21. Juli 2023
Die Europäische Kommission hat am 10. Juli 2023 den lang angekündigten Angemessenheitsbeschluss für die Übermittlug personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ (EU-US Data Privacy Framework, DPF) veröffentlicht (wir berichteten). Die Entscheidung kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die gemäß dem neuen Rahmen an US-Unternehmen übermittelt werden.
Datentransfer mit zertifizierten US-Unternehmen nun möglich
Das DPF-Programm, das von der International Trade Administration (ITA) innerhalb des U.S. Department of Commerce verwaltet wird, ermöglicht es, berechtigten Organisationen mit Sitz in den USA, ihre Konformität mit dem EU-US DPF und, falls zutreffend, mit der britischen und/oder der schweizerischen Erweiterung selbst zu zertifizieren. Um am DPF-Programm teilzunehmen, muss sich ein in den USA ansässiges Unternehmen über die Website des Ministeriums für das DPF-Programm zertifizieren und sich öffentlich zur Einhaltung der DPF-Prinzipien verpflichten. Die Entscheidung zur Selbstzertifizierung im Rahmen des DPF-Programms einer Organisation ist freiwillig, die tatsächliche Einhaltung ist bei einer Teilnahme jedoch obligatorisch. Sobald eine Organisation sich gegenüber der ITA selbst zertifiziert und öffentlich erklärt, dass sie sich zur Einhaltung der DPF-Grundsätze verpflichtet, ist diese Verpflichtung nach US-Recht einklagbar.
Organisationen, die derzeit noch über eine aktive Privacy Shield-Zertifizierung verfügen, können diese an die neuen Anforderungen anpassen, um auch unter dem DPF zertifiziert zu bleiben. Für diese Anpassungen wird eine Übergangsfrist von drei Monaten gewährt.
Standardvertragsklauseln, wenn keine Zertifizierung vorliegt
Praktisch bedeutet dies, dass zertifizierte Unternehmen nunmehr ohne Standardvertragsklauseln (SCC) auskommen können. Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin Standartvertragsklauseln abgeschlossen werden und zusätzliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau garantieren zu können. Das gleiche gilt auch für Transfer Impact Assessments (TIA). Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre.
Wichtig ist, dass das DPF-Programm nur für US-Organisationen zur Verfügung steht, die von der FTC oder dem DOT reguliert werden. Andere Organisationen, insbesondere Banken und einige andere Arten von Finanzinstituten, sind nicht teilnahmeberechtigt und müssen sich daher weiterhin auf SCCs (oder BCRs) für ihre konzerninternen Übermittlungen und andere Übermittlungen an ihre US-Betriebe stützen.
Soll ich weiterhin Standardvertragsklauseln zusätzlich zum DPF abschließen?
Aufgrund der Entwicklungen in dieser Thematik ist es fraglich, ob auch das DPF auf Dauer Bestand haben wird. Die grundsätzlichen Bedenken, welche bereits die Vorgängerabkommen zu Fall gebracht haben, sind nicht vollständig ausgeräumt. Auch dieses Abkommen könnte durch ein Verfahren vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht werden. Der Umstand, dass diese Abkommen mit sofortiger Wirkung für unzulässig erklärt wurden, hatte zur Folge, dass alle Datenübermittlungen, die auf diesen Abkommen beruhten, nicht mehr rechtmäßig waren. Insofern bleibt es auch weiterhin sinnvoll, auf Standardvertragsklauseln aufzubauen, um genau dieses Risiko abzufedern.
EDSA veröffentlicht FAQs
Der Europäische Datenschutzausschuss (EDPB) hat nun ein neues Dokument (Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023) veröffentlicht, welches weitere Informationen zur Verfügung stellt. Die damit verbundenen FAQs wurden kürzlich veröffentlicht und werfen ein neues Licht auf die Thematik.
In den FAQs betont der EDPB, dass alle Sicherheitsvorkehrungen, die von der US-Regierung im Bereich der nationalen Sicherheit getroffen wurden (einschließlich des Beschwerdemechanismus), auf alle Datenübermittlungen in die USA anwendbar sind, unabhängig von dem gewählten Übermittlungsinstrument. Dies bedeutet, dass Datenexporteure bei der Bewertung des Risikos des von ihnen gewählten Übertragungsinstruments gemäß Artikel 46 der Datenschutz-Grundverordnung (DSGVO) die von der Kommission durchgeführte Bewertung in der Angemessenheitsentscheidung berücksichtigen können.
Was bedeutet das konkret?
Im Rahmen des DPF wurden neue Datenschutzmechanismen eingeführt, darunter ein Gericht zur Datenschutzüberprüfung in den USA (Data Protection Review Court, kurz DPRC) sowie beschränkte Zugriffsbefugnisse für Strafverfolgung und nationale Sicherheit wie z.B. die US-Nachrichtendienste.
Bisher galten bestimmte Gesetze wie beispielsweise der Foreign Intelligence Surveillance Act (FISA) 702 und Executive Order (EO) 12.333 als äußerst problematisch, da sie weitreichende Zugriffsmöglichkeiten auf personenbezogene Daten ermöglichten und Bedenken hinsichtlich der Einhaltung der europäischen Datenschutzstandards aufwarfen. Durch die nun erfolgte Angemessenheitsentscheidung könnten diese Gesetze weniger stark ins Gewicht fallen, da die US-Regierung Maßnahmen ergriffen hat, um die Datenübermittlungen rechtskonformer zu gestalten.
Insbesondere die Einführung eines Beschwerdemechanismus sei ein entscheidender Schritt, um den europäischen Datenschutzanforderungen gerecht zu werden. Durch diesen Mechanismus erhalten EU-Bürgerinnen und -Bürger das Recht, gegen etwaige Zugriffe auf ihre personenbezogenen Daten in den USA vorzugehen und ihre Rechte geltend zu machen.
Bedeutung für das Transfer Impact Assessment (TIA)
Sofern die Empfänger nicht unter das DPF fallen oder keine Zertifizierung vorliegt, müssen auch weiterhin TIAs abgeschlossen werden. Der Beschluss ist so auszulegen, dass nur für die nach dem DPF zertifizierten Unternehmen kein TIA mehr erforderlich wäre. Gesetze, die zuvor als problematisch eingestuft wurden (wie z.B. FISA 702 & EO 12.333) könnten nun weniger stark ins Gewicht fallen, was die TIAs vereinfachen könnte. Dies stellt einen Fortschritt dar und dürfte die Zusammenarbeit zwischen europäischen und amerikanischen Unternehmen erleichtern.
Trotz dieser positiven Entwicklung ist es weiterhin von entscheidender Bedeutung, dass Datenexporteure ihre Verantwortung ernst nehmen und stets sorgfältig prüfen, welche Übertragungsinstrumente sie wählen.
Fazit
Zumindest vorübergehend steht nun eine „einfache“ Methode zur Legitimierung der Übermittlung von Daten in die Vereinigten Staaten zur Verfügung. Ob diese Lösung auf Dauer tragfähig ist, ist allerdings fraglich. Dieses Risiko sollte man, insbesondere bei laufenden Projekten zum Abschluss von Standardvertragsklauseln, im Hinterkopf behalten und abwägen, ob eine solche Maßnahme weiterhin (auch bei zertifizierten Unternehmen) sinnvoll ist.
Als Ihr Partner im Datenschutz möchten wir Ihnen die Unterstützung der KINAST GRUPPE anbieten. Unsere Experten können Ihre derzeitige Zertifizierung überprüfen und bewerten, ob zusätzliche Maßnahmen erforderlich sind, um den Anforderungen des neuen Datenschutzrahmens gerecht zu werden. Auch im Falle einer neuen Zertifizierung unterstützen wir Sie gerne. Wir sind bestens mit den aktuellen Datenschutzbestimmungen vertraut und können Ihnen helfen, den Übergang zum Data Privacy Framework reibungslos zu gestalten.
Zögern Sie nicht, uns zu kontaktieren, wenn Sie Interesse an unserer Unterstützung bei der Zertifizierung haben oder weitere Informationen benötigen.
17. Juli 2023
Die Europäische Datenschutzgrundverordnung (DSGVO) sieht vor, dass Verstöße gegen ihre Bestimmungen von den Datenschutzbehörden der EU-Mitgliedsstaaten sanktioniert werden. Die möglichen Strafzahlungen belaufen sich auf bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Bisher war es in der Verantwortung der entsprechenden nationalen Datenschutzbehörden, die Höhe der Bußgelder festzulegen. Jedes EU-Mitgliedsland traf bisher eigenständige Entscheidungen darüber, inwieweit die in der DSGVO festgelegten “bis zu-Werte” ausgeschöpft werden. Jetzt gibt es neue Vorschriften für die Berechnung von Bußgeldern: Der Europäische Datenschutzausschuss (EDSA) hat die abschließenden Leitlinien zur Festsetzung von Bußgeldern angenommen.
Die neuen einheitlichen Leitlinien des EDSA
In seiner Sitzung am 24. Mai 2023 hat der Europäische Datenschutzausschuss (engl. European Data Protection Board, EDPB) die Leitlinien zur Bußgeldzumessung gemäß der DSGVO nach einer öffentlichen Konsultation angenommen.
Die neuen Leitlinien stellen den Datenschutzaufsichtsbehörden nun einheitliche Maßstäbe und harmonisierte Rahmenbedingungen zur Verfügung, um Bußgelder festzulegen. Diese Harmonisierung betrifft jedoch ausschließlich die Berechnungsgrundlage der Bußgelder. Die endgültige Höhe der Strafen wird weiterhin individuell von der jeweiligen nationalen Aufsichtsbehörde durch die Anpassungsmöglichkeiten des Leitlinien-Modells festgelegt.
BfDI von Entscheidung überzeugt
BfDI Prof. Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit begrüßt die Annahme der Leitlinien: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten. Die Leitlinien sind damit der konsequente nächste Schritt in der europäischen Integration und können künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.“
Die 5 Stufen der Leitlinien
Die Leitlinien sehen ein 5-stufiges Verfahren zur Bußgeldfestlegung vor
Schritt 1 – Identifizierung sanktionierbarer Handlungen: Die Aufsichtsbehörden prüfen, ob der vorliegende Fall sanktionierbare Handlungen beinhaltet, die gegen die DSGVO verstoßen haben. Es wird geprüft, ob bußgeldbewehrte Handlungen vorliegen.
Schritt 2 – Ermittlung des Ausgangsbetrags: Der Ausgangsbetrag für die Bußgeldberechnung wird aus den Faktoren Art der Verstöße, Schwere des Verstoßes und Umsatz des Unternehmens ermittelt.
Schritt 3 – Berücksichtigung erschwerender oder mildernder Umstände: Die Aufsichtsbehörden ermitteln Umstände, die den in Schritt 2 festgestellten Betrag erhöhen oder reduzieren können, wie das Verhalten der Verantwortlichen und vergangene Verstöße gegen die DSGVO.
Schritt 4 – Festlegung der Obergrenze: Der ermittelte Bußgeldbetrag wird mit den gesetzlichen Höchstbeträgen der DSGVO (Art. 83 Abs. 4 – 6) verglichen, um die Obergrenze für das Bußgeld festzulegen.
Schritt 5 – Überprüfung und Anpassung: Im letzten Schritt bewerten die Aufsichtsbehörden das ermittelte Bußgeld hinsichtlich Wirksamkeit, Verhältnismäßigkeit und Abschreckung, um gegebenenfalls Anpassungen vorzunehmen.
12. Juli 2023
Am 10.7.2023 hat die EU-Kommission eine neue Entscheidung getroffen, um den sicheren Datenverkehr zwischen der EU und den USA zu gewährleisten. Mit dem Trans-Atlantic-Data-Privacy-Framework (TADPF) wird nun bereits der dritte Versuch unternommen, nach “Safe Harbor” und “Privacy Shield” transatlantische Datentransfers möglichst unkompliziert zu gestalten. Mit dieser Vereinbarung können nun Daten von Unternehmen wie Google, Microsoft, Meta, AWS und anderen sicher von der EU in die USA übermittelt werden.
Der Hintergrund des TADPF liegt in der Unwirksamkeit der vorherigen Regelungen Safe-Harbour und Privacy-Shield, die vom Europäischen Gerichtshof (EuGH) 2015 bzw. 2020 für ungültig erklärt wurden. Seit dem 10.07.2023 gilt nun der lang erwartete neue Angemessenheitsbeschluss gemäß der Datenschutzgrundverordnung (DSGVO) zwischen der EU und den USA. Dieser Beschluss wurde getroffen, um eine sichere Übermittlung von Daten zwischen der EU und den USA zu gewährleisten. Das Trans-Atlantic Data Privacy Framework ist ein Abkommen, das zwischen den 27 Mitgliedsstaaten der Europäischen Union und den Vereinigten Staaten geschlossen wurde.
Das Data Privacy Framework
Das TADPF ist ein Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DSGVO. Gemäß diesem Beschluss gelten die USA erneut als sicherer Drittstaat in Bezug auf den Datenschutz. Dadurch sind für Datenexporte an Empfänger in den USA keine zusätzlichen Legitimationsinstrumente mehr erforderlich. Allerdings hat das TADPF im Vergleich zu anderen Angemessenheitsbeschlüssen nur begrenzte Wirkung. Ähnlich wie beim vorherigen Privacy Shield gilt die privilegierte Wirkung des TADPF nur für Datenempfänger, die sich einem Selbstzertifizierungsmechanismus unterziehen und sich verpflichten, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten. Unternehmen, die gemäß den Kriterien des TADPF zertifiziert sind, werden voraussichtlich auf der Website www.dataprivacyframework.gov aufgeführt sein.
Was ist ein Angemessenheitsbeschluss?
Ein Angemessenheitsbeschluss gemäß der DSGVO, speziell Art. 45 Abs. 3 DSGVO, ist im Grunde genommen eine Entscheidung der Europäischen Kommission, die besagt, dass ein Drittland (ein Land außerhalb der EU/EWR) ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dieser Beschluss bestätigt, dass das betreffende Drittland Datenschutzstandards eingeführt hat, die mit den Standards der EU vergleichbar sind und den Schutz personenbezogener Daten in ähnlicher Weise gewährleisten. Infolgedessen dürfen personenbezogene Daten ohne zusätzliche Schutzmaßnahmen in dieses Drittland übertragen werden.
Safe-Harbour und Privacy-Shield waren ebenfalls solche Angemessenheitsbeschlüsse. Wie bekannt ist, wurden beide von dem Europäischen Gerichtshof (EuGH) für ungültig erklärt. Einer der Hauptgründe dafür war, dass die USA kein Datenschutzniveau bieten konnten, das mit dem EU-Standard vergleichbar war. Insbesondere die nahezu uneingeschränkte Zugriffsmöglichkeit von US-Behörden, insbesondere der National Security Agency (NSA), auf personenbezogene Daten von EU-Bürgern spielte dabei eine Rolle. Dies galt sogar dann, wenn Unternehmen ihren Sitz in den USA hatten, aber ihre Dienstleistungen in der EU erbrachten.
Hintergrund: Executive Order vom 07.10.2022
Um die Zugriffsmöglichkeiten der NSA auf personenbezogene Daten von EU-Bürgern einzuschränken, unterzeichnete US-Präsident Biden bereits am 07.10.2022 die “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities“. Diese Maßnahme sollte sicherstellen, dass zumindest der Grundsatz der Verhältnismäßigkeit gewahrt bleibt. Vor jedem Zugriff auf Daten von EU-Bürgern müssen die US-Geheimdienste nun überprüfen, ob der Zugriff auf die Daten verhältnismäßig ist. Darüber hinaus wurde ein Beschwerdeverfahren für EU-Bürger in den USA eingerichtet. EU-Bürger können sich daher beim Civil Liberties Protection Officer der US-Geheimdienste beschweren. Sollte eine solche Beschwerde nicht erfolgreich sein, haben EU-Bürger die Möglichkeit, vor einem neu geschaffenen Gericht, dem Civil Liberties Protection Officer, Klage zu erheben.
Diese Executive Order hat im Wesentlichen dazu geführt, dass die EU das TADPF beschlossen hat.
Sichere Datenübermittlung zwischen EU und USA wieder möglich?
Solange der Europäische Gerichtshof (EuGH) das TADPF nicht erneut für ungültig erklärt, können sich EU-Unternehmen darauf verlassen, dass Unternehmen, die gemäß dem TADPF zertifiziert sind, die Datenschutzstandards einhalten. Im Gegensatz zu den Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die vor der Einführung des TADPF hauptsächlich als Rechtsgrundlage für die Übermittlung personenbezogener Daten zwischen der EU und den USA verwendet wurden, soll beim TADPF die verpflichtende eigene Prüfung des Standards bei den jeweiligen US-Unternehmen entfallen.
10. Juli 2023
Unternehmen nutzen die Veröffentlichung von Fotos und Videos im Internet aus verschiedenen Gründen. Datenschutzrechtliche Aspekte werden relevant, sobald Personen auf den Aufnahmen erkennbar sind, beispielsweise in Marketingvideos, bei der Mitarbeitergewinnung oder in Erklärungs- und Anleitungsvideos für Produkte. Diese Veröffentlichungen können sowohl auf Websites als auch über soziale Medien oder in Apps erfolgen.
Einwilligung als Rechtsgrundlage unsicher
Ein häufig gewählter Ansatz zur rechtlichen Absicherung ist die Einholung einer Einwilligung von den abgebildeten Personen. Solange diese Einwilligung freiwillig erfolgt und die betreffenden Personen angemessen über die Art und Weise der Veröffentlichung informiert werden, ist dies rechtlich akzeptabel. Allerdings hat die Verwendung von Einwilligungen als Rechtsgrundlage einen entscheidenden Nachteil: Einwilligungen können jederzeit und ohne Angabe von Gründen widerrufen werden.
Im Falle eines solchen Widerrufs muss die Veröffentlichung unverzüglich beendet werden. Die betroffene Person muss aus den Aufnahmen entfernt oder unkenntlich gemacht werden. Für Unternehmen kann dies sehr unangenehm sein, insbesondere wenn hohe Produktionskosten für die Aufnahmen angefallen sind oder die Veröffentlichung der Aufnahmen von großer Bedeutung ist.
Datenschutzrechtliche Einordnung
Die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO dient als rechtliche Grundlage für die Verarbeitung personenbezogener Daten. Allerdings ist gemäß Art. 7 Abs. 3 Satz 1 DSGVO eine solche Einwilligung frei widerruflich. Kommentare zur DSGVO stellen klar, dass Einschränkungen des Widerrufsrechts nicht zulässig sind. Folglich entfällt ab dem Zeitpunkt des Widerrufs die rechtliche Grundlage für die Veröffentlichung von Aufnahmen der widerrufenden Person. Bis zum Zeitpunkt des Widerrufs bleibt die Verwendung der Aufnahmen rechtmäßig, danach dürfen sie nicht mehr verwendet werden. Argumente wie hohe Produktionskosten, unverhältnismäßige Rechtsfolgen oder sonstige negative Auswirkungen auf das Unternehmen können nicht als Grund für die Aufrechterhaltung der Veröffentlichung angeführt werden.
Vor Inkrafttreten der DSGVO wurde für die Veröffentlichung von Aufnahmen das Kunsturheberrechtsgesetz herangezogen, insbesondere § 22 KunstUrhG, der die Einwilligung regelt. In der Rechtsprechung wurde anerkannt, dass diese Einwilligung nur bei Vorliegen eines wichtigen Grundes widerrufen werden konnte.
Das Verhältnis zwischen dem Kunsturheberrechtsgesetz und der DSGVO ist nach wie vor umstritten. Jedoch kann mit Gewissheit gesagt werden, dass die DSGVO und ihre Bestimmungen zur Einwilligung und ihrem Widerruf Vorrang haben. Das bedeutet, dass nun kein wichtiger Grund mehr für einen Widerruf erforderlich ist, da die DSGVO eine solche Einschränkung nicht vorsieht.
Alternative zur Einwilligung
Unternehmen können die rechtlich ungünstige Situation bei der Verwendung von Fotos oder Videos vermeiden, indem sie mit den betroffenen Personen, wie Mitarbeitenden oder Testimonials, sogenannte Modelverträge abschließen. In diesem Fall dient der Modelvertrag als rechtliche Grundlage für die Verwendung der Aufnahmen (gemäß Art. 6 Abs. 1 lit. b DSGVO) und nicht eine Einwilligung. Der entscheidende Unterschied besteht darin, dass ein Vertrag nicht einfach widerrufen werden kann, im Gegensatz zu einer Einwilligung. Ein Modelvertrag gibt dem Nutzer der Aufnahmen die Gewissheit, dass es keinen Widerruf geben kann.
Es ist jedoch wichtig zu beachten, dass im Modelvertrag den betroffenen Personen eine Gegenleistung für die Einräumung der Verwendungsrechte an den Aufnahmen gewährt wird. Diese Gegenleistung besteht oft in Form einer Geldzahlung. Die Höhe der Gegenleistung sollte in angemessenem Verhältnis zu den eingeräumten Verwendungsrechten stehen, insbesondere bei umfangreichen und weitreichenden Veröffentlichungen sollte die Gegenleistung entsprechend höher ausfallen.
Fazit
Bei Foto- und Videoaufnahmen, bei denen ein Widerruf einer Einwilligung besonders unerwünscht wäre, beispielsweise im Rahmen einer Werbekampagne, sollten Unternehmen besser auf Modelverträge anstelle von Einwilligungen setzen. Fotos von Weihnachtsfeiern, Betriebsausflügen, Firmenläufen oder ähnlichen Veranstaltungen können natürlich weiterhin mit Einwilligung der Personen veröffentlicht werden, beispielsweise im Intranet, da ein Widerruf in der Regel keine größeren Auswirkungen hätte.
5. Juli 2023
Es ist mittlerweile gängige Praxis für Arbeitgeber, digitale Instrumente einzusetzen, um ihren Mitarbeitern die Nutzung von Self-Service-Funktionen wie Zeiterfassung, Urlaubsanträgen oder Reisekostenabrechnungen schnell und einfach zu ermöglichen.
Normalerweise handelt es sich bei dem Anbieter dieser Software um einen Auftragsverarbeiter gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO). Dies bedeutet, dass die Daten der Mitarbeiter im Auftrag und nach den Anweisungen des Arbeitgebers, der als Verantwortlicher agiert, verarbeitet werden. In einigen Fällen kann der Dienstleister beispielsweise für Wartungszwecke auf die Daten zugreifen.
Der Arbeitgeber als Verantwortlicher muss sicherstellen, dass die Datenverarbeitung über die Software rechtmäßig erfolgt. Daher sollte er einen Dienstleister auswählen, dessen Tool entsprechende Möglichkeiten bietet, um dies umzusetzen. Dies kann beispielsweise durch spezifische Sichtbarkeitseinstellungen und Rollenkonzepte geschehen. Darüber hinaus müssen die technischen und organisatorischen Maßnahmen des Dienstleisters überprüft werden, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.
Datenverarbeitungen zu Zwecken des Dienstleiters
Was ist jedoch der Fall, wenn der Dienstleister die Daten der Beschäftigten auch zu eigenen Zwecken verarbeitet? Eine mögliche Situation ist das Webtracking mittels Cookies und anderen Technologien zu statistischen oder werblichen Zwecken, insbesondere wenn Cloud-Lösungen genutzt werden, die von den Beschäftigten über ein Webportal oder eine App verwendet werden.
In der Regel verfügt der Arbeitgeber, der das betreffende Tool einsetzt, weder über detaillierte Kenntnisse über diese Verarbeitungen durch den Dienstleister, noch zieht er einen Nutzen daraus oder hat tatsächlich Einfluss darauf. Dennoch werden seine Mitarbeiter durch seine Anordnung dem entsprechenden Tracking ausgesetzt. Wie sieht es also mit der datenschutzrechtlichen Verantwortlichkeit in diesem Fall aus?
Gemeinsame Verantwortlichkeit
In den oben beschriebenen Fällen ist ein solches Tracking kein Bestandteil der Auftragsverarbeitung für den Arbeitgeber. Die Datenverarbeitung erfolgt weder zu seinen eigenen Zwecken noch nach seinen Anweisungen. Stattdessen gestaltet der Anbieter der Software selbstständig den Prozess der Datenverarbeitung und führt ihn auch zu seinen eigenen Zwecken durch. Daher ist der Softwareanbieter selbst für die Datenverarbeitung verantwortlich (vgl. auch OH Auftragsverarbeitung des BayLDA, S.12).
Dennoch bedeutet das nicht automatisch, dass der Arbeitgeber “aus dem Schneider” ist. Aufgrund der engen Verknüpfung zwischen der Datenverarbeitung des Dienstleisters und der Datenverarbeitung durch den Verantwortlichen liegt hier zumindest die Möglichkeit einer gemeinsamen Verantwortlichkeit gemäß Artikel 26 DSGVO nahe.
Für die Beschäftigten ist oft nicht klar ersichtlich, welche Datenverarbeitung in den Verantwortungsbereich ihres Arbeitgebers fällt und welche in den Verantwortungsbereich des externen Softwareanbieters. Daher wird in solchen Fällen teilweise argumentiert, dass im Hinblick auf die Schutzziele des Artikel 26 DSGVO (Transparenz für Betroffene und Schutz ihrer Rechte) eine einheitliche Betrachtung des gesamten Verarbeitungsvorgangs erfolgen sollte und dieser nicht in separate Schritte mit getrennten Verantwortlichkeiten aufgeteilt werden sollte (vgl. Ehmann/Selmayr/Bertermann, 2. Aufl. 2018, DS-GVO Art. 26 Rn. 8).
Mit dem Facebook Fanpage Urteil des EuGH vergleichbar?
Auch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) im “Facebook Fanpage Urteil” vom 5. Juni 2018 (Az. C-210/16) geht in eine ähnliche Richtung: Beim Betrieb von Fanseiten besteht eine gemeinsame Verantwortlichkeit der jeweiligen Betreiber, da sie Facebook ermöglichen, über die Fanseite Cookies zu setzen. Darüber hinaus beeinflussen die Betreiber durch bestimmte Voreinstellungen beispielsweise die Erstellung von Statistiken, die mithilfe dieser Cookies ausgewertet werden, oder bringen über die Nutzung von Werbefunktionen ihr Angebot bestimmten Zielgruppen näher. Die Taskforce Facebook-Fanpages der Datenschutzkonferenz argumentiert zusätzlich, dass Fanseiten-Betreiber ein “eigenes Interesse an der Verarbeitung der personenbezogenen Daten von Besucher:innen ihrer Fanpage zu Zwecken der Profilerstellung und – darauf aufbauend – zu Zwecken der gezielten (werblichen) Ansprache haben, u. a. weil durch dieses Geschäftsmodell für sie eine entgeltfreie Nutzung des Dienstes ermöglicht wird“.
Bei genauerer Betrachtung dieser Argumentation werden jedoch auch die Unterschiede zwischen dem Betrieb einer Fanseite und dem Einsatz eines Tools zur Verarbeitung von Mitarbeiterdaten deutlich: Arbeitgeber haben weder ein Interesse an gezielter werblicher Ansprache bestimmter Zielgruppen unter ihren Mitarbeitern noch setzen sie typischerweise auf werbefinanzierte und daher kostenlose Tools. Ein (Mit-)Interesse an dem entsprechenden Tracking des Dienstleisters kann daher in diesem Fall nicht in gleicher Weise angenommen werden wie bei Social-Media-Präsenzen. Außerdem ist es gerade nicht möglich, die Datenverarbeitung im Tracking durch das Setzen von Filtern oder ähnlichen Maßnahmen zu steuern.
Einflussmöglichkeiten auf Datenverarbeitung des Dienstleiters von Bedeutung
Der Hauptgrund, der gegen die Annahme einer gemeinsamen Verantwortlichkeit spricht, ist die vollständige fehlende Möglichkeit und Beteiligung des jeweiligen Arbeitgebers bei der Datenverarbeitung im Rahmen des Webtrackings durch den Dienstleister.
Der Europäische Datenschutzausschuss stellt für eine gemeinsame Verantwortlichkeit die Bedingung, dass beide Verantwortlichen einen “deutlichen Einfluss auf die Festlegung der Zwecke und Mittel der Verarbeitung” haben und dass die Verarbeitungsvorgänge beider Parteien untrennbar miteinander verbunden sind (vgl. Leitlinien 07/2020 zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”, S. 22). Jedoch reicht allein die Tatsache, dass eine der beteiligten Parteien keinen Zugang zu den verarbeiteten Daten hat, nach Einschätzung des Europäischen Datenschutzausschusses nicht aus, um eine gemeinsame Verantwortlichkeit auszuschließen (ebenda, S. 23).
Fazit
Die klare Zuordnung der datenschutzrechtlichen Verantwortlichkeiten im Falle von Webtracking zu eigenen Zwecken durch einen Softwareanbieter kann nicht pauschal festgelegt werden. Jeder Fall muss individuell geprüft werden. In solchen Situationen handelt es sich häufig um Grenzfälle, bei denen sowohl eine separate als auch eine gemeinsame Verantwortlichkeit vertretbar erscheint. Um rechtliche Sicherheit zu gewährleisten, empfiehlt es sich, eine Vereinbarung gemäß Artikel 26 DSGVO abzuschließen. Dabei sollte jedoch beachtet werden, dass idealerweise bereits vor der Beauftragung des Dienstleisters die Rechtmäßigkeit seiner Datenverarbeitung im Rahmen des Trackings geprüft wird, da diese dann in den Verantwortungs- und Haftungsbereich des Arbeitgebers fällt. Es ist für Arbeitgeber wichtig, die Mitarbeiter transparent zu informieren und ihnen gegebenenfalls Alternativen zur Nutzung des betreffenden Tools anzubieten, falls sie aufgrund der damit verbundenen umfangreicheren Datenverarbeitung die digitale Lösung nicht nutzen möchten.
4. Juli 2023
Vor rund zwei Wochen veröffentlichte die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), dass sie eine Geldstrafe in Höhe von 40 Mil. EUR verhängt habe. Adressat der Strafe sei „Criteo“, ein Unternehmen, dass Softwarelösungen für Werbeanzeigen im Bereich des Online-Marketings anbiete.
Hintergründe
Der Grund für das Bußgeld sei gewesen, dass Criteo nicht überprüft habe, ob Personen, deren Daten es verarbeitet habe, eine Einwilligung erteilt hätten. Anlass für die Untersuchungen der Behörde bei Criteo seien Beschwerden der Organisationen Privacy International und „None of your business“ gewesen,
Das Unternehmen Criteo habe sich auf das sog. „Retargeting“ spezialisiert. Dies sei eine bestimmte Methode des Online-Marketings. Auf Webseiten von Partnern setzt Criteo eigene Cookies ein. Diese könnten Navigationsdaten der Nutzers tracken. Über die gesammelten Daten ließen sich anschließend personalisierte Werbeanzeigen schalten. Insbesondere könne dem Nutzer Werbeanzeigen zu Produkten angezeigt werden, für die er sich wahrscheinlich interessieren würde.
Verstöße
CNIL stellte zunächst fest, dass bei der Verwendung von Cookies zu Werbezwecke eine Einwilligung der betroffenen Person eingeholt werden müsse. Wenn ein Unternehmen auf seiner Webseite die Cookies von Criteo einsetze, müsse es eine solche Einwilligung einholen. Criteo müsse sicherstellen, dass die entsprechenden Unternehmen diese Einwilligung tatsächlich einholten und dies dokumentieren. Die Pflicht zur Einholung einer Einwilligung sei allerdings nie Vertragsbestandteil im Rahmen der Geschäftsbeziehungen zu Criteo. Damit verstoße das Marketingunternehmen gegen die Datenschutz- Grundverordnung (DSGVO).
Außerdem verstoße Criteo gegen seine Informationspflichten. Das Unternehmen informiere nicht vollständig über die Zwecke der Datenverarbeitungsvorgänge.
Zusätzlich hätten betroffene Person nicht hinreichend Gebrauch von ihrem Recht auf Widerruf der Einwilligung und Löschung personenbezogener Daten nach Art. 7 Abs. 3 und Art. 17 Abs. 1 DSGVO machen können. Den betroffenen Person seien lediglich keine Werbeanzeigen mehr gezeigt worden. Allerdings habe das Unternehmen Kennungsdaten der Nutzer weiter behalten.
Abschließend stellte die CNIL fest, dass Criteo mit seinen Geschäftspartnern keine Vereinbarung über eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO abgeschlossen habe.
Bußgeld
Die CNIL bewertete bei der Bestimmungen der Höhe des Bußgeldes negativ, dass das Unternehmen über die Daten einer sehr großen Personenanzahl verfüge. Außerdem sei, laut CNIL negativ in die Bewertung mit eingeflossen, dass das Unternehmen sich ausschließlich darauf spezialisiert habe, für eine bestimmte Zielgruppe relevante Werbung anzuzeigen. Demnach sei es das Geschäftsmodell des Unternehmens gerade personenbezogene Daten zu sammeln und zu verarbeiten.
Fazit
Alle angesprochenen Kritikpunkte konnte Criteo nach den Untersuchungen der CNIL einstellen. Dabei ist auffällig, dass das Thema Cookies weiterhin Grund für Datenschutzverstöße ist (hier berichten wir über weitere Cookie-Verstöße).
3. Juli 2023
Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.
Sachverhalt
Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.
Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.
Weiter Umfang des Art. 15 DSGVO
Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.
Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.
Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.
Einschränkungen
Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.
Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.
Fazit
Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.
26. Juni 2023
Vergangene Woche veröffentlichte der Europäische Datenschutzausschuss (EDSA) ein Musterformular, mit dem Beschwerden nach Art. 77 DSGVO eingereicht werden können. Ziel des Formulars sei es, das Einreichen einer Beschwerde bei den Aufsichtsbehörden für die Behörden selbst und für Individuen zu erleichtern.
Inhalt des Formulares
Nach Art. 77 DSGVO hat grundsätzlich jede betroffene Person die Möglichkeit eine Beschwerde einzureichen, wenn sie der Ansicht ist, dass eine Datenverarbeitung nicht DSGVO-konform ist. Dabei ist Adressat dieser Beschwerde eine Aufsichtsbehörde.
Das Formular bietet für betroffene Personen die Möglichkeit auszuwählen, bei welcher Datenschutzbehörde sie die Beschwerde einreichen möchte. Dabei kann sie zwischen der Behörde des Wohnsitzes, des Arbeitsortes, des Ortes, an dem der Verstoß begangen wurde oder an der sich der betroffene Verantwortliche befindet, wählen.
Das Dokument richtet sich ausschließlich an betroffene Personen. Somit sollen unbeteiligte Dritte das Formular nicht als allgemeinen Warnhinweis auf mögliche Verstöße einsetzen können. Es ist allerdings möglich, dass ein Vertreter oder eine Einrichtung für die betroffene Person handelt. Außerdem können Einrichtungen oder Organisationen auf eigene Initiative hin tätig werden. Dabei muss der Beschwerdeführer immer den Grund seiner Beschwerde angeben und Ziel, dass er anstrebt. Dazu zählt beispielsweise der Wunsch, dass ein Verantwortlicher unrechtmäßig verarbeitete personenbezogene Daten löscht.
Die nationalen Aufsichtsbehörden können das Formular künftig auf freiwilliger Basis nutzen. Dabei können sie das Muster entsprechend nationaler Regelungen anpassen.
Fazit
Die Vorsitzende des EDSA, Ana Tulu äußerte sich zu dem Formular wie folgt:
„Es wird den grenzüberschreitenden Austausch von Informationen über Beschwerden zwischen den Datenschutzbehörden erleichtern und den Datenschutzbehörden helfen, Zeit zu sparen und grenzüberschreitende Fälle effizienter zu lösen.”
Im Mai 2023 verabschiedete die Europäische Union die Richtlinie (EU) 2023/970 zur Verbesserung der Lohntransparenz. Diese Richtlinie tritt im Juni in Kraft und legt fest, dass die Mitgliedstaaten bis zum 7. Juni 2026 die Lohntransparenz-Richtlinie umsetzen müssen. Das Hauptziel dieser Richtlinie ist es, geschlechtsspezifische Diskriminierung bei der Gehaltszahlung aufzudecken und dagegen vorzugehen. Die Richtlinie strebt ausdrücklich danach, den Grundsatz des gleichen Entgelts für Männer und Frauen bei gleicher oder gleichwertiger Arbeit durch die Förderung von Entgelttransparenz und Durchsetzungsmechanismen zu stärken.
Der Anwendungsbereich der Richtlinie
Gemäß Artikel 2 Absatz 1 gilt sie für alle Arbeitgeber sowohl im öffentlichen als auch im privaten Sektor. Dies bedeutet, dass sie nicht nur für Privatunternehmen, sondern auch für Behörden, Gerichte und Kirchen gilt. Zusätzlich können auch andere Personengruppen, sofern sie bestimmte Kriterien erfüllen, unter den Geltungsbereich dieser Richtlinie fallen. Zu diesen Gruppen gehören beispielsweise Hausangestellte, Arbeitnehmer in geschützten Beschäftigungsverhältnissen, Auszubildende oder Praktikanten (siehe Erwägungsgrund 18).
Fragen zum bisherigen Gehalt nicht erlaubt
Die Richtlinie erfasst auch “Stellenbewerber” gemäß Erwägungsgrund 19 und Artikel 2 Absatz 3 und legt Arbeitgebern ausdrücklich Beschränkungen bei der Datenverarbeitung auf. Artikel 5 der Richtlinie, der sich mit “Entgelttransparenz vor der Beschäftigung” befasst, verbietet es Arbeitgebern, Informationen über das aktuelle Gehalt oder die bisherige Gehaltsentwicklung eines Stellenbewerbers einzuholen. Zusätzlich ergibt sich aus Erwägungsgrund 33, dass sie nicht proaktiv versuchen dürfen, Informationen aus anderen Quellen zu erhalten.
Dies hat Auswirkungen auf den Bewerbungsprozess. Während es bereits datenschutzrechtlich problematisch war, nach dem bisherigen Gehalt zu fragen, wird nun deutlich, dass der europäische Gesetzgeber davon ausgeht, dass es keine Rechtsgrundlage für eine entsprechende Frage oder einen Anruf beim früheren Arbeitgeber gibt. Da nationale arbeitsrechtliche Vorschriften die Datenschutz-Grundverordnung (DSGVO) nur konkretisieren dürfen, kann der nationale Gesetzgeber bei der Umsetzung davon nicht abweichen.
Das Auskunftsrecht der Beschäftigten
Gemäß Artikel 7 („Auskunftsrecht“) haben Beschäftigte das Recht, Informationen über ihr individuelles Gehalt sowie über die durchschnittlichen Gehälter zu verlangen und schriftlich zu erhalten. Diese Informationen müssen nach Geschlecht und für Gruppen von Arbeitnehmern, die die gleiche oder gleichwertige Arbeit wie die anfragende Person verrichten, aufgeschlüsselt werden. Diese Auskünfte können auch über die Arbeitnehmervertretungen angefordert werden.
Es ist wichtig zu beachten, dass es sich dabei um personenbezogene oder personenbeziehbare Daten handeln kann, die datenschutzrechtlich zu betrachten sind. Obwohl der Name nicht angegeben werden darf, besteht dennoch die Möglichkeit, dass bei einer relativ kleinen Vergleichsgruppe, die zusätzlich nach dem Merkmal “Geschlecht” gekennzeichnet ist, Rückschlüsse auf einzelne Personen und deren Gehalt gezogen werden können.
Datenübermittlung an die nationalen Behörden
Gemäß Artikel 9 der Richtlinie sind Arbeitgeber verpflichtet, auf Anfrage Informationen über das Geschlechtergefälle beim Entgelt an die Beschäftigten und an eine nationale Arbeitsaufsichtsbehörde bereitzustellen. Diese Informationen beziehen sich auf Daten zum geschlechtsspezifischen Entgeltgefälle sowie auf variable Bestandteile der Vergütung wie Boni. Die Berichterstattungsfrequenz hängt von der Anzahl der Beschäftigten ab. Zum Beispiel müssen Arbeitgeber mit 150 bis 249 Mitarbeitenden erstmals bis zum 7. Juni 2027 entsprechende Informationen vorlegen und anschließend alle drei Jahre (siehe Artikel 9 Absatz 3).
Neben der Arbeitsaufsichtsbehörde müssen geschlechtsspezifische Entgeltfälle nach Arbeitnehmergruppen, Grundlohn und variablen Bestandteilen auch an eine noch zu schaffende Überwachungsstelle gemäß Artikel 29 der Richtlinie übermittelt werden. Diese Überwachungsstelle soll die Informationen unverzüglich und in einer einfach zugänglichen und benutzerfreundlichen Form veröffentlichen (siehe Artikel 29 Absatz 3c). Wenn in diesen Informationen auch personenbezogene Daten enthalten sind, bildet dieser Artikel die Rechtsgrundlage für die Übermittlung an die Behörden.
Arbeitnehmervertretungen
Zusätzlich sieht Artikel 10 („Gemeinsame Entgeltbewertung“) vor, dass der Arbeitgeber in Zusammenarbeit mit Arbeitnehmervertretungen wie Betriebs- oder Personalräten eine Bewertung des Entgelts durchführt, wenn konkrete Hinweise auf geschlechterdiskriminierende Bezahlung vorliegen, und entsprechende Gegenmaßnahmen ergreift. Dies bedeutet, dass der Arbeitgeber das Recht und die Pflicht hat, den Arbeitnehmervertretungen relevante Daten zur Verfügung zu stellen.
Beschränktes Auskunftsrecht möglich
Gemäß Artikel 12 („Datenschutz“) der Richtlinie gibt es eine Einschränkung des Auskunftsrechts aufgrund der DSGVO. Gemäß Artikel 12 dürfen die personenbezogenen Daten, einschließlich Pseudonymen, die in den Datensätzen enthalten sind, nicht für andere Zwecke verwendet werden.
Eine wichtige Einschränkung für den Anspruch eines einzelnen Arbeitnehmers gemäß Artikel 7 ergibt sich aus Artikel 12. In der nationalen Umsetzung können die Mitgliedstaaten beschließen, dass “nur die Arbeitnehmervertreter, die Arbeitsaufsichtsbehörde oder die Gleichbehandlungsstelle Zugang zu den betreffenden Informationen haben”, falls die Offenlegung von Informationen zur direkten oder indirekten Offenlegung des Gehalts eines identifizierbaren Arbeitnehmers führen würde. Wenn dies entsprechend in Deutschland umgesetzt wird, kann die entsprechende Auskunft gegenüber dem einzelnen Beschäftigten verweigert werden. Nur Arbeitnehmervertretungen hätten Zugang zu den Daten, um gemeinsam mit dem Arbeitgeber gemäß Artikel 10 eine Bewertung des Entgelts vorzunehmen.
21. Juni 2023
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gab das Anhörungsschreiben frei, das an das US-amerikanische Unternehmen OpenAI gerichtet war. In dem Schreiben wird ein Fragenkatalog aufgeführt, bei dem lediglich die Namen der Ansprechpartner anonymisiert wurden. Im April 2023 haben die deutschen Landesdatenschutzbehörden ein Verwaltungsverfahren gegen das Unternehmen OpenAI eingeleitet. OpenAI hatte im November 2022 den KI-Chatbot ChatGPT der Öffentlichkeit vorgestellt. Die Datenschutzbehörden möchten prüfen, ob die Algorithmen der KI-Software den Anforderungen der europäischen Datenschutzregeln gemäß der Datenschutzgrundverordnung (DSGVO) entsprechen.
Die Fragen des ULD an OpenAI
Über 40 rechtsrelevante Fragen wurden im Rahmen der Anhörung gestellt. Diese Fragen beziehen sich auf ChatGPT und die zugehörigen Sprachmodelle GPT bis GPT-4. Die Behörden gehen davon aus, dass ChatGPT personenbezogene Daten automatisiert verarbeitet, um Antworten zu generieren. Um diese Annahme zu überprüfen, wurde OpenAI gebeten, rund 40 Fragen zu beantworten. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen erklärt, dass der Fragebogen die wesentlichen Datenschutzfragen umfasst. Dabei geht es um Grundsätze der Datenverarbeitung, Rechtmäßigkeit, die Rechte der betroffenen Personen sowie die Gestaltung im Bereich Datenschutz und Sicherheit.
Die Datenschützer möchten beispielsweise wissen, wie OpenAI die Richtigkeit der verwendeten Daten sicherstellen wird, insbesondere wenn Betroffene Berichtigungen oder Löschungen fordern. Auch interessiert sie, aus welchen Quellen die verarbeiteten Daten stammen, die zur Schulung der Sprachmodelle verwendet werden. OpenAI wird gebeten, die entsprechenden Rechtsgrundlagen zu erläutern. Es ist unklar, ob das Unternehmen erhobene personenbezogene Daten vor dem KI-Training pseudonymisiert, anonymisiert oder anderweitig aufbereitet.
Zusätzlich soll OpenAI klären, ob eine Profilbildung der Nutzerinnen und Nutzer durch Tracking erfolgt. Falls dies der Fall ist, wird das Unternehmen gebeten, den Zweck der Profilbildung zu erläutern: Dient sie Werbezwecken oder dem Training von Methoden des maschinellen Lernens? Kann man Nutzungsdaten auch wieder löschen? In der Datenschutzerklärung von OpenAI wird erwähnt, dass Nutzungsdaten erhoben werden und es ist die Rede von “verschiedenen Online-Analytics-Produkten”. Hier soll genauer erläutert werden, was damit gemeint ist.
Des Weiteren wird OpenAI aufgefordert, eine Datenschutzfolgenabschätzung vorzulegen. Falls eine solche Abschätzung nicht durchgeführt wurde, soll das Unternehmen dies begründen. Es bestehen auch offene Fragen zum besonderen Schutz von Kindern und Jugendlichen, zum Datentransfer und schließlich zur möglichen Nutzung durch andere Dienste oder Unternehmen.
OpenAI möchte längere Frist
OpenAI hat seine Kooperationsbereitschaft gezeigt und zugesagt, die Fragen des ULD zu beantworten. Die sechswöchige Frist zur Beantwortung endete am 7. Juni 2023. Allerdings hat OpenAI bereits erfolgreich eine Verlängerung der Frist beantragt. Das ULD gab bekannt, dass der aktuelle Stand des Verfahrens auf der Webseite zu ChatGPT dokumentiert werden soll. Die Veröffentlichung der Antworten von OpenAI L.L.C. erfolgt möglicherweise nicht unmittelbar, da sie sensible Informationen wie Betriebsgeheimnisse enthalten könnten, erklärt Hansen. Sie betont, dass es sich um ein laufendes, nicht öffentliches Verfahren handelt.
Da OpenAI keine Niederlassung in der Europäischen Union hat, sind die europäischen Datenschutzaufsichtsbehörden in ihren jeweiligen Mitgliedstaaten für das Unternehmen zuständig. Im Gegensatz dazu haben Google und Microsoft eine zentrale Niederlassung in Irland, weshalb die irische Datenschutzaufsicht für sie zuständig ist. In Bezug auf die Durchsetzung der DSGVO zeigte sich die irische Aufsichtsbehörde in den vergangenen Jahren mehrfach sehr zögerlich.
Zusammenarbeit im Bereich der KI-Regulierung nötig
Die Datenschutzbehörde in Italien hob Ende April ein zuvor verhängtes Verbot gegen ChatGPT auf, das seit Ende März in Kraft war. OpenAI hatte der Behörde Maßnahmen vorgelegt, mit denen eine verbesserte Datenschutzpraxis gewährleistet werden sollte. Dennoch plant der italienische Datenschutzbeauftragte, seine Ermittlungen fortzusetzen.
“Angesichts der großen Bedeutung führen nun mehrere Landesdatenschutzbehörden Prüfungen des ChatGPT-Dienstes durch”, erklärt Hansen. Das ULD folgt dabei dem Landesverwaltungsgesetz Schleswig-Holstein, während in den anderen Bundesländern ähnliche Regelungen gelten. Die Datenschutzexpertin weist den Vorwurf zurück, dass keine einheitliche Stimme vorhanden sei. Im Gegenteil, über die Datenschutzkonferenz von Bund und Ländern und ihre Taskforce KI wurden die Fragen abgestimmt. “Wir handeln zwar getrennt und basierend auf unserem eigenen Verwaltungsrecht, sind uns jedoch in der Sache einig”, betont sie. Dies verringere auch den Aufwand für OpenAI.
Dennoch beschränkt sich die Anhörung nicht nur auf diese Maßnahme. “Im Bereich KI benötigen wir nicht nur den Schulterschluss mit den europäischen Datenschutzaufsichtsbehörden, sondern es wird auch notwendig sein, uns mit Aufsichtsbehörden und Experten in anderen Rechtsbereichen wie Jugendschutz, Antidiskriminierung, Informationssicherheit, Medienaufsicht, Urheberrecht oder Kartellrecht auszutauschen”, betont Marit Hansen.
Pages: 1 2 3 4 5 6 7 ... 262 263