Datenschutz­woche

Hamburger Thesen zum Personenbezug in Large Language Models

Der Hamburgische Datenschutzbeauftragte (HmbBfDI) hat ein Diskussionspapier veröffentlicht, das das Verhältnis zwischen der Datenschutzgrundverordnung (DSGVO) und der KI-Verordnung beleuchtet. Besondere Aufmerksamkeit gilt dabei den Large Language Models (LLMs), wie sie beispielsweise als Chatbots zum Einsatz kommen. LLMs sind Modelle, die Texte analysieren und kohärente Antworten generieren können.

Gemäß der Pressemitteilung der Behörde von 15. Juli 2024 lauten die wesentlichen Themen des Papiers

• "Die bloße Speicherung eines LLMs stellt keine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO dar. Denn in LLMs werden keine personenbezogenen Daten gespeichert. Soweit in einem LLM-gestützten KI-System personenbezogene Daten verarbeitet werden, müssen die Verarbeitungsvorgänge den Anforderungen der DSGVO entsprechen. Dies gilt insbesondere für den Output eines solchen KI-Systems."
• "Mangels Speicherung personenbezogener Daten im LLM können die Betroffenenrechte der DSGVO nicht das Modell selbst zum Gegenstand haben. Ansprüche auf Auskunft, Löschung oder Berichtigung können sich jedoch zumindest auf Input und Output eines KI-Systems der verantwortlichen Anbieter:in oder Betreiber:in beziehen."
• "Das Training von LLMs mit personenbezogenen Daten muss datenschutzkonform erfolgen. Dabei sind auch die Betroffenenrechte zu beachten. Ein gegebenenfalls datenschutzwidriges Training wirkt sich aber nicht auf die Rechtmäßigkeit des Einsatzes eines solchen Modells in einem KI-System aus."

Datenschutzaufsicht Baden-Württemberg veröffentlicht „ONKIDA“

Die KI-Verordnung wurde am 12. Juli im Amtsblatt der Europäischen Union veröffentlicht und kommt seither schrittweise zur Anwendung.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat nun mit dem Orientierungshilfe-Navigator KI & Datenschutz „ONKIDA“ eine Arbeitshilfe zu datenschutzrechtlichen Aspekten beim Einsatz von KI veröffentlicht. In Form einer thematisch geordneten Fundstellenübersicht stellt „ONKIDA“ Orientierungshilfen, Checklisten und Arbeitspapieren der deutschen Aufsichtsbehörden und des EDSA zur Verfügung. Damit unterstreicht der LfDI auch die Rolle der Datenschutzaufsichtsbehörden bei der Regulierung von KI-Anwendungen.

Die Anwendbarkeit der DSGVO auf die Verarbeitung personenbezogener Daten durch KI-Anwendungen bleibt durch die neue Verordnung unberührt. Mit dem Einsatz von KI ergeben sich zahlreiche datenschutzrechtliche Herausforderungen wie z.B. die Zweckbindung oder die Gewährleistung von Betroffenenrechten. Die herausragende Rolle der Aufsichtsbehörden wird in der neusten Stellungnahme des Europäischen Datenschutzausschuss (EDSA) ebenfalls betont.

Internationale Nachrichten

• Europa: Der EDSA hat eine Stellungnahme zur Rolle der Datenschutzaufsichtsbehörden im Rahmen der KI-Verordnung veröffentlicht.
• Frankreich: Die französische Aufsichtsbehörde CNIL warnt vor Risiken der europäischen Cloud-Zertifizierung und spricht sich für eine starke Rolle der Datenschutzaufsichtsbehörden bei der Durchsetzung der KI-Verordnung aus.

Aktuelle Gerichtsentscheidungen:

• LG Heidelberg, Urteil vom 06.05.2024, Az. 4 O 5/24 (GRUR-RS 2024, 16544): Gemessen an diesen Kriterien ist der geltend gemachte Schadensersatzanspruch zu verneinen, weil es dem Kläger nicht gelungen ist, den Nachweis im Sinne der EuGH-Rechtsprechung zu erbringen, dass er einen immateriellen Schaden erlitten hat. Allein der Wunsch nach Monetarisierung eines niederschwelligen Verstoßes gegen die DSGVO kann einen Schaden nicht begründen.
• LG Aachen, Urteil vom 21.05.2024, Az. 12 O 69/24 (juris): Dem Kläger steht der geltend gemachte Anspruch auf Schmerzensgeld aus Art. 82 Abs. 1 DSGVO wegen eines Verstoßes der Beklagten gegen Art. 6 DSGVO nicht zu. Es kann dahinstehen, ob der Beklagten ein Datenschutzverstoß dahingehend vorzuwerfen ist, dass sie Positivdaten des Klägers bei einer Auskunftei gemeldet hat. Es fehlt an einem substantiiert dargelegten Schaden beim Kläger.
• LG Leipzig, Urteil vom 06.06.2024, Az. 04 O 2394/23 (juris): Die Klägerin hat keinen Anspruch auf die Feststellung der Verpflichtung zum Schadensersatz für künftige Schäden, da die Daten bereits gelöscht sind und kein Schaden durch die Einmeldung entstanden ist.
• LG Ellwangen, Urteil vom 10.06.2024, Az. 6 O 17/24 (juris): Mit Blick auf die subjektiven Folgen eines Datenschutzverstoßes im Einzelfall ist es ausreichend, aber auch erforderlich, dass der Betroffene Umstände darlegt, in denen sich seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat.
• LG Hanau, Urteil vom 11.06.2024, Az. 9 O 1424/23 (GRUR-RS 2024, 16758): Die Voraussetzungen eines Verstoßes gegen die DSGVO und den Eintritt eines Schadens hat grundsätzlich die anspruchstellende Klägerseite zu beweisen. Die DSGVO enthält kein Beweisrecht; es gelten insoweit die Beweisregeln des jeweiligen nationalen Prozessrechts.
• LG Darmstadt, Urteil vom 12.06.2024, Az. 2 O 18/24 (juris): Soweit der Kläger von einem Gefühl von Kontrollverlust, Angst vor Diskriminierung, Existenzsorgen spricht, so erscheinen diese Begriffe formelhaft und entbehren jeder Darlegung von Einzelheiten, wie sich Gefühle geäußert haben sollen. Dabei fehlt es völlig an Vortrag, in welcher Form sich Beweisanzeichen objektiver Art zeigen, in denen sich solche Gefühle widerspiegeln, und zwar bezogen auf den konkreten Einzelfall des Klägers.
• LG Tübingen, Urteil vom 12.06.2024, Az. 4 O 359/23 (juris): Im vorliegenden Fall sind die vorgebrachten Bonitätssorgen der Klägerin bereits deshalb nicht verständlich, da die vorgelegte Bonitätsauskunft einen sehr guten Basisscore attestiert.
• LG Lüneburg, Urteil vom 13.06.2024, Az. 10 O 222/23 (juris): Der Kläger hat keinen Anspruch auf immateriellen Schadensersatz gem. Art. 82 DSGVO. Zwar kann auch der Kontrollverlust über die eigenen Daten einen Schadensersatz begründen. Im vorliegenden Fall ist diese abstrakte Darstellung nicht geeignet, um bei dem Kläger einen Schaden annehmen zu können.
• LG Memmingen, Urteil vom 13.06.2024, Az. 24 O 1624/23 (juris): Das Gericht konnte aus diesen Umständen keine Überzeugung erlangen, dass der Kläger tatsächlich aufgrund der Einmeldung der Beklagten Nachteile im Rahmen seiner Finanzierung erlangte. Insofern konnte das Gericht auch keine daraus resultierenden Folgen im Sinne von Ängsten, Stress, Komfort- und Zeiteinbußen feststellen.
• LG Ulm, Urteil vom 13.06.2024, Az. 6 O 20/24 (juris): Der Kläger hat keinen Anspruch auf Schadensersatz gemäß Art. 82 DSGVO. Er hat jedenfalls keinen kausalen Schaden aufgrund eines möglichen Verstoßes der Beklagten nachgewiesen. Es kann daher offen bleiben, inwieweit der Beklagten überhaupt ein Verstoß gegen die DSGVO zur Last gelegt werden kann.
• LG Osnabrück, Urteil vom 13.06.2024, Az. 2 O 2739/23 (GRUR-RS 2024, 16539): Aus der DSGVO ergibt sich kein isolierter individueller Anspruch auf Unterlassung der Übermittlung von Daten an Dritte. Ein solcher folgt insbesondere nicht aus Art. 17 DSGVO.
• AG Berlin-Lichtenberg, Urteil vom 19.06.2024, Az. 14 C 108/23 (GRUR-RS 2024, 16753): Schadenersatz i.H.v. 100 Euro für immaterielle Schäden durch Scraping: Die Zahl und Schwere der Verstöße ist entgegen der Ansicht des Klägers aufgrund der Ausgleichsfunktion des Schadensersatzanspruches nach Art. 82 DSGVO, der anders als Art. 83 und 84 DSGVO keinen Strafzweck verfolgt, unbeachtlich.
• LG Ravensburg, Urteil vom 20.06.2024, Az 4 O 91/24 (juris): Auch der kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO begründen, sofern der Betroffene den Nachweis erbringt, dass er tatsächlich einen solchen Schaden erlitten hat.
• LG Konstanz, Urteil vom 21.06.2024, Az. D 2 O 269/23 (juris): Ein abstrakter „Kontrollverlust“ allein reicht für einen immateriellen Schaden im Sinne des Art. 82 DSGVO nicht aus, für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Darlegungs- und Beweislast. Danach ist der Verlust der Kontrolle über die eigenen Daten eine negative Folge, die zwar grundsätzlich einen Ersatzanspruch begründen kann, der Anspruchsteller bleibt jedoch in der Pflicht darzulegen und ggf. zu beweisen, dass der Kontrollverlust zu einem immateriellen Schaden wie begründeten Ängsten und Befürchtungen eines Missbrauchs der Daten durch Dritte geführt hat.
• OLG Hamm, Urteil vom 21.06.2024, Az. 7 U 154/23 (GRUR-RS 2024, 16856): Soweit die Klägerin den Erhalt von Spam-Anrufen und -SMS im Rahmen des immateriellen Schadens geltend macht, steht nicht fest, dass die Spam-Anrufe und -SMS zumindest mitursächlich auf den Datenschutzverstößen der Beklagten, die zu 533 Millionen generierter Datensätze geführt haben, beruhen. Die Klägerin hat weder hinreichend dargelegt noch – selbst gemessen am Maßstab des § 287 ZPO – bewiesen, dass diese auf den streitgegenständlichen Scraping-Vorfall zurückzuführen sind.
• LG Erfurt, Urteil vom 25.06.2024, Az. 8 O 1244/23 (GRUR-RS 2024, 16710): Es ist weder dargelegt noch sonst ersichtlich, dass dem Kläger durch die Information über den Abschluss des Mobilfunkvertrages im Jahr 2018 ein konkreter Schaden entstehen könnte, so etwa anderen Teilnehmern am Wirtschaftsverkehr wie Banken oder Versicherungen Anlass geben könnte, die Bonität des Klägers zu hinterfragen.
• LG Duisburg, Urteil vom 28.06.2024, Az. 1 O 9/24 (GRUR-RS 2024, 16550): Die Übermittlung der Informationen über den Abschluss des Vertrages zwischen dem Kläger und der Beklagten an Wirtschaftsauskunfteien durch die Beklagte war nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt. Sie diente der Wahrung berechtigter Interessen Dritter und ggf. auch des Klägers.
• LG Berlin II, Urteil vom 28.06.2024, Az. 85 O 15/24 (GRUR-RS 2024, 16755): Schließlich trägt der Kläger selbst vor, dass auch eine positive Schufa Bewertung für ihn negativ sein kann, weil er ggf. dadurch Kredite erhält, die er nicht bedienen kann. Insofern erkennt der Kläger an, dass nicht nur die Allgemeinheit, sondern auch die Schuldner selbst durch die Schufa-Einträge vor wirtschaftlich desaströsen Entscheidungen geschützt werden.
• LG Paderborn, Urteil vom 01.07.2024, Az. 4 O 11/24 (GRUR-RS 2024, 16545): Auch wenn es keine Erheblichkeitsschwelle gibt, so bedeutet dies nicht, dass die aus dem Datenschutzverstoß resultierenden negativen Folgen per se einen haftungsbegründenden Schaden darstellen.
• LG Oldenburg, Urteil vom 03.07.2024, Az. 5 O 2960/23 (GRUR-RS 2024, 16757): Soweit die Klagepartei sich in den Schriftsätzen auf eine Rechtsgutsverletzung und den bloßen Verlust der Kontrolle über ihre personenbezogenen Daten beruft, legt sie einen Schaden bereits nicht dar. Entgegen der Auffassung der Klagepartei stellt der Verlust der Kontrolle über personenbezogene Daten als solcher noch keinen ersatzfähigen Schaden dar.
• LG Ellwangen, Urteil vom 05.07.2024, Az. 1 O 2/24 (GRUR-RS 2024, 16547): Auch wenn Art. 82 DSGVO nach den Vorgaben des EuGH keine Erheblichkeits- oder Bagatellschwelle enthält, genügen die geschilderten abstrakten Umstände und ein etwaiger Verstoß als solche nicht zur Bejahung einer immateriellen Beeinträchtigung. Es handelt sich nur um (negative) Gefühle des Ärgers, die Teil des allgemeinen Lebensrisikos und des täglichen Erlebens sind, die aber noch keine Beeinträchtigung des Seelenlebens oder der Lebensqualität darstellen, die einen immateriellen Schaden begründen könnten.
• LG Augsburg, Endurteil vom 05.07.2024, Az. 041 O 3703/23 (GRUR-RS 2024, 16756): Durch die Kenntnisnahme des Datenschutzmerkblatts der Schufa hat die Klagepartei bei Abschluss des Vertrages mit der Beklagten eingewilligt, dass Daten über den Abschluss eines Telekommunikationsvertrages und das Servicekonto an die Schufa gemeldet werden.
• LG Aachen, Urteil vom 11.07.2024, Az. 1 O 388/23 (GRUR-RS 2024, 16535): Die Verletzung der Vorschriften der DSGVO ist nicht mit einem Schadenseintritt gleichzusetzen. Es ist zwar keine schwere Verletzung des Persönlichkeitsrechts erforderlich. Andererseits ist aber auch weiterhin nicht für jede im Grunde nicht spürbare Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzkonferenz: Protokoll der 107. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 14. und 15. Mai 2024
• Datenschutzaufsicht Hamburg: “Hamburger Thesen zum Personenbezug in Large Language Models” - Pressemitteilung vom 15.07.2024
• Bundesdatenschutzbeauftragter: “Die neue KI-Verordnung der EU” - Pressemitteilung vom 16.07.2024
• Datenschutzaufsicht Niedersachsen: “Landesbeauftragter für den Datenschutz nutzt datenschutzfreundliches Netzwerk Mastodon” - Pressemitteilung vom 18.07.2024. 
• Datenschutzaufsicht Baden-Württemberg: “Orientierungshilfen-Navigator KI & Datenschutz” - Pressemitteilung vom 19.07.2024