Datenschutzwoche

#173

EuGH fordert Transparenz bei automatisierten Entscheidungen

Der Europäische Gerichtshof (EuGH) entschied am 27.05.2025, das Unternehmen bei automatisierten Entscheidungen detailliert über die eingesetzten Verfahren Auskunft geben müssen. Der Entscheidung des EuGH lag der Fall einer Person zugrunde, der von einem Mobilfunkanbieter der Vertragsabschluss verweigert wurde, weil ein KI-gestütztes Bonitätsscoring ihre Kreditwürdigkeit als unzureichend einstufte. Die Betroffene verlangte von der betreffenden Auskunftei eine nachvollziehbare Erklärung, wie ihr Score zustande gekommen war, erhielt jedoch nur vage Auskünfte. Die österreichische Datenschutzbehörde verpflichtete das Unternehmen zur detaillierten Offenlegung der Scoring-Logik, was die Auskunftei unter Berufung auf Geschäftsgeheimnisse verweigerte. Der Fall landete vor Gericht, das schließlich den EuGH um Klärung der Frage ersuchte, inwieweit Betroffene einen Anspruch auf detaillierte Informationen über die automatisierte Entscheidungsfindung haben.

Der EuGH hat entschieden, dass Unternehmen verpflichtet sind, den Betroffenen die Verfahren und Grundsätze bei automatisierten Entscheidungen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erläutern. Darüber hinaus sind Unternehmen verpflichtet, Geschäftsgeheimnisse gegenüber der zuständigen Datenschutzaufsichtsbehörde oder einem zuständigen Gericht offen zu legen. Die Datenschutzaufsichtsbehörde bzw. das Gericht hat dann abzuwägen, ob und inwieweit Geschäftsgeheimnisse für die betroffene Person relevant sind und offengelegt werden müssen.

EU-Datengrenze für die Microsoft Cloud

Microsoft hat den Ausbau seiner EU-Datengrenze (EU Data Boundary) abgeschlossen. Microsoft hat sich verpflichtet, bestimmte Daten ausschließlich innerhalb dieser Grenze zu speichern und zu verarbeiten. Sie umfasst die Länder der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA).

Betroffen sind zentrale Microsoft-Dienste wie Azure, Microsoft 365 und Dynamics 365. Die EU-Datengrenze soll laut Microsoft den Datenschutz, die Transparenz und die Kontrolle über Unternehmensdaten verbessern.

Microsoft verspricht in ihrem Datenschutznachtrag (DPA) dazu: „For EU Data Boundary Online Services, Microsoft will store and process Customer Data, Personal Data, and store Professional Services Data at rest within the European Union as set forth in the Product Terms.“ Allerdings enthalten die Produktbestimmungen von Microsoft einige Ausnahmen, in denen „die Nutzung von EU-Datengrenzen-Diensten (…) zu begrenzten Übermittlungen von Kundendaten, personenbezogenen Daten oder Professional Services-Daten außerhalb der EU-Datengrenze führen (…)“ kann. Dazu gehören zum Beispiel die Windows-Diagnosedaten, wenn deren Erfassung aktiviert wurde.

Internationale Nachrichten

Europa: Das Coordinated Supervision Committee (CSC) veröffentlicht sein Arbeitsprogramm für die Jahre 2025 und 2026. Das CSC-Mandat umfasst die Bereiche (1) Grenzen, Asyl und Migration, (2) polizeiliche und gerichtliche Zusammenarbeit sowie den (3) digitalen Binnenmarkt.
Großbritannien: Das Information Commissioner’s Office untersucht, wie TikTok die personenbezogenen Daten von 13- bis 17-Jährigen verwendet. Außerdem betrachtet das ICO den Datenumgang von Reddit und Imgur, besonders mit Hinblick auf die Altersverifizierung und den Jugendschutz.

Aktuelle Gerichtsentscheidungen

LAG Rheinland-Pfalz, Urteil vom 18.12.2024, Az. 3 SLa 183/24 (juris): Privatnutzung – Selbst dann, wenn die private Nutzung des von der Beklagten zur Verfügung gestellten Computers durch die Klägerin unberechtigt gewesen wäre und diese als "an sich" wichtiger Grund für eine außerordentliche fristlose Kündigung der Klägerin anzusehen wäre, hätte die Beklagte die Klägerin im vorliegenden Fall zunächst abmahnen müssen.
VG Düsseldorf, Urteil vom 17.02.2025, Az. 29 L 3128/24 (BeckRS 2025, 1816): Rechtsgrundlage – Die Verwertung von Luftbildern in Form digitaler Orthofotos eines privaten Wohngrundstücks zur Erfüllung der gemeindlichen Abwasserbeiseitigungspflicht ist gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO rechtmäßig.
OVG Nordrhein-Westfalen, Beschluss vom 20.02.2025, Az. 16 B 288/23 (Volltext): Technische und organisatorische Maßnahmen – Soweit er die von der Antragsgegnerin verwendete Verschlüsselungstechnik für unsicher hält und meint, TLS 1.2 entspreche nicht mehr dem aktuellen Stand der Technik, vielmehr gebe es bereits seit 2018 TLS 1.3, jedenfalls aber sei jede TLS-Verschlüsselung unsicher, führt dies nicht zum Erfolg seiner Beschwerde. Denn die Verschlüsselung über TLS stellt, wie vom Verwaltungsgericht ausgeführt, nicht die einzige Sicherheitsmaßnahme der Antragsgegnerin dar.
EuGH, Urteil vom 27.02.2025, Rs. C‑203/22 (Volltext): Automatisierte Entscheidungen – Bei automatisierten Entscheidungsfindungen (einschließlich Profiling) im Sinne von Art. 22 Abs. 1 DSGVO kann die betroffene Person vom Verantwortlichen im Rahmen des Anspruchs auf Erteilung „aussagekräftiger Informationen über die involvierte Logik“ verlangen, dass ihr anhand der maßgeblichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form die Verfahren und Grundsätze erläutert werden, die bei der automatisierten Verarbeitung ihrer personenbezogenen Daten zur Gewinnung eines bestimmten Ergebnisses – beispielsweise eines Bonitätsprofils – konkret angewandt wurden.
EuGH, Urteil vom 27.02.2025, Rs. C-638/23 (Volltext): Verantwortlichkeit – Artikel 4 Nr. 7 DSGVO ist ist dahin auszulegen, dass er einer nationalen Regelung, in der als Verantwortlicher ein Hilfsapparat der Verwaltung, der keine Rechtspersönlichkeit und keine eigene Rechtsfähigkeit hat, benannt ist, aber nicht konkret angegeben ist, für welche speziellen Vorgänge der Verarbeitung personenbezogener Daten dieser Hilfsapparat verantwortlich ist und worin der Zweck dieser Vorgänge besteht, nicht entgegensteht, [...].

Neuigkeiten aus den Aufsichtsbehörden

Datenschutzaufsicht Nordrhein-Westfalen: „Wärmebilder von Häusern können beim Energieeinsparen helfen – wenn die Rechte der Eigentümer*innen und Bewohner*innen beachtet werden“ – Pressemitteilung vom 25.02.2025
Datenschutzaufsicht Sachsen: „Empfehlungen der SDTB zu DeepSeek und anderen KI-Anwendungen ohne gesetzlichen Vertreter in der EU“ – Presseinformation mit Stand vom 26.02.2025
Datenschutzaufsicht Thüringen: „1. Mitteldeutscher Datenschutztag für Behörden und Interessierte“ – Pressemitteilung vom 28.02.2025
Datenschutzaufsicht Mecklenburg-Vorpommern: „Landesdatenschutzbeauftragter beim Tag der KI“ – Pressemitteilung vom 28.02.2025

Weitere Ausgaben