Weiter geht es mit dem zweiten Teil unseres Jahresrückblicks: Wir erinnern an Themen und Urteile, die uns bei Dr. Datenschutz in den Monaten April bis Juni 2024 besonders bewegt haben.
Der Inhalt im Überblick
April – Der AI-Act kommt (bald), wir sind schon da!
Die europäische Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz befand sich auf den letzten Metern des Gesetzgebungsverfahren. Auch Datenschutzaufsichtsbehörden beschäftigten sich immer mehr ausgiebig mit dem Thema KI. Daher haben wir bereits im April auf der Website ai-act-law.eu den Text des KI-Gesetzes zusammen mit den Erwägungsgründen und Anhängen strukturiert aufbereitet und in unserem Blog einen Überblick gegeben und Ähnlichkeiten und Unterschiede der Verordnung zur DSGVO herausgearbeitet.
Auch in der Wissenschaft beansprucht die Künstliche Intelligenz immer weiter ihren Platz. Die Uni Hamburg führt im April die universitätsinterne GPT-Software, das Pilotprojekt „UHHGPT“ ein. Die Idee dahinter: Die Zukunft der KI durch eigene Erfahrungen mitgestalten.
Der EuGH durfte sich in der Rechtssache C-741/21 u. a. mit den Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 DSGVO und dessen Höhe befassen. Dabei bekräftigte er u. a. seine Rechtsprechung vom Anfang des Jahres, dass die erfolgreiche Geltendmachung eines Schadens auch des Nachweises eines (immateriellen) Schadens bedürfe und wies zugleich darauf hin, dass der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO – anders als etwa die in Art. 83 DSGVO normierte Geldbuße – keine Straf-, sondern eine Ausgleichsfunktion habe. Daher habe sich die Höhe des Schadensersatzes allein an dem infolge der Datenschutzverletzung seitens der betroffenen Person konkret erlittenen Schaden zu orientieren. An die Exkulpation nach Art. 82 Abs. 3 DSGVO stellte der EuGH zudem strenge Anforderungen.
Darüber hinaus hat der EuGH in der Rechtssache C‑61/22 entscheiden müssen, ob die Speicherung des Fingerabdrucks auf dem Personalausweis gegen das Grundrecht auf Schutz der personenbezogenen Daten verstößt. In dem Vorabentscheidungsverfahren stellte der EuGH fest, dass der Eingriff im Rahmen der Zweck-Mittel-Abwägung zumindest gerechtfertigt ist. Grund hierfür war das Bestreben eines Bürgers, einen Personalausweis ohne die Aufnahme seines Fingerabdrucks ausstellen zu lassen. Vor dem Hintergrund der seit August 2021 geltenden Verpflichtung, im Personalausweis zwei Fingerabdrücke zu führen, wurde dies jedoch abgelehnt.
Wer sich gefragt hat, ob die Fahrzeugidentifikationsnummern – kurz: FIN – einen Personenbezug aufweist, sei auf das Urteil des EuGH in der Rechtssache C 319/22 verwiesen. Der EuGH setzt seine Positionierung zum Personenbezug von Identifikationsnummer entsprechend der Entscheidung zum Personenbezug von IP-Adressen fort.
Mai – „Facebook-Scraping“ und kein Ende
Im Mai haben wir uns u. a. mit der EDSA-Stellungnahme zu Pay-or-Consent-Modellen bei großen Online-Plattformen befasst (veröffentlicht am 17. April). Bei diesen auch unter den Begriffen „Pay-or-okay“, „Pur-Abo“ o. ä. verbreiteten Modellen handelt es sich um Zugangsbeschränkungen zu Informationsangeboten im Internet, die den Zugang abhängig machen von der Zahlung einer Gebühr (meist in Form eines Abo-Modells) oder eben der Einwilligung in spezifische Verarbeitungen personenbezogener Daten, insbesondere zu Werbezwecken. Der Europäische Datenschutzausschuss äußerte erhebliche Zweifel daran, dass in diesen Kontexten die Anforderungen an eine gültige Einwilligung erfüllt werden. Aus Sicht des EDSA bedürfte es für eine „echte oder freie Wahl“ der Betroffenen einer „gleichwertigen Alternative, für die keine Gebühr zu entrichten ist, wie etwa die kostenlose Alternative ohne verhaltensbezogene Werbung“. Auf die Fortsetzung dieser Diskussion und den praktischen Umgang der (hier bislang eher zurückhaltenden) deutschen Aufsichtsbehörden mit dem Thema dürfen wir weiter gespannt sein.
Lange hatte man darauf hingearbeitet: das KI-Gesetz. Am 21. Mai war es nun endlich soweit und die EU-Mitgliedstaaten haben grünes Licht für den AI-Act gegeben. Der AI-Act verspricht, mit seinem „risikobasierten“ Ansatz und differenzierten Anforderungen in einem innovationsfreundlichen Rechtsrahmen eine effektive Regulierung des neuen Produkts – der Künstlichen Intelligenz.
Wenige Tage zuvor wurde die KI-Konvention vom Europarat verabschiedet. Aber schon damals war abzusehen, dass den offenen Formulierungen des Übereinkommens kein großer Mehrwert beizumessen sein wird. Dennoch wurden mit diesem ersten internationalen Vertrag die Rahmenbedingungen für die KI-Systeme festgelegt.
Auch 2024 gab es wieder verschiedene Urteile zu Facebook bzw. Meta und seinen Diensten. Ein von uns im Mai behandeltes Urteil des OLG Dresden befasste sich mit dem Scraping von Facebook-Seiten. Angreifer hatten den Umstand ausgenutzt, dass Facebook es seinen Nutzern, abhängig von deren Suchbarkeits-Einstellungen ermöglicht hatte, ihre Profile anhand ihrer Telefonnummern auffindbar zu machen: Durch die großflächige Eingabe von Telefonnummern ordneten die Angreifer diese den entsprechenden Nutzerkonten zu und veröffentlichten schließlich die Nutzerprofile von etwa 533 Millionen Facebook-Nutzern aus 106 Ländern im Internet. Der geltend gemachte Schadensersatzanspruch blieb der Klägerin in diesem Fall aber verwehrt: Nach Auffassung des Gerichts konnte die Klägerin nicht nachweisen, dass ihr durch den Scraping-Vorfall ein immaterieller oder materieller Schaden entstanden ist.
Dass die Rechtsprechung hierzu aber stetig im Fluss ist, zeigte später im Jahr (am 18.11.2024) eine Leitentscheidung des BGH zum Scraping bei Facebook. Hiernach kann bereits der bloße Verlust der Kontrolle über die eigenen Daten für einen Anspruch auf immateriellen Schadensersatz ausreichend sein.
Juni – Schutz von Hinweisgebern und Bewerbern
Das einjährige „Jubiläum“ des Hinweisgeberschutzgesetzes (HinSchG) haben wir zum Anlass genommen, uns im Blog noch einmal genauer mit der neuen internen Meldestelle zu beschäftigen. Nicht nur mit der viele Unternehmen treffenden Pflicht zur Einrichtung einer solchen Meldestelle, sondern auch mit ihrer Abgrenzung zu anderen, externen Meldestellen. Zudem haben wir auf die Vorteile geschaut, die die Implementierung dieser neuen Anlaufstelle den Unternehmen bietet.
Das Gesetz zum Beschäftigtendatenschutz lässt weiterhin auf sich warten. Aber immerhin hat uns der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) mit einem Positionspapier zum Bewerberdatenschutz beglückt. Hierin veranschaulicht der HmbBfDI nicht nur die vier verschiedenen Phasen eines Recruitingprozesses. Er liefert auch Einschätzungen zu Methoden, die beim Recruiting gerne, aber nicht immer datenschutzkonform eingesetzt werden. Nutzung von KI, automatisierte Entscheidungsfindung, biometrische Daten – in dem Papier ist „für jeden was dabei“.
Nicht nur die Hamburgische Aufsichtsbehörde, sondern auch wir von Dr. Datenschutz geben gerne Tipps, wie man Daten angemessen schützt. Und das beginnt – falls man Teile seiner IT-Infrastruktur im Netz hat – bei der sicheren Konfiguration seiner Webserver. Egal ob es sich um eigene Server handelt oder um eine „angemietete“ Infrastruktur großer Anbieter wie AWS: Fehlkonfigurationen können dazu führen, dass eigentlich vertrauliche Inhalte offen im Netz zugänglich sind. Für gewiefte Datendiebe, die wissen, wo sie suchen müssen, aber auch für Google-Suchbots. Dadurch könnten diese Inhalte auch in einer einfachen Google-Suche auftauchen. Und zu allem Überfluss gibt es auch noch allgemein zugängliche Datenbanken, in denen offene Serverstrukturen aufgeführt werden.
TikTok datenschutzkonform nutzen – das wollen viele. Und der LfDI BW hat eine (ausführliche) Checkliste dafür erstellt, die wir uns im Juni einmal angeschaut haben. In unserem Beitrag hierzu erläutern wir, was eigentlich die Probleme mit dem Einsatz von TikTok sind, ob die Nutzung nun wirklich datenschutzkonform möglich erscheint und ob unser (Noch-) Bundeskanzler TikTok „kann“.
Soweit Teil 2 unseres datenschutzrechtlichen Jahresrückblicks 2024. Morgen schon folgt der Rückblick auf die Monate Juli bis September.