Datenschutz­woche

EDSA mit Stellungnahme zum KI-Training mit personenbezogenen Daten

Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zu datenschutzrechtlichen Fragen bei Entwicklung und Einsatz von KI-Modellen veröffentlicht. Darin setzt sich der Ausschuss mit der Anonymität von KI-Modellen, mit dem „berechtigten Interesse“ als Rechtsgrundlage der Verarbeitung sowie mit den Konsequenzen rechtswidriger Datenverarbeitung auseinander.

Nach Auffassung des EDSA enthalten KI-Modelle regelmäßig personenbezogene Daten. Während ein vollständig anonymes KI-Modell denkbar sei, sei der notwendige Nachweis der Anonymität schwer zu erbringen. Der Ausschuss betont zudem die Bedeutung einer umfassenden Interessenabwägung sowie eines fairen und transparenten Umgangs mit dem Training von KI-Modellen. Bürgerinnen und Bürger sollten weder grundsätzlich davon ausgehen noch es generell hinnehmen müssen, dass sämtliche im Internet verfügbaren Daten über sie uneingeschränkt für das Training von KI verwendet werden. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten hänge davon ab, ob diese später im Modell verbleiben oder nachträglich anonymisiert werden. Eine rechtswidrig trainierte KI könne nicht bedenkenlos und ohne die Beachtung erhöhter Sorgfaltspflichten verwendet werden.

Die Datenschutzaufsichtsbehörden Rheinland-Pfalz und Baden-Württemberg begrüßten die Stellungnahme in einer gemeinsamen Pressemitteilung als wertvolle Orientierungshilfe. Obwohl nicht alle Fragen abschließend geklärt werden, trage sie zu einer besseren Verständlichkeit und Anwendung von KI-Technologien bei.

DSK fordert menschenzentrierte Digitalisierung

Die Datenschutzkonferenz (DSK) hat in einer aktuellen Entschließung die Bedeutung einer menschenzentrierten Digitalisierung in der Daseinsvorsorge hervorgehoben. Besonders wichtig sei der Schutz vulnerabler Gruppen, wie etwa älterer Menschen oder Personen ohne Zugang zu digitaler Infrastruktur. Grundsätze wie die Datenminimierung und die Freiwilligkeit bei der Einwilligung sollten strikt eingehalten und bereits bei der Planung von Digitalisierungsprojekten berücksichtigt werden. Insbesondere sollte Art. 25 DSGVO, der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen fordert, als verbindliches Prinzip eingehalten werden.

Datenschutz allein sei nicht ausreichend, um eine menschenzentrierte Digitalisierung voranzubringen. Die DSK fordert darüber hinaus gesetzliche Rahmenbedingungen, die sicherstellen, dass Menschen unabhängig von ihrer digitalen Kompetenz oder finanziellen Lage Zugang zu Leistungen der Daseinsvorsorge erhalten.

Internationale Nachrichten

• Niederlande: Die niederländische Aufsichtsbehörde (AP) hat ein Bußgeld i.H.v. 4,47 Mio. EUR gegen Netflix wegen Verstößen gegen Informationspflichten verhängt.
• Frankreich: Die französische Aufsichtsbehörde (CNIL) hat ein Bußgeld in Höhe von 240.000 EUR gegen KASPR wegen der Erhebung von Daten aus LinkedIn-Profilen verhängt.
• Frankreich: Die französische Aufsichtsbehörde (CNIL) hat mit der französischen Wettbewerbsbehörde eine gemeinsame Erklärung über die Zusammenhänge zwischen Datenschutz und Wettbewerbsrecht veröffentlicht.
• Irland: Die irische Aufsichtsbehörde (DPC) hat eine Umfrage zum Datenschutz in Sportvereinen veröffentlicht.

Aktuelle Gerichtsentscheidungen:

• AG Hamburg-St. Georg, Urteil vom 17.07.2024, Az. 916 C 89/22 (Volltext): Unterlassung von Werbung – Der Kläger hat wegen der Zusendung der postalischen Werbung keinen Anspruch auf Unterlassung, da kein Verstoß gegen die DSGVO durch die Beklagte vorliegt. Die Zusendung der Werbung und die zugrundeliegende Verarbeitung seiner Adressdaten war rechtmäßig i.S.d. Art.6 Abs. 1 S. 1 lit. f DS-GVO.
• LAG Sachsen, Urteil vom 19.08.2024, Az. 2 Sa 162/23 (juris): Schadenersatz nach Art. 82 DSGVO – Schlussendlich weist die Beklagte zu Recht darauf hin, dass zwar eine Übermittlungspflicht ihrerseits wohl gegeben war, bei entsprechenden Ängsten oder Sorgen aber dennoch eine (ggfls. „zähneknirschende“) Abholung [der Auskunft] durch die Klägerin zu erwarten gewesen wäre.
• BFH, Urteil vom 20.09.2024, Az. IX R 24/23 (BeckRS 2024, 35733) sowie Urteil vom 12.11.2024, Az. IX R 20/22 (BeckRS 2024, 35732): Auskunft – Die Datenschutzgrundverordnung enthält keinen Anspruch auf Akteneinsicht.
• BAG, Urteil vom 17.10.2024, Az. 8 AZR 42/24 (Volltext): Kirchliches Datenschutzrecht – Es kann dahinstehen, ob sich ein Anspruch der Klägerin auf Überlassung einer Kopie des Protokolls aus § 19 Abs. 1 DSG-EKD ergibt, obwohl in dieser Norm bislang ausdrücklich nur ein Anspruch auf Auskunft und nicht auch ein Anspruch auf Überlassung einer Kopie geregelt ist.
• BAG, Urteil vom 17.10.2024, Az. 8 AZR 215/23 (juris): Schadenersatz nach Art. 82 DSGVO – Besteht der Schaden in negativen Gefühlen, die für sich genommen nicht beweisbar sind, hat das nationale Gericht die Gesamtsituation und letztlich auch die Glaubwürdigkeit der jeweiligen Klagepartei auf der Grundlage eines substantiierten Sachvortrags zu beurteilen.
• LG Stuttgart, Endurteil vom 24.10.2024, Az.12 O 170/23 (Volltext): Verwendung der „Meta-Business-Tools“ auf Webseiten – Auch, wenn man den Unterlassungsantrag der Klagepartei so verstehen würde, dass damit die Verarbeitung der mit den Businesstools übertragenen Daten gemeint ist, wäre dieser Antrag unbegründet. Denn nach dem Vortrag der Beklagten findet die zu unterlassende Datenverarbeitung gerade nicht statt. Aufgrund der fehlenden Einwilligung der Klagepartei werden keine Daten zu Werbezwecken genutzt.
• BFH, Urteil vom 12.11.2024, Az. IX R 20/22 (Volltext): Auskunft – Eine auf Auskunftserteilung gemäß Art. 15 Abs. 1 DSGVO gerichtete Klage ist mangels Beschwer grundsätzlich unzulässig, wenn es an einem dem Klageverfahren vorausgehenden außergerichtlich gestellten Antrag auf Auskunftserteilung fehlt.
• OLG Düsseldorf, Beschluss vom 02.12.2024, Az. 16 W 93/23 (GRUR-RS 2024, 35198): Auskunft – Ein Auskunftsverlangen der betroffenen Person an den Verantwortlichen nach Art. 15 Abs. 1 DSGVO begründet ein Auskunftsschuldverhältnis. In dem Auskunftsschuldverhältnis nach Art. 15 Abs. 1 DSGVO kann der Verantwortliche mit Ablauf der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO gemäß § 286 Abs. 2 Nr. 2 BGB mit der Auskunftserteilung in Verzug geraten, wenn er die Auskunft bis dahin nicht erteilt.
• AG Lörrach, Urteil vom 20.12.2024, Az. 3 C 29/23 (Volltext): Auskunft – Ein Auskunftsanspruch nach Art. 15 DSGVO kann nicht lediglich deshalb abgelehnt werden, weil damit finanzielle Ansprüche verfolgt werden sollen.
• EuGH, Urteil vom 19.12.2024, Rs. C-65/23 (Volltext): Datenverarbeitung im Beschäftigungskontext - Eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift über die Verarbeitung personenbezogener Daten für die Zwecke von Beschäftigungsverhältnissen muss bewirken, dass ihre Adressaten nicht nur die Anforderungen erfüllen müssen, die sich aus Art. 88 Abs. 2 DSGVO ergeben, sondern auch diejenigen, die sich aus Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 DSGVO ergeben.

Neuigkeiten aus den Aufsichtsbehörden:

• Datenschutzaufsicht Rheinland-Pfalz: „Die „elektronische Patientenakte für alle“ kommt – Kugelmann: Alle Versicherten entscheiden aber über das Ob und Wie“ – Pressemitteilung vom 16.12.2024
• Datenschutzaufsicht Hessen: „Engagement des HBDI zahlt sich aus: Schufa speichert ausgeglichene Forderungen nur noch 18 Monate“ – Pressemitteilung vom 18.12.2024
• Datenschutzaufsicht Hamburg: „Darf das Meldeamt meine Adresse für Wahlwerbung preisgeben“ – Pressemitteilung vom 18.12.2024
• Datenschutzaufsicht Rheinland-Pfalz: „Europäische Datenschutzaufsicht gibt Orientierungspunkte für Künstliche Intelligenz: Der Weg für eine mit dem Datenschutzrecht vereinbare KI in Europa ist offen“ – Pressemitteilung vom 18.12.2024
• Datenschutzaufsicht Mecklenburg-Vorpommern: „Die „ePA für alle“ – was Versicherte jetzt wissen sollten“ – Pressemitteilung vom 18.12.2024
• Datenschutzaufsicht Nordrhein-Westfalen: „KI wird ganz sicher eines der wichtigsten Themen für uns“ – Interview vom 19.12.2024
• Datenschutzaufsicht Bayern: „Erste Ergebnisse der Worldcoin-Untersuchung: BayLDA stärkt Betroffenenrechte“ – Pressemitteilung vom 19.12.2024
• BfDI: „Einwilligungsverordnung gilt ab 2025“ – Pressemitteilung vom 20.12.2024
• Datenschutzaufsicht Niedersachsen: „Verabschiedete Einwilligungsverwaltungsverordnung verfehlt ihr eigentliches Ziel“ – Pressemitteilung vom 27.12.2024
• BfDI: „Berlin Group beschließt Papiere zu LLMs und zu Data Sharing“ – Pressemitteilung vom 27.12.2024
• Datenschutzaufsicht Thüringen: „Transparenz als wichtiger Baustein der Demokratie! – Der TLfDI übernimmt den Vorsitz der Konferenz der Informationsfreiheitbeauftragten in Deutschland“ – Pressemitteilung vom 06.01.2025