Unser Datenschutz-Update im Mai 2024

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Mai 2024.

1. Nachrichten aus der Welt des Datenschutzes

Einsatz von Microsoft Teams in Niedersachsen zulässig

Das Land Niedersachsen hat mit Microsoft einen angepassten Auftragsverarbeitungsvertrag (AVV bzw. DPA) über den Einsatz von Microsoft Teams abgeschlossen, in dem der Kritik der deutschen Datenschutzaufsichtsbehörden Rechnung getragen wird. Dies wurde in einer Pressemitteilung vom 26. April 2024 bekannt gegeben. Die vertraglichen Regelungen sollen als Vorbild für den Einsatz von Microsoft 365 auch durch andere öffentliche Stellen in Deutschland dienen. 

In der Pressemitteilung heißt es, die Verbesserungen an Microsofts Data Protection Addendum (DPA) seien in enger Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen verhandelt worden. Nach Angaben in der Pressemitteilung konnten alle wesentlichen Forderungen des Landes Niedersachsen bezüglich kritischer Stellen berücksichtigt werden. Entscheidend ist hierbei, dass die Daten in Europa gespeichert und verarbeitet werden sollen. Es bleibt jedoch für eine Datenschutzkonformität bei dem Erfordernis einer Datenschutzfolgenabschätzung (DSFA).

Im Weiteren wird die Nutzung der Cloud geprüft.

Ob alle anderen Landesdatenschutzbeauftragten die Meinung Niedersachsens teilen werden, bleibt abzuwarten. 

Erst vor kurzem wurde die Nutzung von Microsoft 365 durch die EU-Kommission vom Europäischen Datenschutzbeauftragten (EDSB) als nicht datenschutzkonform eingestuft. Dabei sei vor allem die durchgeführte DSFA der EU-Kommission nicht aussagekräftig genug.

Die Kritik ist insofern berechtigt, als der der Prüfung zugrundeliegende Auftragsverarbeitungsvertrag aus dem Jahr 2022 stammte und bereits durch einen aus dem Jahr 2024 ersetzt wurde. Im neuen DPA wurden bereits datenschutzrechtlich eine Vielzahl von Verbesserungen vorgenommen. Hinzu kommt der Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework, der ebenfalls noch nicht berücksichtigt wurde.

Insofern ist hier eine neue – aktuellere – DSFA der EU-Kommission hoffentlich zu erwarten.

Mehr dazu finden Sie hier: Niedersachsen wird Vorreiter bei der Nutzung von Microsoft Teams in der Landesverwaltung

2. Entscheidungen des Monats

Urteil aus China: Persönlichkeitsrechtsverletzung durch KI-generierte Stimme

Das Internetgericht in Peking (Beijing Internet Court) hat aktuell ein Urteil erlassen, in welchem es sich mit der Verwendung der Stimme einer natürlichen Person und deren Veränderung durch KI und anschließenden kommerziellen Gebrauch beschäftigen musste.

Die Stimme einer Synchronsprecherin wurde als Trainingsmaterial für ein KI-Tool eingesetzt. Anschließend wurden mit dieser künstlichen Stimme zahlreiche Hörbücher auf Plattformen verkauft. Die Synchronsprecherin hatte allerdings nie ihre Einwilligung zur Verwendung ihrer Stimme gegeben. Als sie auf die Hörbücher stieß, verklagte sie u.a. den Betreiber einer Voice-Dubbing App, ein Kulturmedienunternehmen, das die Stimmaufnahmen ohne Zustimmung an das Softwareunternehmen schickte, und das Softwareunternehmen, welches die Stimme mittels KI veränderte und damit Hörbücher herstellte und verkaufte. Die Klage hatte Erfolg.

Das Gericht entschied auf Schadensersatz für die wirtschaftlichen Schäden, die der Klägerin entstanden waren. 

Nach Ansicht des Gerichts wird die Stimme einer natürlichen Person durch den Tonfall und die Frequenz des Stimmabdrucks identifiziert. Sie weist einzigartige Merkmale auf, die Gedanken oder Emotionen bei den Hörern hervorrufen können, die mit dieser Person verbunden sind. Auch wenn die Stimme durch Technologie verändert werde, führt dies nicht dazu, dass sie nicht mehr durch Rechte geschützt ist, da die Verknüpfung zur menschlichen natürlichen Stimme – wie in diesem Fall – weiterhin besteht. Die KI imitierte gerade auch die charakteristischen Eigenschaften der Klägerin wie Intonation, Aussprache etc. Personen, die die KI-veränderte Stimme hören, könnten darüber immer noch eine Verbindung zu der natürlichen Person herstellen und so auf deren Identität schließen.

Nach Chinas Civil Code ist die Stimme wie ein Recht am eigenen Bild geschützt, betonte das Gericht. Die Veränderung der Stimme mittels KI und die Verwendung der veränderten Stimme stellten eine Verletzung der Persönlichkeitsrechte der Klägerin dar, da sie nie eine Einwilligung gegeben hatte. 

Der vorsitzende Richter Zhao Ruigang betonte, Unternehmen sollten bei Verwendung von Stimmen für ein KI-Training und sonstige Zwecke der Veränderung mittels KI besonders darauf achten, immer die entsprechende Einwilligung der natürlichen Person einzuholen.

Das Urteil ist wegweisend für den weiteren rechtlichen Umgang mit KI-generierten Stimmen und den dabei betroffenen natürlichen Personen.

Mehr dazu finden Sie hier: AI-generated voice mimicry infringes on rights

Gesellschafter hat keinen Anspruch auf Löschung nicht zwingend erforderlicher Daten aus dem Handelsregister

Erst im Januar ist ein Beschluss des Bundesgerichtshofs (BGH) ergangen, der einen Anspruch auf Löschung von personenbezogenen Daten wie dem Wohnort aus dem Handelsregister ablehnte. 

Der Antragsteller hatte sein Begehren damit begründet, dass er beruflich mit Sprengstoffen zu tun hatte und aus diesem Grund seinen privaten Wohnsitz nicht im Handelsregister genannt haben wollte. 

Das Amtsgericht und nachfolgende Oberlandesgericht (OLG) wiesen den Antrag und die folgende Beschwerde zurück. Ein Anspruch auf Löschung der Daten aus Art. 17 Abs. 1 und 2 DSGVO sei nach Art. 17 Abs. 3 lit. b DSGVO ausgeschlossen, weil das Registergericht nach § 387 Abs. 2 FamFG i.V.m. § 43 Nr. 4 S. 1 lit. b HRV zur Verarbeitung der Daten verpflichtet sei.

Der BGH schloss sich der Auffassung der vorherigen Instanzen an und stellte in seinem Beschluss fest:

Der Wohnort des Geschäftsführers einer GmbH ist zur Eintragung in das Handelsregister anzumelden.

Ein Widerspruchsrecht gemäß Art. 21 Abs. 1 DSGVO besteht nicht, wenn die Da- tenverarbeitung aufgrund von Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung einer rechtlichen Pflicht des Verantwortlichen erfolgt. Das gilt auch dann, wenn die Verarbeitung zugleich nach Art. 6 Abs. 1 lit. e DSGVO erlaubt wäre. Auch ein Anspruch aus Art. 18 Abs. 1 lit. d DSGVO auf Einschränkung der Verarbeitung besteht in diesem Fall nicht.

Im April folgte nun ein weiteres Urteil des OLG München, das sich der BGH Auffassung anschloss und noch mehr ins Detail ging. Diesmal forderte ein Gesellschafter die Löschung seiner Wohnanschrift aus dem Register, weil nach GmbHG nur der Wohnort, nicht aber Angabe der genauen Anschrift erforderlich sei. 

Das OLG München gab zwar diesem Argument Recht, wies jedoch darauf hin, dass diese Angaben von den Gesellschaftern beim Handelsregister eingereicht worden waren. Eine notariell beglaubigte Liste dürfe vom Handelsregister im Nachhinein nicht geändert werden. Eine bereinigte – wiederum notariell beglaubigte – Liste sei von den Gesellschaftern nicht eingereicht worden. Zudem müsste ein notarieller Antrag vorliegen.

Selbst wenn die bereinigte Liste notariell beglaubigt gewesen wäre, verneinte jedoch das OLG die Möglichkeit einer Löschung der Wohnsitzangaben, da der Gesellschafter mittlerweile den Wohnort gewechselt hatte. Selbst die Entfernung oder Löschung einer fehlerhaften Liste sei nicht möglich, denn dann bestehe: für den Rechtsverkehr völlige Unklarheit über den Gesellschafterbestand im Zeitraum zwischen der Aufnahme und der Entfernung der alten Liste. Zwar könnte und müsste bei der Aufnahme einer neuen Liste in den Registerordner auf einen nach § 9 Abs. 7 HRV durchgeführten Austausch hingewiesen werden, für den Einsichtnehmenden bliebe aber offen, welchen Inhalt die entfernte Liste hatte und wer die Legitimationswirkung bis zum Austausch für sich in Anspruch nehmen konnte. Die Beibehaltung sämtlicher eingereichter Gesellschafterlisten und damit auch die Verarbeitung der von dem Beschwerdeführer bei der Einreichung der Liste freiwillig übermittelten Daten durch Beibehaltung dieser Liste im Registerordner ist daher für die Wahrnehmung der Aufgaben des Handelsregisters zwingend erforderlich, Art. 6 Abs. 1 Satz 1 lit. e DSGVO.

Fazit: Bei Einreichung einer Gesellschafterliste sollten die Gesellschafter sehr sorgfältig prüfen, welche personenbezogenen Angaben gesetzlich erforderlich sind und auf welche sie verzichten dürfen und wollen. Im Nachhinein ist eine Löschung personenbezogener Daten aus dem Handelsregister aus den von den Gerichten genannten Gründen nahezu unmöglich.

Betroffene haben kein Recht auf Einsichtnahme in Auftragsverarbeitungsverträge

Immer wieder sind sich Unternehmen im Fall von Auskunftsersuchen unsicher, wie umfangreich die Rechte der Betroffenen tatsächlich sind. 

In diesem Bereich erging ein weiteres Urteil, diesmal vom VG München, Urteil vom 06.12.2023, Az. M 6 K 23.1562.

In einer Auseinandersetzung über die Zahlung von Rundfunkbeiträgen wendete sich der Kläger gegen ein Inkassounternehmen, das bei ihm die nicht gezahlten Beträge eintreiben sollte. Nach einer Mahnung verlangte der Kläger gemäß Art. 17 DSGVO die Löschung seiner Daten. Da nicht von einer ordnungsgemäßen Beauftragung des Inkassounternehmens auszugehen sei, würden die Daten unter Verstoß gegen Art. 28 DSGV rechtswidrig verarbeitet.

Das Unternehmen verwies ihn für weitere Auskünfte an den Auftragnehmer, der die Einsicht in den zugrundeliegenden Auftragsverarbeitungsvertrag verweigerte. Der Betroffene legte Klage ein.

Die Klage blieb erfolglos, das VG München sah weder eine Rechtsgrundlage, auf die dieses Begehren gestützt werden könnte, noch ein berechtigtes Interesse, das zu dem richterlich entwickelten „allgemeinen Recht auf Einsicht in behördliche Akten und Unterlagen“ führen würde.

Überzeugend stellte das Gericht u.a. fest:  „Art. 15 DSGVO kann – selbst bei Anwendbarkeit – ebenfalls nicht herangezogen werden, da die vom Kläger begehrten Vertragsunterlagen zwischen dem Beklagten und der …GmbH schon keine personenbezogenen Daten i.S.v. Art. 15 DSGVO darstellen“

Weitaus interessanter für etwaige Auskunftsbegehren betroffener Personen ist jedoch noch eine weitere Begründung: „Art. 28 Abs. 3 DSGVO bestimmt, dass bei einer Auftragsdatenverarbeitung in einem Vertrag die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters festgelegt werden müssen. Ein Einsichtnahmerecht in diese Verträge wird – anders als etwa in Art. 26 Abs. 2 Satz 2 DSGVO – nicht konstituiert. Die Kammer mag hierfür auch kein Bedürfnis erkennen, da den Verträgen im Sinne des Art. 28 Abs. 3 DSGVO im Wesentlichen die Standardvertragsklauseln (vgl. Art. 28 Abs. 6 und 8 DSGVO) zugrunde liegen dürften und der Verantwortliche alleiniger Verantwortlicher bleibt.“

Auch ein berechtigtes Interesse der Klagepartei an der begehrten (allgemeinen) Einsichtnahme sei nicht zu erkennen.

Mehr dazu erfahren Sie hier: Bürgerservice – VG München, Urteil v. 06.12.2023 – M 6 K 23.1562

3. Das schreiben die Anderen zum Datenschutz

• NIS-2: Anforderungen an die Informationssicherheit
• Kurze Meldefrist bei Datenpannen – ein Bußgeldrisiko

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.

Wir helfen Ihnen im Datenschutz

Den Datenschutz im Unternehmen neben der eigentlichen täglichen Arbeit im Auge und up to date zu halten, ist eine Herausforderung und stellt eine zusätzliche – unliebsame – Belastung dar.

Wir unterstützen Sie dabei gerne, und für uns ist es sogar eine „liebsame“ Aufgabe. Ob Auftragsverarbeitung, Joint Controllership, unternehmensinterne Datenflüsse DSGVO-konform abbilden, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Mitarbeiter, wir helfen Ihnen dabei, diese Bereiche rechtssicher zu bespielen.

Als bestellter externer Datenschutzbeauftragter bieten wir Ihnen verschiedene Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden. Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an:

Externer Datenschutzbeauftragter