Datenschutz­woche

AI Act: KI-Verordnung tritt in Kraft

Die KI-Verordnung wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht. Sie  gilt ab dem 2. August 2026, allerdings mit Ausnahmen. Die Kapitel I und II gelten ab dem 2. Februar 2025. Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII sowie Artikel 78 gelten ab dem 2. August 2025, mit Ausnahme des Artikels 101; Artikel 6 Absatz 1 und die entsprechenden Pflichten gelten ab dem 2. August 2027. 

Damit gelten ab dem 2. Februar 2025 zunächst Verbote für bestimmte KI-Praktiken, wie biometrische Echtzeit-Fernüberwachung und Social Scoring. Die Mitgliedsstaaten müssen bis zum 2. August 2025 Durchführungsvorschriften erlassen, in denen die Behörden benannt werden, die für die Durchsetzung der KI-Verordnung zuständig sind.

Die Datenschutzaufsichtsbehörden werden die Marktaufsicht für die Bereiche Strafverfolgung, Justizverwaltung und Migrationskontrolle sowie KI, die Wahlen beeinflusst, übernehmen. Sie sind nicht nur für die Behörden zuständig, die solche Systeme einsetzen, sondern für Anbieter der KI-Systeme in der gesamten Wertschöpfungskette.

Die Datenschutzaufsichtsbehörden beschäftigen sich seit einiger Zeit intensiv mit dem Thema KI. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern forderte kürzlich die Einrichtung eines KI-Ethikrates, um künftigen Herausforderungen des Einsatzes von KI zu begegnen.

EuGH: Verbandsklagerecht gilt auch bei Verletzungen der Informationsrechte

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 11. Juli 2024 (Rs. C 757/22) die Voraussetzungen für Verbandsklagen präzisiert. Das Vorabentscheidungsersuchen erging in einem Rechtsstreit zwischen Meta und dem Bundesverband der Verbraucherzentralen und Verbraucherverbände (vzbv). Der vzbv hatte Meta zuvor wegen Datenschutzverstößen in seinem „App Center“ verklagt.

Nach Ansicht des EuGH ist Art. 80 Abs. 2 DSGVO so auszulegen, dass eine befugte Einrichtung eine Verbandsklage erheben kann, wenn sie nachweist, dass die Rechte einer betroffenen Person „infolge einer Verarbeitung“ personenbezogener Daten verletzt wurden. Eine solche Verletzung könne sich auch aus Verstößen gegen die Informationspflichten nach Art. 12 Abs. 1 S. 1 und Art. 13 Abs. 1 lit. c und e DSGVO ergeben. Der Betroffene müsse rechtzeitig und in klar verständlicher Sprache über den Zweck und die Empfänger der Daten informiert werden. Die Informationspflicht ergebe sich folgerichtig aus dem in Art. 12 und 13 DSGVO gewährten Informationsrecht, das zu den durch Art. 80 Abs. 2 DSGVO geschützten Rechten gehöre.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsichtsbehörde CNIL hat FAQ zu KI-Verordnung und Datenschutz veröffentlicht.
• Italien: Die italienische Datenschutzaufsichtsbehörde GPDP hat ihren Jahresbericht für das Jahr 2023 veröffentlicht.
• Spanien: Die spanische Datenschutzaufsichtsbehörde AEPD hat einen Bericht über Suchtverhalten im Internet, insbesondere von Minderjährigen, vorgelegt.

Aktuelle Gerichtsentscheidungen:

• LG Berlin, Urteil vom 23.02.2022, Az. 15 O 190/21 (GRUR-RS 2022, 53924): Eine wirksame Einwilligung der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. a DSGVO) setzt eine inhaltliche Transparenz und Hervorhebung des Einwilligungsersuchens voraus, Art. 7 Abs. 2 S. 1 DSGVO. Das ist bei der Einbettung in einen langen Fließtext ohne Hervorhebung nicht der Fall.
• LG Mannheim, Urteil vom 07.06.2024, Az. 9 O 381/23 (juris): Es kann dahinstehen, ob die Voraussetzungen nach Art. 6 Abs. 1 Buchstabe f DSGVO vorliegend erfüllt waren, denn jedenfalls liegt kein kausaler Schaden vor. Der Kläger beschreibt negative Folgen des von ihm befürchteten Kontrollverlusts, nicht aber einen immateriellen Schaden.
• OLG München, Entscheidung vom 10.06.2024, Az. 7 U 3669/23 e (Volltext): Dass der Kenntnisnahme von Daten zur Identifizierung und Kontaktaufnahme zu Mitgesellschaftern die DSGVO und insbesondere Art. 5 und Art. 6 DSGVO nicht entgegensteht, ergibt sich offenkundig bereits aus Nr. 48 der Erwägungen zur DSGVO, worin die Datenverarbeitung sogar innerhalb einer Unternehmensgruppe als mögliches berechtigtes Interesse aufgeführt ist.
• OLG Köln, Urteil vom 13.06.2024, Az. 15 U 60/23 (GRUR-RS 2024, 15897): Der Betreiber einer Suchmaschine ist als für diese Verarbeitung Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO anzusehen. Unerheblich ist es, dass die Beklagte nach ihrem Vortrag lediglich den Zugang zu der Suchmaschine anbietet, während die Entscheidungen darüber, wie auf eine Suchanfrage reagiert wird und wie die relevanten Suchergebnisse angezeigt werden, nicht von ihr, sondern der G. LLC getroffen werden.
• LG Passau, Urteil vom 17.06.2024, Az. 1 O 121/24 (Volltext): Die Klagepartei hat wegen Scraping keinen Schadensersatzanspruch gegen die Beklagte aus Art. 82 Abs. 1 DSGVO. Es fehlt bereits an einem relevanten Verstoß gegen die Bestimmungen der DSGVO. Der Klagepartei ist zudem kein kausaler Schaden entstanden.
• VG Bremen, Urteil vom 18.06.2024, Az. 4 K 446/23 (juris): Aus Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchst. d DSGVO ergibt sich, dass die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht.
• OLG Stuttgart, Urteil vom 19.06.2024, Az. 4 U 132/23 (GRUR-RS 2024, 15775): Grundsätzlich trifft den Kläger die Darlegungs- und Beweislast dafür, dass der zeitliche Anwendungsbereich der DSGVO eröffnet ist. Dieser Grundsatz bedarf der Einschränkung, da der Kläger als primär darlegungsbelastete Partei außerhalb des maßgeblichen Geschehensablaufs steht und keine Kenntnisse von den maßgeblichen Tatsachen besitzt und den Sachverhalt von sich aus nicht ermitteln kann, während dem Prozessgegner die erforderliche tatsächliche Aufklärung ohne weiteres möglich und auch zuzumuten ist.
• OLG Stuttgart, Urteil vom 26.06.2024, Az. 4 U 114/23 (GRUR-RS 2024, 15774): Nachdem die Beklagte einen Ursachenzusammenhang zwischen den Beeinträchtigungen des Klägers mit dem bei ihr vorgefallenen Datenabgriff bestritten hat, hätte der Kläger ihn beweisen müssen. Diesen Beweis kann der Kläger aber nicht führen.
• OLG Stuttgart, Urteil vom 26.06.2024, Az. 4 U 172/23 (juris): Die allein auf Verstöße gegen die DSGVO gestützte Klage ist unbegründet, weil nicht mit der notwendigen Sicherheit festgestellt werden kann, dass es zu einem Abgriff der Daten des Klägers während der zeitlichen Geltung der DSGVO ab dem 25.05.2018 gekommen ist.
• LG Offenburg, Urteil vom 02.07.2024, Az. 3 O 387/23 (GRUR-RS 2024, 16179): Das pauschale und nicht substantiierte Berufen auf abstrakte Befürchtungen, Ängste und Ohnmacht wegen eines Kontrollverlustes reicht nicht aus, um einen Schaden darzulegen.
• EuGH, Urteil vom 11.07.2024, Rs. C‑757/22 (Volltext):Art. 80 Abs. 2 DSGVO ist dahin auszulegen, dass die Voraussetzung, wonach eine befugte Einrichtung, um eine Verbandsklage im Sinne dieser Bestimmung erheben zu können, geltend machen muss, dass ihres Erachtens die in der DSGVO vorgesehenen Rechte einer betroffenen Person „infolge einer Verarbeitung“ im Sinne dieser Bestimmung verletzt wurden, erfüllt ist. Dies ist dann der Fall, wenn sich diese Einrichtung darauf beruft, dass die Verletzung der Rechte dieser Person anlässlich einer Verarbeitung personenbezogener Daten geschieht und auf einer Missachtung der Pflicht beruht, die dem Verantwortlichen gemäß Art. 12 Abs. 1 Satz 1 und Art. 13 Abs. 1 Buchst. c und e DSGVO obliegt und der betroffenen Person spätestens bei dieser Datenerhebung Informationen über den Zweck der Datenverarbeitung und die Empfänger der Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.
• EuGH, Urteil vom 11.07.2024, Rs. C-461/22 (Volltext): Art. 4 Nr. 7 DSGVO ist dahin auszulegen, dass ein ehemaliger Betreuer, der seine Aufgaben in Bezug auf eine unter seiner Betreuung gestellte Person berufsmäßig wahrgenommen hat, als „Verantwortlicher“ für die Verarbeitung der diese Person betreffenden personenbezogenen Daten, die sich in seinem Besitz befinden, einzustufen ist, sowie dahin, dass eine solche Verarbeitung alle Bestimmungen dieser Verordnung, insbesondere Art. 15 DSGVO, beachten muss.

• Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Mecklenburg-Vorpommern: “KI-Ethikrat als Lösungsvorschlag für zukünftige Herausforderungen” - Pressemitteilung vom 09.07.2024 
• Datenschutzaufsicht Hamburg: “KI-VO tritt in Kraft – auch Datenschutzbehörden werden sie umsetzen” - Pressemitteilung vom 12.07.2024 
• Datenschutzaufsicht Baden-Württemberg: “KI-Verordnung tritt in Kraft” - Pressemitteilung vom 12.07.2024