DatenschutzWoche vom 18. März 2024

EU-Parlament verabschiedet KI-Verordnung

Nach dreijährigem Ringen zwischen EU-Kommission, Rat und Parlament hat nun auch das EU-Parlament für die KI-Verordnung gestimmt. Der risikobasierte Ansatz verbietet die in Art. 5 KI-VO geregelten Anwendungen. Diese umfassen zum Beispiel bestimmte Formen des Social Scoring oder biometrische Echtzeit-Identifikationssysteme. Trotz des grundsätzlichen Verbots sollen diese Anwendungen in bestimmten Fällen zur Strafverfolgung weiterhin zulässig sein, was in der Öffentlichkeit stark umstritten ist.

Die zentrale Frage für Betreiber ist, ob sie die Anforderungen der KI-Verordnung erfüllen müssen. Die Definition von KI ist in der Verordnung sehr weit gefasst, aber nicht alle Arten von KI unterliegen den gesetzlichen Anforderungen. Strenge Anforderungen gelten für Hochrisiko-KI-Systeme. In vielen Fällen ist jedoch unklar, welche Kriterien angelegt werden. Weitere Rechtsunsicherheit entsteht dadurch, dass die Verordnung die Kommission ermächtigt, den Anwendungsbereich durch delegierte Verordnungen auszuweiten.

Der Bundesdatenschutzbeauftragte hat die Verabschiedung der KI-Verordnung in einer Pressmitteilung begrüßt und betont, dass das Datenschutzrecht neben der KI-Verordnung anwendbar bleibt. Wer mit KI-Systemen personenbezogene Daten verarbeitet, muss weiterhin die Anforderungen der DSGVO erfüllen. In diesem Zusammenhang führt die Landesdatenschutzbeauftragte von Nordrhein-Westfalen in einem Hinweis zur Verabschiedung der KI-Verordnung aus, dass es bei KI-Systemen oft schwierig ist, „[…] festzustellen, ob personenbezogene Daten verarbeitet werden beziehungsweise in welchen Verarbeitungsschritten und in wessen Verantwortung das geschieht. KI-Anwendungen müssen deshalb sorgfältig überprüft werden, sei es nach der KI-Verordnung oder nach Datenschutzrecht.“

LG Passau zur datenschutzrechtlichen Zulässigkeit von Drittlandsübermittlungen

Das LG Passau setzt sich in einer auf den ersten Blick unscheinbaren Entscheidung vom 16.02.2024 (Az. 1 O 616/23) mit einem Scraping-Vorfall auseinander; auf den zweiten Blick findet sich Lesenswertes zu Drittlandsübermittlungen.

Der Kläger hatte einem sozialen Netzwerk vorgeworfen, systematisch und automatisiert Inhalte zu überwachen. Sogenannte "Off"-Daten, also Daten, die Aktivitäten außerhalb des Netzwerks betreffen, seien massenhaft gesammelt und ausgewertet worden. Zudem seien seine Daten im April 2021 durch unbekannte Dritte im Wege des Scrapings abgegriffen und im Internet verbreitet worden. Der Kläger warf der Plattform insbesondere vor, sämtliche personenbezogenen Daten in die USA und an die National Security Agency (NSA) zur anlasslosen Überprüfung und Untersuchung weiterzuleiten. Das Gericht wies die Klage ab und legte eine mustergültige Argumentation zur Drittlandsübermittlung vor.

Bezüglich des "Scraping"-Vorfalls und der Überwachung durch Verarbeitung der "Off"-Daten verneint das Gericht bereits das Feststellungsinteresse und das Rechtsschutzinteresse. Bis auf die Telefonnummer habe der Kläger alle Daten selbst veröffentlicht, die Auffindbarkeit der Telefonnummer könne er zudem selbst einschränken. Es sei ohne weiteres möglich, Einstellungen zur Behandlung von personenbezogenen Daten so zu treffen, wie es der Kläger wünsche.

Bezüglich des Vorwurfs des Klägers im Zusammenhang mit der Datenübermittlung in die USA verteidigt das Gericht den Datentransfer. Die Datenübermittlung sei grundsätzlich zur Vertragserfüllung gemäß Art. 6 Abs. 1 Buchst. b DSGVO erforderlich, da die Plattform zur weltweiten Vernetzung zwangsläufig auch zu einem Datenaustausch in die USA führe. Für den Zeitraum vor dem neuen Angemessenheitsbeschluss der Kommission vom 10.07.2023 stellen die Standardvertragsklauseln 2010 und 2021 eine ausreichende Rechtsgrundlage dar.

Interessant ist die Argumentation zum Auskunftsverlangen der US-Regierungsbehörden. Hier heißt es: "Soweit US-Regierungsbehörden einschließlich Geheimdienste vom M. Plattforms, Inc., nach US-amerikanischem Recht Auskünfte verlangen können, ist dies Folge der rechtmäßigen Datenübermittlung in den Herrschaftsbereich der Vereinigten Staaten von Amerika." Dies widerspreche nicht der Gewährleistung eines im Wesentlichen gleichen Schutzniveaus, da sie auch unter dem europäischem Datenschutzregime möglich sei.

Internationale Nachrichten

• Europa: Die EU-Kommission hat ihren Bericht zur ersten Überprüfung der Angemessenheitsbeschlüsse für elf Länder veröffentlicht.
• Polen: Die polnische Datenschutzaufsichtsbehörde hat zwei Bußgelder wegen Verstößen bei der Meldung von Datenschutzverletzungen verhängt (Fall 1 / Fall 2).

Aktuelle Gerichtsentscheidungen

• OLG Brandenburg, Beschluss vom 11.01.2024, Az. 12 U 132/23 (juris): Die Erteilung einer Auskunft über die personenbezogenen Daten nach Art. 15 Abs. 1 S. 2 DSGVO stellt keine Verarbeitung dar, so dass schon aus diesem Grunde kein Anspruch auf Schadensersatz besteht.
• OLG Stuttgart, Hinweisbeschluss vom 02.02.2024, Az. 2 U 63/22 (GRUR-RS 2024, 3802): Werbebriefe können auf der Grundlage von Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse) versandt werden. Eine Einwilligung ist nicht erforderlich.
• LG Freiburg, Urteil vom 08.02.2024, Az. 8 O 212/23 (juris): Allein in dem vermehrten Aufkommen an Spam-E-Mails liegt kein Schaden i.S.d. Art. 82 DSGVO, wenn sich die Beeinträchtigungen in einer Verärgerung über den Mehraufwand für das Aussortieren der Spam-E-Mails erschöpft.
• LG Passau, Urteil vom 16.02.2024, Az. 1 O 616/23 (Volltext): Internationale Datenübermittlung durch ein soziales Netzwerk – Die Voraussetzungen für die Datenübermittlung in Drittländer nach Kapitel V DSGVO werden eingehalten.
• LG Münster, Urteil vom 07.03.2023, Az. 2 O 54/22 (GRUR-RS 2023, 44806): Kein Anspruch auf Schadenersatz nach Art. 82 DSGVO wegen Scraping. Es fehlt an einer schadenersatzauslösenden Pflichtverletzung der Beklagten im Sinne der DSGVO.
• EuGH, Urteil vom 14.03.2024, Rs. C-46/23 (Volltext): Die Datenschutzaufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „BfDI begrüßt die europäische KI-Verordnung“ – Pressemitteilung vom 13.03.2024
• Datenschutzaufsicht Thüringen: „Ihr Widerspruchsrecht gegen persönlich adressierte Wahlwerbung im Zusammenhang mit den Landtagswahlen“ – Pressemitteilung vom 13.03.2024
• Datenschutzaufsicht Bremen: „6. Jahresbericht Datenschutz nach der Datenschutzgrundverordnung“ - Tätigkeitbericht für das Jahr 2023 (zugehörige Pressemitteilung vom 15.03.2024)
• Datenschutzaufsicht NRW: „KI-Verordnung kommt, Datenschutz bleibt“ – Meldung ohne Datum