Unser Datenschutz-Update im April 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den April 2023.

1. Nachrichten aus der Welt des Datenschutzes

Zulässigkeit von Pur-Abos geklärt

Die meisten kennen sie: Gerade auf Medienwebseiten werden Nutzer:innen bei Aufruf der Webseite vor die Wahl gestellt, entweder kostenfrei mit Werbung und Tracking zu lesen oder ein kostenpflichtiges Abo werbefrei und ohne Tracking abzuschließen. 

Lange Zeit wurde die Zulässigkeit immer wieder diskutiert. Denn die Einwilligung in Werbung und Tracking muss nach DSGVO freiwillig erfolgen. Sie darf nicht an andere Dinge geknüpft sein, wodurch die Freiwilligkeit beeinträchtigt wird, so genanntes Koppelungsverbot. Beim oben genannten Beispiel konnte man schon mal auf die Idee kommen, dass die Einwilligung nicht ganz freiwillig zustande kommt. Unter anderem die Bayerische Datenschutzbehörde vertrat hier jedoch eine andere Auffassung. Da es keinen Anspruch auf kostenfreie Beiträge im Internet gibt, liege es in der Entscheidung der Medienanbieter:innen, ob sie ihre Dienste kostenfrei oder gegen Bezahlung anbieten. Es sei von der Vertragsfreiheit gedeckt, wenn sich das Unternehmen entscheide, eine kostenfreie Version nur in Verbindung mit der Einwilligung in Werbung anzubieten und gleichzeitig eine kostenpflichtige Version anzubieten, die werbefrei ist. Die Einwilligung in Werbung sei die Gegenleistung der Nutzer:innen. 

Diese Auffassung wurde nun von der Konferenz der Datenschutzaufsichtsbehörden (DKS) bestätigt. In ihrem Beschluss zur Bewertung solcher Angebote stellte die DKS fest, dass das Tracking von Nutzerverhalten und die Anzeigen von Werbung grundsätzlich auf eine Einwilligung gestützt werden kann, wenn „alternativ ein trackingfreies Modell angeboten wird“. Dieses Modell kann kostenpflichtig sein. Voraussetzung ist lediglich, dass die Leistungen beider Angebote – kostenfrei und kostenpflichtig – gleichwertig sind. 

Die Nutzer:innen, so die DKS, zahlen nicht für die Inhalte, sondern dafür, dass ihr Verhalten nicht getrackt wird und sie keine Werbung angezeigt bekommen. 

Voraussetzung für die Zulässigkeit sei auch hier, dass die Voraussetzungen an eine informierte Einwilligung eingehalten werden. Verschiedene Zwecke der Datenverarbeitung, die sich wesentlich voneinander unterscheiden, müssen getrennt aufgelistet, dürfen also nicht gebündelt werden. Weiter müssen die Nutzer:innen die Möglichkeit haben, auszuwählen, welchen dieser unterschiedlichen Zwecke sie zustimmen wollen, und welchen nicht. 

Mehr dazu finden Sie hier: Pur-Abo-Modelle

ChatGPT-Nutzung in Unternehmen – aktuell anzuraten?

Der Einsatz von ChatGPT kann viele Arbeiten in den unterschiedlichsten Bereichen erleichtern und/oder verbessern. Das macht es natürlich gerade für Unternehmen sehr interessant. Doch leider entbrennt derzeit eine heiße Debatte über die Datenschutzkonformität des Dienstes von OpenAI, und zwar nicht nur in der kostenfreien Version, die jede:r nutzen kann. 

Unglücklicherweise kam es unlängst auch zu Datenpannen beim Dienst: So bekamen Nutzer:innen in Italien plötzlich Chatverläufe anderer Nutzer:innen angezeigt oder hatten Einsicht in Zahlungsinformationen von Plus-Nutzer:innen (bezahlte ChatGPT-Version). Daraufhin verbot die italienische Aufsichtsbehörde ChatGPT und OpenAI sperrte den Dienst dort.

Für Juristinnen und Datenschützer ist ChatGPT ein ungemein interessantes Thema. 

Wir wollen in diesem Artikel versuchen, nicht zu sehr in die Tiefe der rechtlichen Fragestellungen einzutauchen und die Probleme und Möglichkeiten der Nutzung von ChatGPT zum aktuellen Zeitpunkt vereinfacht und praxisbezogen darzustellen.

Nach dem Verbot der italienischen Aufsichtsbehörde nehmen auch weitere europäische Datenschutzbehörden, u.a. in Deutschland, datenschutzrechtliche Überprüfungen des Dienstes vor, und alle warten gespannt auf den 30. April. Bis dahin muss ChatGPT zu den Fragen der italienischen Aufsichtsbehörde Stellung nehmen. Ebenso überprüft Kanada ChatGPT und sogar in den USA werden Überprüfungen von Sicherheitsrisikos gefordert. 

Die Gründe für die Kritik an ChatGPT sind vielfältig und beruhen vor allem auf der bisherigen Intransparenz der Verarbeitungen und entsprechenden Sicherheitsmaßnahmen. Unter anderem wird angezweifelt, dass eine Rechtsgrundlage für die Sammlung der Daten für das Training von ChatGPT besteht. Denn OpenAI kann bisher nicht ausreichend nachweisen, entweder eine Einwilligung eingeholt zu haben, oder die Sammlung und Verarbeitung auf berechtigte Interessen stützen zu können. Vor allem da dem Anschein nach die Daten nicht nur zu Verbesserungszwecken des Produkts, sondern eventuell auch zu Werbezwecken verwendet werden – für welche wiederum eine Einwilligung erforderlich wäre. 

In der Bezahlversion, die vor allem für Unternehmen interessant ist, bietet ChatGPT eine Option, dass Daten nicht zu Trainingszwecken verwendet werden. Auch bietet es einen Auftragsverarbeitungsvertrag (AVV oder engl. DPA). Was zunächst nach einem guten Weg aussieht, steht jedoch juristisch auf wackeligen Beinen und muss zumindest noch einmal durchdacht werden. Denn zu Recht melden sich Stimmen, die im Dienst von ChatGPT keine reine Auftragsverarbeitung sehen, sondern eher eine gemeinsame Verantwortlichkeit. Diese liegt u.a. vor, wenn beide Parteien auch eigene Interessen und Verarbeitungszwecke verfolgen. Damit stellt sich schon die Frage, ob ein AVV überhaupt die richtige Vereinbarung ist. 

Als US-Anbieter erfordert die Nutzung von ChatGPT für Unternehmen außerdem, ein Transfer Impact Assessment (TIA) durchzuführen. Dies wird derzeit erschwert, da gerade über die Verarbeitungen und internen Prozesse des Dienstes keine Klarheit besteht. Zum derzeitigen Zeitpunkt dürfte es kaum möglich sein, bei einem TIA zu einem positiven Ergebnis zu kommen. 

Es ergeben sich auch Zweifel an der bisherigen datenschutzkonformen Verarbeitung der personenbezogenen Daten bei der entgeltlichen Version. Am 26.04.2023 kündigte OpenAI an, in den nächsten Monaten einen neuen Business-Account anzubieten, bei dem verschiedene Einstellungen bezüglich der Verarbeitung personenbezogener Daten vorgenommen werden können. Damit werde man den Richtlinien der Datennutzung des API entsprechen. Daraus kann man schließen, dass den Richtlinien mit der bisherigen Bezahlversion nicht entsprochen wird.

Positiv zu bewerten ist jedoch, dass OpenAI bereits reagiert und versucht, den datenschutzrechtlichen Anforderungen gerecht zu werden und mit Aufsichtsbehörden kommuniziert. In der nächsten Zeit ist sicherlich mit weiteren Nachbesserungen zu rechnen.

Fazit: Unternehmen müssen sowohl ein TIA als auch eine Datenschutzfolgeabschätzung durchführen, wenn sie die Nutzung von ChatGPT im Betrieb einführen wollen. Außerdem sollten sie klare (schriftliche) Vorgaben an die Mitarbeiter:innen zur Nutzung festlegen, um Compliance-Verstöße zu vermeiden. Vorzugswürdig ist es – auch bei Nutzung der Plus-Version – mit der Verarbeitung personenbezogener Daten gänzlich abzuwarten, bis mehr Klarheit zwischen OpenAI und den Aufsichtsbehörden besteht und OpenAI die angekündigten neuen Business-Module anbietet (welche dann trotzdem auf Datenschutzkonformität geprüft werden müssen). 

Mehr dazu finden Sie hier: Italien: Datenschutzbehörde sperrt ChatGPT

ChatGPT Verbot und datenschutzrechtliche Ersteinschätzung

ChatGPT: Datenschützer prüfen Einschränkungen für das KI-Tool

2. Entscheidungen des Monats

500.000 kanadische Doller Schadensersatz für Google

Google muss einem kanadischen Geschäftsmann 500.000 kanadische Dollar zahlen, da das Unternehmen sich geweigert hat, einen Link zu einem diffamierenden Blog-Post über ihn aus den Suchergebnissen zu entfernen. Der Geschäftsmann hatte bereits 2007 den Post auf der Webseite RipOffReport entdeckt, in dem ihm fälschlicherweise Pädophilie vorgeworfen wurde. Aufmerksam war er geworden, weil mehrere Geschäftskontakte für ihn grundlos abgebrochen worden waren. Da seit Veröffentlichung des Posts mehr als ein Jahr vergangen war, konnte er nach kanadischem Recht selber nicht mehr die Löschung veranlassen. Er wandte sich deshalb an Google, um die Verlinkung entfernen zu lassen, damit zumindest die Sichtbarkeit reduziert werde.

Der Quebec Supreme Court hat in seinem Urteil entschieden, dass Google die Summe zahlen muss, da das Unternehmen sich geweigert hatte, den Link konsequent zu entfernen.

Mehr dazu finden Sie hier: Man battling Google wins $500K for search result links calling him a pedophile

Urteil zur Abmahnwelle wegen Google-Fonts Nutzung

Wir berichteten bereits mehrfach zur Abmahnwelle wegen DSGVO-widriger Nutzung von Google Fonts. Abmahnanwält:innen nutzten Web-Crawler, um Webseiten ausfindig zu machen, die Google Fonts in nicht zulässiger Weise nutzen. Es folgte ein immer gleiches Abmahnschreiben mit einer Geldforderung zwischen 150 – 17,00 EUR. Gestützt wurde die Forderung unter anderem auf ein Urteil des LG München I, welches in den Schreiben zitiert wurde.

Nicht nur unter den Abgemahnten, sondern auch in den Reihen der Rechtsanwält:innen kam immer mehr Unmut über das offensichtlich rechtsmissbräuchliche Verhalten der Abmahner:innen bzw. richtigerweise der sie angeblich vertretenden Anwält:innen auf. Mittlerweile nahm ein Gericht Stellung dazu, wie das Abmahnverhalten rechtlich zu sehen ist. 

Ein Webseitenbetreiber, der in der üblichen Weise wegen der unerlaubten Weitergabe der IP-Adressen seiner Besucher:innen abgemahnt wurde und eine Ausgleichszahlung in Höhe von 170 Euro als Schmerzensgeld zahlen sollte, klagte auf Feststellung, dass kein Anspruch auf Unterlassung und Schmerzensgeld bestehe. 

Das Amtsgericht Ludwigsburg bestätigte in seiner Entscheidung (Urteil vom 28.02.2023, Az. 8 C 1361/22) zum einen die grundsätzliche Möglichkeit eines Unterlassungs- und Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO durch die unzulässige Nutzung von Google-Font. 

Zum anderen entschied das Gericht, das Verhalten des Anwalts stelle einen Rechtsmissbrauch dar. Der Anwalt verfolgte nicht in erster Linie das Unterlassungsinteresse, sondern strebte eine Einnahmeerzielung an, und damit sachfremde, nicht schutzwürdige Interessen. Ihm ging es nicht um die Vorbeugung weiterer Rechtsverletzungen. Dies wurde nach Ansicht des Gerichts dadurch untermauert, dass der Anwalt bei Webseitenbetreiber:innen, die gezahlt hatten, nicht geprüft hatte, ob die Website anschließend datenschutzkonform ausgerichtet worden war. Auch hatte er kein Interesse gezeigt, gegen diejenigen Angeschriebenen vorzugehen, die nicht bezahlt hatten. Einen Schmerzensgeldanspruch hatte er erst im Gerichtsprozess geltend gemacht, in welchem gegen ihn vorgegangen worden war. 

Laut einer Pressemitteilung der Berliner Generalstaatsanwaltschaft wurde nun ein Verfahren wegen Abmahnbetrug und Erpressung gegen den Anwalt eingeleitet. 

Mehr dazu finden Sie hier: Gemeinsame Pressemeldung: Durchsuchungen nach Abmahnwelle…

3. Das schreiben die Anderen zum Datenschutz

• Beschäftigtendatenschutz – Alexa & Co. in Pflegeeinrichtungen
• Verhaltensregel „Trusted Data Processor“ – Ein Muss für Auftragsverarbeiter?

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.