13. Juni 2023
Die Berliner Datenschutz- und Informationsfreiheitsbeauftragte (BlnBDI) hat eine Bank mit einer Geldstrafe von 300.000 Euro belegt, da sie intransparent in Bezug auf eine automatisierte Einzelentscheidung gehandelt hat. Die Bank verweigerte einem Kunden verständliche Informationen über die Gründe für die automatisierte Ablehnung seines Kreditkartenantrags. Das Unternehmen hat eng mit der BlnBDI zusammengearbeitet und den Bußgeldbescheid akzeptiert.
Eine automatisierte Entscheidung ist eine Entscheidung, die ausschließlich von einem IT-System auf Basis von Algorithmen und ohne menschliches Eingreifen getroffen wird. Gemäß der Datenschutz-Grundverordnung (DSGVO) gelten in solchen Fällen spezielle Transparenzpflichten. Personenbezogene Daten müssen in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben das Recht, eine Erläuterung der getroffenen Entscheidung nach einer entsprechenden Bewertung zu erhalten. Wenn betroffene Personen eine Auskunft bei den Verantwortlichen beantragen, müssen diesen aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung zur Verfügung gestellt werden.
Der Sachverhalt
In diesem spezifischen Fall hat die Bank bei ihrem digitalen Kreditkartenantrag diese Vorgaben jedoch nicht beachtet. Durch ein Online-Formular forderte die Bank verschiedene Informationen über das Einkommen, den Beruf und die persönlichen Daten des Antragstellers an. Basierend auf den abgefragten Informationen und zusätzlichen Daten aus externen Quellen lehnte der Algorithmus der Bank den Antrag des Kunden ohne eine explizite Begründung ab. Der Algorithmus stützte sich dabei auf zuvor von der Bank festgelegte Kriterien und Regeln.
Aufgrund eines guten Schufa-Scores und eines regelmäßig hohen Einkommens des Kunden wurden Zweifel an der automatisierten Ablehnung laut. Obwohl der Kunde die Bank um detaillierte Informationen zum Scoring-Verfahren bat, erhielt er lediglich allgemeine und allgemeingültige Aussagen. Die Bank weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging. Der Beschwerdeführer konnte daher nicht nachvollziehen, welche Daten und Faktoren der Ablehnung zugrunde lagen und aufgrund welcher Kriterien sein Kreditkartenantrag abgelehnt wurde. Ohne diese spezifische Begründung war es ihm nicht möglich, die automatisierte Einzelentscheidung angemessen anzufechten. Infolgedessen beschwerte er sich bei der Datenschutzbeauftragten.
Nachvollziehbarkeit ausschlaggebend
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, äußerte sich wie folgt: “Wenn Unternehmen automatisierte Entscheidungen treffen, müssen sie diese überzeugend und nachvollziehbar begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen. Die Tatsache, dass die Bank in diesem Fall selbst auf Anfrage nicht transparent und nachvollziehbar über die automatisierte Ablehnung informiert hat, führt zu einer Geldstrafe. Eine Bank ist verpflichtet, die Kund:innen über die maßgeblichen Gründe für die Ablehnung eines Kreditkartenantrags im Zusammenhang mit automatisierten Entscheidungen zu informieren. Dies umfasst konkrete Informationen zur Datenbasis, den Entscheidungsfaktoren und den Kriterien für die Ablehnung in Einzelfällen.”
Die Datenschutzbeauftragte stellte fest, dass die Bank in diesem konkreten Fall gegen Art. 22 III, Art. 5 I lit. a und Art. 15 I DSGVO verstoßen hat. Bei der Festlegung der Höhe des Bußgeldes berücksichtigte die BlnBDI insbesondere den hohen Umsatz der Bank sowie die absichtliche Ausgestaltung des Antragsprozesses und der Informationserteilung. Als mildernden Umstand bewertet wurde unter anderem, dass das Unternehmen den Verstoß eingeräumt hat, bereits Änderungen an den Prozessen umgesetzt hat und weitere Verbesserungen angekündigt hat.
9. Juni 2023
Das Europäische Gerichtshof (EuGH) hat kürzlich ein wegweisendes Urteil zur Vereinbarkeit der Rolle eines Datenschutzbeauftragten mit dem Amt des Betriebsratsvorsitzenden gefällt. Das Urteil betrifft den Fall eines Arbeitnehmers, der sowohl als Datenschutzbeauftragter als auch als Betriebsratsvorsitzender tätig war (EuGH, Urteil vom 9. Februar 2023, Az. C-453/21). Das vorlegende deutsche Gericht bat den EuGH um Klärung von Fragen zur Auslegung des Unionsrechts in diesem Zusammenhang.
Der Fall
Der Kläger, FC, war seit 1993 bei der Firma X-FAB beschäftigt und hatte die Position des Betriebsratsvorsitzenden inne. Zusätzlich wurde er zum Datenschutzbeauftragten von X-FAB und deren Muttergesellschaft sowie anderen Tochtergesellschaften in Deutschland bestellt. Der Kläger wurde auf Ersuchen des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit zum Datenschutzbeauftragten ernannt. X-FAB und die genannten Unternehmen beabsichtigten, einen konzerneinheitlichen Datenschutzstandard zu erreichen.
X-FAB argumentierte, dass eine Vereinbarkeit der Positionen des Datenschutzbeauftragten und des Betriebsratsvorsitzenden aufgrund eines potenziellen Interessenkonflikts nicht möglich sei und forderte die Abberufung des Klägers als Datenschutzbeauftragter. Der Kläger erhob daraufhin Klage, um seine Position als Datenschutzbeauftragter beizubehalten.
Die Vorlagefragen an den EuGH:
Das Bundesarbeitsgericht legte dem EuGH mehrere Fragen zur Vorabentscheidung vor (wir berichteten). Die Hauptfrage bezog sich darauf, ob Artikel 38 Absatz 3 Satz 2 der Datenschutz-Grundverordnung (DSGVO) einer nationalen Bestimmung (§ 4f Abs. 3 Satz 4 BDSG a.F.) entgegenstehe, die die Abberufung eines Datenschutzbeauftragten durch den Arbeitgeber an bestimmte Voraussetzungen knüpft. Artikel 38 Absatz 3 Satz 2 der DSGVO besagt, dass eine nationale Regelung, die vorsieht, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, nicht im Widerspruch zur DSGVO steht. Dies bedeutet, dass ein Datenschutzbeauftragter, der bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigt ist, nur unter bestimmten Bedingungen abberufen werden darf. Gemäß dieser Bestimmung darf die Abberufung eines Datenschutzbeauftragten nicht mit der Erfüllung seiner Aufgaben zusammenhängen. Mit anderen Worten, der Datenschutzbeauftragte kann nicht entlassen werden, weil er seine Aufgaben im Bereich des Datenschutzes ordnungsgemäß erfüllt. Stattdessen muss ein “wichtiger Grund” für die Abberufung vorliegen, der in der Regel nichts mit der Datenschutzfunktion des Beauftragten zu tun hat. Diese Bestimmung gewährleistet die Unabhängigkeit und Integrität des Datenschutzbeauftragten. Sie soll sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben frei und unabhängig von Einflüssen oder Interessen Dritter erfüllen kann. Die genaue Definition und Auslegung eines “wichtigen Grundes” obliegt jedoch den nationalen Rechtsvorschriften und den zuständigen Gerichten.
Zusätzlich wurde gefragt, ob diese Bestimmung auch dann gelte, wenn die Benennung eines Datenschutzbeauftragten nicht nach der DSGVO verpflichtend ist, sondern nur nach nationalem Recht.
Schließlich sollte der EuGH klären, ob Artikel 38 Absatz 3 Satz 2 der DSGVO eine ausreichende Ermächtigungsgrundlage darstelle und ob ein Interessenkonflikt vorliege, wenn der Datenschutzbeauftragte gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.
Entscheidung des EuGH
Gemäß Artikel 38 Absatz 3 Satz 2 DSGVO sei es zulässig, einen Datenschutzbeauftragten nur aus wichtigem Grund abzuberufen, selbst wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhänge. Der EuGH entschied somit, dass Artikel 38 Absatz 3 Satz 2 der DSGVO einer nationalen Regelung, die die Abberufung eines Datenschutzbeauftragten nur aus wichtigem Grund erlaube, nicht entgegenstehe, solange sie die Ziele der Verordnung nicht beeinträchtige.
Darüber hinaus stellte der EuGH fest, dass ein “Interessenkonflikt” im Sinne von Artikel 38 Absatz 6 der DSGVO vorliegen könne, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Datenverarbeitung festzulegen. Die Feststellung, ob ein solcher Interessenkonflikt bestehe, obliege jedoch dem nationalen Gericht und erfordere eine umfassende Prüfung aller relevanten Umstände.
Fazit
Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können somit nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Zusätzlich hat der EuGH mit diesem Urteil Klarheit darüber geschaffen, dass ein Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann und dass ein potenzieller Interessenkonflikt bei der Wahrnehmung anderer Aufgaben oder Pflichten geprüft werden muss. Dies stärkt die Position und Unabhängigkeit der Datenschutzbeauftragten in Unternehmen und gewährleistet einen effektiven Datenschutz gemäß den Zielen der DSGVO.
31. Mai 2023
Am 17. März 2023 wurde eine überarbeitete Version des Hinweisgeberschutzgesetzes (HinSchG) erneut im Bundestag behandelt. Da eine Zustimmung des Bundesrates immer noch fraglich war, wurde der Entwurf nicht weiterverfolgt und der Vermittlungsausschuss eingeschaltet. Am 9. Mai 2023 haben sich Vertreter des Bundestages und Bundesrates im Vermittlungsausschuss auf Änderungen am HinSchG geeinigt. Das Gesetzgebungsverfahren wurde dann schnell abgeschlossen. Der Bundestag verabschiedete das Gesetz am 11. Mai 2023 mit den Änderungsvorschlägen des Vermittlungsausschusses und der Bundesrat stimmte dem Gesetzesentwurf am 12. Mai 2023 zu. Mit der Zustimmung des Bundesrates ist das parlamentarische Verfahren abgeschlossen. Das Gesetz kann nun dem Bundespräsidenten zur Unterzeichnung vorgelegt und im Bundesgesetzblatt verkündet werden. Es wird voraussichtlich Mitte Juni 2023 in Kraft treten.
Kompromiss im Vermittlungsausschuss
Der Vermittlungsausschuss hat Änderungen vorgenommen, darunter eine Beschränkung auf den beruflichen Kontext, einen Kompromiss bezüglich anonymer Meldungen und niedrigere Bußgelder mit einer Übergangsfrist von sechs Monaten. Falsche Meldungen können jedoch Konsequenzen haben, und in Fällen vorsätzlicher oder grob fahrlässiger Weitergabe unrichtiger Informationen ist die hinweisgebende Person zum Schadensersatz verpflichtet.
Wesentliche Inhalte des Hinweisgeberschutzgesetzes
Das HinSchG zielt darauf ab, den Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie in nationales Recht umzusetzen. Es enthält Regelungen zum Schutz von Hinweisgebern, zur Beweislastumkehr für Arbeitgeber und zur Verhinderung von Benachteiligungen oder Repressalien gegenüber Hinweisgebern. Das Gesetz gilt sowohl für Hinweisgeber als auch für Personen, die sie unterstützen, sowie für Personen, die Gegenstand einer Meldung sind oder von einer Meldung betroffen werden.
Das Hinweisgeberschutzgesetz umfasst verschiedene Rechtsgebiete, in denen Hinweisgeber Verstöße melden können. Dazu gehören Strafvorschriften nach deutschem Recht, bußgeldbewehrte Verstöße, die dem Schutz von Leben, Leib, Gesundheit oder den Rechten von Beschäftigten dienen, sowie Verstöße gegen Rechtsnormen zur Umsetzung europäischer Regelungen. Letztere umfassen eine Vielzahl von Bereichen wie Geldwäschebekämpfung, Produktsicherheit, Umweltschutz, Datenschutz und Rechnungslegung bei Kapitalgesellschaften.
Wahl zwischen “interner” und “externer” Meldestelle
Hinweisgeber haben die Wahl, sich entweder an eine interne Meldestelle im Unternehmen oder an eine externe Meldestelle bei den Behörden zu wenden. In Fällen, in denen intern effektiv gegen den Verstoß vorgegangen werden kann und keine Repressalien zu befürchten sind, wird empfohlen, die Meldung an eine interne Meldestelle vorzuziehen.
Schutzbereich des HinSchG
Das HinSchG umfasst eine breite Palette von Unternehmen und Organisationen. Dazu gehören juristische Personen des Privatrechts wie eingetragene Vereine, eingetragene Genossenschaften, Aktiengesellschaften, Kommanditgesellschaften auf Aktien, Gesellschaften mit beschränkter Haftung und Stiftungen des Privatrechts. Auch juristische Personen des öffentlichen Rechts, wie Gebietskörperschaften, Personalkörperschaften und Verbandskörperschaften auf Bundes- und Landesebene, sowie rechtsfähige Personengesellschaften und sonstige rechtsfähige Personenvereinigungen werden erfasst.
Darüber hinaus werden Anstalten wie die Landesrundfunkanstalten, öffentlich-rechtliche Stiftungen, die evangelische und katholische Kirche mit ihren Kirchengemeinden sowie sonstige religiöse Gemeinschaften und Religionsgemeinschaften ebenfalls vom HinSchG erfasst.
Die Verpflichtung zur Einrichtung einer internen Meldestelle gilt für Beschäftigungsgeber mit mehr als 250 Mitarbeitenden ab Mitte Juni 2023. Für kleinere Beschäftigungsgeber mit 50 bis 249 Mitarbeitenden gilt die Verpflichtung ab dem 17. Dezember 2023. Unternehmen mit einer Mitarbeiteranzahl zwischen 50 und 249 Mitarbeitenden können eine gemeinsame Meldestelle betreiben.
Die internen Meldestellen müssen bestimmte Anforderungen erfüllen. Die Meldekanäle müssen so gestaltet sein, dass nur befugte Personen Zugriff auf die Meldungen haben. Es müssen sowohl mündliche als auch schriftliche Meldungen möglich sein, und auf Wunsch der hinweisgebenden Person muss eine persönliche Zusammenkunft mit der Meldestelle ermöglicht werden.
Der Schutz der Vertraulichkeit der Identität der hinweisgebenden Person ist von großer Bedeutung. Die Identität sollte grundsätzlich nur den zuständigen Personen der Meldestelle bekannt sein und nur in Ausnahmefällen, z.B. in Strafverfahren auf Anforderung der Strafverfolgungsbehörden, offengelegt werden.
Die mit den Aufgaben der internen Meldestelle betrauten Personen müssen unabhängig sein und über die erforderliche Fachkunde verfügen. Die genaue Bedeutung des Begriffs “Fachkunde” wird vom Gesetzgeber nicht näher erläutert.
Für kleinere oder mittlere Unternehmen kann es effizienter sein, eine erfahrene externe Ombudsperson mit der Entgegennahme und ersten Bearbeitung von Hinweisen zu beauftragen. Der Gesetzgeber nennt externe Berater, Prüfer, Gewerkschaftsvertreter oder Arbeitnehmervertreter als mögliche Dritte, die eine interne Meldestelle betreiben können.
Umgang mit anonymen Hinweisen
Der umstrittenste Bereich des Hinweisgeberschutzgesetzes bezieht sich auf den Umgang mit anonymen Hinweisen. Gemäß § 16 HinSchG besteht keine Verpflichtung zur Entgegennahme anonymer Meldungen, sondern lediglich eine “soll”-Regelung. Unternehmen, die eine Zertifizierung nach den ISO-Normen 37301 und 37001 anstreben, müssen jedoch die Möglichkeit zur Bearbeitung anonymer Hinweise in ihrem Hinweisgeberverfahren ermöglichen.
Das Verfahren bei internen Meldungen
Für interne Meldungen gelten gemäß § 17 HinSchG bestimmte Verfahrensregeln. Diese umfassen die Bestätigung des Eingangs an die hinweisgebende Person innerhalb von sieben Tagen, die Prüfung des gemeldeten Verstoßes, die Kontaktaufnahme mit der hinweisgebenden Person für weitere Informationen, die Prüfung der Stichhaltigkeit der Meldung, die Ergreifung angemessener Folgemaßnahmen und die Rückmeldung an die hinweisgebende Person innerhalb von drei Monaten. Die Rückmeldung sollte geplante und bereits ergriffene Folgemaßnahmen sowie die entsprechenden Gründe enthalten. Dabei ist darauf zu achten, dass die Rechte der betroffenen Personen nicht beeinträchtigt und interne Nachforschungen oder Ermittlungen nicht gefährdet werden. Die Hinweise müssen vertraulich behandelt und für eine angemessene Zeit dokumentiert werden.
Die Einrichtung interner und kostengünstiger Meldekanäle kann gegen das Vertraulichkeitsgebot des HinSchG verstoßen. Eine interne E-Mail-Adresse oder Telefonnummer ermöglicht möglicherweise unbefugtem Personal Zugriff auf die Meldungen, was dem Gesetz widerspricht. Daher bleiben als Optionen die Einrichtung eines IT-gestützten Systems oder die Entgegennahme telefonischer Hinweise über eine externe Nummer mit unterdrückter Rufnummer des Anrufers.
Schadensersatz, Sanktionen und Bußgelder bei Verstoß gegen das HinSchG
Um den Schaden einer absichtlichen oder grob fahrlässigen Falschmeldung zu begrenzen, ist die Person, die den Hinweis gibt, verpflichtet, den entstandenen Schaden zu erstatten. Verstöße gegen die wesentlichen Bestimmungen des HinSchG können mit Geldbußen geahndet werden. Dies betrifft insbesondere Unternehmen, die keine interne Meldestelle einrichten, Meldungen behindern oder Repressalien gegen den Hinweisgeber ergreifen. Die Bußgelder für Verstöße gegen die Pflicht zur Einrichtung einer internen Meldestelle treten jedoch erst sechs Monate nach Veröffentlichung des HinSchG in Kraft. Das bewusste Offenlegen falscher Informationen wird ebenfalls mit Bußgeldern belegt.
Hinweisgeber- und Datenschutz
Die deutschen Datenschutzbehörden sind der Ansicht, dass die Einrichtung und Nutzung interner Meldewege durch Unternehmen “datenschutzgerecht” erfolgen kann, wobei besondere Rücksicht auf den Zweck des Unternehmens und die Modalitäten der Einrichtung genommen werden sollte. Da die Meldung von Missständen nach Ansicht der Datenschutzbehörden ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, ist in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich. Weitere Informationen dazu finden sich in der “Orientierungshilfe der Datenschutzaufsichtsbehörden zu Whistleblowing-Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz”.
Die Kosten für die Entwicklung einer internen Lösung, die allen gesetzlichen Anforderungen gerecht wird, sind erheblich, daher liegt es nahe, einen externen Anbieter zu nutzen. Bei der Auswahl eines externen Anbieters sollten jedoch insbesondere die Anforderungen an die getrennte Datenverarbeitung für größere Tochtergesellschaften und die Anforderungen der Datenschutzbehörden beachtet werden. Das KINAST Whistleblowing Hinweisgebersystem ist unsere Lösung für Unternehmen, die ein rechtskonformes Meldesystem bereitstellen und zum eigenen Vorteil nutzen möchten.
Fazit
Unternehmen und Organisationen, die zur Einrichtung einer internen Meldestelle verpflichtet sind, sollten sich rechtzeitig auf die Umsetzung vorbereiten. Es ist zu bedenken, dass viele Unternehmen und Behörden betroffen sein werden und die Nachfrage nach IT-gestützten Hinweisgebersystemen mit der Einführung des Gesetzes deutlich steigen wird.
Wir liefern Ihnen die komplette technische und rechtliche Umsetzung, d.h. Einrichtung und Betrieb des Meldesystems. Und wir unterstützen sie bei der Kommunikation des Hinweisgebersystems in Ihrer Organisation. Wir handhaben alles, Sie haben nur minimalen Aufwand im Fall einer begründeten Meldung.
23. Mai 2023
Meta, der Mutterkonzern von Facebook, hat erneut eine Rekordstrafe in Höhe von 1,2 Milliarden Euro aufgrund eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) erhalten. Die irische Datenschutzbehörde DPC verkündete diese Strafe in Dublin. Das Verfahren betrifft die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren von Edward Snowden, einem US-Whistleblower, aufgedeckt wurde. Max Schrems, ein Datenschutz-Aktivist aus Österreich, reichte damals eine Beschwerde gegen Facebook ein.
Verfahren kann sich in die Länge ziehen
Das von der DPC verhängte Bußgeld übertrifft die bisherige Rekordstrafe von 746 Millionen Euro, die gegen Amazon.com in Luxemburg verhängt wurde. Zudem ist Meta nun dazu verpflichtet, jede weitere Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten zu unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Meta hat bisher keine Stellungnahme zu der Rekordstrafe abgegeben. Experten gehen jedoch davon aus, dass der US-Konzern gegen die Entscheidung rechtliche Schritte einlegen wird. Die Gerichtsverfahren können sich jedoch über einen längeren Zeitraum erstrecken. In der Zwischenzeit könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, um den transatlantischen Datenverkehr neu zu regeln. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, falls ein dauerhafter transatlantischer Datentransfer nicht möglich sein sollte.
Irische Datenschutzbehörde ging nicht gegen Meta vor
Schrems betonte, dass das verhängte Bußgeld deutlich höher hätte ausfallen können: “Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat über einen Zeitraum von zehn Jahren wissentlich gegen die DSGVO verstoßen, um Gewinne zu erzielen.” Schrems erklärte weiter, dass Meta nun wahrscheinlich seine Systeme grundlegend umstrukturieren müsse, wenn sich die US-Überwachungsgesetze nicht ändern.
Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, gegen Facebook in dieser Angelegenheit vorzugehen. Schließlich wurde die DPC durch den Europäischen Datenschutzausschuss (EDSA) dazu verpflichtet, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss betrifft ausschließlich Facebook und nicht andere Dienste wie Instagram oder WhatsApp, die zum Meta-Konzern gehören. Bereits im Januar hatte die DPC Meta jedoch zu einer Strafe in Höhe von 390 Millionen Euro verurteilt, weil Facebook- und Instagram-Nutzer gezwungen wurden, personalisierter Werbung zuzustimmen.
Seit Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren wurden für Meta insgesamt Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist nun sechsmal in der Liste der zehn höchsten Bußgelder vertreten, was zu einer Gesamtstrafe von 2,5 Milliarden Euro führt.
Übrigens: Das höchste Bußgeld in Deutschland betrug 35 Millionen Euro und wurde im Jahr 2020 von der Modekette H&M wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung in ihrem Onlineshop gezahlt.
22. Mai 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) tagte am 10. und 11. Mai 2023 unter der Leitung von Dr. h. c. Marit Hansen, der Landesbeauftragten für Datenschutz Schleswig-Holstein. Im Zentrum der intensiven Diskussionen standen aktuelle datenschutzpolitische Themen.
Schwerpunkte der Tagung
Urteil des EuGH zum Beschäftigtendatenschutz
Ein neues Urteil des Europäischen Gerichtshofs vom 30. März 2023 (C 34/12) erfordert Anpassungen in zahlreichen deutschen Regelungen zum Beschäftigtendatenschutz. Die Datenschutzkonferenz betont die Notwendigkeit einer Überarbeitung und erneuert ihre Forderung nach einem eigenständigen Beschäftigtendatenschutzgesetz.
Die BVerfG-Entscheidung zur polizeilichen Datenanalyse
Das Bundesverfassungsgericht hat in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen an solche eingriffsintensiven Analysemethoden mit und ohne künstlicher Intelligenz festgelegt (1 BvR 1547/19 und 1 BvR 2634/20). In ihrer Entschließung zur automatisierten Datenanalyse bei Polizei und Nachrichtendiensten appelliert die Datenschutzkonferenz an die Gesetzgeber von Bund und Ländern, den gesetzgeberischen Handlungsbedarf aufgrund der Entscheidungen des Bundesverfassungsgerichts zu prüfen. Falls der Einsatz komplexer Datenanalysemethoden als notwendig erachtet wird, müssen klare rechtliche Grundlagen und angemessene Rahmenbedingungen geschaffen werden, um den Grundrechtsschutz der betroffenen Personen zu gewährleisten. Die bestehenden gesetzlichen Bestimmungen sind in der Praxis verfassungskonform anzuwenden.
Smart Meter
Während der flächendeckende Einsatz von Smart Metern zur Erfassung von Strom- und Wärmeverbrauch gesetzlich geregelt ist, fehlt eine vergleichbare Regelung für funkbasierte Kaltwasserzähler bisher. Die von diesen Zählern aus der Ferne abrufbaren Verbrauchsdaten ermöglichen Rückschlüsse auf das Verhalten und die Lebensgewohnheiten der Bewohnerinnen und Bewohner. Die Datenschutzkonferenz betrachtet die Einführung einheitlicher Regelungen als dringend erforderlich, in denen konkrete Zwecke, Datenumfang, Abrufhäufigkeit und Löschfristen festgelegt werden. Darüber hinaus müssen technische und organisatorische Sicherheitsmaßnahmen gemäß dem aktuellen Stand der Technik für den Einsatz von Kaltwasserzählern getroffen werden.
Positionspapier zum Cloud-Einsatz
Die Datenschutzkonferenz bringt mit ihrem Positionspapier “Kriterien für Souveräne Clouds” ihre Expertise in die politische Diskussion ein. Die erarbeiteten Kriterien zielen darauf ab, die digitale Souveränität sowohl der Cloud-Anbieter als auch der Cloud-Nutzer zu gewährleisten, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Souveräne Clouds müssen den Verantwortlichen ermöglichen, die Einhaltung der datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft sicherzustellen. Die Kriterien umfassen Aspekte wie “Transparenz zur Nachvollziehbarkeit”, “Datenhoheit und Kontrollierbarkeit”, “Offenheit”, “Vorhersehbarkeit und Verlässlichkeit” sowie “Regelmäßige Überprüfung der aufgestellten Kriterien”.
Die erarbeiteten und beschlossenen Dokumente werden in Kürze auf der Website der Datenschutzkonferenz https://www.datenschutzkonferenz-online.de/ veröffentlicht.
15. Mai 2023
Ende der vergangenen Woche äußerte sich das europäische Parlament in einer Entschließung zu einem möglichen Angemessenheitsbeschluss für die USA. Bereits im Oktober 2022 hatte Präsident Biden die Exekutiv-Anordnung 14086 unterzeichnet. Diese Anordnung sollte neue Maßnahmen zu Schutz personenbezogener Daten in Kraft setzen (wir berichteten). Diese Anordnung ist außerdem ein wesentlicher Bestandteil der neuen transatlantischen Rahmenvereinbarung (sog. Trans-Atlantic Data Privacy Framework), die einen neuen Angemessenheitsbeschluss der europäischen Kommission für die USA ermöglichen soll.
Nun setzte sich das europäische Parlament in seinem Entschluss mit der Frage auseinander, ob die europäische Kommission auf der Grundlage der transatlantischen Rahmenvereinbarung einen neuen Angemessenheitsbeschluss annehmen könne. Dabei untersuchte das europäische Parlament insbesondere die Frage, ob die genannte Anordnung zur Sicherung des europäischen Datenschutzniveaus beitragen kann.
Erhebliche Bedenken
Insgesamt betonte das Parlament, dass die vorgelegten Änderungen der Exekutiv-Anordnung kein ausreichendes datenschutzrechtliches Niveaus erzielten. Aus Sicht des Parlamentes stelle insbesondere die in der Exekutiv-Anordnung vorgesehene Frist ein Problem dar. US-Behörden erhielten bis Oktober 2023 Zeit, um die datenschutzrechtlichen Vorgaben der Anordnung in der Praxis umzusetzen. Demnach könne die europäische Kommission keine abschließende Einschätzung zum kritischen Zugang der Behörden auf personenbezogene Daten europäischer Bürger abgeben.
Außerdem sei die gerichtliche Durchsetzung datenschutzrechtlicher Verstöße vor US-Gerichten durch EU-Bürger problematisch. Grundsätzlich sehe die Exekutiv-Anordnung neue Rechtsbehelfe, in Form eines sog. Datenschutz-Überprüfungsgerichtes vor. Demnach könnten betroffene Personen Datenschutzverstöße vor Gericht angreifen. Allerdings seien die entsprechenden Verfahren nicht öffentlich, sodass die betroffene Person lediglich darüber informiert werde, dass das Gericht keinen Datenschutzverstoß feststellte oder Abhilfemaßnahmen anordnete. Zusätzlich könne der Präsident die Entscheidungen des Datenschutz-Überprüfungsgerichtes aufheben. Damit sei die richterliche Unabhängigkeit fraglich.
Darüber hinaus kritisierte das europäische Parlament den Rechtscharakter der Anordnung. Bei der Anordnung handele es sich nicht um ein Bundesgesetz. Der Präsident könne die Anordnung jederzeit ändern und aufheben.
Zusätzlich betonte das europäische Parlament, dass die Exekutiv-Anordnung die Erhebung personenbezogener Daten und insbesondere die Erhebung des Inhaltes von Mitteilungen erlaube. Die Anordnung sehe grundsätzlich neue Schutzmaßnahmen gegen die Massenerhebung personenbezogener Daten vor. Allerdings solle nach ihren Regelungen keine vorherige Einwilligung in die Massenerhebung von Daten eingeholt werden. Infolgedessen zweifelt das europäische Parlament daran, dass hinreichende Garantien für den Fall einer Massenerhebung von Daten existierten.
Fazit
Abschließend betonte das europäische Parlament, dass die transatlantische Rahmenvereinbarung kein ausreichendes Schutzniveau biete. Es seien weitere Verhandlungen erforderlich. Entschließungen des europäischen Parlamentes sind rechtlich nicht bindend, sodass die Reaktion der europäischen Kommission abzuwarten bleibt.
Der langjährige Rechtsstreit um eine Geldstrafe gegen die Deutsche Wohnen SE, die von der Berliner Aufsichtsbehörde (BlnBDI) verhängt wurde, steht erneut im Fokus des Datenschutzrechts. Nachdem das Kammergericht Berlin (KG) vorläufig den Europäischen Gerichtshof (EuGH) angerufen hatte und die Parteien in einer mündlichen Verhandlung vor dem EuGH angehört wurden, äußerte sich Ende April auch Generalstaatsanwalt Campos Sánchez-Bordona zu dem Fall. In seinen Schlussanträgen bestätigte der Generalanwalt zwar, dass Bußgelder gemäß der Datenschutz-Grundverordnung (DSGVO) grundsätzlich direkt gegen Unternehmen verhängt werden können, lehnte jedoch die Frage ab, ob diese auch unabhängig von einem Verschulden erlassen werden können. Damit wurde der Forderung nach einer Haftung ohne Verschulden, auch bekannt als “strict liability”, eine Absage erteilt. Eine endgültige Entscheidung des EuGH zur Klärung dieser Fragen steht noch aus und wird mit Spannung in naher Zukunft erwartet.
Rechtlicher Hintergrund
Im Oktober 2019 verhängte die Berliner Aufsichtsbehörde gegen den Immobilienkonzern Deutsche Wohnen SE eine Geldstrafe in Höhe von 14,5 Millionen Euro aufgrund von Datenschutzverstößen gegen die DSGVO. Der Vorwurf der BlnBDI lautete, dass der Immobilienkonzern personenbezogene Mieterdaten unrechtmäßig lange aufbewahrt und keine angemessenen Maßnahmen zur Löschung ergriffen hatte.
Im Rahmen eines Einspruchsverfahrens erklärte das zuständige Berliner Landgericht den Bescheid zugunsten der Deutschen Wohnen SE für ungültig. Das Gericht war der Ansicht, dass nach deutschem Ordnungswidrigkeitenrecht juristische Personen nur dann direkt sanktioniert werden können, wenn den Unternehmensverantwortlichen ein konkretes Fehlverhalten nach dem gesetzlichen “Rechtsträgerprinzip” gemäß § 30 OWiG nachgewiesen werden kann. Da ein solches Fehlverhalten seitens der Aufsichtsbehörde nicht nachgewiesen werden konnte, hob das Gericht den Bescheid auf. Die zuständige BlnBDI und die Staatsanwaltschaft legten gemeinsam Beschwerde beim Kammergericht Berlin gegen die Einstellung des Verfahrens ein. Die Kammer setzte das Verfahren vorerst aus und legte dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vor.
Vorabentscheidungsverfahren beim EuGH
Im Gegensatz zum erstinstanzlichen Landgericht Berlin hat sich das Kammergericht Berlin an den Europäischen Gerichtshof gewandt und ein Vorabentscheidungsersuchen gestellt, um zwei zentrale Fragen zur Auslegung von Art. 83 Abs. 4-6 DSGVO zu klären. Das Kammergericht Berlin wollte vom EuGH im Wesentlichen wissen:
Ob Geldbußen gemäß der DSGVO direkt gegen rechtswidrig handelnde Unternehmen verhängt werden können.
Ob ein Unternehmen den Verstoß, der von einem Mitarbeiter begangen wurde, schuldhaft begangen haben muss oder ob für eine Bestrafung bereits eine objektive Pflichtverletzung ausreicht (sogenannte “strict liability”).
Unternehmen als Adressaten von Sanktionen?
Nach Ansicht des Generalanwalts können Unternehmen direkte Adressaten von Geldbußen sein. Dies sei nicht nur in mehreren Bestimmungen der DSGVO vorgesehen, sondern nach Aussage des Generalanwalts auch ein Schlüsselmechanismus zur Gewährleistung der Wirksamkeit der DSGVO. Der Generalanwalt argumentierte, dass dies aus dem Wortlaut einzelner Normen der DSGVO hervorgehe. Insbesondere Artikel 4, 58 und 83 der DSGVO lassen darauf schließen, dass Sanktionen, insbesondere Geldbußen, direkt gegen juristische Personen verhängt werden können. Die Frage, ob das deutsche Ordnungswidrigkeitengesetz, insbesondere § 30 OWiG, die Anforderungen der DSGVO in dieser Hinsicht ausreichend berücksichtigt, wurde vom Generalanwalt nicht abschließend beantwortet. Er verwies auf das Landgericht Berlin, das diese Frage noch ausreichend klären müsse.
Sanktionen und schuldhaftes Handeln
Dies ist nur der Fall, wenn der Sanktionierung vorsätzliches oder fahrlässiges Handeln eines Mitarbeitenden des Unternehmens vorausgegangen ist. Ein rechtswidriges Verhalten eines einzelnen Beschäftigten genügt bereits, um gegen das Unternehmen eine entsprechende Geldbuße zu verhängen. Der Generalanwalt ist der Ansicht, dass ein konkreter Nachweis einer Aufsichtspflichtverletzung erforderlich ist, damit das schuldhafte Handeln eines Mitarbeitenden, der nicht zur Führungsriege gehört, den Leitungsorganen zugerechnet und somit sanktioniert werden kann.
Der Generalanwalt erklärt dies wie folgt:
“Es handelt sich schließlich um natürliche Personen, die zwar nicht selbst Vertreter einer juristischen Person sind, aber unter der Aufsicht derjenigen handeln, die Vertreter der juristischen Person sind und die eine unzureichende Überwachung oder Kontrolle über die zuerst genannten Personen ausgeübt haben. Letzten Endes führt die Zurechenbarkeit zu der juristischen Person selbst, soweit der Verstoß des Mitarbeiters, der unter der Aufsicht ihrer Leitungsorgane handelt, auf einen Mangel des Kontroll- und Überwachungssystems zurückgeht, für den die Leitungsorgane unmittelbar verantwortlich sind.”
Damit beantwortet der Generalanwalt auch die Frage, ob bereits eine objektive Pflichtverletzung ausreicht, um eine Geldbuße zu verhängen. Diese Frage verneint der Generalanwalt und erklärt, dass Aufsichtsbehörden keine verschuldensunabhängigen Geldbußen gegen Unternehmen verhängen können, da einer Geldbuße stets ein zuzurechnendes Verschulden vorausgehen muss. Dies bedeutet, dass Aufsichtsbehörden zumindest im Rahmen des Bußgeldverfahrens ein Verschulden feststellen müssen.
Der Generalanwalt führt dazu aus:
“Was die in der DSGVO vorgesehenen Verpflichtungen betrifft, einschließlich derjenigen, von denen die Verarbeitung von Daten (Artikel 5 DSGVO) und deren Rechtmäßigkeit (Artikel 6 DSGVO) abhängt, erfordert die Beurteilung, ob diese Verpflichtungen erfüllt wurden, einen komplexen Bewertungs- und Beurteilungsprozess, der über die bloße Feststellung eines formalen Verstoßes hinausgeht.”
Falls die Richter dem Votum des Generalanwalts folgen, würde dies bedeuten, dass Bußgelder zukünftig nicht mehr nach dem Prinzip der “strict liability” verschuldensunabhängig verhängt werden können. Die Richter sind zwar nicht an die Empfehlungen des Generalanwalts gebunden, folgen seiner Rechtsauffassung aber in der Regel. Der Zeitpunkt für eine Entscheidung ist derzeit noch nicht bekannt.
Aussage der Berliner Aufsichtsbehörde
Zwischenzeitlich äußerte sich auch die neue Datenschutz- und Informationsfreiheitsbeauftragte Meike Kamp auf ihrem eigenen Mastodon-Account und unterstützte die Ansichten des Generalanwalts. Aus ihren Aussagen geht hervor, dass ein Urteil, das die Schlussanträge des Generalanwalts aufgreift, in Deutschland endlich einheitliche Standards für die Verhängung von Sanktionen bei rechtswidrigem Verhalten schaffen würde, wie es in der übrigen EU bereits der Fall ist. Dies würde dem Ziel einer einheitlichen Durchsetzung des europäischen Rechts gerecht werden und die Bußgeldverfahren der deutschen Aufsichtsbehörden erheblich vereinfachen.
Fazit
Bereits jetzt zeichnet sich ab, obwohl das Urteil des EuGH noch aussteht, dass dies erhebliche Auswirkungen auf die Praxis der Bußgeldverhängung durch deutsche Aufsichtsbehörden haben wird. Die Schlussanträge des Generalanwalts geben eine erste Richtung vor, wie die Richter am EuGH in naher Zukunft entscheiden könnten, und erhöhen bereits jetzt die Spannung, insbesondere in der Datenschutzberatung.
Wenn die Richter des EuGH tatsächlich den Schlussanträgen des Generalanwalts in ihrem Urteil folgen, hätte dies nicht nur erhebliche Auswirkungen auf zukünftige Bußgeldverfahren, sondern auch unmittelbar auf Unternehmen. Obwohl den deutschen Aufsichtsbehörden die Möglichkeit genommen würde, Bußgelder verschuldensunabhängig zu verhängen, dürfte dies in der Praxis nur begrenzt Erleichterung bringen, da zumindest das Vorliegen fahrlässigen Verschuldens seitens der Beschäftigten in den meisten Fällen vermutet werden kann. Der einzige tatsächliche Unterschied besteht darin, dass die Aufsichtsbehörden im Rahmen des Verfahrens zur Überprüfung des Verschuldens einen zusätzlichen Aufwand betreiben müssten.
12. Mai 2023
Am 11. Mai 2023 hat der Bundestag das Hinweisgeberschutzgesetz (HinSchG) verabschiedet, das die EU-Richtlinie zum Schutz von Hinweisgebern in Unternehmen und Behörden umsetzt. Der Bundesrat hat das Gesetz einstimmig angenommen und es kann nun in Kraft treten. Das Gesetz bietet einen besseren Schutz für Hinweisgeber, die Missstände und Gesetzesverstöße melden, indem es Meldestellen einführt und Maßnahmen gegen Repressalien vorsieht.
Vorgeschichte
Die EU-Richtlinie (EU 2019/1937) zur Stärkung des Schutzes von Hinweisgebern hätte in Deutschland eigentlich bis zum 17. Dezember 2021 umgesetzt werden müssen. Nachdem die EU-Kommission im Januar 2022 Deutschland zur Umsetzung der Richtlinie aufgefordert hatte, reichte sie im Februar 2023 Klage beim Europäischen Gerichtshof gegen Deutschland und sieben weitere Mitgliedsstaaten ein.
Der Bundestag hatte den Entwurf der Bundesregierung am 16. Dezember in einer vom Rechtsausschuss geänderten Fassung beschlossen. Jedoch konnte der zustimmungspflichtige Gesetzentwurf im Bundesrat am 10. Februar 2023 keine Mehrheit erzielen. Als Lösung rief die Bundesregierung schließlich den Vermittlungsausschuss im April an, der eine Einigung erzielen konnte.
Inhalt und Anwendungsbereich
Die Whistleblowing-Richtlinie der EU und das Hinweisgeberschutzgesetz verpflichten alle öffentlichen und privaten Unternehmen ab einer Größe von 50 Mitarbeitern, rechtskonforme Hinweisgebersysteme für Whistleblower einzurichten:
- Spätestens bis zum 17. Dezember 2023, sind auch Unternehmen mit einer Beschäftigtenzahl zwischen 50 und 249 verpflichtet, ein Hinweisgebersystem bereitzustellen.
- Unabhängig von der Beschäftigtenzahl werden Wertpapierdienstleistungsunternehmen, Datenbereitstellungsdienste, Börsenträger und Kredit- und Finanzdienstleistungsinstitute nach den Vorgaben des HinSchG verpflichtet, eine interne Meldestelle für Whistleblower einzurichten.
- Das Gesetz sieht vor, dass Whistleblower die Möglichkeit haben, Hinweise mündlich, schriftlich oder persönlich abzugeben.
- Die Meldestelle muss den Hinweis innerhalb von sieben Tagen bestätigen und den Whistleblower innerhalb von drei Monaten über die ergriffenen Maßnahmen informieren.
Die wichtigsten Änderungen des Vermittlungsausschusses:
- Die Pflicht zur Einrichtung anonymer Meldekanäle wird gestrichen.
- Das Gesetz nennt keine Pflicht zur Abgabe anonymer Meldungen. Stattdessen wird nur festgelegt, dass die Meldestellen auch anonyme Meldungen bearbeiten „sollten“.
- Der immaterielle Schadensersatz wird gestrichen.
- Die Beweislastumkehr bleibt erhalten, jedoch gilt die Vermutung einer Repressalie nur, wenn sie von der hinweisgebenden Person selbst geltend gemacht wird.
- Die Höhe der Bußgelder für Verstöße gegen das Gesetz wird auf 50.000 Euro reduziert.
Wir beraten Sie gerne
Ein solches Hinweisgebersystem können wir Ihnen als vollständig extern betreute Lösung anbieten. Unser KINAST Hinweisgebersystem ist auf die vollumfängliche Erfüllung der gesetzlichen Pflichten und Anforderungen zum Hinweisgeberschutz zugeschnitten, die sich aus der EU-Whistleblower-Richtlinie und dem Hinweisgeberschutzgesetz (Deutschland und Österreich) ergeben. Wir garantieren dabei höchste Vertraulichkeit.
Die genauen Vorteile der Nutzung unseres Services haben wir hier für Sie zusammengefasst:
https://www.kinast.eu/whistleblowing-hinweisgebersystem/
Gerne stehen wir Ihnen für Rückfragen zur Verfügung und unterbreiten Ihnen ein individuelles Angebot.
10. Mai 2023
Welche Änderungen wurden vorgenommen und was müssen die Benutzer wissen?
OpenAI, das Unternehmen hinter dem erfolgreichen ChatGPT, stand in letzter Zeit aufgrund von Datenschutzbedenken im Rampenlicht, insbesondere in der Europäischen Union. Die italienische Datenschutzbehörde Garante verhängte am 3A1. März ein vorübergehendes Verbot für die Plattform, nachdem Berichte über eine Datenpanne bekannt geworden waren, die die Gespräche und Zahlungsinformationen der ChatGPT-Nutzer betraf. Infolge des Verbots nahm OpenAI Gespräche mit der Behörde auf, um Bedenken hinsichtlich der Einhaltung der Vorschriften auszuräumen, und machte Fortschritte bei der Verbesserung seiner Dienste.
Am 28. April gab die Garante bekannt, dass sie ChatGPT in Italien wieder zugelassen hat, weil OpenAI bei der Ausräumung ihrer Bedenken kooperiert hat. Aber was genau hat das Unternehmen getan, um die Aufhebung des Verbots zu rechtfertigen?
Bis vor kurzem wurden alle Unterhaltungen zwischen privaten Nutzern und dem Bot für das Training des Algorithmus verwendet, was die Möglichkeit eröffnete, dass die Eingaben der Nutzer von der Maschine für künftige öffentliche Antworten verwendet wurden. Dies stellte eines der größten Datenschutzrisiken der Software dar, da persönliche Daten, die in das System eingegeben wurden, potenziell an andere Nutzer weitergegeben werden konnten. Es war auch ein rotes Tuch für geschützte Informationen, insbesondere Firmengeheimnisse und Code, die versehentlich öffentlich gemacht werden könnten. OpenAI war sich dieses Problems bewusst und verlangte von den Nutzern, in Gesprächen keine “sensiblen Informationen” preiszugeben, aber viele taten es trotzdem, was zu Kontroversen in Unternehmen wie Amazon und Samsung führte.
Neue Datenschutzeinstellungen für ChatGPT
Am 25. April kündigte OpenAI diesbezügliche Änderungen an. Die Nutzer können nun ihre Datenschutzeinstellungen ändern und die Option “Chatverlauf und Training” deaktivieren. Wenn diese Einstellung deaktiviert ist, werden die Unterhaltungen zwischen dem Benutzer und dem Bot nicht für das Training des Algorithmus verwendet und erscheinen nicht im Chatverlauf. Dadurch wird das Risiko verringert, dass Chat-Informationen versehentlich an Dritte weitergegeben werden.
OpenAI hat außerdem eine neue Datenschutzrichtlinie veröffentlicht, die von der Registrierungsseite für neue Nutzer aus zugänglich ist, und in Italien eine “Willkommen zurück”-Seite eingerichtet, die Links zu der neuen Datenschutzrichtlinie und zu Informationshinweisen über die Verarbeitung personenbezogener Daten zum Zwecke des Algorithmentrainings enthält.
Als Reaktion auf Bedenken hinsichtlich der Richtigkeit der vom Bot über natürliche Personen gelieferten Daten hat das Unternehmen einen Mechanismus geschaffen, der es den betroffenen Personen ermöglicht, die Korrektur falscher oder irreführender Informationen, die der Bot über sie verbreitet, zu verlangen. Wenn es technisch unmöglich ist, das Problem zu korrigieren, können die betroffenen Personen auch verlangen, dass ihre Daten aus der Ausgabe von ChatGPT entfernt werden.
Schließlich hat OpenAI eine Altersfreigabe eingeführt, bei der die Nutzer selbst bestätigen müssen, dass sie mindestens 18 Jahre alt sind oder zwischen 13 und 17 Jahren alt sind und die Zustimmung ihrer Eltern zur Nutzung des Dienstes eingeholt haben. Diese Maßnahme soll Minderjährige davor schützen, über den Bot auf unangemessene Informationen zuzugreifen.
Weiterhin Bedenken
Obwohl die Änderungen ein willkommener Schritt in Richtung Datenschutzkonformität sind, ist die Situation noch lange nicht perfekt. Selbst wenn ein Nutzer die Option “Chatverlauf und Training” deaktiviert hat, um zu vermeiden, dass seine Unterhaltungen zum Trainieren des Algorithmus verwendet werden, können die Mitarbeiter von OpenAI zu Moderationszwecken darauf zugreifen. Das bedeutet, dass es immer noch wichtig ist, auf die Eingaben zu achten, die man der Maschine zur Verfügung stellt, und nichts zu schreiben, was nicht von Dritten gelesen werden sollte, einschließlich persönlicher Daten, sensibler Informationen und Geschäftsgeheimnisse.
Darüber hinaus befinden sich alle Server von OpenAI in den Vereinigten Staaten, einem Land, in dem die Datenschutzrechte nicht in gleichem Maße geschützt sind wie in der DSGVO. Jedes Mal, wenn personenbezogene Daten in das ChatGPT-System eingespeist werden, findet eine internationale Übertragung in ein unsicheres Land statt, wodurch die Daten potenziell gefährdet sind.
Schließlich hat die Garante OpenAI aufgefordert, ein Altersverifikationssystem zu implementieren und eine Informationskampagne durchzuführen, um die Italiener über die Geschehnisse und ihr Recht zu informieren, der Verarbeitung ihrer personenbezogenen Daten für das Algorithmustraining zu widersprechen.
Datenschutzbedenken beeinflussen das Verhalten der Unternehmen
Dieser Fall ist ein praktisches Beispiel dafür, wie Datenschutzvorschriften und rechtzeitige Kontrollen durch Behörden das Verhalten von Unternehmen beeinflussen und den Schutz der Grundrechte und -freiheiten der Nutzer in Echtzeit verbessern können. OpenAI scheint sich mit seinen Produkten um einen konformeren Ansatz zu bemühen, aber es bleibt noch viel zu tun, um sicherzustellen, dass KI-Technologien auf verantwortungsvolle und ethische Weise eingesetzt werden. Wir sind gespannt, welche neuen Änderungen in den kommenden Wochen umgesetzt werden.
Während wir uns weiterhin mit den Herausforderungen neuer Technologien auseinandersetzen, ist es wichtig, dass die Nutzer wachsam bleiben und Maßnahmen ergreifen, um ihre persönlichen Daten bei der Interaktion mit KI-Systemen zu schützen. Eine Möglichkeit, dies zu tun, ist die Ablehnung von Gesprächen, die zum Trainieren von Chatbots verwendet werden, wie es OpenAI jetzt erlaubt, sowie die Vermeidung der Weitergabe sensibler Informationen und die Verwendung von Pseudonymen. Durch die Zusammenarbeit von Regulierungsbehörden, Unternehmen und Nutzern kann sichergestellt werden, dass die Vorteile von KI-Technologien genutzt werden und gleichzeitig die Risiken für die Privatsphäre und die Sicherheit des Einzelnen minimiert werden.
8. Mai 2023
Vergangene Woche traf der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen im Rahmen eines Vorabentscheidungsverfahrens, die die Auslegung der Datenschutz-Grundverordnung (DSGVO) betrafen (Urteil immaterieller Schadensersatz bei DSGVO-Verstößen- wir berichteten -).
Unter anderem entschied der EuGH (Rs. Az. C-60/22) über die Frage, ob ein unrechtmäßige Datenverarbeitung iSd Art. 17 Abs. 1 lit. d und Art. 18 Abs. 1 lit. b DSGVO vorliege, soweit ein Verantwortlicher seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkomme. Dabei sei der Rechenschaftspflicht unzureichend nachgekommen worden, aufgrund einer fehlenden Vereinbarung über die gemeinsame Verantwortlichkeit (Art. 26 DSGVO) und einem unvollständigen Verzeichnis für Verarbeitungstätigkeiten (Art. 30 DSGVO).
Die Hintergründe
Dem Ausgangsverfahren lag der Antrag des Klägers auf internationalen Schutz beim zuständigen Bundesamt zu Grunde. Seine Entscheidung traf das Bundesamt unter Verwendung einer elektronischen Akten. Anschließend klagte der Betroffene vor dem Verwaltungsgericht gegen die Ablehnung auf internationalen Schutz. Im Rahmen des Prozesse übermittelte das Bundesamt dem Verwaltungsgericht die elektronische Akte des betroffenen Klägers, sodass Bundesamt und Verwaltungsgericht gemeinsam verantwortlich nach Art. 26 DSGVO waren. Aus Sicht des Klägers verstieß das Verwaltungsgericht gegen seine Rechenschaftspflicht aus der DSGVO, indem es weder einen Vertrag über die gemeinsame Verantwortlichkeit vorlegen konnte noch die Übermittlung in das Verzeichnis für Verarbeitungstätigkeiten aufgenommen hatte.
Keine unrechtmäßige Verarbeitung
Der EuGH äußerte sich dazu, ob die fehlende Vereinbarung über eine gemeinsame Verantwortlichkeit und das lückenhaft Verzeichnis für Verarbeitungstätigkeiten eine unrechtmäßige Verarbeitung iSd DSGVO sei. Danach richte sich, ob die betroffene Person ein Recht auf Löschung der verarbeiteten personenbezogenen Daten nach Art. 17 Abs. 1 lit. d und ein Recht auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 lit. b DSGVO habe.
Dazu führte der Gerichtshof erstens aus, dass ein Verantwortlicher nach Art. 5 Abs. 1 und 2 DSGVO sicherstellen müsse, dass die Datenverarbeitung rechtmäßig sei. Die Rechtmäßigkeit der Datenverarbeitung regele die DSGVO nach Art. 6. Demnach müsse eine der nach Abs. 1 lit. a bis f DSGVO alternativ aufgeführten Bedingungen erfüllt sein. Die nach Art. 26 und 30 DSGVO vorgesehenen Pflichten seien aber „(…) nicht zu den in nach Art. 6 Abs. 1 Unterabs. 1 genannten Gründen für die Rechtmäßigkeit der Verarbeitung [zu] zählen.“ (EuGH, Urteil vom 4.5.2023, C-60/22 Rn. 59) Die Pflichten nach Art. 26 und 30 DSGVO seien nicht dafür gedacht die Anforderungen an eine rechtmäßige Verarbeitung iSd nach Art. 6 Abs. 1 DSGVO genauer zu bestimmen.
Zweitens führte das Gerichts aus, dass die Rechtmäßigkeit zu den Grundsätzen der Datenverarbeitung zähle. Stattdessen seien die Vereinbarung über die gemeinsame Verantwortlichkeit und das Verzeichnis über Verarbeitungstätigkeiten allgemeine Pflichten des Verantwortlichen.
Außerdem führte der Gerichtshof drittens aus, dass bei einem Verstoß gegen Art. 26 und 30 DSGVO noch keine Verletzung des Grundrechts auf den Schutz personenbezogener Daten vorliege.
Fazit
Abschließend stellte der Gerichtshof fest, dass der Verstoß gegen Art. 26 und 30 DSGVO keine unrechtmäßige Verarbeitung nach Art. 17 Abs. I lit. d und Art. 18 Abs. 1 lit. b DSGVO sei. Da das Urteil erst vor kurzem erschienen ist, bleiben Reaktionen der Aufsichtsbehörden noch abzuwarten.
Pages: 1 2 ... 7 8 9 10 11 ... 266 267 
