Unser Datenschutz-Update im Dezember 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Dezember 2023.

1. Nachrichten aus der Welt des Datenschutzes

Die Verwendung von KI in allen möglichen Lebensbereichen ist nicht mehr aufzuhalten, egal ob man der Entwicklung positiv oder skeptisch gegenübersteht. Umso wichtiger ist dabei, dass bereits in der Entwicklung Risiken berücksichtig werden, die die Sicherheit der Nutzer:innen betreffen können. Dabei ist ebenfalls wichtig, dass die Länder sich international verständigen und versuchen, zu einem gemeinsamen Verständnis dieses neuen „Bereichs“ zu kommen. 

Nun hat die Cybersecurity and Infrastructure Security Agency (CISA) – gehört zum Ministerium für innere Sicherheit der USA – gemeinsam dem National Cyber Security Centre (NCSC) des Vereinigten Königreichs Richtlinien für die sichere Entwicklung von KI-Systemen veröffentlicht. An der Ausarbeitung der Richtlinien beteiligten sich 23 Cybersicherheitsbehörden aus 18 Ländern. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) war eines dieser Teilnehmer.

Die Richtlinien stellen unverbindliche Empfehlungen dar, die sich an die Entwickler:innen von KI-Systemen richten. Die Richtlinien mahnen zur Vorsicht, die Cybersicherheit nicht zugunsten des Fortschritts und der raschen Weiterentwicklung der KI zu vernachlässigen. Sicherheit, Belastbarkeit oder auch Fairness müssen weiterhin gewährleistet sein. Vor allem, weil KI-Systeme und ihre Anwendungen neue Risiken eröffnen, die für Cyber-Angriffe genutzt werden können. Sensible Daten müssen besonders geschützt sein. 

Die Richtlinien konzentrieren sich dabei auf 4 Kernbereiche: 

• Design (secure design)
• sichere Entwicklung (secure development)
• sicherer Einsatz (secure deployment) und
• sichere Bedienung und Wartung (secure operation and maintenance).

Sie umfassen knappe 20 Seiten und sind in jedem Fall einen Blick wert.

In jedem der Bereiche werden Empfehlungen gegeben, wird auf Risiken hingewiesen, die berücksichtigt werden sollen und weitere Punkte, die im jeweiligen Entwicklungs- oder Anwendungsbereich mit einbezogen werden sollten. 

Mehr dazu finden Sie hier: https://www.ncsc.gov.uk/files/Guidelines-for-secure-AI-system-development.pdf

2. Entscheidungen des Monats

Unverzügliche Auskunftserteilung gem. DSGVO – nach mehr als einer Woche nicht mehr gegeben 

Der Kläger hatte einen Auskunftsanspruch zu seinen Bewerbungsunterlagen und den gespeicherten personenbezogenen Daten gestellt. Seine Bewerbung stammte vom 14. März 2017. Am 18. Mai 2023 machte er seinen Auskunftsanspruch geltend. Die Auskunft wurde wiederum am 5. Juni 2023 erteilt. Dies sei nach Ansicht des Gerichts nicht rechtzeitig gewesen.

In den Entscheidungsgründen ging es um die Auslegung des Begriffs „unverzüglich“. Dazu erkannte das Gericht: 

„Die Vorgabe in Art 12 III DSGVO bedeutet, dass der Verantwortliche alle Anträge der betroffenen Person, mit denen diese ein Betroffenenrecht geltend macht, beschleunigt behandeln muss. Art. 12 III errichtet für die Positivantwort und die Negativantwort gleichermaßen eine Pflicht zur unverzüglichen Unterrichtung. Die Pflicht zur unverzüglichen Positivantwort impliziert, dass der Verantwortliche das Betroffenenrecht selbst gleichfalls unverzüglich zu erfüllen hat. Als Höchstfrist legen beide Normen einen Monat ab Antragseingang fest. Diese Höchstfrist darf nicht routinemäßig, sondern nur in schwierigeren Fällen ausgeschöpft werden…. Dabei ist unter unverzüglich, angelehnt an § 121 BGB, „ohne schuldhaftes Zögern“ zu verstehen …Da „unverzüglich“ weder „sofort“ bedeutet noch damit eine starre Zeitvorgabe verbunden ist, kommt es auf eine verständige Abwägung der beiderseitigen Interessen an. Nach einer Zeitspanne von mehr als einer Woche ist aber ohne das Vorliegen besonderer Umstände grundsätzlich keine Unverzüglichkeit mehr gegeben …„

Besondere Umstände, welche einen besonderen Bearbeitungsaufwand oder eine verlängerte Bearbeitungsspanne zu rechtfertigen vermögen, wurden nicht von der Beklagten vorgetragen, bzw. vom Gericht als nicht vorliegend angesehen.

Ebenso war es unbeachtlich, dass die Bewerbung schon sechs Jahre zurück lag. 

„Die Frage einer objektiven Dringlichkeit ist nicht Voraussetzung des Betroffenenrechts nach Art. 12 DSGVO. Eine entsprechende subjektive Bewertung durch die Beklagte vermag an der Frist des Art. 12 III DSGVO nichts zu ändern.“

Ein Verstoß gegen Art. 12 III DSGVO durch die Beklagte lag mithin vor. Ebenso wurde das Vorliegen eines Schadens bejaht. 

Für die Beurteilung der Höhe des Schadensersatzes bei der Bemessung des immateriellen Schadensersatzes könne sich das Gericht auch an Art. 83 II DSGVO orientieren, „so dass als Zumessungskriterien ua Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten betrachtet werden können.„

Nach diesen Grundsätzen hielt die Kammer einen Schadenersatz in Höhe von 750,00 Euro für angemessen.

„Auf der einen Seite ist die Finanzkraft der Beklagten zu berücksichtigen. Auf der anderen Seite ist zu berücksichtigen, dass die Beklagte den gebotenen Zeitraum des Art. 12 III DSGVO nicht in erheblichem Maße überschritten hat und die Auskunft auf die erste Erinnerung des Klägers direkt erteilt hat. Es handelt sich soweit ersichtlich um einen erstmaligen Verstoß. Zudem geht die Kammer davon aus, dass für die Beklagte bereits die Verurteilung wegen eines festgestellten Datenschutzverstoßes an sich eine abschreckende Wirkung hat, da sie geschäftlich mit der Erteilung von Auskünften und Personendaten zu tun hat. Die Festsetzung eines Schadenersatzes in Höhe von 750,00 Euro wird daher trotz der finanziellen Situation der Beklagten als hinreichend abschreckend und angemessen angesehen.“

Mehr dazu finden Sie hier: Arbeitsgericht Duisburg, 5 Ca 877/23

Verspätete Auskunft gibt keinen Anspruch auf Schadensersatz

Der Kläger war 2016 bei der Beklagten beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Am 01.10.2022 verlangte der Kläger erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022. Der Beklagte setzte eine erneute Frist. Die ihm erteilte Auskunft rügte der Kläger als verspätetet und inhaltlich mangelhaft. Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger:innen seiner Daten. Außerdem sei die Datenkopie unvollständig. 

Die Beklagte meinte, die Datenempfänger:innen seien für den Betroffenen nicht interessant und die Angaben nach Kategorien sei daher ausreichend. Zur Speicherdauer gab man näher Auskunft. 

Der Kläger verlangte erneut die namentliche Nennung der Empfänger:innen. Die Beklagte konkretisierte daraufhin erneut die Auskunft. 

Der Kläger verlangte von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. 

Das Arbeitsgericht in erster Instanz nahm einen vorsätzlichen Verstoß der Beklagten an und sprach eine Geldentschädigung von 10.000 Euro zu.

In der Berufung wies nun die 3. Kammer des Landesarbeitsgerichts Düsseldorf die Klage vollständig ab. Ein Verstoß der Beklagten gegen Art. 12 Abs. 3 DSGVO und Art. 15 DSGVO liege vor. Sie habe die Auskunft nicht fristgerecht und anfangs unvollständig erteilt. Eine vollständige Auskunft sei erst am 01.12.2022, d.h. sechs Wochen nach Ablauf der vom Kläger gesetzten Frist erfolgt. Ein Anspruch auf eine Geldentschädigung gemäß Art. 82 Abs. 1 DSGVO liege trotzdem aus zwei Gründen nicht vor. 

Ein Verstoß gegen Art. 15 DSGVO falle bereits nicht in den Anwendungsbereich von Art. 82 DSGVO. Die Vorschrift setzt haftungsbegründend eine gegen die DSGVO verstoßende Datenverarbeitung voraus. Daran fehle es bei der bloßen Verletzung der Auskunftspflicht aus Art. 15 DSGVO. 

Weiterhin setze Art. 82 DSGVO für einen Anspruch auf eine Geldentschädigung wegen eines immateriellen Schadens mehr als einen bloßen Verstoß gegen die Vorschriften der DSGVO voraus. Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge hierfür nicht, weil er mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch sei. Zu weiterem immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen.

Fazit: Das Recht auf Auskunft umfasst im Zweifel auch die Namen der Empfänger:innen, so dass die bloßen Kategorien nicht ausreichend sind. Insgesamt ist das Recht auf Auskunft sehr umfangreich. Trotzdem interessant und nachvollziehbar ist die Entscheidung des Gerichts, dass ein Verstoß hiergegen ohne weitere Folgeschäden für den Betroffenen nicht zu einem Schadensersatzanspruch führen können. 

Mehr dazu finden Sie hier: NRW-Justiz: LAG Düsseldorf: Keine Entschädigung für… 

3. Das schreiben die Anderen zum Datenschutz

• Das „Schufa“-Urteil des EuGH – Auswirkungen auf den Online-Handel
• EuGH beschert wegweisende Urteile zur Bagatellgrenze bei…
• Single Sign-On und Multi-Faktor-Authentifizierung

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.