DatenschutzWoche vom 05. 06. 2023

Lob und Kritik zum fünften „Geburtstag“ der DSGVO

Als mögliche Alternativtermine kämen neben der Verabschiedung am 27. April 2016 auch den Tag der Verkündung im Amtsblatt oder das Datum des Inkrafttreten in Betracht, als „Geburtsdatum“ der DSGVO hat sich dennoch das Geltungsdatum, d.h. der 25. Mai 2018, durchgesetzt. Anlässlich des fünften Jahrestags gab es von unterschiedlichster Stelle Lob und auch Kritik an der DSGVO. Die Datenschutzkonferenz betonte in ihrer Pressemitteilung, dass die DSGVO auch im internationalen Kontext ein bewährter Maßstab sei. Deutliche Kritik gab es jedoch an der fehlenden Verantwortlichkeit von Herstellern. Die Umsetzung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO kann nach Auffassung der DSK-Vorsitzenden Marit Hansen nur gelingen, „[…] wenn Hersteller und Dienstleister Datenschutz von Anfang an in die Entwicklung ihrer Produkte und Services einbauen würden“. Kritischer äußerte sich der IT-Branchenverband Bitkom. In seiner Pressemitteilung, die bereits 21. Mai 2023 veröffentlicht wurde, kommt der Verband zum Ergebnis: „Die europäische Datenschutz-Grundverordnung hemmt in großen Teilen der deutschen Wirtschaft Innovationen und wird als Hindernis für Wachstum und Wohlstand in der digitalen Welt wahrgenommen.“ 6 von 10 Unternehmen sollen wegen Datenschutzbedenken mit der innovativen Nutzung von Daten hadern. Auch wenn eine größere Novelle der DSGVO derzeit sehr unwahrscheinlich ist, dürfte die angestoßene Debatte Einfluss aus die Pläne der EU für das neue Digitalrecht haben. Zu denken ist etwa an die KI-Verordnung oder den Data Act.

Fragenkatalog der deutschen Datenschutzaufsichtsbehörden zum Einsatz von KI

Nach einem vorübergehenden Verbot des KI-Tools ChatGPT in Italien hatten auch die deutschen Datenschutzaufsichtsbehörden ein Prüfverfahren eingeleitet und einen Fragenkatalog an das Betreiberunternehmen OpenAI geschickt (wir berichteten). Das Begleitschreiben und die Fragen der Behörden wurden nunmehr veröffentlicht und geben einen sehr aufschlussreichen Einblick in die Arbeit der Datenschutzaufsichtsbehörden und mögliche Problemkreise beim Einsatz und Betrieb von KI-Anwendungen. Die über 40 Fragen, die von mehreren deutschen Datenschutzaufsichtsbehörden in einer konzertierten Aktion an OpenAI übersandt wurden, betreffen folgende datenschutzrechtliche Anforderungen:

• Grundsätze der Datenverarbeitung (insb. Zweckbindung, Datenminimierung und Speicherbegrenzung)
• Rechtmäßigkeit der Datenverarbeitung (insb. Datenquellen und Rechtsgrundlagen, auch für die Verarbeitung von Art.-9-Daten)
• Betroffenenrechte und Transparenz
• Datensicherheit, Data Protection by Design und datenschutzfreundliche Voreinstellungen
• Durchführung einer Datenschutzfolgenabschätzung
• Schutz von Kindern und Jugendlichen
• Drittlandsübermittlungen
• Weiternutzung der Daten durch andere Dienste oder Unternehmen

Laut Medienberichten hat OpenAI gegenüber den Datenschutzaufsichtsbehörden angekündigt die Fragen beantworten zu wollen und hierzu eine Fristverlängerung bis Anfang Juni beantragt, die auch gewährt wurde. Eine kurzfristige Veröffentlichung der Antworten erscheint jedoch unwahrscheinlich. Unabhängig davon wird seitens OpenAI eine Überregulierung von KI befürchtet.

Internationale Nachrichten

• Europa: Das EBPD hat Anu Talus zu seiner neuen Vorsitzenden gewählt. Die neue Vorsitzende wird die scheidende Vorsitzende Andrea Jelinek ersetzen und die Arbeit des Vorstands für die nächsten fünf Jahre überwachen.
• Europa: Der Europäische Datenschutzbeauftragte hat einem Blogbeitrag zur Erklärbarkeit künstlicher Intelligenz veröffentlicht.

Aktuelle Gerichtsentscheidungen

• LAG Sachsen, Beschluss vom 21.08.2022, Az. 4 TaBV 9/22 (juris): Ein Headset, das nur der innerbetrieblichen Kommunikation dient, stellt keine technische Überwachungseinrichtung i.S. v. § 87 Abs. 1 Nr. 6 BetrVG dar. Es besteht daher kein Mitbestimmungsrecht des Betriebsrats.
• VG Berlin, Urteil vom 07.02.2023, Az. 26 K 502.19 (Volltext): Ein behördlicher Datenschutzbeauftragter kann vom Dienstherrn regelmäßig dienstlich beurteilt werden. Er hat keinen Anspruch auf eine fiktive Fortschreibung seiner Beurteilung.
• VG Hannover, Urteil vom 13.03.2023, Az. 10 A 1443/19 (BeckRS 2023, 11675): Eine Videoüberwachung zur Unterbindung und Nachverfolgung von Straftaten an einer SB-Tankstelle rechtfertigt in der Regel keine Speicherdauer, die über 72 Stunden hinausgeht.
• LAG Baden-Württemberg, Beschluss vom 29.03.2023, Az. 12 Sa 3/23 (juris): Die vielfache Verletzung datenschutzrechtlicher Vorschriften ist „an sich“ als wichtiger Grund für eine fristlose Kündigung i.S.v. § 626 Abs. 1 BGB geeignet.
• VG Berlin, Beschluss vom 24.04.2023, Az. VG 1 K 227/22 (Volltext): Hat der Verantwortliche begründete Zweifel an der Identität des Betroffenen, sollte er alle vertretbaren Mittel nutzen, um die Identität zu überprüfen.
• OLG Hamm, Urteil vom 26.04.2023, Az. 8 U 94/22 (Volltext): „Datenschutzrecht ist Ermöglichungsrecht, kein Verhinderungsrecht.“ Der Zweck von Art. 6 Abs. 1 lit. b) DSGVO ist es, eine privatautonome Gestaltung zu ermöglichen und nicht zu beschränken.
• OLG Brandenburg, Urteil vom 26.05.2023, Az. 7 U 166/22 (GRUR-RS 2023, 11534): Kein Anspruch auf Schadensersatz gegen eine Auskunftei nach Art. 82 DSGVO, da diese nicht für den geltend gemachten Schaden verantwortlich ist. "Büroversehen" beim einmeldenden Unternehmen.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Bayern (BayLfD): „Internationale Datentransfers“ – Orientierungshilfe mit Stand vom 01.05.2023
• Datenschutzkonferenz: „5 Jahre Datenschutz-Grundverordnung: Bewährter Maßstab, umsetzbar, international anerkannt“ – Pressemitteilung vom 25.05.2023
• Datenschutzaufsicht Baden-Württemberg: „Landtag wählt Tobias Keber zum Landesbeauftragten“ – Pressemitteilung vom 25.05.2023
• Datenschutzaufsicht Berlin: „Computer sagt Nein“ – Pressemitteilung vom 31.05.2023 zu einem Bußgeld in Höhe von 300.000 Euro gegen eine Bank wegen mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags
• Datenschutzaufsicht Rheinland-Pfalz: „2. Datenschutztag Hessen und Rheinland-Pfalz des BvD in Zusammenarbeit mit den Aufsichtsbehörden“ – Pressemitteilung vom 05.06.2023
• Datenschutzkonferenz: „1. Zwischenkonferenz 2023 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 31. Januar 2023“ – Protokoll (nicht datiert)