DatenschutzWoche vom 25.04.2022

Leitfäden der CNIL zu Datenschutz im Rahmen Künstlicher Intelligenz

Der zunehmende Einsatz von Künstlicher Intelligenz (KI) wirft zahlreiche datenschutzrechtliche Fragen auf. Die französische Datenschutzaufsichtsbehörde CNIL hat dies zum Anlass genommen und gleich zwei Leitfäden zu Datenschutz im Rahmen Künstlicher Intelligenz veröffentlicht. In ihrem Leitfaden zu datenschutzrechtlichen Anforderungen an KI wendet die CNIL die Grundsätze der DSGVO wie das Erfordernis einer Rechtsgrundlage, die Grundsätze der Zweckbindung, der Datenminimierung und der Speicherbegrenzung oder die Wahrung von Betroffenenrechten auf den Einsatz von KI an und gibt neben praktischen Hinweisen und weiterführenden Links auch zahlreiche Beispiele zur datenschutzkonformen Umsetzung. Auch auf KI-spezifische Fragestellungen wie die Erstellung von Datenbanken, den Umgang mit Trainingsdaten und die kontinuierliche Verbesserung von KI geht die CNIL ein. In Ergänzung zu diesem Leitfaden hat die CNIL zudem einen Leitfaden zur datenschutzrechtlichen Bewertung von KI-Systemen veröffentlicht, welcher aus insgesamt sieben umfassenden Checklisten besteht, die praktischerweise direkt auf der Website der CNIL ausgefüllt und anschließend ausgedruckt werden können. Über zahlreiche Fragen sollen Verantwortliche von KI-Systemen so in die Lage versetzt werden, die Datenschutz-Compliance ihrer Systeme zu prüfen.

EUGH bestätigt ständige Rechtsprechung zur Vorratsdatenspeicherung

Mit Urteil vom 05.04.2022 (Rechtssache C-140/20) hat der EuGH seine ständige Rechtsprechung zur Rechtswidrigkeit einer allgemeinen und anlasslosen Vorratsdatenspeicherung zur Bekämpfung schwerer Straftaten abermals bestätigt. Zur Begründung seiner Entscheidung, die auf Vorlage des obersten irischen Gerichtshofs (Supreme Court) ergangen ist, führt der EuGH im Wesentlichen an, dass die ePrivacy-Richtlinie grundsätzlich ein Verbot der Vorratsdatenspeicherung enthält und, dass das Ziel der Bekämpfung schwerer Kriminalität, so grundlegend es auch sein mag, für sich genommen die Erforderlichkeit einer Maßnahme der allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten nicht rechtfertigen kann. Eine ausführlichere Zusammenfassung findet sich in der Pressemitteilung des Gerichts.

Internationale Nachrichten

• Irland: Die irische Datenschutzaufsicht hat gegen die Bank of Ireland wegen Verstößen gegen die Art. 32, 33 und 34 DSGVO ein Bußgeld von 463.000 Euro verhängt.
• Schweden: Die schwedische Datenschutzaufsicht hat gegen die Klarna AB wegen Verstößen gegen die Grundsätze zur Datenverarbeitung und die Betroffenenrechte ein Bußgeld über 7,5 Millionen Kronen (ca. 730.000 Euro) verhängt.
• Europa: Das European Data Protection Board (EDPB) hat eine offizielle Erklärung zum neuen Transatlantischen Datenschutzabkommen veröffentlicht.
• Dänemark: Nach dem Willen der dänischen Datenschutzaufsicht soll eine Bank wegen eines fehlenden Löschkonzepts ein Bußgeld über umgerechnet 1,3 Millionen Euro zahlen.
• Frankreich: Die französische Datenschutzaufsicht hat ihr Sanktionsverfahren überarbeitet und unter anderem ein vereinfachtes Verfahren für Fälle mit geringer Komplexität eingeführt. In diesem sind Sanktionsmöglichkeiten sind auf Mahnungen, Bußgelder bis 20.000 € und Zwangsgelder bis 100 €/Tag der verspäteten Abhilfe begrenzt.
• Niederlande: Die niederländische Datenschutzaufsicht hat ihren Tätigkeitsbericht für das Jahr 2021 veröffentlicht.
• Frankreich: Wegen Verstößen gegen Art. 28, 29 und 32 DSGVO hat die französische Datenschutzaufsicht CNIL nach einem Datenleck mit Gesundheitsdaten von knapp 500.000 Betroffenen ein Bußgeld in Höhe von 1,5 Millionen Euro verhängt. Die CNIL bemängelt insbesondere unzureichende Auftragsverarbeitungsverträge und ein fehlendes Löschkonzept.
• Österreich: Die Datenschutzbehörde hat ihren Newsletter 2/2022 veröffentlicht. Darin enthalten sind u.a. ausgewählte Entscheidungen der Behörde zum Einsatz von GPS-Systemen in Fahrzeugen, zum Mitarbeiterexzess sowie zum Auskunftsanspruch.
• Belgien: Die belgische Datenschutzaufsicht hat mehrere Bußgelder (1, 2) wegen Temperaturchecks an Flughäfen in Brüssel verhängt.

Aktuelle Gerichtsentscheidungen

• Finanzgericht Berlin-Brandenburg, Urteil vom 26.01.2022, Az. 16 K 2059/21 (juris): Aus Erwägungsgrund 63 S. 7 zur DSGVO ergibt sich, dass der Betroffene seinen Antrag auf Auskunft bei großen Datenmengen präzisieren muss.
• LG Heidelberg, Urteil vom 16.03.2022, Az. 4 S 1/21 (juris): Da der Kläger eine unerwünschte E-Mail lesen und löschen musste, steht ihm ein Schmerzensgeld in Höhe von 25 Euro zu. Die Höhe entspricht der Auslagenpauschale bei Verkehrsunfällen.
• AG München, Beschlüsse vom 21. Dezember 2021, Az. 132 C 12506/21 bzw. 132 C 22992/20 (juris): Vorlagen an den EuGH zum Datenschutz bei Publikumspersonengesellschaften.
• VG Köln, Beschluss vom 01.04.2022, Az. 1 L 466/22 (Volltext): Die Warnung des BSI vor dem Einsatz von Kaspersky-Virenschutzprodukten ist im einstweiligen Rechtschutz nicht zu beanstanden.
• LAG Hessen, Urteil vom 14.01.2022, Az. 10 Sa 898-21 (Volltext): Die prozessuale Obliegenheit, Gesundheitsdaten zu offenbaren, steht im Einklang mit der DSGVO und dem BDSG, da sie der gerichtlichen Durchsetzung von Ansprüchen dient.
• LG Ravensburg, Urteil vom 06. März 2020, Az. 2 O 363/19 (juris): Einen Anspruch auf Auskunft darüber, wer sich über den Kläger wegen einer Geruchsbelästigung beschwert hat, besteht nicht.
• Arbeitsgericht Freiburg, Urteil vom 15.03.2021, Az. 5 Ca 139/20 (BeckRS 2021, 47741): Art. 15 DSGVO verleiht dem Arbeitnehmer keinen pauschalen Anspruch auf Auskunft, vielmehr ist eine Konkretisierung erforderlich.
• OLG Nürnberg, Urteil vom 14.03.2022, Az. 8 U 2907/21 (Volltext): Verfolgt der Antragsteller mit seinem Recht auf Auskunft nach Art. 15 DSGVO Zwecke, die nicht der Überprüfung der Datenschutzkonformität dienen, ist der Antrag rechtsmissbräuchlich.
• VG Ansbach, Urteil vom 23.02.2022, Az. AN 14 K 20.00083 (Volltext): Unzulässigkeit einer Videoüberwachung in einem Fitnessstudio
• ArbG Neuruppin, Urteil vom 14.12.2021, Az. 2 Ca 554/21 (Volltext): 1.000 Euro Schmerzensgeld nach Art. 82 DSGVO, da die Daten einer Arbeitnehmerin nach Ende des Arbeitsverhältnisses und einem Hinweis nicht umgehend von der Internetseite des Unternehmens entfernt wurden.
• Finanzgericht Münster, Urteil vom 24.02.2022, Az. 6 K 3515/20 (Volltext): Kein Anspruch auf Akteneinsicht beim Finanzamt nach Art. 15 DSGVO

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „30. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021“ – Veröffentlicht am 05.04.2022 (zugehörige Pressemitteilung)
• Datenschutzaufsicht Hamburg: „'Alles ablehnen' – HmbBfDI fordert zur Überarbeitung der Cookie-Banner auf“ – Pressemitteilung vom 05.04.2022
• Datenschutzaufsicht Hamburg: „Der HmbBfDI geht wegen Facebook-Auftritt der Hamburger Behörden auf Senat zu“ – Pressemitteilung vom 04.04.2022
• Datenschutzaufsicht Sachsen: „Oberste Landesbehörden müssen rechtskonformen Betrieb von Facebook-Fanpages nachweisen“ – Pressemitteilung vom 05.04.2022
• Datenschutzaufsicht Hamburg: „30. Tätigkeitsbericht Datenschutz 2021“ – Veröffentlicht am 05.04.2022 (zugehörige Pressemitteilung)
• Datenschutzaufsicht Brandenburg: „Gutachten zu Facebook-Fanpages – Landesbeauftragte fordert Nachweis der Rechtmäßigkeit des Betriebs oder Abschaltung“ – Pressemitteilung vom 06.04.2022
• Datenschutzaufsicht Bremen: „Landesbeauftragte für Datenschutz und Informationsfreiheit informiert über Kurzgutachten zu Facebook-Fanpages“ – Pressemitteilung vom 06.04.2022
• Datenschutzkonferenz: „Zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht“ – Beschluss vom 13.04.2022
• Datenschutzaufsicht Sachsen-Anhalt: „Landesbehörden müssen rechtskonformen Betrieb von Facebook-Fanpages nachweisen“ – Pressemitteilung vom 13.04.2022
• Datenschutzaufsicht Berlin: „BlnBDI informiert Senatsverwaltungen zur Nutzung von Facebook-Pages“ – Pressemitteilung vom 08.04.2022
• Datenschutzaufsicht Berlin: „Kostenlose Online-Schulungen für Start-ups und Vereine“ – Pressemitteilung vom 21.04.2022
• Datenschutzaufsicht Hessen: „Facebook-Seiten von öffentlichen Stellen“ – Mitteilung vom 06.04.2022
• Datenschutzaufsicht Baden-Württemberg: „Wege aus der Pandemie – zurück zur Freiheit“ – Pressemitteilung vom 08.04.2022
• Datenschutzaufsicht Baden-Württemberg: „Baden-Württembergs Ministerien wollen bei Facebook bleiben“ – Pressespiegel vom 20.04.2022
• Datenschutzaufsicht Schleswig-Holstein: „Gutachten zu Facebook-Fanpages: Betrieb noch immer nicht datenschutzkonform – der öffentliche Bereich muss handeln“ – Pressemitteilung vom 11.04.2022
• Datenschutzaufsicht Niedersachsen: „Corona-Daten spätestens jetzt löschen“ – Pressemitteilung vom 19.04.2022
• Datenschutzaufsicht Nordrhein-Westfalen: „Wahlen und Datenschutz: Jede Frage braucht eine Antwort!“ – Pressemitteilung vom 20.04.2022
• Datenschutzaufsicht Baden-Württemberg: „Nutzung von MS 365 an Schulen“ – Pressemitteilung vom 25.04.2022