Unser Datenschutz-Update im Juni 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Juni 2024.

1. Nachrichten aus der Welt des Datenschutzes

Irische Datenschutzbehörde stoppt KI-Training bei Meta

Das Unternehmen Meta beabsichtigte eine Änderung seiner Richtlinien, um Beiträge, Fotos und Bildunterschriften u.a. auf den Plattformen Facebook, Instagram zu nutzen, um die Funktionen der generativen KI der Plattform zu verbessern. Laut einem Bericht des Unternehmens von April dieses Jahres würden 260,7 Millionen EU-Bürger:innen monatlich Facebook nutzen, 264,3 würden jeden Monat auf Instagram zugreifen, davon 44 Millionen aus Deutschland.

Mit dieser Datenmenge sollten nun die KI-Angebote von Meta trainiert werden. Dies stieß auf beträchtliche Kritik. Meta stützte sich auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage, um seine Produkte weiterzuentwickeln und zu verbessern. Mehr als zwei Milliarden Benachrichtigungen seien seit dem 22. Mai an Nutzer:innen versendet worden, um über die Pläne zu informieren, inklusive eines Widerspruchsformulars, um gegen die Nutzung der eigenen Daten Einspruch einzulegen. 

Meta berief sich auf Open AI und Google, die ebenfalls EU-Daten für die KI nutzen würden. Eine Verwertung der EU-Daten sei erforderlich, um die KI für den EU-Raum entsprechend anzupassen.

Die zuständige irische Datenschutzaufsichtsbehörde (DPC) prüfte die Angelegenheit und anschließend musste Meta sein Training einstellen.

Meta dazu: „Wir sind enttäuscht von der Aufforderung der Irish Data Protection Commission (DPC Ireland) als federführende Aufsichtsbehörde für die europäischen Aufsichtsbehörden, das Training unserer LLMs mit den geteilten Inhalten unserer erwachsenen Nutzer von Instagram und Facebook zu verschieben.“

Die Behörde sieht Diskussionsbedarf. Die Gespräche werde die Behörde mit dem Unternehmen in der nächsten Zeit fortsetzen.

Mehr dazu finden Sie hier: Meta will KI mit Nutzerdaten füttern: So widersprechen Sie

Leitfaden für Datenschutz und KI vom Europäischen Datenschutzbeauftragten

Anfang Juni hat der Europäische Datenschutzbeauftragte (EDSB) die Leitlinien für generative Künstliche Intelligenz und personenbezogene Daten für Organe, Einrichtungen, Ämter und Agenturen der EU veröffentlicht. Damit soll sichergestellt werden, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstige Stellen der EU eingehalten wird. 

Die Leitlinie soll Einsatzszenarien aufzeigen, so dass Risiken und Herausforderungen des Einsatzes der generativen KI hierbei antizipiert werden können.

In den Leitlinien wird unter anderem auf die Voreingenommenheit von KI und den Schutz persönlicher Daten eingegangen sowie Datenminimierung. Durch die Leitlinien soll verdeutlicht werden, in welchen Fällen der Einsatz der Anwendungen die Verarbeitung von Daten der Bürger:innen beinhaltet, wann eine Datenschutzfolgenabschätzung durchgeführt werden muss sowie weitere wichtige Empfehlungen für die Behörden.

Der Leitfaden erläutert die Kernpunkte anhand von Beispielen und gibt unter anderem Empfehlungen zur Rechtsgrundlage der Verarbeitung, Datenminimierung und ebenso zur Wahrung der Betroffenenrechte. Auf besondere Schwachstellen bei der Verwendung von KI und mögliche Kontrollen wird ebenfalls hingewiesen.

Insgesamt soll darauf geachtet werden, dass der Einsatz von KI fair und diskriminierungsfrei erfolgt. 

Der Inhalt der Richtlinie ist nicht nur für EU-Institutionen interessant, denn die Inhalte können auch in weiten Teilen auf private Unternehmen/Organisationen angewendet werden.

Mehr dazu finden Sie hier: https://www.edps.europa.eu/system/files/2024-06/24-06-03_genai_orientations_en.pdf

Orientierungshilfe zur Gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO

Sie sorgt immer wieder für Schrecken in Vertragsverhandlungen – die gemeinsame Verantwortlichkeit zweier Parteien für personenbezogene Daten. Warum das Modell so abschreckend ist, ist in den meisten Fällen nicht nachvollziehbar. Natürlich braucht es dafür eine vertragliche Grundlage, und ja, diese stellt sich oft etwas komplizierter da, als einen recht schematischen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO zu erarbeiten. Doch sind die heftigen Bemühungen, eine gemeinsame Verantwortlichkeit nur ja zu umgehen, häufig nicht angemessen. 

Hingegen besteht das Risiko, dass die Parteien trotzdem ein Auge auf die in Frage stehenden Daten werfen bzw. die Hand darauf legen wollen und sich in widersprüchlichen Regelungen verstricken. Was wiederum sogar in einem Verstoß gegen Art. 26 DSGVO münden kann. 

Der Bayerische Landesbeauftragte für Datenschutz hat Anfang Juni eine sehr ausführliche Orientierungshilfe veröffentlicht. Es wird beschrieben, was eine gemeinsame Verantwortlichkeit ist, unter welchen Voraussetzungen sie anzunehmen ist. Es werden Beispiele aufgeführt, sowie Abgrenzungen zu anderen Verarbeiterrollen vorgenonmen. 

Ebenfalls sehr ausführlich geht der Leitfaden auf die Rechtsfolgen einer gemeinsamen Verantwortlichkeit. 

Insgesamt stellt der Leitfaden eine gut anwendbare Hilfe für Unternehmen dar, um die eigene Rolle in einer Zusammenarbeit zu definieren und die richtige vertragliche Grundlage zu wählen.

Mehr dazu finden Sie hier: https://www.datenschutz-bayern.de/infothek/OH_Gemeinsame_Verantwortlichkeit.pdf

Und noch ein Leitfaden: Bewerberdatenschutz

Auch der Datenschutz in Bewerbungsverfahren rückt derzeit zunehmend in den Fokus von Unternehmen und Behörden. Besonders, seitdem auch KI in Bewerbungsprozessen eingesetzt wird bzw. werden soll, um den Auswahlprozess zu unterstützen.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) veröffentlichte nun einen Leitfaden für den Bewerberdatenschutz.

Der Bewerbungsprozess untergliedert sich in mehrere Phasen, bis es zur finalen Entscheidung kommt. In jeder Phase sind unterschiedliche datenschutzrechtliche Aspekte zu berücksichtigen. Der Leitfaden hilft hier, sich einen Überblick über die Verarbeitungsvorgänge und datenschutzrechtlichen Anforderungen gem. der DSGVO zu verschaffen. 

Für die Datenverarbeitungen muss jeweils die Rechtsgrundlage ermittelt werden. Dabei muss die Datenverarbeitungen vor allem auch zur Begründung eines Beschäftigungsverhältnisses für die betroffene Phase nach Art. 6 Abs. 1 lit. b DSGVO erforderlich sein.

Der Leitfaden geht nicht nur auf die einzelnen Phasen des Bewerbungsprozesses ein, sondern setzt sich auch mit oft im Recruiting verwendeten Anglizismen auseinander. Active Sourcing, Talentscouts, Pre-Employment-Check – diese Begriffe müssten klar definiert sein, da sie derzeit unterschiedlich interpretiert werden. Deshalb beinhaltet der Leitfaden eine Definition dieser und weiterer Begriffe aus dem Recruiting. 

Weiter beschäftigt sich der Leitfaden mit von KI-Tools im Bewerbungsprozess, wie Emotionsanalysen oder LLM-Chatbots, und den sich daraus ergebenden datenschutzrechtlichen Anforderungen. 

Nicht nur bei Einsatz von KI-Tools sollten sich Unternehmen und Headhunter-Agenturen mit den Leitfaden des HmbBfDI beschäftigen, um ihre Datenverarbeitungen im Recruiting-Prozess DSGVO-konform zu gestalten. 

Mehr erfahren Sie hier:https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/240606_Information_Bewerberdatenschutz_und_Recruiting.pdf

2. Entscheidungen des Monats

Für einen Schadensersatzspruch nach DSGVO reicht nicht die Verletzung allein aus

Scheinbar hält sich in den Köpfen vieler das Missverständnis, dass man allein wegen einer Verletzung der DSGVO-Vorschriften als Betroffener einen Schadensersatzanspruch geltend machen kann. Deshalb sei hier auf eine Reihe von Urteilen aus der letzten Zeit hingewiesen, die alle einen solche Geltendmachung ohne nachweisbaren Schaden ablehnten. Die Beweislast liegt dabei regelmäßig bei der Anspruchstellerin bzw. beim Anspruchsteller.

  • LG Amberg, Urteil vom 30.04.2024, Az. 13 O 432/23 (Volltext): Ein bloßer Verstoß gegen die DSGVO allein reicht nicht aus, um einen Anspruch auf Schadensersatz zu begründen. Erforderlich ist vielmehr die konkrete Darlegung eines individuellen Schadens.
  • LG Regensburg, Urteil vom 15.04.2024, Az. 75 O 1040/23 (Volltext): Die Verletzung der Vorschriften der DSGVO ist nicht mit einem Schadenseintritt gleichzusetzen. Dem Betroffenen muss ein spürbarer Nachteil entstanden sein.
  • LG Offenburg, Urteil vom 16.04.2024, Az. 3 O 196/23 (GRUR-RS 2024, 11694): Die Annahme eines konkreten Schadens i.S.v. Art. 82 DSGVO setzt nach ständiger Rechtsprechung des EuGH voraus, dass dieser „tatsächlich und sicher“ besteht.
  • Saarländisches Oberlandesgericht, Urteil vom 03.05.2024, Az. 5 U 72/23 (juris): Diejenige bzw. derjenige, die/der geltend macht, von negativen Folgen eines Datenschutzverstoßes betroffen zu sein, muss nachweisen, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen.
  • LG Stuttgart, Urteil vom 25.04.2024, Az. 55 O 104/23 (GRUR-RS 2024, 11758): Auch wenn für Art. 82 DSGVO keine Erheblichkeitsschwelle gilt, muss eine über das allgemeine Lebensrisiko hinausgehende spürbare Beeinträchtigung des Betroffenen vorliegen.

Hin und wieder scheinen Gerichte einen Schadensersatzanspruch dennoch zu gewähren, dann jedoch als Sanktion gegen die/den Verstoßende:n und in der Höhe doch eher überschaubar. Dazu LG Ulm (Urteil vom 27.05.2024, Az. 2 O 8/24 (Az. GRUR-RS 2024, 11842): Wegen der generalpräventiven Wirkung des immateriellen Schadenersatzes ist es im Hinblick auf die Ziele der DSGVO geboten, auch kleinere Verstöße ohne Anerkennung einer Bagatellgrenze zu sanktionieren.) 

Natürlich muss ein Unternehmen bei einem folgenlosen DSGVO-Verstoß trotzdem mit materiellen Konsequenzen von beträchtlicher Höhe rechnen, dies aber dann in Form von Bußgeldern durch die Aufsichtsbehörde. 

3. Das schreiben die Anderen zum Datenschutz

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen im Datenschutz

Den Datenschutz im Unternehmen neben der eigentlichen täglichen Arbeit im Auge und up to date zu halten, ist eine Herausforderung und stellt eine zusätzliche – unliebsame – Belastung dar.

Wir unterstützen Sie dabei gerne, und für uns ist es sogar eine „liebsame“ Aufgabe. Ob Auftragsverarbeitung, Joint Controllership, unternehmensinterne Datenflüsse DSGVO-konform abbilden, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Mitarbeiter, wir helfen Ihnen dabei, diese Bereiche rechtssicher zu bespielen.

Als bestellter externer Datenschutzbeauftragter bieten wir Ihnen verschiedene Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an:


Ihre Ansprechperson

Dr. Sonja Detlefsen

sd@comp-lex.de


Themen:

Ähnliche Artikel: