Kategorie: Aufsichtsbehördliche Maßnahmen

DSGVO erlaubt dauerhafte Datenspeicherung

19. Juni 2023

Das virtuelle Hausverbot und die dauerhafte Datenspeicherung

Die Datenschutzbehörde Sachsen berichtete in ihrem Tätigkeitsbericht für das Jahr 2022 von einem Fall, in dem es um die datenschutzrechtliche Zulässigkeit eines virtuellen Hausverbots und dessen Durchsetzung ging.

Ein Betroffener reichte eine Beschwerde bei der Aufsichtsbehörde ein, da seine E-Mail-Adresse bei einem Sozialen Netzwerk, einem Online-Club, gespeichert wurde, dem er früher angehörte. Das betreibende Unternehmen hatte zuvor seinen Zugang zum Club gesperrt. Der Betroffene forderte die Löschung aller seiner Daten. Das Unternehmen informierte die Behörde darüber, dass das Profil des Betroffenen gelöscht wurde, da er mehrfach und schwerwiegend gegen interne Regeln verstoßen hatte. Daher wurde gegen ihn ein virtuelles Hausverbot verhängt. Um dies durchzusetzen, wurden die E-Mail-Adressen der gesperrten (ehemaligen) Mitglieder in einer internen Blacklist gespeichert, um den weiteren Zugriff zu verhindern.

Die Datenschutzbehörde prüfte die Speicherung auf der Blacklist anhand einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO. Ihr Ergebnis lautete: “Basierend auf den vorliegenden Informationen konnte meine Behörde – unter Berücksichtigung der verschiedenen Interessen und betroffenen Rechte – keinen Verstoß gegen den Datenschutz feststellen.”

Zulässigkeit des “Hausverbots”

Die Behörde betrachtete das virtuelle Hausverbot grundsätzlich als zulässig. Sie verwies dabei unter anderem auf die Rechtsprechung des Bundesgerichtshofs. Der Betreiber hatte in den Nutzungsbedingungen das Recht festgelegt, den Zugang des Nutzers zeitweise oder dauerhaft zu sperren, insbesondere bei Verstößen gegen diese Bedingungen. Dies spielte eine Rolle im Hinblick auf das Merkmal der “vernünftigen Erwartungen” der Betroffenen gemäß Erwägungsgrund 47 der DSGVO. Um das Hausverbot durchzusetzen, war es nach Ansicht der Behörde auch erforderlich, dass bestimmte Informationen des ehemaligen Mitglieds, zum Beispiel in einer Blacklist, gespeichert blieben. Andernfalls wäre die Identität des Mitglieds für den Anbieter nicht mehr erkennbar und ein Nutzungsverbot nicht durchsetzbar. Darüber hinaus informierte der Betreiber auch in seinen Datenschutzhinweisen über die Verarbeitung zur Durchsetzung des Hausverbots. Die Behörde führt abschließend an, dass es ihrer Ansicht nach auch verhältnismäßig sei, Daten auf der Blacklist dauerhaft zu speichern.

Zusätzlich könnte als Rechtsgrundlage auch noch Art. 6 Abs. 1 lit. b DSGVO in Betracht gezogen werden, nämlich die Datenverarbeitung im Rahmen der Anbahnung eines (neuen) Vertragsverhältnisses oder zur Abwicklung des vorherigen Vertragsverhältnisses. In diesem Zusammenhang könnte die Frage der Erforderlichkeit aufkommen, die sicherlich vom Einzelfall abhängt (z.B. Inhalt des Vertrages und der Allgemeinen Geschäftsbedingungen, Möglichkeit des Unternehmens, sich auf die Vertragsfreiheit zu berufen).

Fazit

Für die Praxis lassen sich folgende Erkenntnisse ableiten:

  • Die Datenverarbeitung zur Durchsetzung eines virtuellen Hausrechts ist zulässig.
  • Betroffene sollten sowohl im Vertrag als auch in den Datenschutzhinweisen klar darüber informiert worden sein, wann dies geschehen kann und welche Konsequenzen es hat.
  • Es dürfen nur die Daten gespeichert werden, die tatsächlich zur Durchsetzung erforderlich sind.

BlnBDI verhängt Bußgeld wegen mangelnder Transparenz bei automatisiertem Kreditverfahren

13. Juni 2023

Die Berliner Datenschutz- und Informationsfreiheitsbeauftragte (BlnBDI) hat eine Bank mit einer Geldstrafe von 300.000 Euro belegt, da sie intransparent in Bezug auf eine automatisierte Einzelentscheidung gehandelt hat. Die Bank verweigerte einem Kunden verständliche Informationen über die Gründe für die automatisierte Ablehnung seines Kreditkartenantrags. Das Unternehmen hat eng mit der BlnBDI zusammengearbeitet und den Bußgeldbescheid akzeptiert.

Eine automatisierte Entscheidung ist eine Entscheidung, die ausschließlich von einem IT-System auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen wird. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten in solchen Fällen spezielle Transparenzpflichten. Personenbezogene Daten müssen in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben das Recht, eine Erläuterung der getroffenen Entscheidung nach einer entsprechenden Bewertung zu erhalten. Wenn betroffene Personen eine Auskunft bei den Verantwortlichen beantragen, müssen diesen aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung zur Verfügung gestellt werden.

Der Sachverhalt

In diesem spezifischen Fall hat die Bank bei ihrem digitalen Kreditkartenantrag diese Vorgaben jedoch nicht beachtet. Durch ein Online-Formular forderte die Bank verschiedene Informationen über das Einkommen, den Beruf und die persönlichen Daten des Antragstellers an. Basierend auf den abgefragten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank den Antrag des Kunden ohne eine explizite Begründung ab. Der Algorithmus stützte sich dabei auf zuvor von der Bank festgelegte Kriterien und Regeln.

Aufgrund eines guten Schufa-Scores und eines regelmäßig hohen Einkommens des Kunden wurden Zweifel an der automatisierten Ablehnung laut. Obwohl der Kunde die Bank um detaillierte Informationen zum Scoring-Verfahren bat, erhielt er lediglich allgemeine und allgemeingültige Aussagen. Die Bank weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte daher nicht nachvollziehen, welche Daten und Faktoren der Ablehnung zugrunde lagen und aufgrund welcher Kriterien sein Kreditkartenantrag abgelehnt wurde. Ohne diese spezifische Begründung war es ihm nicht möglich, die automatisierte Einzelentscheidung angemessen anzufechten. Infolgedessen beschwerte er sich bei der Datenschutzbeauftragten.

Nachvollziehbarkeit ausschlaggebend

Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich wie folgt: “Wenn Unternehmen automatisierte Entscheidungen treffen, müssen sie diese überzeugend und nachvollziehbar begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Die Tatsache, dass die Bank in diesem Fall selbst auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, führt zu einer Geldstrafe. Eine Bank ist verpflichtet, die Kund:innen über die maßgeblichen Gründe für die Ablehnung eines Kreditkartenantrags im Zusammenhang mit automatisierten Entscheidungen zu informieren. Dies umfasst konkrete Informationen zur Datenbasis, den Entscheidungsfaktoren und den Kriterien für die Ablehnung in Einzelfällen.”

Die Datenschutzbeauftragte stellte fest, dass die Bank in diesem konkreten Fall gegen Art. 22 III, Art. 5 I lit. a und Art. 15 I DSGVO verstoßen hat. Bei der Festlegung der Höhe des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die absichtliche Ausgestaltung des Antragsprozesses und der Informationserteilung. Als mildernden Umstand bewertet wurde unter anderem, dass das Unternehmen den Verstoß eingeräumt hat, bereits Änderungen an den Prozessen umgesetzt hat und weitere Verbesserungen angekündigt hat.

 

Rekord-Bußgeld gegen Meta

23. Mai 2023

Meta, der Mutterkonzern von Facebook, hat erneut eine Rekordstrafe in Höhe von 1,2 Milliarden Euro aufgrund eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) erhalten. Die irische Datenschutzbehörde DPC verkündete diese Strafe in Dublin. Das Verfahren betrifft die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren von Edward Snowden, einem US-Whistleblower, aufgedeckt wurde. Max Schrems, ein Datenschutz-Aktivist aus Österreich, reichte damals eine Beschwerde gegen Facebook ein.

Verfahren kann sich in die Länge ziehen

Das von der DPC verhängte Bußgeld übertrifft die bisherige Rekordstrafe von 746 Millionen Euro, die gegen Amazon.com in Luxemburg verhängt wurde. Zudem ist Meta nun dazu verpflichtet, jede weitere Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten zu unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.

Meta hat bisher keine Stellungnahme zu der Rekordstrafe abgegeben. Experten gehen jedoch davon aus, dass der US-Konzern gegen die Entscheidung rechtliche Schritte einlegen wird. Die Gerichtsverfahren können sich jedoch über einen längeren Zeitraum erstrecken. In der Zwischenzeit könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, um den transatlantischen Datenverkehr neu zu regeln. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, falls ein dauerhafter transatlantischer Datentransfer nicht möglich sein sollte.

Irische Datenschutzbehörde ging nicht gegen Meta vor

Schrems betonte, dass das verhängte Bußgeld deutlich höher hätte ausfallen können: “Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat über einen Zeitraum von zehn Jahren wissentlich gegen die DSGVO verstoßen, um Gewinne zu erzielen.” Schrems erklärte weiter, dass Meta nun wahrscheinlich seine Systeme grundlegend umstrukturieren müsse, wenn sich die US-Überwachungsgesetze nicht ändern.

Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, gegen Facebook in dieser Angelegenheit vorzugehen. Schließlich wurde die DPC durch den Europäischen Datenschutzausschuss (EDSA) dazu verpflichtet, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss betrifft ausschließlich Facebook und nicht andere Dienste wie Instagram oder WhatsApp, die zum Meta-Konzern gehören. Bereits im Januar hatte die DPC Meta jedoch zu einer Strafe in Höhe von 390 Millionen Euro verurteilt, weil Facebook- und Instagram-Nutzer gezwungen wurden, personalisierter Werbung zuzustimmen.

Seit Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren wurden für Meta insgesamt Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist nun sechsmal in der Liste der zehn höchsten Bußgelder vertreten, was zu einer Gesamtstrafe von 2,5 Milliarden Euro führt.

Übrigens: Das höchste Bußgeld in Deutschland betrug 35 Millionen Euro und wurde im Jahr 2020 von der Modekette H&M wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung in ihrem Onlineshop gezahlt.

EuGH-Generalstaatsanwalt gegen verschuldensunabhängige Haftung

15. Mai 2023

Der langjährige Rechtsstreit um eine Geldstrafe gegen die Deutsche Wohnen SE, die von der Berliner Aufsichtsbehörde (BlnBDI) verhängt wurde, steht erneut im Fokus des Datenschutzrechts. Nachdem das Kammergericht Berlin (KG) vorläufig den Europäischen Gerichtshof (EuGH) angerufen hatte und die Parteien in einer mündlichen Verhandlung vor dem EuGH angehört wurden, äußerte sich Ende April auch Generalstaatsanwalt Campos Sánchez-Bordona zu dem Fall. In seinen Schlussanträgen bestätigte der Generalanwalt zwar, dass Bußgelder gemäß der Datenschutz-Grundverordnung (DSGVO) grundsätzlich direkt gegen Unternehmen verhängt werden können, lehnte jedoch die Frage ab, ob diese auch unabhängig von einem Verschulden erlassen werden können. Damit wurde der Forderung nach einer Haftung ohne Verschulden, auch bekannt als “strict liability”, eine Absage erteilt. Eine endgültige Entscheidung des EuGH zur Klärung dieser Fragen steht noch aus und wird mit Spannung in naher Zukunft erwartet.

Rechtlicher Hintergrund

Im Oktober 2019 verhängte die Berliner Aufsichtsbehörde gegen den Immobilienkonzern Deutsche Wohnen SE eine Geldstrafe in Höhe von 14,5 Millionen Euro aufgrund von Datenschutzverstößen gegen die DSGVO. Der Vorwurf der BlnBDI lautete, dass der Immobilienkonzern personenbezogene Mieterdaten unrechtmäßig lange aufbewahrt und keine angemessenen Maßnahmen zur Löschung ergriffen hatte.

Im Rahmen eines Einspruchsverfahrens erklärte das zuständige Berliner Landgericht den Bescheid zugunsten der Deutschen Wohnen SE für ungültig. Das Gericht war der Ansicht, dass nach deutschem Ordnungswidrigkeitenrecht juristische Personen nur dann direkt sanktioniert werden können, wenn den Unternehmensverantwortlichen ein konkretes Fehlverhalten nach dem gesetzlichen “Rechtsträgerprinzip” gemäß § 30 OWiG nachgewiesen werden kann. Da ein solches Fehlverhalten seitens der Aufsichtsbehörde nicht nachgewiesen werden konnte, hob das Gericht den Bescheid auf. Die zuständige BlnBDI und die Staatsanwaltschaft legten gemeinsam Beschwerde beim Kammergericht Berlin gegen die Einstellung des Verfahrens ein. Die Kammer setzte das Verfahren vorerst aus und legte dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vor.

Vorabentscheidungsverfahren beim EuGH

Im Gegensatz zum erstinstanzlichen Landgericht Berlin hat sich das Kammergericht Berlin an den Europäischen Gerichtshof gewandt und ein Vorabentscheidungsersuchen gestellt, um zwei zentrale Fragen zur Auslegung von Art. 83 Abs. 4-6 DSGVO zu klären. Das Kammergericht Berlin wollte vom EuGH im Wesentlichen wissen:

Ob Geldbußen gemäß der DSGVO direkt gegen rechtswidrig handelnde Unternehmen verhängt werden können.
Ob ein Unternehmen den Verstoß, der von einem Mitarbeiter begangen wurde, schuldhaft begangen haben muss oder ob für eine Bestrafung bereits eine objektive Pflichtverletzung ausreicht (sogenannte “strict liability”).

Unternehmen als Adressaten von Sanktionen?

Nach Ansicht des Generalanwalts können Unternehmen direkte Adressaten von Geldbußen sein. Dies sei nicht nur in mehreren Bestimmungen der DSGVO vorgesehen, sondern nach Aussage des Generalanwalts auch ein Schlüsselmechanismus zur Gewährleistung der Wirksamkeit der DSGVO. Der Generalanwalt argumentierte, dass dies aus dem Wortlaut einzelner Normen der DSGVO hervorgehe. Insbesondere Artikel 4, 58 und 83 der DSGVO lassen darauf schließen, dass Sanktionen, insbesondere Geldbußen, direkt gegen juristische Personen verhängt werden können. Die Frage, ob das deutsche Ordnungswidrigkeitengesetz, insbesondere § 30 OWiG, die Anforderungen der DSGVO in dieser Hinsicht ausreichend berücksichtigt, wurde vom Generalanwalt nicht abschließend beantwortet. Er verwies auf das Landgericht Berlin, das diese Frage noch ausreichend klären müsse.

Sanktionen und schuldhaftes Handeln

Dies ist nur der Fall, wenn der Sanktionierung vorsätzliches oder fahrlässiges Handeln eines Mitarbeitenden des Unternehmens vorausgegangen ist. Ein rechtswidriges Verhalten eines einzelnen Beschäftigten genügt bereits, um gegen das Unternehmen eine entsprechende Geldbuße zu verhängen. Der Generalanwalt ist der Ansicht, dass ein konkreter Nachweis einer Aufsichtspflichtverletzung erforderlich ist, damit das schuldhafte Handeln eines Mitarbeitenden, der nicht zur Führungsriege gehört, den Leitungsorganen zugerechnet und somit sanktioniert werden kann.

Der Generalanwalt erklärt dies wie folgt:
“Es handelt sich schließlich um natürliche Personen, die zwar nicht selbst Vertreter einer juristischen Person sind, aber unter der Aufsicht derjenigen handeln, die Vertreter der juristischen Person sind und die eine unzureichende Überwachung oder Kontrolle über die zuerst genannten Personen ausgeübt haben. Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.”

Damit beantwortet der Generalanwalt auch die Frage, ob bereits eine objektive Pflichtverletzung ausreicht, um eine Geldbuße zu verhängen. Diese Frage verneint der Generalanwalt und erklärt, dass Aufsichtsbehörden keine verschuldensunabhängigen Geldbußen gegen Unternehmen verhängen können, da einer Geldbuße stets ein zuzurechnendes Verschulden vorausgehen muss. Dies bedeutet, dass Aufsichtsbehörden zumindest im Rahmen des Bußgeldverfahrens ein Verschulden feststellen müssen.

Der Generalanwalt führt dazu aus:
“Was die in der DSGVO vorgesehenen Verpflichtungen betrifft, einschließlich derjenigen, von denen die Verarbeitung von Daten (Artikel 5 DSGVO) und deren Rechtmäßigkeit (Artikel 6 DSGVO) abhängt, erfordert die Beurteilung, ob diese Verpflichtungen erfüllt wurden, einen komplexen Bewertungs- und Beurteilungsprozess, der über die bloße Feststellung eines formalen Verstoßes hinausgeht.”
Falls die Richter dem Votum des Generalanwalts folgen, würde dies bedeuten, dass Bußgelder zukünftig nicht mehr nach dem Prinzip der “strict liability” verschuldensunabhängig verhängt werden können. Die Richter sind zwar nicht an die Empfehlungen des Generalanwalts gebunden, folgen seiner Rechtsauffassung aber in der Regel. Der Zeitpunkt für eine Entscheidung ist derzeit noch nicht bekannt.

Aussage der Berliner Aufsichtsbehörde

Zwischenzeitlich äußerte sich auch die neue Datenschutz- und Informationsfreiheitsbeauftragte Meike Kamp auf ihrem eigenen Mastodon-Account und unterstützte die Ansichten des Generalanwalts. Aus ihren Aussagen geht hervor, dass ein Urteil, das die Schlussanträge des Generalanwalts aufgreift, in Deutschland endlich einheitliche Standards für die Verhängung von Sanktionen bei rechtswidrigem Verhalten schaffen würde, wie es in der übrigen EU bereits der Fall ist. Dies würde dem Ziel einer einheitlichen Durchsetzung des europäischen Rechts gerecht werden und die Bußgeldverfahren der deutschen Aufsichtsbehörden erheblich vereinfachen.

Fazit

Bereits jetzt zeichnet sich ab, obwohl das Urteil des EuGH noch aussteht, dass dies erhebliche Auswirkungen auf die Praxis der Bußgeldverhängung durch deutsche Aufsichtsbehörden haben wird. Die Schlussanträge des Generalanwalts geben eine erste Richtung vor, wie die Richter am EuGH in naher Zukunft entscheiden könnten, und erhöhen bereits jetzt die Spannung, insbesondere in der Datenschutzberatung.

Wenn die Richter des EuGH tatsächlich den Schlussanträgen des Generalanwalts in ihrem Urteil folgen, hätte dies nicht nur erhebliche Auswirkungen auf zukünftige Bußgeldverfahren, sondern auch unmittelbar auf Unternehmen. Obwohl den deutschen Aufsichtsbehörden die Möglichkeit genommen würde, Bußgelder verschuldensunabhängig zu verhängen, dürfte dies in der Praxis nur begrenzt Erleichterung bringen, da zumindest das Vorliegen fahrlässigen Verschuldens seitens der Beschäftigten in den meisten Fällen vermutet werden kann. Der einzige tatsächliche Unterschied besteht darin, dass die Aufsichtsbehörden im Rahmen des Verfahrens zur Überprüfung des Verschuldens einen zusätzlichen Aufwand betreiben müssten.

ChatGPT ist in Italien wieder verfügbar

10. Mai 2023

Welche Änderungen wurden vorgenommen und was müssen die Benutzer wissen?

OpenAI, das Unternehmen hinter dem erfolgreichen ChatGPT, stand in letzter Zeit aufgrund von Datenschutzbedenken im Rampenlicht, insbesondere in der Europäischen Union. Die italienische Datenschutzbehörde Garante verhängte am 31. März ein vorübergehendes Verbot für die Plattform, nachdem Berichte über eine Datenpanne bekannt geworden waren, die die Gespräche und Zahlungsinformationen der ChatGPT-Nutzer betraf. Infolge des Verbots nahm OpenAI Gespräche mit der Behörde auf, um Bedenken hinsichtlich der Einhaltung der Vorschriften auszuräumen, und machte Fortschritte bei der Verbesserung seiner Dienste.
Am 28. April gab die Garante bekannt, dass sie ChatGPT in Italien wieder zugelassen hat, weil OpenAI bei der Ausräumung ihrer Bedenken kooperiert hat. Aber was genau hat das Unternehmen getan, um die Aufhebung des Verbots zu rechtfertigen?

Bis vor kurzem wurden alle Unterhaltungen zwischen privaten Nutzern und dem Bot für das Training des Algorithmus verwendet, was die Möglichkeit eröffnete, dass die Eingaben der Nutzer von der Maschine für künftige öffentliche Antworten verwendet wurden. Dies stellte eines der größten Datenschutzrisiken der Software dar, da persönliche Daten, die in das System eingegeben wurden, potenziell an andere Nutzer weitergegeben werden konnten. Es war auch ein rotes Tuch für geschützte Informationen, insbesondere Firmengeheimnisse und Code, die versehentlich öffentlich gemacht werden könnten. OpenAI war sich dieses Problems bewusst und verlangte von den Nutzern, in Gesprächen keine “sensiblen Informationen” preiszugeben, aber viele taten es trotzdem, was zu Kontroversen in Unternehmen wie Amazon und Samsung führte.

Neue Datenschutzeinstellungen für ChatGPT

Am 25. April kündigte OpenAI diesbezügliche Änderungen an. Die Nutzer können nun ihre Datenschutzeinstellungen ändern und die Option “Chatverlauf und Training” deaktivieren. Wenn diese Einstellung deaktiviert ist, werden die Unterhaltungen zwischen dem Benutzer und dem Bot nicht für das Training des Algorithmus verwendet und erscheinen nicht im Chatverlauf. Dadurch wird das Risiko verringert, dass Chat-Informationen versehentlich an Dritte weitergegeben werden.
OpenAI hat außerdem eine neue Datenschutzrichtlinie veröffentlicht, die von der Registrierungsseite für neue Nutzer aus zugänglich ist, und in Italien eine “Willkommen zurück”-Seite eingerichtet, die Links zu der neuen Datenschutzrichtlinie und zu Informationshinweisen über die Verarbeitung personenbezogener Daten zum Zwecke des Algorithmentrainings enthält.
Als Reaktion auf Bedenken hinsichtlich der Richtigkeit der vom Bot über natürliche Personen gelieferten Daten hat das Unternehmen einen Mechanismus geschaffen, der es den betroffenen Personen ermöglicht, die Korrektur falscher oder irreführender Informationen, die der Bot über sie verbreitet, zu verlangen. Wenn es technisch unmöglich ist, das Problem zu korrigieren, können die betroffenen Personen auch verlangen, dass ihre Daten aus der Ausgabe von ChatGPT entfernt werden.
Schließlich hat OpenAI eine Altersfreigabe eingeführt, bei der die Nutzer selbst bestätigen müssen, dass sie mindestens 18 Jahre alt sind oder zwischen 13 und 17 Jahren alt sind und die Zustimmung ihrer Eltern zur Nutzung des Dienstes eingeholt haben. Diese Maßnahme soll Minderjährige davor schützen, über den Bot auf unangemessene Informationen zuzugreifen.

Weiterhin Bedenken

Obwohl die Änderungen ein willkommener Schritt in Richtung Datenschutzkonformität sind, ist die Situation noch lange nicht perfekt. Selbst wenn ein Nutzer die Option “Chatverlauf und Training” deaktiviert hat, um zu vermeiden, dass seine Unterhaltungen zum Trainieren des Algorithmus verwendet werden, können die Mitarbeiter von OpenAI zu Moderationszwecken darauf zugreifen. Das bedeutet, dass es immer noch wichtig ist, auf die Eingaben zu achten, die man der Maschine zur Verfügung stellt, und nichts zu schreiben, was nicht von Dritten gelesen werden sollte, einschließlich persönlicher Daten, sensibler Informationen und Geschäftsgeheimnisse.
Darüber hinaus befinden sich alle Server von OpenAI in den Vereinigten Staaten, einem Land, in dem die Datenschutzrechte nicht in gleichem Maße geschützt sind wie in der DSGVO. Jedes Mal, wenn personenbezogene Daten in das ChatGPT-System eingespeist werden, findet eine internationale Übertragung in ein unsicheres Land statt, wodurch die Daten potenziell gefährdet sind.
Schließlich hat die Garante OpenAI aufgefordert, ein Altersverifikationssystem zu implementieren und eine Informationskampagne durchzuführen, um die Italiener über die Geschehnisse und ihr Recht zu informieren, der Verarbeitung ihrer personenbezogenen Daten für das Algorithmustraining zu widersprechen.

Datenschutzbedenken beeinflussen das Verhalten der Unternehmen

Dieser Fall ist ein praktisches Beispiel dafür, wie Datenschutzvorschriften und rechtzeitige Kontrollen durch Behörden das Verhalten von Unternehmen beeinflussen und den Schutz der Grundrechte und -freiheiten der Nutzer in Echtzeit verbessern können. OpenAI scheint sich mit seinen Produkten um einen konformeren Ansatz zu bemühen, aber es bleibt noch viel zu tun, um sicherzustellen, dass KI-Technologien auf verantwortungsvolle und ethische Weise eingesetzt werden. Wir sind gespannt, welche neuen Änderungen in den kommenden Wochen umgesetzt werden.
Während wir uns weiterhin mit den Herausforderungen neuer Technologien auseinandersetzen, ist es wichtig, dass die Nutzer wachsam bleiben und Maßnahmen ergreifen, um ihre persönlichen Daten bei der Interaktion mit KI-Systemen zu schützen. Eine Möglichkeit, dies zu tun, ist die Ablehnung von Gesprächen, die zum Trainieren von Chatbots verwendet werden, wie es OpenAI jetzt erlaubt, sowie die Vermeidung der Weitergabe sensibler Informationen und die Verwendung von Pseudonymen. Durch die Zusammenarbeit von Regulierungsbehörden, Unternehmen und Nutzern kann sichergestellt werden, dass die Vorteile von KI-Technologien genutzt werden und gleichzeitig die Risiken für die Privatsphäre und die Sicherheit des Einzelnen minimiert werden.

LfDI BaWü fordert OpenAI zur Stellungnahme auf

26. April 2023

Dr. Jan Wacke, der leitende Beamte beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, betont, dass Anwendungen im Einklang mit dem europäischen Rechtsrahmen und unseren europäischen Werten stehen sollten. Derzeit führt er Gespräche mit dem Betreiber von ChatGPT, bevor er eine Bewertung des Dienstes vornimmt. Für das Vertrauen der Bürger in den technologischen Fortschritt ist es unerlässlich, dass die eingesetzten Technologien die Bürgerrechte auch im digitalen Raum respektieren.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit ist auf das in San Francisco ansässige Unternehmen OpenAI zugegangenen und hat es zur Stellungnahme zu dem von ihm betriebenen Dienst ChatGPT aufgefordert.

Verpflichtungen für OpenAI aus der DSGVO

Im Rahmen der Datenschutz-Grundverordnung ist es erforderlich, dass Anbieter von Dienstleistungen, bei denen personenbezogene Daten verarbeitet werden, in der Lage sind, zu erklären, welche Daten zu welchem Zweck und auf welche Weise verarbeitet werden. Zusätzlich müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit dieser Daten zu gewährleisten. Wenn jedoch sensible Daten wie Informationen zum Gesundheitszustand, zur sexuellen Identität, zur Weltanschauung oder zur familiären und finanziellen Situation verarbeitet werden, müssen spezielle Regelungen eingehalten werden. Außerdem müssen die Rechte der Betroffenen, wie beispielsweise das Recht auf Berichtigung oder Auskunft, respektiert werden.

Zusammenarbeit des LfDI mit dem EDSA

Im Rahmen eines datenschutzrechtlichen Aufsichtsverfahrens lässt sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg die Verarbeitung von personenbezogenen Daten im Zusammenhang mit ChatGPT erläutern. Die Aufsichtsbehörden der Länder haben die Fragen, die an OpenAI gerichtet sind, gemeinsam abgestimmt. Der Landesbeauftragte arbeitet auch auf europäischer Ebene intensiv in einer entsprechenden Arbeitsgruppe des Europäischen Datenschutz-Ausschusses (EDSA) mit, um ein einheitliches Vorgehen bei der Untersuchung von ChatGPT zu fördern. Diese Zuständigkeit ergibt sich aus Artikel 55 Absatz 1 DS-GVO in Verbindung mit § 40 BDSG, wenn keine Niederlassung von OpenAI in Europa genannt wird.

Aufklärung über künstliche Intelligenz durch LfDI

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschäftigt sich seit einiger Zeit mit KI-Anwendungen. Er berät verantwortliche Stellen in Baden-Württemberg, wo immer möglich, um Datenschutz und Digitalisierung zusammenzubringen und so eine nachhaltige technologische Entwicklung zu fördern. Im vergangenen Jahr hat der Landesbeauftragte eine Veranstaltungsreihe zum Thema Künstliche Intelligenz organisiert und zahlreiche Vorträge auf seinem PeerTube-Server zur Verfügung gestellt. Auch in diesem Jahr wird er im Oktober wieder Behörden, Unternehmen und BürgerInnen zu einer KI-Veranstaltungsreihe einladen, um über Anforderungen an eine bürgerfreundliche digitale Entwicklung und ihre gesellschaftlichen Auswirkungen zu sprechen und aufzuklären sowie zu diskutieren.

Der Landesbeauftragte berichtet in seinem Tätigkeitsbericht in Kapitel 1.5, ab Seite 23 ausführlich über Künstliche Intelligenz.

HBDI prüft Datenverarbeitung von ChatGPT

18. April 2023

Nachdem vor kurzem die italienische Aufsichtsbehörde ankündigte, dass das Chat-Tool „ChatGPT“, künftig verboten werden würde, kommt nun auch die Diskussion in Deutschland langsam in Fahrt.

Hessischer Beauftragte für Datenschutz und Informationsfreiheit teilt italienische Ansicht

Aus Hessen kommt Zustimmung zur Auffassung der italienischen Aufsichtsbehörde. Alexander Roßnagel ist der Ansicht, dass ChatGPT möglicherweise gegen Datenschutzgrundsätze aus der Verordnung verstoßen könnte. So sollen die Grundsätze der Zweckbindung und Datenminimierung betroffen sein. Um weitere Entscheidungen treffen zu können müssten dennoch zunächst erst noch weitere Informationen gesammelt werden.

Zukunft des Dienstes ungewiss

Ein großer Abstimmungsbedarf, aufgrund der hohen Relevanz von Anwendungen wie ChatGPT für die Zukunft von Gesellschaften, soll nun auf europäischer Ebene erreicht werden. Demnach soll ChatGPT möglicherweise sogar einer durch den Europäischen Datenschutzausschuss koordinierten datenschutzrechtlichen Prüfung unterzogen werden. Es bleibt also spannend.

Kategorien: Aufsichtsbehördliche Maßnahmen · DSGVO
Schlagwörter: ,

Umgang mit einem vertragsunwilligen Auftragsverarbeiter im Sinne der DSGVO

3. April 2023

Manchmal kommt es auch Jahre nach der Einführung der DSGVO immer noch vor, dass Dienstleister, die personenbezogene Daten verarbeiten sollen, nicht auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags reagieren. Dies stellt Datenschutzbeauftragte vor Herausforderungen, da die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter nur auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen darf, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Wenn der Dienstleister jedoch nicht bereit ist, eine solche Vereinbarung abzuschließen, fragt sich, welche Optionen der Verantwortliche hat.

Es ist wichtig zu betonen, dass es im Interesse des Dienstleisters oder Auftragnehmers liegt, einen Vertrag zur Auftragsverarbeitung abzuschließen. Wenn die Verarbeitung personenbezogener Daten ohne Vertrag durchgeführt wird, verstoßen beide Parteien gegen ihre Pflichten aus der DSGVO. Dies kann zu Bußgeldern führen. Wenn eine Anfrage zum Abschluss eines Vertrags unbeantwortet bleibt, sollten Verantwortliche darauf hinweisen, dass dies ein rechtliches Erfordernis ist und eine Vereinbarung zum Vorteil aller Beteiligten ist.

Der Fall Kolibri Images

Empfehlenswert und notwendig ist es, den Datenschutzbeauftragten bei der Angelegenheit einzubeziehen. Außerdem ist es sinnvoll, dem Dienstleister einen Vertragsentwurf zur Überprüfung vorzulegen. Ein Beispiel für die Bedeutung eines solchen Vertrags ist der Fall des Unternehmens Kolibri Images, gegen das 2018 von der Datenschutzaufsichtsbehörde in Hamburg ein Bußgeld verhängt wurde. Das Unternehmen hatte einen spanischen Dienstleister ohne entsprechenden Auftragsverarbeitungsvertrag eingesetzt, und obwohl Kolibri Images den Dienstleister mehrfach zur Übermittlung eines Vertragsentwurfs aufgefordert hatte, verweigerte dieser dies. Kolibri Images weigerte sich schließlich auch, einen eigenen Entwurf zu erstellen, was zur Verhängung des Bußgeldes führte.

Obwohl die Aufsichtsbehörden später den Bußgeldbescheid zurücknahmen, zeigt der Fall doch, dass sie von Verantwortlichen den Abschluss von Auftragsverarbeitungsverträgen fordern. Allerdings können Dienstleister nicht einfach “gezwungen” werden, einen solchen Vertrag abzuschließen, auch wenn sie gute Argumente haben. Wenn eine Erklärung der datenschutzrechtlichen Situation und die proaktive Zusendung eines Vertragsentwurfs keine Wirkung zeigen, sollten Verantwortliche darüber nachdenken, zu “drastischeren” Mitteln zu greifen, wie zum Beispiel einer anderweitigen Vergabe des Auftrags oder einer Kündigung, wenn der Auftragsverarbeitungsvertrag nicht innerhalb einer vorher definierten Frist abgeschlossen wird. Wenn auch das keine Wirkung zeigt, sollten Verantwortliche die Dienstleistung ohne einen Auftragsverarbeitungsvertrag nicht weiter in Anspruch nehmen, da dies gegen die Vorschriften der DSGVO verstößt und ein Bußgeldrisiko birgt.

Fazit

Wenn Verantwortliche Dienstleister auswählen, die Zugriff auf personenbezogene Daten erhalten sollen, sollten sie den Datenschutz von Anfang an berücksichtigen und die Bereitschaft zum Abschluss eines Vertrags zur Auftragsverarbeitung als Kriterium für die Beauftragung verwenden. Wenn Dienstleister bereits im Einsatz sind, ohne dass ein Vertrag besteht, sind die oben genannten Schritte die einzigen Optionen, und als letztes Mittel kann eine Trennung vom jeweiligen Dienstleister eingeleitet werden, falls dieser keine Einigung erzielen kann.

Bundespresseamt klagt gegen Facebook Verbot

23. März 2023

Mit der Auffassung, dass der Betrieb einer Facebook-Fanpage für eine Behörde datenschutzkonform nicht möglich sei, wies der Bundesdatenschutzbeauftragte Ulrich Kelber das Bundespresseamt an den Betrieb der Facebook-Fanpage einzustellen. Nach einem Kurzgutachten der Datenschutzkonferenz sei der behördliche Betrieb einer Fanpage auf Facebook mit dem Datenschutzrecht unvereinbar.

Das Bundespresseamt möchte die Fan-Page jedoch gerne weiter betreiben und reichte kürzlich beim Verwaltungsgericht Köln Klage ein. Der Stellvertretenden Chef des Presse- und Informationsamtes, Dr. Johannes Dimrot erklärte sich dazu folgend:
Die Bundesregierung hat einen verfassungsrechtlichen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren. Zur Erfüllung dieses Auftrags gehört es, sich an der tatsächlichen Mediennutzung der Bürgerinnen und Bürger zu orientieren, um diese auch wirklich zu erreichen. […]”. Aktuell wird die Facebook-Fanpage weiterhin betrieben.

Stellvertretender Regierungssprecher Wolfgang Büchner gibt dem Bundespresseamt Rückhalt. Er ist der Auffassung, dass der Facebook-Auftritt ein wichtiger Bestandteil der Öffentlichkeitsarbeit der Bundesregierung sei. Daran sollte Büchners Auffassung nach daher auch erst einmal festgehalten werden.

Wie das Verwaltungsgericht Köln entscheiden wird, bleibt erst einmal abzuwarten. Spannend bleibt der Fall allemal, da dem Bundespresseamt mit der Information der Öffentlichkeit eine wichtige Rolle zukommt.

 

 

 

BfDI legt Tätigkeitsbericht für 2022 vor

17. März 2023

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.

Zahl der gemeldeten Verstöße nimmt zu

2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).

Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr

Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.

Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.

Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).

 

1 2 3 4 5 34