Datenschutz­woche

ChatGPT im Fokus: EDPD prüft Datenschutzprobleme

Das European Data Protection Board (EDPB) hat einen Arbeitsbericht seiner ChatGPT-Taskforce veröffentlicht. Darin geben die europäischen Datenschutzaufsichtsbehörden einen Einblick in das laufende Prüfverfahren zu ChatGPT und benennen eine Reihe von datenschutzrechtlichen Problempunkten. Bei der Beurteilung der Rechtmäßigkeit unterscheidet das EDPB zwischen verschiedenen Phasen der Verarbeitung. Im konkreten Fall sind dies die Erhebung der Trainingsdaten, die Vorverarbeitung der Daten, das Training, die Nutzereingaben (Prompts) und -ausgaben sowie das Training von ChatGPT mit Prompts. Die ersten drei Schritte sieht das EDPB besonders kritisch, da sie auf einer automatisierten Datenerhebung durch Auslesen von Daten aus dem Internet ("Web Scraping") beruhen. Das EDPB hat erhebliche Zweifel daran, dass diese Verarbeitung auf ein berechtigtes Interesse gestützt werden kann - auch im Hinblick auf besondere Kategorien personenbezogener Daten. Darüber hinaus thematisieren die Datenschutzaufsichtsbehörden mögliche Verstöße gegen die Einhaltung der Datenschutzgrundsätze (insbesondere Fairness, Transparenz und Datenrichtigkeit) sowie die Gewährleistung der Betroffenenrechte.

Datenschutzkonferenz fordert Regeln zur Sekundärnutzung genetischer Daten im Bereich der Forschung  

In einem neuen Positionspapier nimmt die Datenschutzkonferenz (DSK) Stellung zu den Anforderungen an die Sekundärnutzung genetischer Daten zu Forschungszwecken. Genetische Daten im Sinne der DSGVO sind personenbezogene Daten über die genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit enthalten und aus einer biologischen Probe gewonnen wurden. Sie sind hochsensibel und können Rückschlüsse auf Krankheiten oder Gesundheitsrisiken zulassen. Daher ist eine ausdrückliche Einwilligung erforderlich. Darüber hinaus verlangt die DSGVO besondere technische und organisatorische Schutzmaßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person. Häufig können zum Zeitpunkt der Aufklärung die auf konkrete Forschungsvorhaben bezogenen Zwecke der Verarbeitung im Einzelnen noch nicht vollständig angegeben werden, so dass die Einwilligung mangels hinreichender Bestimmtheit an rechtliche Grenzen stoßen kann. Die DSK verweist hier auf die viel diskutierte breite Einwilligung (Broad Consent), fordert aber auch, dass die Anforderungen an den Broad Consent gesetzlich möglichst restriktiv geregelt werden. Eine gesetzliche Regelung sollte besondere Anforderungen enthalten, wie z.B. die zwingende Einhaltung einer Mindestbedenkzeit zwischen Information und Abgabe der Einwilligungserklärung.

Internationale Nachrichten

• EU: European Data Protection Board (EDPB), Leitfaden für kleine Unternehmen nunmehr auch auf Deutsch erhältlich – Mitteilung vom 17.05.2024
• EU: Der Rat der EU hat am 21. Mai die KI-Verordnung verabschiedet. Die neue Verordnung soll die Regulierung von KI europaweit harmonisieren.
• EU: European Data Protection Board (EDPB), Gesichtserkennung an Flughägen: Einzelpersonen sollen maximale Kontrolle über biometrische Daten haben-  Pressemitteilung vom 24.05.2024

Aktuelle Gerichtsentscheidungen:

• LG Stade, Urteil vom 30.04.2024, Az. 4 O 316/23 (GRUR-RS 2024, 10218): Es kann dahinstehen, ob die Verantwortliche durch die Einmeldung der Positivdaten bei der Schufa die DSGVO verletzt hat, da es jedenfalls an der Darlegung eines kausalen Schadens des Klägers fehlt.
• LG Mainz, Urteil vom 02.05.2024, Az. 2 O 204/23 (GRUR-RS 2024, 10236): Für einen behaupteten immateriellen Schaden in Form von Angst und Sorge müssen objektive Beweisanzeichen vorhanden sein. Die bloße Bekundung des Betroffenen ist nicht ausreichend. 
• LG Bonn, Urteil vom 03.05.2024, Az. 19 O 221/23 (GRUR-RS 2024, 10232): Ein reines „Befürchten“ von Nachteilen ist kein Schaden im Sinne der DSGVO.
• OLG des Saarlandes, Urteil vom 24.05.2023, Az. 5 U 80/22 (juris): Ein Anspruch aus Art. 17 Abs. 1 DSGVO kann daran scheitern, dass die Verarbeitung während des Bestehens des Nutzungsvertrags zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzkonferenz : „Besserer Schutz von Patientendaten bei Schließung von Krankenhäusern“ - Entschließung vom 15.05.2024
• Datenschutzaufsicht Hessen: „Prof. Dr. Alexander Roßnagel übernimmt Vorsitz der Datenschutzkonferenz“ - Pressemitteilung vom 16.05.2024
• Bundesdatenschutzbeauftragter (BfDI): „BfDI erhebt Klage gegen den Bundesnachrichtendienst“- Pressemitteilung vom 23.05.2024