21. Juni 2023
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gab das Anhörungsschreiben frei, das an das US-amerikanische Unternehmen OpenAI gerichtet war. In dem Schreiben wird ein Fragenkatalog aufgeführt, bei dem lediglich die Namen der Ansprechpartner anonymisiert wurden. Im April 2023 haben die deutschen Landesdatenschutzbehörden ein Verwaltungsverfahren gegen das Unternehmen OpenAI eingeleitet. OpenAI hatte im November 2022 den KI-Chatbot ChatGPT der Öffentlichkeit vorgestellt. Die Datenschutzbehörden möchten prüfen, ob die Algorithmen der KI-Software den Anforderungen der europäischen Datenschutzregeln gemäß der Datenschutzgrundverordnung (DSGVO) entsprechen.
Die Fragen des ULD an OpenAI
Über 40 rechtsrelevante Fragen wurden im Rahmen der Anhörung gestellt. Diese Fragen beziehen sich auf ChatGPT und die zugehörigen Sprachmodelle GPT bis GPT-4. Die Behörden gehen davon aus, dass ChatGPT personenbezogene Daten automatisiert verarbeitet, um Antworten zu generieren. Um diese Annahme zu überprüfen, wurde OpenAI gebeten, rund 40 Fragen zu beantworten. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen erklärt, dass der Fragebogen die wesentlichen Datenschutzfragen umfasst. Dabei geht es um Grundsätze der Datenverarbeitung, Rechtmäßigkeit, die Rechte der betroffenen Personen sowie die Gestaltung im Bereich Datenschutz und Sicherheit.
Die Datenschützer möchten beispielsweise wissen, wie OpenAI die Richtigkeit der verwendeten Daten sicherstellen wird, insbesondere wenn Betroffene Berichtigungen oder Löschungen fordern. Auch interessiert sie, aus welchen Quellen die verarbeiteten Daten stammen, die zur Schulung der Sprachmodelle verwendet werden. OpenAI wird gebeten, die entsprechenden Rechtsgrundlagen zu erläutern. Es ist unklar, ob das Unternehmen erhobene personenbezogene Daten vor dem KI-Training pseudonymisiert, anonymisiert oder anderweitig aufbereitet.
Zusätzlich soll OpenAI klären, ob eine Profilbildung der Nutzerinnen und Nutzer durch Tracking erfolgt. Falls dies der Fall ist, wird das Unternehmen gebeten, den Zweck der Profilbildung zu erläutern: Dient sie Werbezwecken oder dem Training von Methoden des maschinellen Lernens? Kann man Nutzungsdaten auch wieder löschen? In der Datenschutzerklärung von OpenAI wird erwähnt, dass Nutzungsdaten erhoben werden und es ist die Rede von “verschiedenen Online-Analytics-Produkten”. Hier soll genauer erläutert werden, was damit gemeint ist.
Des Weiteren wird OpenAI aufgefordert, eine Datenschutzfolgenabschätzung vorzulegen. Falls eine solche Abschätzung nicht durchgeführt wurde, soll das Unternehmen dies begründen. Es bestehen auch offene Fragen zum besonderen Schutz von Kindern und Jugendlichen, zum Datentransfer und schließlich zur möglichen Nutzung durch andere Dienste oder Unternehmen.
OpenAI möchte längere Frist
OpenAI hat seine Kooperationsbereitschaft gezeigt und zugesagt, die Fragen des ULD zu beantworten. Die sechswöchige Frist zur Beantwortung endete am 7. Juni 2023. Allerdings hat OpenAI bereits erfolgreich eine Verlängerung der Frist beantragt. Das ULD gab bekannt, dass der aktuelle Stand des Verfahrens auf der Webseite zu ChatGPT dokumentiert werden soll. Die Veröffentlichung der Antworten von OpenAI L.L.C. erfolgt möglicherweise nicht unmittelbar, da sie sensible Informationen wie Betriebsgeheimnisse enthalten könnten, erklärt Hansen. Sie betont, dass es sich um ein laufendes, nicht öffentliches Verfahren handelt.
Da OpenAI keine Niederlassung in der Europäischen Union hat, sind die europäischen Datenschutzaufsichtsbehörden in ihren jeweiligen Mitgliedstaaten für das Unternehmen zuständig. Im Gegensatz dazu haben Google und Microsoft eine zentrale Niederlassung in Irland, weshalb die irische Datenschutzaufsicht für sie zuständig ist. In Bezug auf die Durchsetzung der DSGVO zeigte sich die irische Aufsichtsbehörde in den vergangenen Jahren mehrfach sehr zögerlich.
Zusammenarbeit im Bereich der KI-Regulierung nötig
Die Datenschutzbehörde in Italien hob Ende April ein zuvor verhängtes Verbot gegen ChatGPT auf, das seit Ende März in Kraft war. OpenAI hatte der Behörde Maßnahmen vorgelegt, mit denen eine verbesserte Datenschutzpraxis gewährleistet werden sollte. Dennoch plant der italienische Datenschutzbeauftragte, seine Ermittlungen fortzusetzen.
“Angesichts der großen Bedeutung führen nun mehrere Landesdatenschutzbehörden Prüfungen des ChatGPT-Dienstes durch”, erklärt Hansen. Das ULD folgt dabei dem Landesverwaltungsgesetz Schleswig-Holstein, während in den anderen Bundesländern ähnliche Regelungen gelten. Die Datenschutzexpertin weist den Vorwurf zurück, dass keine einheitliche Stimme vorhanden sei. Im Gegenteil, über die Datenschutzkonferenz von Bund und Ländern und ihre Taskforce KI wurden die Fragen abgestimmt. “Wir handeln zwar getrennt und basierend auf unserem eigenen Verwaltungsrecht, sind uns jedoch in der Sache einig”, betont sie. Dies verringere auch den Aufwand für OpenAI.
Dennoch beschränkt sich die Anhörung nicht nur auf diese Maßnahme. “Im Bereich KI benötigen wir nicht nur den Schulterschluss mit den europäischen Datenschutzaufsichtsbehörden, sondern es wird auch notwendig sein, uns mit Aufsichtsbehörden und Experten in anderen Rechtsbereichen wie Jugendschutz, Antidiskriminierung, Informationssicherheit, Medienaufsicht, Urheberrecht oder Kartellrecht auszutauschen”, betont Marit Hansen.
19. Juni 2023
Der Europäische Datenschutzausschuss (EDSA) veröffentlichte vor kurzem überarbeitete Leitlinien zur Berechnung von Bußgeldern (Guidelines 04/2022). Danach legte die EDSA ein fünfstufiges System zur Berechnung von Bußgeldern fest.
Schwere des Verstoßes bestimmt Bußgeld
Nach Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sollen Bußgelder wirksam, verhältnismäßig und abschreckend sein. Demzufolge seien die Bußgelder unter anderem anhand der Schwere des Verstoßes zu bemessen. Den Schweregrad eines Verstoßes teilte die EDSA aufgrund ihrer Auswirkungen in drei Niveaus ein, niedrig, mittel und schwer. Zu Verstößen mit einem niedrigen Schweregrad zählt zum Beispiel die Überschreitung der nach Art. 12 Abs. 3 DSGVO vorgesehenen Monatsfrist zur Beantwortung von Betroffenenanfragen. Zu einem Verstoß auf mittlerem Niveau zählten beispielsweise fehlende Sicherheitsvorkehrungen vor dem unautorisierten Zugriff auf Gesundheitsdaten. Dies sei der Fall, wenn in einem Unternehmen, die Mitarbeitenden Gesundheitsdaten von Kunden einzusehen könnten, ohne eine Autorisierung für diesen Zugriff zu haben. Auf der letzten Ebene des schwerwiegendsten Grades eines Verstoßes stünden beispielsweise ungefragte Telefonanrufe. So bei Anrufen eines Unternehmens bei seinen Kunden zu Werbezwecken, ohne dass eine Rechtsgrundlage für die Datenverarbeitung bestehe. Die Schwere des Verstoßes diene als Richtwert für das zu verhängende Bußgeld.
Zusätzlich sei der Verstoß seiner Art nach, zu kategorisieren und der Umsatz des Unternehmens bei der Berechnung zu beachten.
Fazit
Nachdem der EDSA die neuen Leitlinien nach der öffentlichen Konsultation angenommen hatten, veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Pressemitteilung. Darin sagte er, dass es mit den neuen Leitlinien erstmals „eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedstaaten“ gebe.
Es bleibt folglich zu beachten, dass sich die Leitlinien an Aufsichtsbehörden richten. Demnach sollten Verantwortliche mögliche Bußgelder nicht im Vorfeld kalkulieren, sondern versuchen Verstöße gegen die DSGVO zu verhindern.
Das virtuelle Hausverbot und die dauerhafte Datenspeicherung
Die Datenschutzbehörde Sachsen berichtete in ihrem Tätigkeitsbericht für das Jahr 2022 von einem Fall, in dem es um die datenschutzrechtliche Zulässigkeit eines virtuellen Hausverbots und dessen Durchsetzung ging.
Ein Betroffener reichte eine Beschwerde bei der Aufsichtsbehörde ein, da seine E-Mail-Adresse bei einem Sozialen Netzwerk, einem Online-Club, gespeichert wurde, dem er früher angehörte. Das betreibende Unternehmen hatte zuvor seinen Zugang zum Club gesperrt. Der Betroffene forderte die Löschung aller seiner Daten. Das Unternehmen informierte die Behörde darüber, dass das Profil des Betroffenen gelöscht wurde, da er mehrfach und schwerwiegend gegen interne Regeln verstoßen hatte. Daher wurde gegen ihn ein virtuelles Hausverbot verhängt. Um dies durchzusetzen, wurden die E-Mail-Adressen der gesperrten (ehemaligen) Mitglieder in einer internen Blacklist gespeichert, um den weiteren Zugriff zu verhindern.
Die Datenschutzbehörde prüfte die Speicherung auf der Blacklist anhand einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO. Ihr Ergebnis lautete: “Basierend auf den vorliegenden Informationen konnte meine Behörde – unter Berücksichtigung der verschiedenen Interessen und betroffenen Rechte – keinen Verstoß gegen den Datenschutz feststellen.”
Zulässigkeit des “Hausverbots”
Die Behörde betrachtete das virtuelle Hausverbot grundsätzlich als zulässig. Sie verwies dabei unter anderem auf die Rechtsprechung des Bundesgerichtshofs. Der Betreiber hatte in den Nutzungsbedingungen das Recht festgelegt, den Zugang des Nutzers zeitweise oder dauerhaft zu sperren, insbesondere bei Verstößen gegen diese Bedingungen. Dies spielte eine Rolle im Hinblick auf das Merkmal der “vernünftigen Erwartungen” der Betroffenen gemäß Erwägungsgrund 47 der DSGVO. Um das Hausverbot durchzusetzen, war es nach Ansicht der Behörde auch erforderlich, dass bestimmte Informationen des ehemaligen Mitglieds, zum Beispiel in einer Blacklist, gespeichert blieben. Andernfalls wäre die Identität des Mitglieds für den Anbieter nicht mehr erkennbar und ein Nutzungsverbot nicht durchsetzbar. Darüber hinaus informierte der Betreiber auch in seinen Datenschutzhinweisen über die Verarbeitung zur Durchsetzung des Hausverbots. Die Behörde führt abschließend an, dass es ihrer Ansicht nach auch verhältnismäßig sei, Daten auf der Blacklist dauerhaft zu speichern.
Zusätzlich könnte als Rechtsgrundlage auch noch Art. 6 Abs. 1 lit. b DSGVO in Betracht gezogen werden, nämlich die Datenverarbeitung im Rahmen der Anbahnung eines (neuen) Vertragsverhältnisses oder zur Abwicklung des vorherigen Vertragsverhältnisses. In diesem Zusammenhang könnte die Frage der Erforderlichkeit aufkommen, die sicherlich vom Einzelfall abhängt (z.B. Inhalt des Vertrages und der Allgemeinen Geschäftsbedingungen, Möglichkeit des Unternehmens, sich auf die Vertragsfreiheit zu berufen).
Fazit
Für die Praxis lassen sich folgende Erkenntnisse ableiten:
- Die Datenverarbeitung zur Durchsetzung eines virtuellen Hausrechts ist zulässig.
- Betroffene sollten sowohl im Vertrag als auch in den Datenschutzhinweisen klar darüber informiert worden sein, wann dies geschehen kann und welche Konsequenzen es hat.
- Es dürfen nur die Daten gespeichert werden, die tatsächlich zur Durchsetzung erforderlich sind.
16. Juni 2023
Am 26. Mai 2023 wurde das Pflegeuntestützungs- und entlastungsgesetz (PUEG) in dritter Lesung verabschiedet. Es wird ab dem 1. Juli 2023 mit der Veröffentlichung im Bundesgesetzblatt wirksam. Durch dieses Gesetz erfolgt eine umfassende Reform der gesetzlichen Pflegeversicherung.
Was ändert sich gesetzlich?
Ab dem 1. Juli 2023 wird der Regelbeitragssatz der Pflegeversicherung von 3,05 Prozent auf 3,4 Prozent angehoben. Das Urteil des Bundesverfassungsgerichts vom 7. April 2022 (1 BvL 3/18) führt dazu, dass die Anzahl der Kinder bei den Beitragssätzen stärker berücksichtigt wird. Kinderlose Mitglieder zahlen einen Beitragssatz von 4 Prozent, während Eltern in der Regel 0,6 Prozentpunkte weniger zahlen. Für Mitglieder mit mehreren Kindern unter 25 Jahren ermäßigt sich der Beitragssatz zusätzlich um 0,25 Prozentpunkte je Kind.
Ab dem 1. Januar 2024 werden das Pflegegeld und die ambulanten Sachleistungsbeträge um jeweils fünf Prozent erhöht. Der Anspruch auf das Pflegeunterstützungsgeld wird ausgeweitet und kann bis zu zehn Arbeitstage pro Kalenderjahr für die Pflege eines nahen Angehörigen in Anspruch genommen werden.
Was ändert sich für den Datenschutz?
Die Gesetzesänderung hat einige Auswirkungen auf Arbeitgeber. Ab dem 1. Juli 2023 müssen Sie als Arbeitgeber sicherstellen, dass die neuen Regelungen zur gesetzlichen Pflegeversicherung für Ihre aktiven Mitarbeiter umgesetzt werden. Gemäß § 55 Abs. 3 Satz 6 SGB XI-E müssen Sie die Elterneigenschaft und die Anzahl der Kinder unter 25 Jahren gegenüber der beitragsabführenden Stelle nachweisen.
Als Nachweis können beispielsweise Geburtsurkunden, Vaterschaftsanerkennungen, Abstammungsurkunden, steuerliche Lebensbescheinigungen des Einwohnermeldeamtes, Bestätigungen des Pflegekindschaftsverhältnisses durch die zuständige Behörde oder Adoptionsurkunden dienen. Als Arbeitgeber müssen Sie daher zusätzlich zu den bereits vorhandenen personenbezogenen Daten Ihrer Arbeitnehmer weitere personenbezogene Daten von Kindern erheben, speichern und gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verarbeiten.
So kann der Nachweis datenschutzkonform gefasst werden
- Die digitale Meldemöglichkeit
Bis zum 1. Juli 2023 gibt es noch kein effizientes digitales Verfahren zur Erhebung und Überprüfung der Kinderzahl, das als Arbeitgeber unterstützt und auf DSGVO-Konformität geprüft wurde. Die Einführung eines solchen Verfahrens ist jedoch bis zum 31. März 2025 geplant.
- Die analoge Meldemöglichkeit
Der Nachweis der Elterneigenschaft kann dem Arbeitgeber analog, z.B. in Papierform, übermittelt werden. Dabei ist Vorsicht geboten, da ab Juli 2023 mit einer Flut von Unterlagen mit personenbezogenen Daten von Kindern zu rechnen ist. Aus datenschutzrechtlichen Gründen sollte auf das Versenden von bspw. Geburtsurkunden per E-Mail verzichtet werden. Es empfiehlt sich, die Nachweise per Post oder persönlich zu übergeben. Falls eine E-Mail-Übermittlung doch erforderlich ist, sollten die Dokumente verschlüsselt oder in einer verschlüsselten Zip-Datei übertragen werden. Es empfiehlt sich also, einen sicheren Übermittlungsweg im Unternehmen zu etablieren.
- Meldung via Selbsterklärung
Für den Zeitraum vom 1. Juli 2023 bis zum 30. Juli 2025 genügt es, wenn der Arbeitnehmer den Nachweis der Kinder durch eine Selbstauskunft erbringt. Auf Anforderung des Arbeitgebers muss der Arbeitnehmer Informationen über die für die Auskunft relevanten Kinder angeben.
Fazit
Informieren Sie Ihre Mitarbeiter rechtzeitig über die Änderungen zum 1. Juli 2023. Achten Sie darauf, dass Nachweise sicher aufbewahrt werden und nicht durch Ihre Mitarbeiter über unsichere Chatanbieter oder bestenfalls auch nicht per E-Mails übermittelt werden. Wählen Sie eine datenschutzkonforme Meldemöglichkeit, entweder analog oder per Selbstauskunft. Denken Sie daran, dass es sich um sensible Nachweise handelt und entwickeln Sie einen DSGVO-konformen Meldeweg. Gerne unterstützen wir Sie bei diesem Prozess.
14. Juni 2023
Die EU strebt mit ihrer KI-Verordnung erstmals an, einen rechtlichen Rahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz zu etablieren. Heute steht die lang erkämpfte Vorlage zur Abstimmung im Parlament.
Die europäische KI-Verordnung stellt den weltweit ersten Versuch dar, ein umfassendes Gesetz zur Regulierung von Künstlicher Intelligenz zu schaffen. Damit geht die EU als Vorreiter voran. Die EU-Kommission hofft, dass dieses Gesetz ähnlich wie die Datenschutzverordnung international Nachahmer finden wird. Jedoch war es für die Gesetzgeber in Brüssel eine Herausforderung, die Verordnung in ausgewogener Form zu verfassen. Die relevanten Ausschüsse im EU-Parlament haben 18 Monate lang um eine Position zu dem Vorschlag der EU-Kommission gerungen.
Klassifizierung der KI
Die Verordnung sieht vor, dass Künstliche Intelligenz je nach den damit verbundenen Risiken in verschiedene Kategorien eingestuft wird, darunter risikoarm, begrenzt riskant, riskant und verboten. Jegliche Form von Künstlicher Intelligenz, die Menschen unterdrücken kann, soll vollständig verboten werden. Hierzu gehören beispielsweise “Social Scoring”-Systeme, die das Verhalten von Menschen bewerten, die automatisierte Erkennung von Emotionen bei Verhören von Verdächtigen sowie eine umfassende Überwachung der Öffentlichkeit mittels biometrischer Echtzeitdaten.
Gemäß dem derzeitigen Entwurf darf jedoch auf Anordnung eines Richters im Nachhinein auf die Daten zugegriffen werden, sofern es sich um schwere Straftaten handelt.
Risikobasierter Ansatz maßgebend
Die Bestimmungen basieren auf einem risikobasierten Ansatz und legen Verpflichtungen für Anbieter und Nutzer fest, die sich nach dem potenziellen Risiko richten, das von KI-Systemen ausgeht. KI-Systeme, die ein unakzeptables Sicherheitsrisiko für Menschen darstellen, wären strikt untersagt. Dazu zählen Systeme, die unterschwellige oder absichtlich manipulative Techniken einsetzen, die die Schwächen von Menschen ausnutzen oder für Social Scoring verwendet werden, bei dem Menschen aufgrund ihres sozialen Verhaltens, ihres sozioökonomischen Status oder persönlicher Merkmale klassifiziert werden.
Die Abgeordneten haben die Liste der Verbote für aufdringliche und diskriminierende Anwendungen von KI-Systemen erheblich überarbeitet. Dazu gehören:
- Biometrische Erkennungssysteme in Echtzeit in öffentlich zugänglichen Räumen.
- Biometrische Erkennungssysteme im Nachhinein, mit Ausnahme von Strafverfolgungsbehörden zur Verfolgung schwerer Straftaten und nur mit richterlicher Genehmigung.
- Biometrische Kategorisierungssysteme, die sensible Merkmale wie Geschlecht, Rasse, ethnische Zugehörigkeit, Staatsangehörigkeit, Religion und politische Orientierung verwenden.
- Prädiktive Polizeisysteme, die auf Profilerstellung, Standort oder früherem kriminellen Verhalten basieren.
- Systeme zur Erkennung von Emotionen bei der Strafverfolgung, beim Grenzschutz, am Arbeitsplatz und in Bildungseinrichtungen.
- Unbefugtes Auslesen biometrischer Daten aus sozialen Medien oder Videoüberwachungsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken, was Menschenrechte und das Recht auf Privatsphäre verletzt.
Transparenzmaßnahmen
Die Abgeordneten haben Anforderungen für Anbieter von Foundation-Modellen, einem aufstrebenden Bereich der KI, eingeführt. Diese Anforderungen zielen darauf ab, einen soliden Schutz der Grundrechte, Gesundheit, Sicherheit, Umwelt, Demokratie und Rechtsstaatlichkeit sicherzustellen. Die Anbieter sind verpflichtet, Risiken zu bewerten und zu mindern, Vorschriften zur Auslegung, Information und Umwelt einzuhalten sowie sich in der EU-Datenbank zu registrieren.
Generative Foundation-Modelle wie GPT müssen zusätzliche Transparenzanforderungen erfüllen. Es ist beispielsweise erforderlich, offen zu legen, dass die Inhalte von KI generiert wurden. Diese Modelle müssen auch so entwickelt sein, dass sie keine illegalen Inhalte generieren und keine Zusammenfassungen urheberrechtlich geschützter Daten veröffentlichen.
ChatGPT bliebe erlaubt
Neben der verbotenen KI wird es weitere Kategorien von Künstlicher Intelligenz geben. Hochrisikobehaftete, mäßig riskante und niedrig riskante Anwendungen wie beispielsweise KI-betriebene Spielzeuge sollen grundsätzlich erlaubt sein. Dies gilt auch für generative KI wie den Chatbot ChatGPT, der eigenständig Artikel verfassen kann, basierend auf im Internet gesammelten Informationen. Jedoch gelten für diese Anwendungen bestimmte Prinzipien: Je riskanter die KI ist, desto strenger sind die Anforderungen. Hersteller müssen die Risiken ihrer Produkte bewerten und bestimmte Standards für Trainingsdaten erfüllen. Die Überwachung dieser Vorgaben obliegt den Prüfbehörden.
Die Verordnung zielt auch darauf ab sicherzustellen, dass Künstliche Intelligenz nicht auf verzerrte Datensätze zurückgreift und somit keine Diskriminierung von Personen erfolgt. Zum Beispiel darf KI bei der Kreditwürdigkeitsprüfung oder bei der Personalakquise nicht diskriminierend wirken.
Spannungsfeld zwischen Innovationsförderung und Rechtschutz der Bürger
Um die Förderung von KI-Innovation zu unterstützen, haben die Abgeordneten Ausnahmen für Forschungstätigkeiten und KI-Komponenten unter Open-Source-Lizenzen in die Vorschriften integriert. Das neue Gesetz legt Wert auf die Schaffung von Reallaboren (regulatory sandboxes) oder kontrollierten Umgebungen, die von öffentlichen Behörden etabliert werden, um KI vor ihrer Implementierung zu testen.
Die Abgeordneten beabsichtigen, das Recht der Bürgerinnen und Bürger zu stärken, Beschwerden über KI-Systeme einzureichen und Erklärungen zu erhalten, die auf risikoreichen KI-Systemen basieren und ihre Rechte erheblich beeinträchtigen. Zudem haben sie die Rolle des EU-Amtes für künstliche Intelligenz neu definiert, das für die Überwachung der Umsetzung des KI-Regelwerks zuständig sein soll.
Bedenken und Erwartungen an das KI-Gesetz
Die Erwartungen an das europäische KI-Gesetz sind hoch, genauso wie die Bedenken. Sam Altman, CEO des Unternehmens OpenAI, das ChatGPT entwickelt hat, hat vor existenziellen Gefahren bei unregulierter KI gewarnt. Kleine Entwickler haben hingegen Bedenken, dass sie die umfangreichen Dokumentationsanforderungen nicht erfüllen können. Bürgerrechtler hoffen, dass das KI-Gesetz keine Diskriminierung und Benachteiligung weiter vorantreibt.
Nach der Abstimmung im Parlament können anschließend Verhandlungen mit den EU-Mitgliedsstaaten beginnen. Besonders die Regeln für den Einsatz von Künstlicher Intelligenz in der Strafverfolgung dürften für Kontroversen sorgen.
Wenn eine Einigung vor den Europawahlen im kommenden Jahr erzielt wird, könnte die KI-Verordnung voraussichtlich im Jahr 2026 in Kraft treten. Bis dahin wird sich die Künstliche Intelligenz weiterentwickeln. Es ist absehbar, dass in der Europäischen Union weitere KI-Regulierungen folgen werden.
13. Juni 2023
Die Berliner Datenschutz- und Informationsfreiheitsbeauftragte (BlnBDI) hat eine Bank mit einer Geldstrafe von 300.000 Euro belegt, da sie intransparent in Bezug auf eine automatisierte Einzelentscheidung gehandelt hat. Die Bank verweigerte einem Kunden verständliche Informationen über die Gründe für die automatisierte Ablehnung seines Kreditkartenantrags. Das Unternehmen hat eng mit der BlnBDI zusammengearbeitet und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ausschließlich von einem IT-System auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen wird. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten in solchen Fällen spezielle Transparenzpflichten. Personenbezogene Daten müssen in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben das Recht, eine Erläuterung der getroffenen Entscheidung nach einer entsprechenden Bewertung zu erhalten. Wenn betroffene Personen eine Auskunft bei den Verantwortlichen beantragen, müssen diesen aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung zur Verfügung gestellt werden.
Der Sachverhalt
In diesem spezifischen Fall hat die Bank bei ihrem digitalen Kreditkartenantrag diese Vorgaben jedoch nicht beachtet. Durch ein Online-Formular forderte die Bank verschiedene Informationen über das Einkommen, den Beruf und die persönlichen Daten des Antragstellers an. Basierend auf den abgefragten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank den Antrag des Kunden ohne eine explizite Begründung ab. Der Algorithmus stützte sich dabei auf zuvor von der Bank festgelegte Kriterien und Regeln.
Aufgrund eines guten Schufa-Scores und eines regelmäßig hohen Einkommens des Kunden wurden Zweifel an der automatisierten Ablehnung laut. Obwohl der Kunde die Bank um detaillierte Informationen zum Scoring-Verfahren bat, erhielt er lediglich allgemeine und allgemeingültige Aussagen. Die Bank weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte daher nicht nachvollziehen, welche Daten und Faktoren der Ablehnung zugrunde lagen und aufgrund welcher Kriterien sein Kreditkartenantrag abgelehnt wurde. Ohne diese spezifische Begründung war es ihm nicht möglich, die automatisierte Einzelentscheidung angemessen anzufechten. Infolgedessen beschwerte er sich bei der Datenschutzbeauftragten.
Nachvollziehbarkeit ausschlaggebend
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich wie folgt: “Wenn Unternehmen automatisierte Entscheidungen treffen, müssen sie diese überzeugend und nachvollziehbar begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Die Tatsache, dass die Bank in diesem Fall selbst auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, führt zu einer Geldstrafe. Eine Bank ist verpflichtet, die Kund:innen über die maßgeblichen Gründe für die Ablehnung eines Kreditkartenantrags im Zusammenhang mit automatisierten Entscheidungen zu informieren. Dies umfasst konkrete Informationen zur Datenbasis, den Entscheidungsfaktoren und den Kriterien für die Ablehnung in Einzelfällen.”
Die Datenschutzbeauftragte stellte fest, dass die Bank in diesem konkreten Fall gegen Art. 22 III, Art. 5 I lit. a und Art. 15 I DSGVO verstoßen hat. Bei der Festlegung der Höhe des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die absichtliche Ausgestaltung des Antragsprozesses und der Informationserteilung. Als mildernden Umstand bewertet wurde unter anderem, dass das Unternehmen den Verstoß eingeräumt hat, bereits Änderungen an den Prozessen umgesetzt hat und weitere Verbesserungen angekündigt hat.
9. Juni 2023
Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.
Der Fall
Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.
X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.
Die Vorlagefragen an den EuGH:
Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.
Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.
Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.
Entscheidung des EuGH
Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.
Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.
Fazit
Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.
31. Mai 2023
Am 17. März 2023 wurde eine überarbeitete Version des Hinweisgeberschutzgesetzes (HinSchG) erneut im Bundestag behandelt. Da eine Zustimmung des Bundesrates immer noch fraglich war, wurde der Entwurf nicht weiterverfolgt und der Vermittlungsausschuss eingeschaltet. Am 9. Mai 2023 haben sich Vertreter des Bundestages und Bundesrates im Vermittlungsausschuss auf Änderungen am HinSchG geeinigt. Das Gesetzgebungsverfahren wurde dann schnell abgeschlossen. Der Bundestag verabschiedete das Gesetz am 11. Mai 2023 mit den Änderungsvorschlägen des Vermittlungsausschusses und der Bundesrat stimmte dem Gesetzesentwurf am 12. Mai 2023 zu. Mit der Zustimmung des Bundesrates ist das parlamentarische Verfahren abgeschlossen. Das Gesetz kann nun dem Bundespräsidenten zur Unterzeichnung vorgelegt und im Bundesgesetzblatt verkündet werden. Es wird voraussichtlich Mitte Juni 2023 in Kraft treten.
Kompromiss im Vermittlungsausschuss
Der Vermittlungsausschuss hat Änderungen vorgenommen, darunter eine Beschränkung auf den beruflichen Kontext, einen Kompromiss bezüglich anonymer Meldungen und niedrigere Bußgelder mit einer Übergangsfrist von sechs Monaten. Falsche Meldungen können jedoch Konsequenzen haben, und in Fällen vorsätzlicher oder grob fahrlässiger Weitergabe unrichtiger Informationen ist die hinweisgebende Person zum Schadensersatz verpflichtet.
Wesentliche Inhalte des Hinweisgeberschutzgesetzes
Das HinSchG zielt darauf ab, den Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie in nationales Recht umzusetzen. Es enthält Regelungen zum Schutz von Hinweisgebern, zur Beweislastumkehr für Arbeitgeber und zur Verhinderung von Benachteiligungen oder Repressalien gegenüber Hinweisgebern. Das Gesetz gilt sowohl für Hinweisgeber als auch für Personen, die sie unterstützen, sowie für Personen, die Gegenstand einer Meldung sind oder von einer Meldung betroffen werden.
Das Hinweisgeberschutzgesetz umfasst verschiedene Rechtsgebiete, in denen Hinweisgeber Verstöße melden können. Dazu gehören Strafvorschriften nach deutschem Recht, bußgeldbewehrte Verstöße, die dem Schutz von Leben, Leib, Gesundheit oder den Rechten von Beschäftigten dienen, sowie Verstöße gegen Rechtsnormen zur Umsetzung europäischer Regelungen. Letztere umfassen eine Vielzahl von Bereichen wie Geldwäschebekämpfung, Produktsicherheit, Umweltschutz, Datenschutz und Rechnungslegung bei Kapitalgesellschaften.
Wahl zwischen “interner” und “externer” Meldestelle
Hinweisgeber haben die Wahl, sich entweder an eine interne Meldestelle im Unternehmen oder an eine externe Meldestelle bei den Behörden zu wenden. In Fällen, in denen intern effektiv gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind, wird empfohlen, die Meldung an eine interne Meldestelle vorzuziehen.
Schutzbereich des HinSchG
Das HinSchG umfasst eine breite Palette von Unternehmen und Organisationen. Dazu gehören juristische Personen des Privatrechts wie eingetragene Vereine, eingetragene Genossenschaften, Aktiengesellschaften, Kommanditgesellschaften auf Aktien, Gesellschaften mit beschränkter Haftung und Stiftungen des Privatrechts. Auch juristische Personen des öffentlichen Rechts, wie Gebietskörperschaften, Personalkörperschaften und Verbandskörperschaften auf Bundes- und Landesebene, sowie rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen werden erfasst.
Darüber hinaus werden Anstalten wie die Landesrundfunkanstalten, öffentlich-rechtliche Stiftungen, die evangelische und katholische Kirche mit ihren Kirchengemeinden sowie sonstige religiöse Gemeinschaften und Religionsgemeinschaften ebenfalls vom HinSchG erfasst.
Die Verpflichtung zur Einrichtung einer internen Meldestelle gilt für Beschäftigungsgeber mit mehr als 250 Mitarbeitenden ab Mitte Juni 2023. Für kleinere Beschäftigungsgeber mit 50 bis 249 Mitarbeitenden gilt die Verpflichtung ab dem 17. Dezember 2023. Unternehmen mit einer Mitarbeiteranzahl zwischen 50 und 249 Mitarbeitenden können eine gemeinsame Meldestelle betreiben.
Die internen Meldestellen müssen bestimmte Anforderungen erfüllen. Die Meldekanäle müssen so gestaltet sein, dass nur befugte Personen Zugriff auf die Meldungen haben. Es müssen sowohl mündliche als auch schriftliche Meldungen möglich sein, und auf Wunsch der hinweisgebenden Person muss eine persönliche Zusammenkunft mit der Meldestelle ermöglicht werden.
Der Schutz der Vertraulichkeit der Identität der hinweisgebenden Person ist von großer Bedeutung. Die Identität sollte grundsätzlich nur den zuständigen Personen der Meldestelle bekannt sein und nur in Ausnahmefällen, z.B. in Strafverfahren auf Anforderung der Strafverfolgungsbehörden, offengelegt werden.
Die mit den Aufgaben der internen Meldestelle betrauten Personen müssen unabhängig sein und über die erforderliche Fachkunde verfügen. Die genaue Bedeutung des Begriffs “Fachkunde” wird vom Gesetzgeber nicht näher erläutert.
Für kleinere oder mittlere Unternehmen kann es effizienter sein, eine erfahrene externe Ombudsperson mit der Entgegennahme und ersten Bearbeitung von Hinweisen zu beauftragen. Der Gesetzgeber nennt externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter als mögliche Dritte, die eine interne Meldestelle betreiben können.
Umgang mit anonymen Hinweisen
Der umstrittenste Bereich des Hinweisgeberschutzgesetzes bezieht sich auf den Umgang mit anonymen Hinweisen. Gemäß § 16 HinSchG besteht keine Verpflichtung zur Entgegennahme anonymer Meldungen, sondern lediglich eine “soll”-Regelung. Unternehmen, die eine Zertifizierung nach den ISO-Normen 37301 und 37001 anstreben, müssen jedoch die Möglichkeit zur Bearbeitung anonymer Hinweise in ihrem Hinweisgeberverfahren ermöglichen.
Das Verfahren bei internen Meldungen
Für interne Meldungen gelten gemäß § 17 HinSchG bestimmte Verfahrensregeln. Diese umfassen die Bestätigung des Eingangs an die hinweisgebende Person innerhalb von sieben Tagen, die Prüfung des gemeldeten Verstoßes, die Kontaktaufnahme mit der hinweisgebenden Person für weitere Informationen, die Prüfung der Stichhaltigkeit der Meldung, die Ergreifung angemessener Folgemaßnahmen und die Rückmeldung an die hinweisgebende Person innerhalb von drei Monaten. Die Rückmeldung sollte geplante und bereits ergriffene Folgemaßnahmen sowie die entsprechenden Gründe enthalten. Dabei ist darauf zu achten, dass die Rechte der betroffenen Personen nicht beeinträchtigt und interne Nachforschungen oder Ermittlungen nicht gefährdet werden. Die Hinweise müssen vertraulich behandelt und für eine angemessene Zeit dokumentiert werden.
Die Einrichtung interner und kostengünstiger Meldekanäle kann gegen das Vertraulichkeitsgebot des HinSchG verstoßen. Eine interne E-Mail-Adresse oder Telefonnummer ermöglicht möglicherweise unbefugtem Personal Zugriff auf die Meldungen, was dem Gesetz widerspricht. Daher bleiben als Optionen die Einrichtung eines IT-gestützten Systems oder die Entgegennahme telefonischer Hinweise über eine externe Nummer mit unterdrückter Rufnummer des Anrufers.
Schadensersatz, Sanktionen und Bußgelder bei Verstoß gegen das HinSchG
Um den Schaden einer absichtlichen oder grob fahrlässigen Falschmeldung zu begrenzen, ist die Person, die den Hinweis gibt, verpflichtet, den entstandenen Schaden zu erstatten. Verstöße gegen die wesentlichen Bestimmungen des HinSchG können mit Geldbußen geahndet werden. Dies betrifft insbesondere Unternehmen, die keine interne Meldestelle einrichten, Meldungen behindern oder Repressalien gegen den Hinweisgeber ergreifen. Die Bußgelder für Verstöße gegen die Pflicht zur Einrichtung einer internen Meldestelle treten jedoch erst sechs Monate nach Veröffentlichung des HinSchG in Kraft. Das bewusste Offenlegen falscher Informationen wird ebenfalls mit Bußgeldern belegt.
Hinweisgeber- und Datenschutz
Die deutschen Datenschutzbehörden sind der Ansicht, dass die Einrichtung und Nutzung interner Meldewege durch Unternehmen “datenschutzgerecht” erfolgen kann, wobei besondere Rücksicht auf den Zweck des Unternehmens und die Modalitäten der Einrichtung genommen werden sollte. Da die Meldung von Missständen nach Ansicht der Datenschutzbehörden ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, ist in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich. Weitere Informationen dazu finden sich in der “Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz”.
Die Kosten für die Entwicklung einer internen Lösung, die allen gesetzlichen Anforderungen gerecht wird, sind erheblich, daher liegt es nahe, einen externen Anbieter zu nutzen. Bei der Auswahl eines externen Anbieters sollten jedoch insbesondere die Anforderungen an die getrennte Datenverarbeitung für größere Tochtergesellschaften und die Anforderungen der Datenschutzbehörden beachtet werden. Das KINAST Whistleblowing Hinweisgebersystem ist unsere Lösung für Unternehmen, die ein rechtskonformes Meldesystem bereitstellen und zum eigenen Vorteil nutzen möchten.
Fazit
Unternehmen und Organisationen, die zur Einrichtung einer internen Meldestelle verpflichtet sind, sollten sich rechtzeitig auf die Umsetzung vorbereiten. Es ist zu bedenken, dass viele Unternehmen und Behörden betroffen sein werden und die Nachfrage nach IT-gestützten Hinweisgebersystemen mit der Einführung des Gesetzes deutlich steigen wird.
Wir liefern Ihnen die komplette technische und rechtliche Umsetzung, d.h. Einrichtung und Betrieb des Meldesystems. Und wir unterstützen sie bei der Kommunikation des Hinweisgebersystems in Ihrer Organisation. Wir handhaben alles, Sie haben nur minimalen Aufwand im Fall einer begründeten Meldung.
23. Mai 2023
Meta, der Mutterkonzern von Facebook, hat erneut eine Rekordstrafe in Höhe von 1,2 Milliarden Euro aufgrund eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) erhalten. Die irische Datenschutzbehörde DPC verkündete diese Strafe in Dublin. Das Verfahren betrifft die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren von Edward Snowden, einem US-Whistleblower, aufgedeckt wurde. Max Schrems, ein Datenschutz-Aktivist aus Österreich, reichte damals eine Beschwerde gegen Facebook ein.
Verfahren kann sich in die Länge ziehen
Das von der DPC verhängte Bußgeld übertrifft die bisherige Rekordstrafe von 746 Millionen Euro, die gegen Amazon.com in Luxemburg verhängt wurde. Zudem ist Meta nun dazu verpflichtet, jede weitere Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten zu unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Meta hat bisher keine Stellungnahme zu der Rekordstrafe abgegeben. Experten gehen jedoch davon aus, dass der US-Konzern gegen die Entscheidung rechtliche Schritte einlegen wird. Die Gerichtsverfahren können sich jedoch über einen längeren Zeitraum erstrecken. In der Zwischenzeit könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, um den transatlantischen Datenverkehr neu zu regeln. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, falls ein dauerhafter transatlantischer Datentransfer nicht möglich sein sollte.
Irische Datenschutzbehörde ging nicht gegen Meta vor
Schrems betonte, dass das verhängte Bußgeld deutlich höher hätte ausfallen können: “Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat über einen Zeitraum von zehn Jahren wissentlich gegen die DSGVO verstoßen, um Gewinne zu erzielen.” Schrems erklärte weiter, dass Meta nun wahrscheinlich seine Systeme grundlegend umstrukturieren müsse, wenn sich die US-Überwachungsgesetze nicht ändern.
Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, gegen Facebook in dieser Angelegenheit vorzugehen. Schließlich wurde die DPC durch den Europäischen Datenschutzausschuss (EDSA) dazu verpflichtet, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss betrifft ausschließlich Facebook und nicht andere Dienste wie Instagram oder WhatsApp, die zum Meta-Konzern gehören. Bereits im Januar hatte die DPC Meta jedoch zu einer Strafe in Höhe von 390 Millionen Euro verurteilt, weil Facebook- und Instagram-Nutzer gezwungen wurden, personalisierter Werbung zuzustimmen.
Seit Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren wurden für Meta insgesamt Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist nun sechsmal in der Liste der zehn höchsten Bußgelder vertreten, was zu einer Gesamtstrafe von 2,5 Milliarden Euro führt.
Übrigens: Das höchste Bußgeld in Deutschland betrug 35 Millionen Euro und wurde im Jahr 2020 von der Modekette H&M wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung in ihrem Onlineshop gezahlt.
22. Mai 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) tagte am 10. und 11. Mai 2023 unter der Leitung von Dr. h. c. Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein. Im Zentrum der intensiven Diskussionen standen aktuelle datenschutzpolitische Themen.
Schwerpunkte der Tagung
Urteil des EuGH zum Beschäftigtendatenschutz
Ein neues Urteil des Europäischen Gerichtshofs vom 30. März 2023 (C 34/12) erfordert Anpassungen in zahlreichen deutschen Regelungen zum Beschäftigtendatenschutz. Die Datenschutzkonferenz betont die Notwendigkeit einer Überarbeitung und erneuert ihre Forderung nach einem eigenständigen Beschäftigtendatenschutzgesetz.
Die BVerfG-Entscheidung zur polizeilichen Datenanalyse
Das Bundesverfassungsgericht hat in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen an solche eingriffsintensiven Analysemethoden mit und ohne künstlicher Intelligenz festgelegt (1 BvR 1547/19 und 1 BvR 2634/20). In ihrer Entschließung zur automatisierten Datenanalyse bei Polizei und Nachrichtendiensten appelliert die Datenschutzkonferenz an die Gesetzgeber von Bund und Ländern, den gesetzgeberischen Handlungsbedarf aufgrund der Entscheidungen des Bundesverfassungsgerichts zu prüfen. Falls der Einsatz komplexer Datenanalysemethoden als notwendig erachtet wird, müssen klare rechtliche Grundlagen und angemessene Rahmenbedingungen geschaffen werden, um den Grundrechtsschutz der betroffenen Personen zu gewährleisten. Die bestehenden gesetzlichen Bestimmungen sind in der Praxis verfassungskonform anzuwenden.
Smart Meter
Während der flächendeckende Einsatz von Smart Metern zur Erfassung von Strom- und Wärmeverbrauch gesetzlich geregelt ist, fehlt eine vergleichbare Regelung für funkbasierte Kaltwasserzähler bisher. Die von diesen Zählern aus der Ferne abrufbaren Verbrauchsdaten ermöglichen Rückschlüsse auf das Verhalten und die Lebensgewohnheiten der Bewohnerinnen und Bewohner. Die Datenschutzkonferenz betrachtet die Einführung einheitlicher Regelungen als dringend erforderlich, in denen konkrete Zwecke, Datenumfang, Abrufhäufigkeit und Löschfristen festgelegt werden. Darüber hinaus müssen technische und organisatorische Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik für den Einsatz von Kaltwasserzählern getroffen werden.
Positionspapier zum Cloud-Einsatz
Die Datenschutzkonferenz bringt mit ihrem Positionspapier “Kriterien für Souveräne Clouds” ihre Expertise in die politische Diskussion ein. Die erarbeiteten Kriterien zielen darauf ab, die digitale Souveränität sowohl der Cloud-Anbieter als auch der Cloud-Nutzer zu gewährleisten, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Souveräne Clouds müssen den Verantwortlichen ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen Aspekte wie “Transparenz zur Nachvollziehbarkeit”, “Datenhoheit und Kontrollierbarkeit”, “Offenheit”, “Vorhersehbarkeit und Verlässlichkeit” sowie “Regelmäßige Überprüfung der aufgestellten Kriterien”.
Die erarbeiteten und beschlossenen Dokumente werden in Kürze auf der Website der Datenschutzkonferenz https://www.datenschutzkonferenz-online.de/ veröffentlicht.
Pages: 1 2 3 4 5 6 7 ... 262 263 
