Datenschutz­woche

Irische Datenschutzaufsicht stoppt KI-Training

Metas geplante Änderung der Richtlinien, die die Nutzung von Daten aus Facebook, Instagram und Threads zum Training von KI-Systemen vorsah, sorgte für Proteste. Das Unternehmen beabsichtigte, Beiträge, Fotos und Bildunterschriften zu verwenden, um die Funktionen der generativen KI der Plattform zu verbessern. Meta berief sich auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO und verwies auf die Entwicklung und Verbesserung der Produkte.

Nach Prüfung durch die zuständige irische Datenschutzaufsichtsbehörde (DPC), muss Meta das KI-Training vorerst einstellen. „Wir sind enttäuscht von der Aufforderung der Irish Data Protection Commission (DPC Ireland) als federführende Aufsichtsbehörde für die europäischen Aufsichtsbehörden, das Training unserer LLMs mit den geteilten Inhalten unserer erwachsenen Nutzer von Instagram und Facebook zu verschieben“, heißt es in der Mitteilung. Metas jüngster Vorstoß war datenschutzrechtlich umstritten. Neben den Verbraucherzentralen  befasste sich auch der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) mit dem Vorhaben. Die von Max Schrems gegründete Datenschutzorganisation Nyob hat bereits in 11 europäischen Ländern Beschwerde eingelegt.

Unternehmen schließen Sicherheitslücken in Microsoft Exchange

Nach einer anlasslosen Prüfung der niedersächsischen Datenschutzbehörde (LfD Niedersachsen) haben 20 Unternehmen Sicherheitslücken in ihren MS Exchange-Servern geschlossen. Diese waren im Rahmen des automatisierten Verfahrens der Datenschutzaufsichtsbehörde identifiziert worden.

Die Sicherheitslücken ermöglichten Angreifern, auf Kontaktdaten und E-Mails zuzugreifen und Schadsoftware zu platzieren. Sicherheitsupdates waren bereits veröffentlicht. Schon 2020 gab es sieben Cybersicherheitswarnungen in Bezug auf MS Exchange.

Der Landesbeauftragte für den Datenschutz Niedersachsen gibt darüber hinaus Hinweise zum Umgang mit Sicherheitslücken in MS Exchange und empfiehlt insbesondere ein Patch-Management zur Gewährleistung eines angemessenen Schutzniveaus. Unternehmen sollten zudem sicherstellen, dass IT-Dienstleister, die mit dem Betrieb eines Exchange-Servers beauftragt sind, Sicherheitsupdates kurzfristig einspielen.

Internationale Nachrichten

• Österreich: Österreich spricht sich für eine Aufhebung der Messenger-Verschlüsselung aus und fordert Zugriff auf Kommunikation der EU-Bürger.  
• Niederlande: Niederländische Datenschutzbehörde und Behörde für digitale Infrastruktur geben Empfehlungen an die Regierung zur Umsetzung der KI-Verordnung.

Aktuelle Gerichtsentscheidungen:

• LAG Köln, Urteil vom 11.03.2022, Az. 10 Sa 769/20 (BeckRS 2022, 57543): Eine hinreichende Konkretisierung und Bezeichnung der relevanten Kopien dürfte erst nach der Auskunft über die von ihr gespeicherten personenbezogenen Daten des Klägers möglich sein.
• LG Lübeck, Urteil vom 16.02.2024, Az. 15 O 214/23 (GRUR-RS 2024, 13166): Auf Basis des streitigen Vorbringens der Parteien ist es nicht als durch die Klägerseite bewiesen anzusehen, dass diese von dem  streitgegenständlichen API-Bug betroffen ist.
• LAG Niedersachsen, Urteil vom 26.04.2024, Az. 14 Sa 736/23 (BeckRS 2024, 12675): Lohnabrechnungen enthalten zahlreiche sehr persönliche und höchst  geheimhaltungsbedürftige Daten. Dem Beklagten müsste klar sein, dass ihn diese Informationen überhaupt nichts angehen.
• OLG Oldenburg, Urteil vom 30.04.2024, Az. 13 U 108/23 (GRUR-RS 2024, 12097): Der Kläger war infolge des Scrapings in Sorge wegen eines möglichen Missbrauchs der Mobilfunknummer ist und hat somit einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO erlitten.
• OLG Oldenburg, Urteil vom 30.04.2024, Az. 13 U 89/23 (GRUR-RS 2024, 12098): Die durch den Scraping-Vorfall hervorgerufenen Ängste und Sorgen des Klägers werden zusätzlich dadurch belegt, dass er sich eine zweite Mobilfunknummer zugelegt hat (Schmerzensgeld i.H.v. 250 €).
• OLG Oldenburg, Urteil vom 30.04.2024, Az. 13 U 109/23 (GRUR-RS 2024, 12099): Die Verarbeitung personenbezogener Daten ist zur Erfüllung eines  Vertrages erforderlich, wenn die Datenverarbeitung objektiv unerlässlich ist, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der Vertragsleistung ist, so dass der Hauptgegenstand des Vertrages ohne die Datenverarbeitung nicht erfüllt werden könnte.
• OLG Brandenburg, Urteil vom 03.05.2024, Az. 11 U 19/24 (BeckRS 2024, 12682): Bei der Auslegung, ob ein datenschutzrechtliches Auskunftsersuchen rechtsmissbräuchlich ist, ist der Schutzzweck der DSGVO zu berücksichtigen.
• LG Kiel, Urteil vom 23.05.2024, Az. 5 O 128/21 (juris): Keine Zahlungsverpflichtung einer Cyberversicherung bei Falschangaben zu den Risikofragen.
• OLG Hamm, Hinweisbeschluss vom 14.05.2024, Az. 7 U 14/24 (GRUR-RS 2024, 12915): Der Anspruchsteller ist für die Betroffenheit von einem Datenleck (hier APIbug bei Twitter) im Rahmen des Art. 82 Abs. 1 DSGVO darlegungs- und beweisbelastet.
• LG Augsburg, Endurteil vom 06.06.2024, Az. 114 O 4038/23 (GRUR-RS 2024, 13083): Ein für die Klagepartei weniger belastendes, aber ebenso effektives Mittel als die Übermittlung der Vertragsdaten an die SCHUFA ist weder vorgetragen noch sonst ersichtlich.
• OLG Celle, Beschluss vom 10.06.2024, Az. 5 W 46/24 (juris): Zum Streitwert einer Klage (hier 1.900 Euro), mit der im Rahmen eines „Massenverfahrens“ Ansprüche aus der DSGVO gegen einen international tätigen Musik-Streamingdienst geltend gemacht werden.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzaufsicht Hessen: „Parkraumüberwachung durch Parkvision nach Einschreiten des HBDI an DS-GVO angepasst“ – Pressemitteilung vom 11.06.2024
• Datenschutzaufsicht Hamburg: „KI-Training mit personenbezogenen Daten bei Instagram und Facebook“ – Pressemitteilung vom 12.06.2024
• Datenschutzaufsicht Sachsen: „SDTB kontrolliert 30.000 Website und weist 2.300 Verantwortliche auf Datenschutzverstöße hin“ – Pressemitteilung vom 13.06.2024
• Bundesdatenschutzbeauftragter: „Berlin Group beschließt Arbeitspapier zu Digitalem Zentralbankgeld“ – Pressemitteilung vom 13.06.2024
• Datenschutzaufsicht Nordrhein-Westfalen: „Trainingsdaten für Meta-KI – rechtzeitig widersprechen!“ – Pressemitteilung vom 13.06.2024
• Datenschutzaufsicht Baden-Württemberg: „LfDI sucht kommunale Champions: Wettbewerb zu Datenschutz und Informationsfreiheit“ – Pressemitteilung vom 14.06.2024
• Datenschutzaufsicht Sachsen-Anhalt: „Verbot der Verarbeitung von Telefonnummern zu Werbezwecken im Falle sogenannter „Cold Calls“ gerichtlich bestätigt“ – Pressemitteilung vom 14.06.2024
• Datenschutzaufsicht Niedersachsen: „Gesichtserkennung: Datenschutzaufsicht Niedersachsen prüft heimliche Observation“– Heise online, Bericht vom 15.06.2024