26. April 2023
Dr. Jan Wacke, der leitende Beamte beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, betont, dass Anwendungen im Einklang mit dem europäischen Rechtsrahmen und unseren europäischen Werten stehen sollten. Derzeit führt er Gespräche mit dem Betreiber von ChatGPT, bevor er eine Bewertung des Dienstes vornimmt. Für das Vertrauen der Bürger in den technologischen Fortschritt ist es unerlässlich, dass die eingesetzten Technologien die Bürgerrechte auch im digitalen Raum respektieren.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit ist auf das in San Francisco ansässige Unternehmen OpenAI zugegangenen und hat es zur Stellungnahme zu dem von ihm betriebenen Dienst ChatGPT aufgefordert.
Verpflichtungen für OpenAI aus der DSGVO
Im Rahmen der Datenschutz-Grundverordnung ist es erforderlich, dass Anbieter von Dienstleistungen, bei denen personenbezogene Daten verarbeitet werden, in der Lage sind, zu erklären, welche Daten zu welchem Zweck und auf welche Weise verarbeitet werden. Zusätzlich müssen angemessene technische und organisatorische Maßnahmen ergriffen werden, um die Sicherheit dieser Daten zu gewährleisten. Wenn jedoch sensible Daten wie Informationen zum Gesundheitszustand, zur sexuellen Identität, zur Weltanschauung oder zur familiären und finanziellen Situation verarbeitet werden, müssen spezielle Regelungen eingehalten werden. Außerdem müssen die Rechte der Betroffenen, wie beispielsweise das Recht auf Berichtigung oder Auskunft, respektiert werden.
Zusammenarbeit des LfDI mit dem EDSA
Im Rahmen eines datenschutzrechtlichen Aufsichtsverfahrens lässt sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg die Verarbeitung von personenbezogenen Daten im Zusammenhang mit ChatGPT erläutern. Die Aufsichtsbehörden der Länder haben die Fragen, die an OpenAI gerichtet sind, gemeinsam abgestimmt. Der Landesbeauftragte arbeitet auch auf europäischer Ebene intensiv in einer entsprechenden Arbeitsgruppe des Europäischen Datenschutz-Ausschusses (EDSA) mit, um ein einheitliches Vorgehen bei der Untersuchung von ChatGPT zu fördern. Diese Zuständigkeit ergibt sich aus Artikel 55 Absatz 1 DS-GVO in Verbindung mit § 40 BDSG, wenn keine Niederlassung von OpenAI in Europa genannt wird.
Aufklärung über künstliche Intelligenz durch LfDI
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg beschäftigt sich seit einiger Zeit mit KI-Anwendungen. Er berät verantwortliche Stellen in Baden-Württemberg, wo immer möglich, um Datenschutz und Digitalisierung zusammenzubringen und so eine nachhaltige technologische Entwicklung zu fördern. Im vergangenen Jahr hat der Landesbeauftragte eine Veranstaltungsreihe zum Thema Künstliche Intelligenz organisiert und zahlreiche Vorträge auf seinem PeerTube-Server zur Verfügung gestellt. Auch in diesem Jahr wird er im Oktober wieder Behörden, Unternehmen und BürgerInnen zu einer KI-Veranstaltungsreihe einladen, um über Anforderungen an eine bürgerfreundliche digitale Entwicklung und ihre gesellschaftlichen Auswirkungen zu sprechen und aufzuklären sowie zu diskutieren.
Der Landesbeauftragte berichtet in seinem Tätigkeitsbericht in Kapitel 1.5, ab Seite 23 ausführlich über Künstliche Intelligenz.
25. April 2023
Zurzeit planen das Bundesinnenministerium (BMI) und das Bundesarbeitsministerium (BMAS) neue Reglementierungen für den Beschäftigtendatenschutz. Dies geht aus einer Liste mit Vorschlägen für einen Gesetzesentwurf des Beschäftigtendatenschutzes hervor, über die verschiedene Nachrichtenportale (hier oder hier nachzulesen) berichtet haben.
Besserer Schutz vor Überwachung
Mit dem geplanten Gesetzesvorhaben beabsichtigten das BMI und BMAS einen besseren Schutz von Beschäftigten vor Überwachungsmaßnahmen des Arbeitgebers. Ein Ziel sei u.a. verdeckte Überwachungsmaßnahmen besser zu reglementieren. Derzeit kann beispielsweise die verdeckte Videoüberwachung nur ausnahmsweise, unter strengen Voraussetzungen eingesetzt werden. Möchte ein Arbeitgeber die verdeckte Videoüberwachung beispielsweise zur Aufklärung von Straftaten einsetzen, darf kein Mittel zur Verfügung stehen, dass die Persönlichkeitsrechte der Beschäftigten weniger intensiv tangiert. Zur Regulierung der verdeckten Überwachungsmaßnahmen, sehen BMI und BMAS nun konkrete Maßnahmen vor. Dabei solle die Überwachung nur möglich sein, wenn der eindeutige Verdacht einer Straftat vorliege und andere Abhilfemaßnahmen bereits ausgeschöpft worden seien.
Außerdem beabsichtigen die Ministerien neue Regelungen für die offene Videoüberwachung. Demnach solle die gesetzliche Neuregelung die Privatsphäre von Beschäftigten besser schützen. Eine offene Überwachung am Arbeitsplatz müsse strengen Grenzen unterfallen. Beschäftigte benötigten Räume, in denen keine Kameraüberwachung erlaubt sei. Auch die Zeiten, zu denen eine Überwachung erfolge solle eingeschränkt werden. Derzeit ist vor allem die Kameraüberwachung bestimmter Räume als unzulässig anzusehen. Dazu zählen Umkleiden, sowie Pausenräume und Toiletten.
Darüber hinaus planten das BMI und BMAS die Konkretisierung des Einwilligungserfordernis im Beschäftigtenverhältnis. Derzeit kann die Kameraüberwachung auf Grundlage einer Einwilligung nach § 26 Abs. 2 S. 1 BDSG erfolgen. Der Gesetzentwurf solle die Anforderungen der Freiwilligkeit, die Voraussetzung einer wirksamen Einwilligung sei, konkretisieren.
Zusätzlich plane das BMI und BMAS eine Regelung zu Fragestellung, die im Rahmen eines Bewerbungsgespräch zulässig seien. Im Hinblick auf Fragen, die ein Bewerber beantworten muss, kann es grundsätzlich zur Verarbeitung personenbezogener Daten besonderer Kategorie iSd Art. 9 DSGVO kommen.
Fazit
Es bleibt abzuwarten, welche konkreten Vorschläge der geplante Gesetzentwurf enthalten wird. Zurzeit bleibt es denkbar, dass der Gesetzesentwurf zugleich die Bedenken, die der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 30.03.2023 (Az. C-23/21) aufbrachte, behandelt oder zumindest im Ansatz berührt (wir berichteten).
24. April 2023
Am 12.01.2023 hat der Europäische Gerichtshof in einem Urteil bestätigt, was Datenschützer bereits vermutet hatten: Bei der Bearbeitung eines Antrags auf Auskunft gemäß Artikel 15 der Datenschutz-Grundverordnung müssen Verantwortliche in erster Linie die konkreten Empfänger nennen und dürfen nur in Ausnahmefällen auf Empfängerkategorien verweisen (wir berichteten).
Als Konsequenz dieses Urteils stellen sich in der Praxis zahlreiche Fragen: Ist es erforderlich, eine ladungsfähige Adresse anzugeben? Wie weit erstreckt sich der Empfängerbegriff? Müssen ausschließlich direkte Empfänger, einschließlich Auftragsverarbeiter, genannt werden, oder muss die Auskunft auch Angaben zu deren Dienstleistern enthalten?
Subunternehmer können auch Empfänger sein
In Situationen, in denen der Empfänger personenbezogener Daten eines Verantwortlichen ein Auftragsverarbeiter ist, könnte es zunächst akzeptabel sein, lediglich den Auftragsverarbeiter als direkten Empfänger zu benennen und nicht auch dessen eigene Empfänger wie z.B. Dienstleister. Die Praktikabilität der Bearbeitung von Auskunftsersuchen wird oft als Hauptargument für diese Meinung genannt. Es wird argumentiert, dass die Erwähnung von Subunternehmen des Auftragsverarbeiters den Zeitaufwand für die Bearbeitung von Auskunftsersuchen erhöhen würde, was für Verantwortliche unzumutbar ist.
Jedoch wird dabei übersehen, dass der Verantwortliche normalerweise Kenntnis über Dienstleister oder Subunternehmen des Auftragsverarbeiters haben sollte (z.B. durch Nennung in einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO). Der Mehraufwand für die Nennung von Subunternehmen ist daher nicht unbedingt unangemessen und kann dem Verantwortlichen zugemutet werden. Darüber hinaus spricht auch der Zweck von Art. 15 DSGVO, dem Betroffenen eine umfassende Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erteilen, für eine breite Auslegung des Empfängerbegriffs. Das Interesse des Verantwortlichen, die Bearbeitung von Betroffenenrechten möglichst praktikabel umzusetzen, kann diesen Zweck nicht überschatten.
Es ist auch wichtig zu beachten, dass der Empfängerbegriff in Art. 4 Nr. 9 DSGVO weit ausgelegt werden sollte und alle Personen oder Stellen umfasst, denen personenbezogene Daten offengelegt werden – unabhängig davon, ob sie Dritte sind. Aus dem Umkehrschluss der Definition des Dritten in Art. 4 Nr. 10 DSGVO ergibt sich, dass auch alle Personen oder Stellen außerhalb des Verantwortlichen erfasst sind, die befugt sind, personenbezogene Daten unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters zu verarbeiten. Dies schließt alle Unterauftragnehmer ein, die vom Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden.
Der Empfängerbegriff in der Praxis
Ein Beispiel aus der Praxis von Konzernen verdeutlicht die Bedeutung der Auslegung des Empfängerbegriffs. In der Regel gibt es eine Servicegesellschaft innerhalb des Konzerns, die ihren Schwester- oder Muttergesellschaften IT-Services zur Verfügung stellt und als Auftragsverarbeiter fungiert. Eine enge Auslegung des Empfängerbegriffs würde bedeuten, dass das datenschutzrechtlich verantwortliche Unternehmen bei der Bearbeitung eines Auskunftsersuchens nur diese eine Schwester- oder Tochtergesellschaft als Auftragsverarbeiterin angeben müsste. Dies würde das Auskunftsrecht des Betroffenen nahezu ins Leere laufen lassen, da die eigentliche Verarbeitung der Daten durch Unternehmen wie Microsoft oder Google nicht berücksichtigt würde. Eine solche Vorgehensweise kann nicht im Interesse des Gesetzgebers sein, der dem Betroffenen eine umfassende Auskunft ermöglichen möchte. Das Auskunftsrecht ist ein Recht des Betroffenen und das Interesse der Verantwortlichen an der Praktikabilität kann diesem nicht übergeordnet sein. Eine weite Auslegung des Empfängerbegriffs innerhalb eines Konzerns ist auch erforderlich, um zu verhindern, dass das Auskunftsrecht durch die bloße Hinzufügung einer Servicegesellschaft ausgehebelt wird.
Fazit
Zusammenfassend kann man sagen, dass nach der Auslegung des Gesetzes und des EuGH-Urteils ein Auftragsverarbeiter als Empfänger im Sinne des Datenschutzrechts gilt und somit auch dessen Dienstleister bzw. Subunternehmer angegeben werden müssen. Allerdings müssen bei Übermittlungen an andere Verantwortliche nur diese genannt werden. Diese weite Auslegung bedeutet für Verantwortliche einen erheblichen Mehraufwand in der Praxis, da Prozesse eventuell neu ausgerollt werden müssen. Eine mögliche Lösung wäre, bereits bei der Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten auch die Dienstleister der Auftragsverarbeiter zu nennen bzw. auf die entsprechenden Vertragsdokumente und Anlagen zu verweisen. Dadurch kann die Bearbeitung von Auskunftsbegehren erleichtert werden.
Am 18. April 2023 stellte die Europäische Kommission den EU Cyber Solidarity Act vor, um die Prävention, Erkennung und Reaktion auf Cyber-Sicherheitsvorfälle in der gesamten EU zu verbessern.
Verbesserung der Cyber-Sicherheit in der EU
Das Ziel des EU Cyber Solidarity Act sei es, die Kapazitäten in der EU zu stärken, um bedeutende und groß angelegte Cyber-Sicherheitsbedrohungen und Angriffe zu erkennen und darauf zu reagieren. Der Vorschlag umfasst ein europäisches Cyber-Sicherheitsschild, das aus miteinander verbundenen Security Operations Centres (SOCs) bestehen soll, sowie einem umfassenden Cyber-Sicherheits-Notfallmechanismus, um die Cyber-Sicherheit der EU zu verbessern.
Die Security Operations Centres sollen in mehreren länderübergreifenden SOC-Plattformen zusammengefasst werden. Diese SOCs sollen dabei fortschrittliche Technologien wie künstliche Intelligenz (KI) und Datenanalyse einsetzen, um Bedrohungen zu erkennen Dies soll eine schnellere und effizientere Reaktion auf größere Bedrohungen ermöglichen. Das Cyber-Sicherheitsschild soll insgesamt die Erkennung, Analyse und Reaktion auf Cyber-Bedrohungen verbessern.
Cyber-Sicherheits-Notfallmechanismus
Der Cyber-Sicherheits-Notfallmechanismus soll sicherstellen, dass die Vorbereitung und Reaktionen auf Cyber-Sicherheitsvorfälle verbessert werden. Dieses Ziel möchte man durch die Folgenden Schritte erreichen:
- Unterstützung bei Vorbereitungsmaßnahmen
- Überprüfung von Einrichtungen in wichtigen Sektoren wie Finanzen, Energie und Gesundheitswesen auf potenzielle Schwachstellen, die sie anfällig für Cyber-Bedrohungen machen könnten
- Gemeinsamen Risikobewertung auf EU-Ebene
- Schaffung einer EU Cyber-Sicherheitsreserve
- Gegenseitige Unterstützung innerhalb der EU
Cybersecurity Incident Review Mechanism
Schließlich sieht der EU Cyber Solidarity Act auch die Einrichtung eines Cybersecurity Incident Review Mechanism vor. Dieser Mechanismus wird dazu beitragen, spezifische Cybersecurity-Zwischenfälle zu analysieren und Empfehlungen zur Verbesserung der Reaktion auf solche Vorfälle abzugeben.
Die Europäische Agentur für Cybersicherheit (ENISA) wird für die Überprüfung spezifischer oder groß angelegter Cybersecurity-Zwischenfälle verantwortlich sein. ENISA soll dann einen Bericht erstellen, der Lehren aus dem Zwischenfall zieht und gegebenenfalls Empfehlungen zur Verbesserung der EU-Cyberabwehr enthält.
Finanzierung
Die Umsetzung des EU Cyber Solidarity Act werde durch den Digital Europe Programme (DEP) finanziert. Der DEP unterstützte die digitale Transformation Europas und habe unter anderem den Auftrag, die europäische Cybersecurity zu stärken.
Für den EU Cyber Solidarity Act werden insgesamt 842,8 Millionen Euro zur Verfügung gestellt, wovon 100 Millionen Euro aus anderen Bereichen des DEP umgeschichtet werden. Dies soll die Umsetzung des Cybersecurity-Ziels des DEP verstärken.
Ein Teil der zusätzlichen 100 Millionen Euro werde dazu verwendet, das Budget des European Cybersecurity Competence Center (ECCC) zu stärken, um Maßnahmen im Bereich der SOCs und der Vorbereitung umzusetzen. Der Rest des Geldes werde zur Unterstützung der Einrichtung des EU Cybersecurity Reserve eingesetzt. Zusätzlich zu den Mitteln des DEP erwarte man auch auch Beiträge der Mitgliedstaaten, die das Budget des EU Cyber Solidarity Act auf bis zu 1,109 Milliarden Euro erhöhen könnten.
Fazit
Der EU Cyber Solidarity Act ist ein wichtiger Schritt zur Verbesserung der Cybersecurity in Europa. Durch die Einrichtung von SOCs, die Unterstützung der Vorbereitungsmaßnahmen und die Schaffung eines EU Cybersecurity Reserve würde die EU besser auf zukünftige Cybersecurity-Bedrohungen vorbereitet sein. Gleichzeitig wird die Einrichtung eines Cybersecurity Incident Review Mechanism dazu beitragen, dass die EU aus vergangenen Zwischenfällen lernen und ihre Cyberabwehr stetig verbessern kann.
19. April 2023
Ein Bürger hat eine gesetzliche Krankenkasse verklagt, da er der Meinung ist, dass ihm eine Datenauskunft nach Artikel 15 der Datenschutzgrundverordnung (DSGVO) zu spät erteilt wurde. Er verlangt eine Schadensersatzsumme von 2.000 EUR und reichte im Juni 2021 eine Klage beim Sozialgericht Frankfurt/Main ein. Das Sozialgericht wies die Klage jedoch zurück, da es sich nicht zuständig fühlte. Das Hessische Landessozialgericht bestätigte diese Entscheidung. Schließlich wurde der Fall beim Bundessozialgericht (BSG) landete, welches entschied, dass die Sozialgerichte für Schadensersatzklagen nach Artikel 82 DSGVO zuständig sein können. Das BSG begründete dies damit, dass es sich bei den gespeicherten Daten um Sozialversicherungsdaten handelte und somit um eine öffentlich-rechtliche Streitigkeit handelt. Es wurde klargestellt, dass nicht jede Schadensersatzklage gegen eine Krankenkasse als öffentlich-rechtliche Streitigkeit betrachtet wird. Im Falle eines Datenschutzverstoßes in Bezug auf eine Personalakte eines Mitarbeiters der Krankenkasse müssten beispielsweise Arbeitsgerichte entscheiden.
Regelung über Datenschutzverstößen in § 81b SGB X
Dass die Sozialgerichte zuständig sind, über die Folgen von Datenschutzverstößen zu entscheiden, ist in § 81b SGB X ausdrücklich geregelt:
„Für Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der Verordnung (EU) 2016/679 oder der darin enthaltenen Rechte der betroffenen Person bei der Verarbeitung von Sozialdaten im Zusammenhang mit einer Angelegenheit nach § 51 Absatz 1 und 2 des Sozialgerichtsgesetzes ist der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit eröffnet.“
Bei dem Schadensersatzanspruch nach Art. 82 DSGVO handelt es sich – so das BSG – um ein „Recht der betroffenen Person“ gemäß § 81b SGB X. Dieses Recht stehe den Rechten gleich, die in den Art. 12 ff. DSGVO ausdrücklich als „Rechte der betroffenen Person“ bezeichnet werden.
Bis hierhin ist der Argumentationsgang überzeugend. Es bleibt jedoch die Frage offen, ob Art. 82 DSGVO in Fällen, in denen es um Ansprüche aus öffentlich-rechtlichen Rechtsverhältnissen geht, als Amtshaftungsanspruch betrachtet werden kann. Gemäß Art. 34 Satz 3 GG sind für solche Ansprüche die ordentlichen Gerichte, also die Zivilgerichte, zuständig. Ein Amtshaftungsanspruch bezieht sich darauf, dass der Staat für einen Schaden haftbar gemacht wird, der einem Bürger durch das Handeln eines Amtsträgers zugefügt wurde. Es scheint auf den ersten Blick durchaus wahrscheinlich zu sein, dass Art. 82 DSGVO einen solchen Schaden abdeckt, da die Haftung gemäß Art. 82 Abs. 3 DSGVO eine “Verantwortlichkeit” erfordert und somit ein Verschulden voraussetzt.
Begründung des BSG
Das BSG meint dennoch (anders als die Vorinstanzen), es handele sich bei Art. 82 DSGVO auch im Bereich des öffentlichen Rechts nicht um einen Amtshaftungsanspruch, sodass Art. 34 Satz 3 GG nicht anwendbar ist. Die Begründung fällt kurz aus (Rn. 24 des Beschlusses):
„Der Schadenersatzanspruch aus Art 82 Abs 1 DSGVO ist schon deshalb kein Amtshaftungsanspruch iS des Art 34 Satz 1 und 3 GG, weil er sich nicht gegen einen Amtswalter richtet und sodann auf den Staat übergeleitet wird, sondern unmittelbar gegen den Verantwortlichen (ausführlich dazu auch BFH vom 28.6.2022 – II B 92/21 – BFHE 275, 571 = BStBl II 2022, 535, RdNr 18, 21). Dies ist hier die beklagte KK. Auf ein etwaiges Fehlverhalten der Amtswalter, die im Dienst des Verantwortlichen stehen, kommt es nicht an. Diese sind prinzipiell keine Verantwortlichen im Sinne der DSGVO (Bieresborn, ZFSH/SGB 2020, 436, 438; Leopold in BeckOGK, § 67 SGB X RdNr 54, Stand: 1.8.2022; Gola in Gola/Heckmann, DS-GVO/BDSG, 3. Aufl 2022, Art 4 DS-GVO RdNr 63).“
Fazit
Insgesamt dürfte die Entscheidung des BSG somit richtig sein. In Zukunft werden sich nicht nur Zivil-, Arbeits- und Finanzgerichte (siehe auch die Entscheidung des BFH vom 28.6.2022 – Az. II BB 92/21), sondern auch Sozialgerichte mit Schadensersatzansprüchen der Bürger gemäß Art. 82 DSGVO auseinandersetzen müssen.
18. April 2023
Nachdem vor kurzem die italienische Aufsichtsbehörde ankündigte, dass das Chat-Tool „ChatGPT“, künftig verboten werden würde, kommt nun auch die Diskussion in Deutschland langsam in Fahrt.
Hessischer Beauftragte für Datenschutz und Informationsfreiheit teilt italienische Ansicht
Aus Hessen kommt Zustimmung zur Auffassung der italienischen Aufsichtsbehörde. Alexander Roßnagel ist der Ansicht, dass ChatGPT möglicherweise gegen Datenschutzgrundsätze aus der Verordnung verstoßen könnte. So sollen die Grundsätze der Zweckbindung und Datenminimierung betroffen sein. Um weitere Entscheidungen treffen zu können müssten dennoch zunächst erst noch weitere Informationen gesammelt werden.
Zukunft des Dienstes ungewiss
Ein großer Abstimmungsbedarf, aufgrund der hohen Relevanz von Anwendungen wie ChatGPT für die Zukunft von Gesellschaften, soll nun auf europäischer Ebene erreicht werden. Demnach soll ChatGPT möglicherweise sogar einer durch den Europäischen Datenschutzausschuss koordinierten datenschutzrechtlichen Prüfung unterzogen werden. Es bleibt also spannend.
17. April 2023
Vergangene Woche veröffentlichte das Bundesministerium der Justiz (BMJ) seine Eckpunkte zum Gesetz gegen digitale Gewalt. Ziel des Vorhabens sei es betroffenen Personen digitaler Gewalt, beispielsweise von Beleidigungen auf Internetplattformen bei der Durchsetzung ihrer Rechte und dem Schutz vor weiteren Rechtsverletzungen zu helfen. Das Vorhaben blieb allerdings nicht ohne Kritik.
Konkrete Vorschläge
Mit dem neuen Gesetz gegen digitalisierte Gewalt will das BMJ effektiver gegen beleidigenden Äußerungen und diffamierende Inhalten im Internet vorgehen. Diese Aufgabe sollte bisher das Netzwerkdurchsetzungsgesetz (NetzDG) übernehmen. Dieses soll allerdings durch den Digital Service Acts ab dem Zeitpunkt seiner Geltungswirkung ersetzt werden.
Nach dem Eckpunkte-Papier des BMJ sieht das Gesetz gegen digitale Gewalt zwei wesentliche Änderungen vor. Erstens solle es möglich sein, dass betroffene Personen digitalisierter Gewalt einen besseren Auskunftsanspruch über den Verfasser des rechtsverletzenden Textes erhielten. Außerdem sollte den betroffenen Personen künftig ein Anspruch auf Sperrung eines Accounts zustehen, der besonders häufig Rechtsverletzungen begehe.
Konkret sei es das Ziel des BMJ, dass das Gesetz gegen digitale Gewalt das Auskunftsverfahren verbessere. Demnach könne eine betroffene Person, die Opfer einer Beleidigung oder anderen Straftat sei, umfangreichere Nutzungsdaten bei dem Betreiber sozialer Medien erfragen. Statt lediglich der Name und der E-Mail-Adresse sei so ein Auskunftsanspruch auf Erhalt der IP-Adresse möglich. Die Durchsetzung des Auskunftsanspruch sollte kostenlos vor Gericht erfolgen.
Außerdem bekämen die betroffenen Personen die Möglichkeit bei schwerwiegenden Persönlichkeitsverletzungen die Sperrung des verursachenden Accounts zu veranlassen.
Kritik
Insbesondere der Chaos Computer Club (CCC) reagierte mit Kritik auf die Vorschläge des BMJ. Grund für die Kritik ist u.a. die Absicht des BMJ Dienstleister Sozialer Medien dazu zu verpflichten, die Bestands- und Nutzungsdaten der Verfasser von rechtswidrigen Inhalten zu speichern. Demnach sollten die Dienstleister im Falle eines Auskunftsverfahrens verpflichtet sein, die entsprechenden Daten abzusichern.
Der CCC sieht darin eine „Vorratsdatenspeicherung durch die Hintertür“. Aus Sicht des Clubs sei es problematisch, dass die Ziele des BMJ nur erreicht werden könnten, wenn Dienstleister Sozialer Medien eine Vielzahl von Daten speicherten. Allerdings würden einmal gespeicherte Daten häufig für andere, nicht vorhergesehene Zwecke genutzt werden. Außerdem sei es besonders bedenklich, dass die Pflicht zur Speicherung eine mögliche Profilbildung für verpflichtete Dienstleister erleichtere. Demnach könnten sie bereits vorhandene Daten mit Identifikationsdaten kombinieren. Die Folge seien erhebliche Risiken für die informationelle Selbstbestimmung.
Fazit
Bereits in ihrem Koalitionsvertrag von 2021 hatte die Ampelregierung ihre Absicht festgelegt, ein Gesetz gegen digitale Gewalt zu verabschieden. Es bleibt abzuwarten, ob die veröffentlichten Eckpunkte, so wie sie derzeit vorliegen Eingang in einen Gesetzesentwurf finden werden.
Am 4. April 2023 hat der Europäische Datenschutzausschuss (EDSA) die überarbeiteten Richtlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Die Aktualisierung betrifft Unternehmen, die zwar nicht in der EU ansässig sind, aber dennoch gemäß der Datenschutz-Grundverordnung (DSGVO) in deren Anwendungsbereich fallen. Dieser Beitrag gibt einen Überblick über die Updates des EDSA und beleuchtet die rechtlichen Aussagen.
Die ehemaligen WP29 Leitlinien
Vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 allgemeine Richtlinien zur Meldung von Datenschutzverletzungen verabschiedet, in denen die relevanten Abschnitte der DSGVO analysiert wurden. WP29 empfahl darin, dass Datenschutzverletzungen der Aufsichtsbehörde im Mitgliedstaat gemeldet werden sollten, in dem der Vertreter des Verantwortlichen in der EU niedergelassen ist. Als Nachfolger der WP29 bestätigte der EDSA diese Richtlinien am 25. Mai 2018 formell.
EDSA: Aktualisierung zu Meldepflichten
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zur Meldung von Datenschutzverletzungen für nicht in der EU niedergelassene Unternehmen aktualisiert. Das Feedback für diese Aktualisierung wurde im Rahmen einer öffentlichen Konsultation bis zum 29. November 2022 eingeholt. Der EDSA hat klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das “One-Stop-Shop”-Prinzip auslöst, sondern nicht in der EU niedergelassene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden müssen. Nach der öffentlichen Konsultation wurde dieser Abschnitt nun angenommen. Es sollten jedoch auch einige Klarstellungen des EDSA berücksichtigt werden, die zwar nicht direkt mit dieser Aktualisierung zusammenhängen, aber dennoch relevant sind.
Meldung an Aufsichtsbehörde
Nach Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung diese der zuständigen Aufsichtsbehörde gemäß Artikel 55 DSGVO zu melden, es sei denn, dass die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Meldepflicht beim Verantwortlichen
Der Verantwortliche ist für die Meldepflicht bei Datenschutzverletzungen verantwortlich. Bei gemeinsam Verantwortlichen sollten die vertraglichen Vereinbarungen gemäß Artikel 26 der DSGVO klarstellen, welcher Verantwortliche die führende Rolle bei der Meldung von Datenschutzverletzungen übernimmt. Auftragsverarbeiter müssen Datenschutzverletzungen unverzüglich dem Verantwortlichen melden, jedoch nicht direkt bei der Aufsichtsbehörde.
Risikobewertung
Bei einer Datenschutzverletzung ist eine Risikobewertung wichtig. Gemäß EDSA-Leitlinien sollten dabei verschiedene Faktoren berücksichtigt werden, wie die Art der Verletzung, die Art und Sensibilität der betroffenen Daten, Identifizierbarkeit der betroffenen Personen, Schwere der Folgen, besondere Eigenschaften von betroffenen Personen und dem Verantwortlichen, sowie die Anzahl der betroffenen Personen und allgemeine Aspekte wie Empfehlungen von ENISA. In den Leitlinien 9/2022 werden auch Beispiele für Risikobewertungen genannt, z.B. könnte eine Verletzung als Risiko betrachtet werden, wenn sensible personenbezogene Daten betroffen sind, während eine Verletzung als kein Risiko betrachtet werden könnte, wenn die Daten verschlüsselt waren und Datensicherungen existieren.
Meldung an Aufsichtsbehörde
Gemäß Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten die Meldung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung an die gemäß Artikel 55 zuständige Aufsichtsbehörde zu erstatten. Es sei denn, es ist wahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten keine Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Wann wird eine Datenpanne “bekannt”?
Gemäß Leitlinie 9/2022 gilt eine Datenschutzverletzung einem Verantwortlichen als “bekannt”, wenn er ausreichend sicher ist, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Es ist nicht erforderlich, dass die Datenschutzverletzung tatsächlich stattgefunden hat. Zum Beispiel wird einem Verantwortlichen der Verlust eines unverschlüsselten USB-Sticks, auf dem personenbezogene Daten gespeichert sind, bekannt, wenn er den Verlust bemerkt. Wenn ein Dritter dem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten erhalten hat und Belege für die unbefugte Offenlegung vorliegen, ist der Vorfall zweifelsfrei bekannt.
Empfehlung: Interne Richtlinien
Es wird empfohlen, dass nicht in der EU ansässige Unternehmen, die unter den Anwendungsbereich der DSGVO fallen, interne Richtlinien und Prozesse zur Meldung von Datenschutzverletzungen gemäß den Vorgaben des EDSA beachten. Die Meldung von Datenschutzverletzungen an mehrere Behörden kann zeitaufwändig sein. Interne Richtlinien und Prozesse zur Handhabung von Datenschutzvorfällen sind daher ratsam, um den Melde- und Benachrichtigungspflichten rechtzeitig nachzukommen. Effektive und regelmäßig überprüfte Prozesse zur Bewältigung von Datenschutzvorfällen sind entscheidend für eine schnelle Meldung von Datenschutzverletzungen und die Einhaltung von Fristen.
12. April 2023
Vor knapp einem Monat startete die europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden, in welcher die zahlreichen Datenschutzbeauftragten inspiziert werden sollen. Mehr als 500.000 Organisationen in ganz Europa haben laut IAPP Datenschutzbeauftragte im Rahmen der Datenschutz-Grundverordnung registriert. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat.
Der europäische Datenschutzbeauftragte erklärte, dass 26 Datenschutzbehörden an der koordinierten Aktion teilnehmen werden. Es soll sich primär auf die Benennung und Stellung von Datenschutzbeauftragten konzentriert werden. Grundsätzlich wird beurteilt, ob die behördlichen Datenschutzbeauftragten über die in den Artikeln 37-39 der EU-Datenschutzgrundverordnung geforderte organisatorische Stellung und die für ihre Arbeit erforderlichen Ressourcen verfügen.
Die Prüfung soll mit Hilfe von Fragebögen der teilnehmenden Behörden erfolgen. In diesen sollen unter anderem Fragen zur Benennung, zum Wissen und zur Erfahrung der Datenschutzbeauftragten, zu ihren Aufgaben und Ressourcen oder zu ihrer Rolle sowie der Position in ihrer jeweiligen Organisation enthalten sein.
Es bleibt abzuwarten zu welchen Ergebnissen die Überprüfungen führen werden. In Einzelfällen könnten gegebenenfalls auch Sanktionen zu erwarten sein. Hauptziel dieser Aktion soll jedoch stets ein Mehrwert für die Stellung von Datenschutzbeauftragten sein.
11. April 2023
Der Gerichtshof der Europäischen Union (EuGH) entschied (Rs. C-34/21) vor rund 2 Wochen, dass der § 23 Abs. 1 S. 1 HDSIG nicht die Anforderungen einer spezifischeren Vorschrift iSd Art. 88 DSGVO erfülle. Die Entscheidung über diese landesrechtliche Norm wirft für die Anwendung des gleichlautenden § 26 Abs. 1 S. 1 BDSG einige Fragen auf.
Hintergründe
Grundlage des Verfahrens vor dem EuGH war eine Klage des Hauptpersonalrates der Lehrerinnen und Lehrer beim Hessischen Kultusministerium beim Verwaltungsgericht Wiesbaden. Dabei war fraglich, ob im Rahmen des Unterrichtes per Videokonferenz eine Einwilligung der Lehrkräfte erforderlich sei. Zwecks Unterricht per Videokonferenz habe das Hessische Kultusministerium für die erfolgende Datenverarbeitung die Einwilligung aller betroffenen Schülerinnen und Schülern eingeholt. Für die betroffenen Lehrkräfte habe das Einwilligungserfordernis nicht gegolten. Stattdessen sei die Verarbeitung ihrer personenbezogenen Daten auf Grundlage des § 23 HDSIG erfolgt.
Was ist eine “Spezifischere Norm”?
Im Rahmen des Vorabentscheidungsverfahrens vor dem EuGH stand nun in Frage, welche Voraussetzungen eine spezifischere Vorschrift iSd Art. 88 DSGVO erfüllen müsse.
Art. 88 DSGVO enthält eine sog. Öffnungsklausel. Die DSGVO erlaubt den Mitgliedstaaten der europäischen Union demnach eine nationale Vorschrift zu erlassen, die der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext dient. § 23 HDSIG und § 26 BDSG sollen eine solche nationale, spezifische Regelung sein.
Aus Sicht des Gerichtshof sei bei der Umsetzung der Öffnungsklausel in nationales Recht Art. 88 Abs. 2 DSGVO zu beachten. Demnach setzte die DSGVO der nationalen Norm eine Grenze. Sie müsse geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Außerdem sei es erforderlich, dass der Regelungsgehalt der nationalen Norm auf „(…) den Schutz der Rechte und Freiheiten von Beschäftigten bei der Verarbeitung ihrer personenbezogene Daten im Beschäftigtenkontext abziele (…)“ (EuGH, Urteil vom 30.03.2023, C-23/21, Rn. 65).
Zusätzlich könne die spezifischere Norm nicht lediglich die Vorgaben der DSGVO wiederholen. Sie müsse eine Regelung aufstellen, die eine Konkretisierung im vorgesehenen Bereich darstelle.
Anwendbarkeit des § 23 HDSIG
Darüber hinaus war es fraglich, welcher Folge eintrete, wenn eine nationale Norm die Anforderungen der DSGVO nicht erfülle. Aus Sicht des Gerichtshof sei dies insbesondere im Hinblick auf § 23 HDSIG fraglich. Dieser setzte voraus, dass ein Verantwortlicher personenbezogene Daten zum Zwecke des Beschäftigtenverhältnisses verarbeite. Dies entspräche der Verarbeitung zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO.
Demnach sei eine Norm, die die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht erfülle nicht anzuwenden. Alternativ könne die nationale Norm lediglich eine Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO darstellen. Ob dies der Fall ist, prüfte der EuGH nicht.
Fazit
Nach der Entscheidung des EuGH muss nun das VG Wiesbaden die Vorgaben des EuGH umsetzen. Für die Entscheidung ist § 26 Abs. 1 S. 1 BDSG grundsätzlich nicht relevant. Ob die Rechtsmäßigkeit dieser Norm künftig aber tangiert wird, bleibt abzuwarten.
Pages: 1 2 3 4 5 6 7 ... 262 263 
