abbildeten.
Sachverhalt
Wer in einer deutschen Großstadt lebt und dennoch regelmäßig auf die Mobilität eines Autos angewiesen ist, könnte eventuell schon einmal auf die Aktivistinnen und Aktivisten gestoßen sein. Diese bekommen seit längerem eine hohe mediale Aufmerksamkeit für Protestaktionen, bei denen Beteiligte ihre Hände auf wichtigen Verkehrsknotenpunkten auf der Straße festkleben. Dies führt immer wieder zu sehr langen und ungemütlichen Staus für Autofahrerinnen und Autofahren. In Bezug auf die kürzliche Datenpanne, sind die Aktivistinnen und Aktivisten im Kontext der DSGVO in diesem Fall allerdings eher metaphorisch geleimt. Berichten nach sollen personenbezogene Daten von mehr als 2200 Beteiligten über Google Drive zugänglich gewesen sein.
Spannungsfeld
Grundsätzlich ist jede Datenpanne von Verantwortlichen durch präventive technisch- organisatorische Maßnahmen zu verhindern. Das Reporter sich Zugriff zu solchen Listen verschaffen können, stellt ein Negativbeispiel für die von Verantwortlichen zu treffenden Maßnahmen dar.
Besondere Kategorien personenbezogener Daten
Die Google Drive Listen enthielten neben Namen, Telefonnummern sowie der bloßen Bereitschaft für Protestaktionen ins Gefängnis zu gehen, vereinzelt wohl auch Gesundheitsdaten zu geistigen Gemütszuständen. Jedoch sind die Gesundheitsdaten nicht die einzigen personenbezogenen Daten einer besonderen Kategorie i. S. d. Art. 9 Abs. 1 DSGVO. Die gesamte Liste stellt bereits ein sensitives Datum dar. Einzig die Namensnennung klärt schließlich schon über die politische Meinung auf. Es bleibt abzuwarten, wie die zuständige Datenschutzaufsichtsbehörde diesen Fall behandeln wird.
9. Februar 2023
Anlässlich des Safer Internet Day 2023 veröffentlichte der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) eine Mitteilung, der zufolge das Thema künstliche Intelligenz in den Mittelpunkt der Diskussion gerückt werden solle. Dabei beleuchtete er wichtige Fragen, die den Umgang mit künstlicher Intelligenz betreffen.
ChatGPT an Schulen
Laut dem LfDI RLP, Prof. Dr. Dieter Kugelmann biete vor allem der Sprach-Roboter ChatGPT einen Anlass zur Diskussion. Insbesondere Schüler nutzten das Online-Programm. Mit Hilfe von ChatGPT können die Schüler ihre Hausaufgaben schnell und einfach von der künstlichen Intelligenz schreiben lassen. Für sie sei es nicht mehr notwendig, selbst Quellen herauszusuchen und diese in einem eigenhändig geschriebenen Text zusammenzufassen. Alle diese Aufgaben übernehme ChatGPT innerhalb weniger Minuten. (Über weitere Funktionen von ChatGPT berichteten wir hier.)
Der LfDI RLP betonte, dass eine Sensibilisierung von Schülern hinsichtlich eines sorgfältigen Umgangs mit künstlicher Intelligenz erforderlich sei. Hierfür bedürfe es einer konstruktiven und kritischen Auseinandersetzung mit den Schülern. Zur Förderung dieser Auseinandersetzung erklärte der LfDI RLP, dass er künftig weiter Informationen zur Nutzung in Schulen bereitstellen werde.
Datenschutz und Algorithmen
Im Hinblick auf den Datenschutz begegneten der Anwendung allerdings einige Bedenken. Diese habe die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zum Teil bereits 2019 in der Hambacher Erklärung zur Künstlichen Intelligenz behandelt. Die DSK habe in der Erklärung sieben datenschutzrechtliche Anforderungen an künstliche Intelligenz formuliert.
Außerdem solle man laut dem LfDI RLP bei künstlicher Intelligenz ein besonderes Augenmerk auf ihren Algorithmus legen. Dieser sei für die Ergebnisse, die die künstliche Intelligenz generiere, verantwortlich. Der Algorithmus richte sich dabei maßgeblich nach seinen Entwicklern. Wenn bereits im Rahmen der Entwicklung eines Algorithmus falsche oder gar rassistische Tendenzen erkennbar seien, können dies später ein Problem darstellen. Auch das Ergebnis, dass die künstliche Intelligenz präsentiere, sei möglicherweise falsch oder diskriminierend.
Darüber hinaus sei zu bedenken, wie die künstliche Intelligenz, bzw. ihr Algorithmus lerne. Die bereits frei verfügbare Anwendung ChatGPT benötige eine große Anzahl menschlicher Daten, um ihre Ergebnisse verbessern zu können. Diese Daten von menschlichen Nutzern müsse die Betreiberfirma OpenAI allerdings nicht für eine große Summe Geld einkaufen. Indem das Unternehmen die Anwendung kostenlos zur Verfügung stelle, würden ihre Nutzer die erforderliche Datenmenge bereitstellen. Somit seien die Nutzer einerseits Testgruppe und trügen andrerseits zum Erfolg der Anwendung durch die einhergehenden Verbesserungen bei.
Pages: 1 2 ... 8 9 10 11 12 ... 205 206 
