Unser Datenschutz-Update im Juli 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juli 2024.

1. Nachrichten aus der Welt des Datenschutzes

KI-Verordnung der EU veröffentlicht

Am 12.07.2024 veröffentlichte die Europäische Union die KI-Verordnung. Die Verordnung soll sicherstellen, dass der Einsatz von KI-Systemen sicher, transparent, nachvollziehbar, nachhaltig und nicht diskriminierend erfolgt. 

Voll umfänglich  gilt sie erst ab dem 02. August 2026. Teile der Verordnung gelten jedoch bereits ab 2025 (Februar und August). Artikel 6 Absatz 1 und die entsprechenden Pflichten gelten ab dem 02. August 2027.

Ab dem 02. Februar 2025 gelten zunächst Verbote für bestimmte KI-Praktiken, wie biometrische Echtzeit-Fernüberwachung und Social Scoring. Social Scoring mithilfe Künstlicher Intelligenz und Emotionserkennung am Arbeitsplatz wird es in Europa nicht geben. Zur biometrischen Fernidentifikation enthält die Verordnung strenge und einschränkende Vorgaben und beugt einer flächendeckenden biometrischen Überwachung vor.

Die Regelungen basieren auf der Risikoeinschätzung der jeweiligen Verwendung von KI. So wurde Social Scoring mit einem inakzeptablen Risiko eingeordnet, während für Hochrisiko-KI-Systeme strenge technische und organisatorische Anforderungen gelten. Anwendungen mit geringem Risiko erfordern lediglich bestimmte Transparenz- und Informationspflichten.

Für kleine und mittlere Unternehmen soll die neue Transparenz die Anwendung von KI erleichtern. Die Interessen und Bedürfnisse von KMU und Start-ups sollen verstärkt berücksichtigt werden– u.a. durch Regelungen für Reallabore, die Freiräume zur Erprobung von Innovationen schaffen.

Die KI-Verordnung soll eine Produktregulierung ermöglichen, die sich nicht auf Forschungs- und Entwicklungsaktivitäten bezieht, sondern die Entwicklung anwendungsorientierter KI unterstützt.

Aufgabe der Mitgliedsstaaten ist es, bis zum 02. August 2025 Durchführungsvorschriften zu erlassen, die die Behörden benennen, die für die Durchsetzung der KI-Verordnung zuständig sind.

Die Datenschutzaufsichtsbehörden führen die Marktaufsicht in den Bereichen Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie KI, die Wahlen beeinflusst. Die Datenschutzaufsichtsbehörden sind dabei nicht nur für die Behörden zuständig, die solche Systeme einsetzen, sondern auch für die Anbieter:innen der KI-Systeme.

Mehr dazu finden Sie hier: Verordnung – EU – 2024/1689 – EN – EUR-Lex

Cloud-Einsatz im Gesundheitswesen

Nach einer umfassenden Überarbeitung des § 393 des Sozialgesetzbuchs V (SGB V) dürfen nun Leistungserbringer:innen, Krankenkassen und Pflegekassen einschließlich deren Auftragsverarbeiter:innen Sozial- und Gesundheitsdaten mittels Cloud-Computing-Diensten verarbeiten. Dies setzt voraus, das sie die in § 393 SGB V vorgeschriebenen Voraussetzungen erfüllen. Mit der Überarbeitung und Anpassung des Paragraphen soll ermöglicht werden, dass Sozial- und Gesundheitsdaten sicher und im Einklang mit geltenden Datenschutzvorschriften verarbeitet werden können.

Für die Auswahl von Cloud-Computing-Diensten gelten folgende Anforderungen, damit eine Übermittlung und Verarbeitung der Gesundheits- und Sozialdaten rechtmäßig ist.

Der Cloud-Computing-Dienst befindet sich:

• im Inland,
• in einem Mitgliedstaat der Europäischen Union oder,
• in einem Staat, der gemäß § 35 Absatz 7 des Ersten Buches gleichgestellt ist, oder
• in einem Drittstaat, sofern ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 679/2016 vorliegt und die datenverarbeitende Stelle über eine Niederlassung im Inland verfügt.

Im Rahmen der technischen und organisatorischen Maßnahmen (TOM) wird vor allem ein aktuelles C5-Testat der datenverarbeitenden Stelle gefordert und die Umsetzung der im Prüfbericht des Testats enthaltenen Kriterien.

Ab dem 01. Juli 2025 wird ein aktuelles C5-Typ2-Testat benötigt (bis dahin reicht ein C5-Typ1-Testat). Dieses muss regelmäßig erneuert werden. 

Für bestimmte Branchen des Gesundheitswesens wie Krankenhäuser oder Krankenkassen gelten weitere spezifische Anforderungen für die TOMs.

Mit Inkrafttreten des Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (DigiG) zum 25. März 2024 wird die bisher bei der gematik etablierte Koordinierungsstelle für Interoperabilität (KOS) im Gesundheitswesen zum Kompetenzzentrum für Interoperabilität im Gesundheitswesen (KIG) ausgebaut. Das Kompetenzzentrum für Interoperabilität im Gesundheitswesen (KIG) wird Informationen über bereits testierte Cloud-Computing-Dienste und Cloud-Techniken auf einer Plattform veröffentlichen. 

2. Entscheidungen des Monats

Unternehmensinterne Bekanntgabe einer Kündigung und Datenschutz

Werden Mitarbeitende in einem Unternehmen gekündigt, besteht zum einen die Notwendigkeit, dies auch zu kommunizieren, um Kolleg:innen zum Beispiel auf neue Ansprechpartner:innen hinzuweisen etc. Doch wieviel Information ist erforderlich und datenschutzrechtlich erlaubt? 

Zu dieser Frage hat sich das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) in seinem aktuellen Tätigkeitsbericht (ULD Schleswig-Holstein|Tätigkeitsbericht für das Jahr 2024, Seite 76 f., Punkt 5.9) geäußert. 

Zugrunde lag ein Fall, in dem die Arbeitgeberin intern die Information Bekanntgabe, dass ein Beschäftigter das Unternehmen auf eigenen Wunsch verlasse.

Hier stellten sich zwei datenschutzrechtliche Fragen:

Zulässigkeit der Bekanntgabe der personenbezogenen Daten des Beschäftigten.

Nach § 26 Abs. 8 S. 2 BDSG sind auch Personen, deren Beschäftigungsverhältnis beendet ist, vom Anwendungsbereich des § 26 BDSG erfasst. Damit gilt auch für diese Personen, dass gem. § 26 Abs. 1 S. 1 BDSG personenbezogene Daten verarbeitet werden dürfen, […] „wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvertrag) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

Bei der Frage der Erforderlichkeit gilt: so viel wie nötig, so wenig wie möglich. 

Damit ist es meistens, wie oben bereits angesprochen, erforderlich, Namen, Position und Austrittsdatum der Person zu veröffentlichen, die das Unternehmen verlässt. Nur so kann sichergestellt werden, dass die internen Abläufe auch weiterhin funktionieren und/oder rechtzeitig umgestellt werden. 

Zulässigkeit der Bekanntgabe der Gründe und Umstände für das Verlassen 

Nicht erforderlich für die Unternehmensabläufe ist hingegen die Information, unter welchen Umständen die Person das Unternehmen verlässt. Damit ist auch der Zusatz „auf eigenen Wunsch“ im Sinne von Erforderlichkeit und Datenminimierung zu unterlassen.

Es gilt also, so wenig wie möglich bei einer internen Bekanntgabe bezüglich von Mitarbeiter:innen mitzuteilen und sich immer die Frage zu stellen, wieviel Information zwingend erforderlich ist. 

Bewerber:innen müssen über Internet-Recherche informiert werden

Arbeitgeber:innen müssen Bewerber:innen darüber informieren, wenn sie im Internet über die Bewerber:innen recherchieren und dort gefundene Informationen in die Entscheidung mit einfließen. 

Das LAG Düsseldorf befasste sich mit einem solchen Fall in seinem Urteil vom 14.10.2024. Der Bewerber klagte gegen die Arbeitgeberin. Sie habe ihn zum Gegenstand einer rechtswidrigen „Online-Schnüffelei“ gemacht. Die Beklagte hatte auf Wikipedia einen Artikel zu einer Vorstrafe des Klägers gefunden. Der Bewerber wurde abgelehnt.

Der Kläger brachte vor, er hätte über die Datenerhebung informiert werden müssen, um die Möglichkeit zu haben, möglicherweise falsche Daten richtigzustellen.

Zunächst bestätigte das Gericht die Zulässigkeit der Datenerhebung durch Internet-Recherchen an sich. Damit wies das Gericht die Klage hinsichtlich behaupteter Verstöße gegen Art. 33 Abs. 2 GG und das AGG ab. 

Tatsächlich ergebe sich jedoch aus der Recherche eine Informationspflicht aus Art. 14 DSGVO gegenüber den Betroffenen. Dieser sei die Beklagte nicht nachgekommen. 

Ein materieller Schaden sei dem Kläger nicht entstanden. Selbst wenn die Beklagte der Informationspflicht nachgekommen wäre, hätte dies an der objektiv gegebenen strafrechtlichen Verurteilung nichts geändert. Der Bewerber wäre auch dann abgelehnt worden, weshalb es an der erforderlichen Kausalität für den Schaden fehle. 

Allerdings bejahte das Gericht einen immateriellen Schaden, da er zum „Objekt“ der Datenverarbeitung innerhalb des Bewerbungsverfahrens gemacht wurde.

Kommen Arbeitgeber:innen dieser Informationspflicht nicht nach und verwerten die erlangte Information im Stellenbesetzungsverfahren, liege ein Verstoß gegen die Informationspflicht gem. Art 14 DSGVO vor. Das Gericht gestand dem Bewerber einen Entschädigungsanspruch gemäß Art. 82 Abs. 1 DSGVO zu in Höhe von 100,00 EUR.

Mehr dazu finden Sie hier: Landesarbeitsgericht Düsseldorf, Az. 12 Sa 1007/23 vom 10.04.2024

3. Das schreiben die Anderen zum Datenschutz

• Kelber zu E-Patientenakte: Völliger Fehler, Sicherheitsmaßnahmen herauszunehmen
• Wir bestimmen, was du wählst! – Politisches Microtargeting
• ChatGPT und der Datenschutz: So bewertet der LfD Niedersachsen den Chatbot

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen beim Datenschutz

Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.

Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.

Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. 

Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/

Externer Datenschutzbeauftragter