DatenschutzWoche vom 03. 04. 2023

Italienische Datenschutzaufsichtsbehörde untersagt Betrieb von ChatGPT – Folgt Deutschland?

Wegen Verstößen gegen die DSGVO und den Jugendschutz hat die italienische Datenschutzaufsichtsbehörde OpenAI in einem Bescheid vom 30. März 2023 mit sofortiger Wirkung vorläufig untersagt, personenbezogene Daten von Betroffenen in Italien über ChatGPT zu verarbeiten. Die Behörde beruft sich auf Art. 58 Abs. 2 lit. f DSGVO. Demnach ist den Datenschutzaufsichtsbehörden erlaubt, bei Verstößen gegen die DSGVO die Datenverarbeitung vorübergehend einzuschränken.

Die Behörde stützt ihren Bescheid im Wesentlichen auf folgende Erwägungen:

  1. Es fehle eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum Training des Algorithmus.
  2. Die Betroffenen seien nicht angemessen über die Verarbeitung informiert worden.
  3. Da ChatGPT bei manchen Antworten Dinge über Betroffene erfindet, sei das Gebot der Richtigkeit der Daten verletzt.
  4. Die Altersverifikation von ChatGPT sei unzureichend; auch Kinder unter 13 Jahren könnten mit ungeeigneten Inhalten in Kontakt kommen.

OpenAI hat angekündigt, der Anordnung der italienischen Aufsichtsbehörde nachzukommen. Die Behörde will ihre Untersuchung nunmehr vertiefen. Für Deutschland hat der Bundesdatenschutzbeauftragte gegenüber dem SPIEGEL ebenfalls eine Untersuchung angekündigt.

EuGH entscheidet zum Beschäftigtendatenschutz in Hessen

Der Europäische Gerichtshof hat mit Urteil vom 30. März 2023 (Rs. C‑34/21) entschieden, dass die Regelungen zum Beschäftigtendatenschutz in § 23 des Hessischen Datenschutzgesetzes (HDSIG) nicht mit der DSGVO vereinbar sind. Da die Regelung nahezu wortgleich mit § 26 BDSG ist, betrifft die Entscheidung mittelbar auch die Verarbeitung von Beschäftigtendaten durch Unternehmen.

Ausgangspunkt des Rechtsstreits waren zwei Erlasse des Hessischen Kultusministeriums aus dem Jahr 2020, mit denen der Schulunterricht per Videokonferenz-Livestream geregelt werden sollte. Die Einwilligung der betroffenen Lehrkräfte sowie der Schülerinnen und Schüler in die Nutzung des Videokonferenzdienstes und die Beteiligung an den Livestreams war nicht vorgesehen. Das Kultusministerium berief sich auf die Regelung des § 23 HDSIG als Rechtsgrundlage. Diese erlaube eine Datenverarbeitung im Beschäftigungskontext.

Der Hauptpersonalrat der Lehrer sah dies anders und erhob Klage vor dem zuständigen Verwaltungsgericht. Dieses rief den EuGH zur Vorabentscheidung an. In seiner Entscheidung kommt der EuGH zunächst zum Ergebnis, dass die Verarbeitung personenbezogener Daten von Lehrkräften beim Livestreaming von Schulunterricht in den sachlichen Anwendungsbereich der DSGVO fällt. Sodann führt der EuGH aus, dass die Regelung des § 23 HDSIG nicht den Anforderungen an eine „spezifischere“ Vorschrift (Art. 88 Abs. 2 DSGVO) genügt, sondern zu unbestimmt ist, um die Öffnungsklausel zur Datenverarbeitung im Beschäftigungskontext auszufüllen. Gleichzeitig stellt der EuGH jedoch klar, dass die Verarbeitung möglicherweise auf die allgemeinen Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO gestützt werden könne. Dies zu beurteilen sei jedoch Aufgabe des nationalen Gerichts.

Mit seiner Entscheidung unterstreicht der EuGH, dass der nationale Gesetzgeber bei der Nutzung der Öffnungsklauseln zum Beschäftigtendatenschutz deutlich mehr ins Detail gehen muss. Die Entscheidung erhöht daher den Handlungsdruck auf die Bundesregierung, einen Entwurf für das geplante Beschäftigtendatenschutzgesetz vorzulegen. Gleichzeitig kommt der EuGH in seiner Entscheidung zu dem Ergebnis, dass eine Datenverarbeitung im Beschäftigungskontext eben nicht nur auf Regelungen des nationalen Rechts, sondern auch auf die DSGVO und die Erfüllung rechtlicher Verpflichtungen und öffentlicher Aufgaben gestützt werden kann. Mit größeren inhaltlichen Verwerfungen beim Beschäftigtendatenschutz ist daher vorerst nicht zu rechnen.

Internationale Nachrichten

Aktuelle Gerichtsentscheidungen

  • LG Mönchengladbach, Urteil vom 09.03.2023, Az. 1 O 204/22 (juris): Die Geltendmachung von Auskunftsersuchen aus gänzlich verordnungsfremden Erwägungen ist rechtsmissbräuchlich. Die Prüfung von Bereicherungsansprüchen ist keine Aufgabe des Datenschutzrechts.
  • Bundesgerichthof, Beschluss vom 27. März 2023, Az. VI ZR 225/21 (Pressemitteilung): Aussetzung eines Verfahrens zur Löschung der Eintragung über die Erteilung der Restschuldbefreiung im Insolvenzverfahren in einer Datenbank der Schufa wegen anhängiger Verfahren beim EuGH.
  • OLG Stuttgart, Beschluss vom 03.01.2023, Az. 4 AR 4/22 (juris): Sachlich zuständig für die Entscheidung eines Rechtsstreits um Schadensersatz nach Art. 82 DSGVO wegen Scraping bei Facebook ist das LG Stuttgart.
  • OLG Dresden, Beschluss vom 28.09.2022, Az. 17 AR 36/22 (juris): Sachlich zuständig für die Entscheidung eines Rechtsstreits um Schadensersatz nach Art. 82 DSGVO wegen Scraping bei Facebook ist das LG Görlitz.
  • Bundessozialgericht, Beschluss vom 06.03.2023, Az. B 1 SF 1/22 R (BeckRS 2023, 5209): Der Rechtsweg zu den Gerichten der Sozialgerichtsbarkeit ist für den Schadenersatzanspruch aus Art. 82 DSGVO eröffnet. Der Anspruch ist unabhängig von einem etwaigem Amtshaftungsanspruch.
  • Bundesarbeitsgericht, Urteil vom 15.12.2022, Az. 2 AZR 162/22 (Volltext): Die Einleitung eines bEM-Verfahrens darf nicht von der Unterzeichnung einer vorformulierten Datenschutzerklärung zur Verarbeitung von Gesundheitsdaten abhängig gemacht werden.
  • AG Ludwigsburg, Urteil vom 28.02.2023, 8 C 1361/22 (Volltext): Kein Anspruch auf Schadensersatz nach Art. 82 DSGVO bei rechtsmissbräuchlichem Massenversand von Abmahnungen wegen Google Fonts.
  • LG München, Urteil vom 30.03.2023, Az. 4 O 13063/22 (Volltext): Kein Anspruch auf Schadensersatz aus Art. 82 DSGVO bei massenhaftem Versand von Abmahnungen wegen Google Fonts.
  • EuGH, Urteil vom 30.03.2023, Rs. C‑34/21 (Volltext): Der Videokonferenz-Livestream des öffentlichen Schulunterrichts fällt unter die DSGVO. Die Regelung zur Verarbeitung von Beschäftigtendaten in § 23 HDSIG ist nicht mit der DSGVO vereinbar.
  • VG Hannover, Urteil vom 20.02.2023, Az. 10 A 1101/22 (juris): Aufhebung einer Verwarnung der Datenschutzaufsicht Niedersachsen gegenüber einer Universität, da mit § 99 Abs. 1 VwGO eine Pflicht zur Offenlegung von personenbezogenen Daten in einem Konkurrentenstreitverfahren bestand.
  • OLG München, Entscheidung vom 23.03.2023, Az. 5 W 194/23 e (Volltext): Sofortige Beschwerde zur Bewilligung von Prozesskostenhilfe für widerklagende Verfolgung immaterieller Schadensersatzansprüche nach Art. 82 DSGVO erfolgreich.
  • LAG Schleswig-Holstein, Urteil vom 21.02.2023, Az. 1 Sa 148/22 (Volltext): Ablehnung von Art. 82 DSGVO wegen Rechtsmissbrauch, da die Geltendmachung einer Auskunft allein dazu dient die Beklagte zur Zahlung einer Entschädigung zu veranlassen.
  • LG Berlin, Urteil vom 17.05.2022, Az. 16 O 183/21 (Volltext): Kein Ersatz von Anwaltsgebühren für eine Abmahnung wegen Datenschutzverstößen bei Cookies. Eine Selbstbeauftragung war nicht erforderlich, da der Wettbewerbsverstoß unschwer zu erkennen war.

Neuigkeiten aus den Aufsichtsbehörden