Datenschutz­woche

#112

Diskussionspapier und Checkliste: Datenschutzaufsichtsbehörden positionieren sich zu KI

Mit einem Diskussionspapier zu den Rechtsgrundlagen im Datenschutz beim Einsatz von KI der Datenschutzaufsichtsbehörde Baden-Württemberg sowie einer Checkliste zum Einsatz LLM-basierter Chatbots der Datenschutzaufsicht Hamburg positionieren sich die deutschen Datenschutzaufsichtsbehörden erneut zu KI.

Das Diskussionspapier der Datenschutzaufsichtsbehörde Baden-Württemberg (Version 1.0 vom 07.11.2023) geht detailliert auf die einzelnen Phasen der Verarbeitung ein und setzt sich mit der datenschutzrechtlichen Verantwortlichkeit auseinander. Kernstück des Diskussionspapiers sind umfangreiche Erwägungen zu den Rechtsgrundlagen für öffentliche und nicht-öffentliche Stellen, insbesondere auch für die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO). Um den Verantwortlichen die Prüfung der Rechtsgrundlagen zu vereinfachen, enthält das Dokument außerdem eine Kurz-Checkliste.

Die Checkliste zum Einsatz LLM-basierter Chatbots der Datenschutzaufsichtsbehörde Hamburg (Stand: 13.11.2023) soll Unternehmen und Behörden als Leitfaden dienen, um Chatbots datenschutzkonform zu nutzen. In insgesamt 15 Punkten gibt das Dokument konkrete Tipps zum Einsatz von Chatbots, die teilweise über das Datenschutzrecht hinausgehen.

Microsoft: Neues Data Protection Addendum (DPA) veröffentlicht

Microsoft hat am 15. November 2023 eine neue Version seines Product and Services Data Protection Addendum (kurz: DPA) veröffentlicht. Im Vergleich mit der Fassung vom 1. Januar 2023 enthält das neue DPA neben einigen sprachlichen Anpassungen vor allem eine relevante Änderung: Es stellt klar, dass Microsoft nach dem EU-US Privacy Framework zertifiziert ist. Werden bei der Nutzung von Microsoft-Cloud-Produkten Daten an die Microsoft Corporation übermittelt, kann die Übermittlung auf den neuen Angemessenheitsbeschluss der Europäischen Kommission für die USA vom 14. Juli 2023 gestützt werden.

Das DPA von Microsoft steht immer wieder in der Kritik der deutschen Datenschutzaufsichtsbehörden. Im November 2022 hat die Datenschutzkonferenz (DSK) beispielsweise in einem Beschluss festgestellt, dass Verantwortliche mit dem DPA vom 15. September 2022 nicht nachweisen können, dass sie Microsoft 365 datenschutzrechtskonform betreiben. Ende September 2023 haben sieben in der DSK vertretene Aufsichtsbehörden (Bayern [BayLfD], Hessen, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Schleswig-Holstein und Thüringen) diese Kritik mit „Praxishinweisen für Verträge mit Microsoft“ wiederholt.

Eine abschließende Bewertung des DPA vom 1. Januar 2023 durch die Datenschutzaufsichtsbehörden steht nach derzeitigem Kenntnisstand jedoch weiterhin aus. Ob die Datenschutzaufsichtsbehörden bereits eine Bewertung des neuen DPA vom 15. November 2023 begonnen haben, ist unklar. Möglicherweise werden sich die Datenschutzaufsichtsbehörden im Rahmen der 106. Datenschutzkonferenz am 22. November 2023 erneut mit dem Thema befassen.

Internationale Nachrichten

Aktuelle Gerichtsentscheidungen

  • OLG Köln, Beschluss vom 14.08.2023, Az. 15 W 46/23 sowie Beschluss vom 03.08.2023, Az. 15 W 72/23 (beide juris): Streitwertfestsetzung in Verfahren wegen Scraping bei Facebook – Das OLG Köln nimmt im konkreten Fall einen Betrag von 3.500 Euro an.
  • VG Berlin, Urteil vom 12.10.2023, Az. VG 1 K 561/21 (Volltext): Rechtswidrige Verwarnung durch die Datenschutzaufsicht Berlin – Kein Anspruch auf Auskunft zu Aufzeichnungen der Videoüberwachung in S-Bahnen.
  • EuGH, Urteil vom 16.11.2023, Rs. C-333/22 (Volltext): Die Mitteilung eines Prüfergebnisses durch die Datenschutzaufsicht an einen Betroffenen ist ein rechtsverbindlicher Beschluss, den der Betroffene gerichtlich angreifen kann.

Neuigkeiten aus den Aufsichtsbehörden