Datenschutz­woche

#133

Datenschutzkonferenz zu Künstlicher Intelligenz und Datenschutz

Die deutsche Datenschutzkonferenz (DSK) hat eine Orientierungshilfe mit datenschutzrechtlichen Kriterien für die Auswahl und den Einsatz von KI-Systemen veröffentlicht. Das Papier soll als Leitfaden dienen und Verantwortliche dabei unterstützen, Künstliche Intelligenz datenschutzkonform einzusetzen. Der Schwerpunkt der Orientierungshilfe liegt auf Large Language Models (LLM) und Chatbots.

Auf insgesamt 15 Seiten widmen sich die Datenschutzaufsichtsbehörden zahlreichen Fragen, die für Verantwortliche, die personenbezogene Daten mit KI-Systemen verarbeiten, relevant sind. Die Orientierungshilfe bezieht sich auf folgende Szenarien:

  • Konzeption des Einsatzes und der Auswahl von KI‐Anwendungen
  • Implementierung von KI‐Anwendungen
  • Nutzung von KI‐Anwendungen

Die Datenschutzaufsichtsbehörden betonen, dass beim Einsatz von KI-Anwendungen häufig eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, und stellen klar: „Soweit der Verantwortliche nicht gleichzeitig Anbieter des KI‐Systems ist, ist er zur Durchführung einer Risikobewertung bzw. einer DSFA auf Informationen des Anbietenden insbesondere zur Funktionsweise des Systems angewiesen.

Die Orientierungshilfe ist eine praktische Hilfestellung für Verantwortliche und bestätigt, dass datenschutzrechtliche Vorgaben beim Einsatz von KI eine zentrale Rolle spielen. Unabhängig davon, ob die Datenschutzaufsichtsbehörden durch die KI-Verordnung zusätzlich mit der Aufsicht über KI-Systeme betraut werden (siehe hierzu: Positionspapier der DSK zu nationalen Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz vom 3. Mai 2024), müssen Verantwortliche die geltenden datenschutzrechtlichen Anforderungen berücksichtigen und deren Einhaltung sicherstellen.

Datenschutzaufsicht Niedersachsen zum datenschutzkonformen Einsatz von Microsoft Teams

In der vergangenen Woche hatte das niedersächsische Innenministerium verkündet, dass Niedersachsen mit Microsoft einen Vertrag über den Einsatz von Microsoft Teams abgeschlossen hat, der die Bedenken der deutschen Datenschutzaufsichtsbehörden ausräumt. In einer Pressemitteilung vom 3. Mai 2024 hat sich erstmals der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen zum Thema geäußert.

Der LfD Niedersachsen stellt darin zunächst klar, dass er selbst nicht an den Verhandlungen mit Microsoft beteiligt war. Allerdings habe man das Innenministerium mit datenschutzrechtlichen Einschätzungen unterstützt und eine Bewertung des Verhandlungsergebnisses vorgenommen. Dabei kam der LfD Niedersachsen zu dem Ergebnis, dass das Verhandlungsergebnis im Hinblick auf die Ausgestaltung des Auftragsverarbeitungsvertrages akzeptabel sei. Der Vertrag des Niedersächsischen Innenministeriums entspricht nach Auffassung des LfD Niedersachsen folglich den Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Die Datenschutzaufsichtsbehörde stellt insbesondere folgende Anforderungen an einen datenschutzkonformen Einsatz von Microsoft Teams:

  • Datenverarbeitung innerhalb der EU Boundary (Bei Datenübermittlung in Drittländer Prüfpflicht des Verantwortlichen)
  • Dienstanweisungen und Konfigurationseinstellungen zur Datenminimierung
  • Individuelle Datenschutz-Folgenabschätzung (DSFA)
  • Technische und organisatorische Datenschutzmaßnahmen

Der LfD Niedersachsen betont zugleich, dass das Verhandlungsergebnis keine Abkehr von der bisherigen Linie zum Einsatz von Microsoft-Produkten darstelle. Die Datenschutzaufsichtsbehörde fordert deshalb, bei der Beschaffung weiterhin Alternativen zu prüfen und die digitale Souveränität zu stärken. Ob weitere Datenschutzaufsichtsbehörden die Einschätzung des LfD Niedersachsen teilen, ist weiterhin unklar.

Internationale Nachrichten

  • Tschechien: Wegen fehlender Rechtsgrundlagen und unzureichender Datenschutzinformationen hat die tschechische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 13,9 Millionen Euro gegen ein Unternehmen verhängt.
  • Griechenland: Wegen unzureichender Datensicherheit hat die griechische Datenschutzaufsichtsbehörde gegen ein Unternehmen ein Bußgeld in Höhe von 1% des gesamten weltweiten Jahresumsatzes verhängt. Angewendet wurden die Bußgeld-Leitlinien des EDSA.

Aktuelle Gerichtsentscheidungen

  • OLG Stuttgart, Urteil vom 20.12.2023, Az. 4 U 49/23 (juris): Eine Datenverarbeitung ist zur Erfüllung eines Vertrags erforderlich, wenn der Vertrag ohne Verarbeitung nicht erfüllt werden kann. Die Beweislast hierfür trägt der Verantwortliche.
  • ArbG Düsseldorf, Urteil vom 15.02.2024, Az. 2 Ca 4416/23 (Volltext): Kein Anspruch auf Schadenersatz wegen einer verspäteten Auskunftserteilung nach Art. 15 DSGVO.
  • OLG Dresden, Urteil vom 16.04.2024, Az. 4 U 213/24  (juris): Kein Anspruch auf Ersatz eines immateriellen Schadens aus Art. 82 DSGVO wegen Scraping.
  • LG Wiesbaden, Urteil vom 16.04.24, Az. 10 O 100/23 (GRUR-RS 2024, 8264): Da datenschutzrechtliche Rechtsgrundlagen der Interpretation bzw. rechtlichen Bewertung unterliegen, kann eine allgemeine Bezugnahme im Antrag nicht als ausreichend konkret und eindeutig angesehen werden.
  • LG Frankfurt a. M., Urteil vom 24.04.2024, Az. 2-06 O 30/24 (GRUR-RS 2024, 8812): Ein höherer Zinssatz stellt allenfalls einen (nicht geltend gemachten) materiellen Schaden dar, der mit einem immateriellen Schadenersatz wg. Kontrollverlust nichts zu tun hat.
  • OLG Celle, Beschluss vom 29.04.2024, Az. 5 W 19/24 (juris): Der Streitwert für das erstinstanzliche Verfahren wegen Ansprüchen aus der DSGVO gegen einen international tätigen Musik-Streaming-Dienst wird auf 5.900 € festgesetzt.
  • EuGH, Urteil vom 30.04.2024, Rs. C-178/22 (Volltext): Das Gericht, das für die Genehmigung des Zugangs zu Telefonverbindungsdaten zur Strafverfolgung zuständig ist, muss befugt sein, diesen Zugang zu verweigern oder einzuschränken.
  • EuGH, Urteil vom 30.04.2024, Rs. C-470/21 (Volltext): Eine mit der Bekämpfung online begangener Nachahmungen betraute nationale Behörde kann anhand einer IP-Adresse Zugang zu Identitätsdaten erhalten.

Neuigkeiten aus den Aufsichtsbehörden