Zum Inhalt springen Zur Navigation springen
Dr. Datenschutz Shortnews im Februar 2025 – KW09

Dr. Datenschutz Shortnews im Februar 2025 – KW09

Artikel von Dr. Datenschutz·26. Februar 2025

Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.

EDSA veröffentlicht Expertise zur effektiven Umsetzung von Betroffenenrechten bei Einsatz von KI

Durch den immer weiterreichenden Einsatz von KI-Lösungen ergeben sich auch immer wieder Schwierigkeiten zwischen dem Wunsch nach Entlastung durch technische Möglichkeiten und der Einhaltung datenschutzrechtlicher Vorgaben. Für die hieraus resultierenden Schwierigkeiten in Bezug auf die Umsetzung der datenschutzrechtlichen Betroffenenrechte hat nun der Europäische Datenschutzausschuss (EDSA) eine Expertise veröffentlicht, die sich unter anderem zur effektiven Umsetzung der Betroffenenrechte bei Datenverarbeitungen unter Beteiligung von KI äußert. Die Expertise ist in zwei Teile untergliedert, die separat zum Download auf der Website des EDSA bereitstehen. Wie sich bei der Lektüre des Teils zur effektiven Umsetzung der Betroffenenrechte herausstellt, befasst sich dieser inhaltlich letztlich „nur“ mit der Umsetzung der Rechte auf Berichtigung und Löschung. Es werden zunächst die diesbezüglichen Herausforderungen aufgezeigt und dann auf Ansätze technischer Lösungen für eine Berichtigung und Löschung von personenbezogenen Trainingsdaten eingegangen. Dabei liegt der Fokus auf der Thematik des Unlearnings von personenbezogenen Trainingsdaten als Alternative zum Löschen und anschließendem Nachtrainieren, welches bei großen KI-Modellen sehr kostenintensiv sein kann. Es wird sich auch mit der Forschung zur Einschränkung einer Erzeugung von personenbezogenen Daten durch generative KI-Modelle als Teil ihres Outputs befasst.

Bedeutung für die Praxis:

  • Entscheiden sich Unternehmen für den Einsatz von KI zur Erreichung bestimmter Zwecke und verarbeiten bei dessen Einsatz auch personenbezogene Daten, so sind sie insofern als Verantwortliche im Sinne der DSGVO auch den darin auferlegten Pflichten unterworfen. Damit unterliegen sie auch der Pflicht, die in diesem Zusammenhang bestehenden Betroffenenrechte umzusetzen.

Hilfreiche Links:

Bitkom: Leitfaden zum Umgang mit KI im Personalbereich

Der Verband Bitkom veröffentlichte kürzlich den „Künstliche Intelligenz im Personalwesen“ Leitfaden. Auch in der Personalarbeit optimieren KI-Tools Arbeitsprozesse und entlasten bei Standardaufgaben oder verbessern die Qualität von Arbeitsergebnissen. Der nun veröffentlichte Praxisleitfaden soll dazu beitragen, dass KI-Anwendungen im Personalbereich noch mehr zum Einsatz kommen und den Arbeitsalltag in Deutschland innovativer und digitaler gestalten. Der Leitfaden befasst sich dabei mit den für Recruiting, Personalmanagement, Personalentwicklung und Personalplanung – typischen bzw. denkbaren Anwendungsfeldern für den Einsatz von KI-Systemen. Für jeden dieser vier Bereiche enthält der Leitfaden auch ein konkretes Beispiel einer passenden Anwendung, beschreibt deren Funktionen und ordnet sie gemäß den Abstufungen der KI-Verordnung ein (also etwa als Hochrisiko-KI-System, KI-System mit geringem Risiko oder KI-System mit minimalem Risiko). Durch die zusätzliche komprimierte Darstellung der Grundlagen der KI-Verordnung vermittelt der Leitfaden insgesamt ein Grundgerüst, welches Personalabteilungen für eine erste Einstufung eigener geplanter KI-Vorgaben nutzen können. Darüber hinaus sind an vielen Stellen Verweisungen auf die detaillierten Ausführungen des Bitkom-Leitfadens zur Umsetzung der KI-Verordnung enthalten.

Bedeutung für die Praxis:

  • Der neue Praxisleitfaden gibt einen guten Überblick über mögliche (auch zukünftige) Anwendungsfelder für KI im Personalbereich. Er erleichtert aufgrund der konkreten Beispiele die Einordnung von KI-Tools nach den Maßstäben der KI-Verordnung. Zu berücksichtigen gilt aber, dass der Leitfaden auf datenschutzrechtliche Erwägungen nicht eingeht.

Hilfreiche Links:

Weitere News zu Datenschutz und IT

  • Wie die Britische Regierung gegen Ransomware vorgehen will | NETZWELT
  • Ist DeepSeek doch besser als OpenAI? | Heise
  • EU-Kommission veröffentlicht Leitlinien zu verbotenen KI-Praktiken | EU-Kommission
  • CNIL veröffentlicht Empfehlungen zum verantwortungsvollen Umgang mit KI | CNIL
  • CNIL veröffentlicht Leitfaden zum Transfer Impact Assessment | CNIL

EuGH zur Angabe von Daten zur persönlichen Anrede

In dem Urteil hatte der EuGH zu entscheiden, ob die Angabe der Anrede „Herr“ oder „Frau“ eine notwendige Verarbeitung im dargelegten Fall darstellte. Die Beklagte vertreibt online Bahntickets. Beim Kauf von Tickets mussten Kunden verpflichtend die Anrede „Herr“ oder „Frau“ angeben. Der EuGH stellte nun fest, dass die Verarbeitung dieser personenbezogenen Daten regelmäßig weder für die Vertragserfüllung, noch zur Wahrung berechtigter Interessen erforderlich sei. Er legte dar, dass für die Verarbeitung zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO hinsichtlich der Notwendigkeit der Verarbeitung objektive Maßstäbe heranzuziehen seien. Der Verantwortliche müsse die Vertragspflicht nennen, für welche die Angabe des Geschlechts notwendig sei. Bei regulären Bahnreisen sieht der EuGH hinsichtlich der Angabe des Geschlechts regelmäßig keine Abhängigkeit für die Beförderung. Das Erfassen der Anrede aus Gründen der Höflichkeit sei hier nicht ausreichend. Auch zur Wahrung berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO sei die Verarbeitung dann nicht möglich, wenn nicht bei Erhebung über den Zweck der Verarbeitung informiert wurde und die Verarbeitung auch nicht innerhalb der Grenzen erfolgte, die für die Verwirklichung des berechtigten Interesses notwendig sei. Darüber hinaus könnten nach den Umständen die Grundrechte und Grundfreiheiten der Kunden gegenüber dem berechtigten Interesse überwiegen. Insbesondere unter dem Aspekt der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität.

Bedeutung:

  • Der Fall zeigt, dass die Frage nach dem Geschlecht bzw. der Geschlechtsidentität nur in engen Grenzen möglich ist. Bei der Verarbeitung personenbezogener Daten sind die Grundrechte und Grundfreiheiten der betroffenen Personen immer in ausreichendem Maße zu berücksichtigen. Insbesondere unter dem Aspekt der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität, sollten sich Unternehmen gut überlegen, ob die Information für Ihre Verarbeitungszwecke wirklich notwendig ist.

Hilfreiche Links:

Urteil zu Verschlüsselungsanforderungen beim Versand von Rechnungen per E-Mail

In diesem Fall hatte ein Handwerksbetrieb Rechnungen über Installationsleistungen jeweils als pdf-Datei per E-Mail an eine Kundin versandt. Eine der Rechnungen, welche einen Betrag über 15.000 Euro auswies, wurde von Hackern abgefangen. Die Kontodaten wurden manipuliert, sodass das Konto auf, welches der Rechnungsbetrag überwiesen werden sollte, nicht mehr das des Handwerksbetriebs auswies, sondern das eines unbekannten Dritten. In der Folge überwies die Kundin daher den Rechnungsbetrag auf das Konto kriminell handelnder unbekannter Dritter. Das OLG Schleswig-Holstein hatte nun die Frage zu klären, ob der Handwerksbetrieb den Betrag weiterhin einfordern konnte. Das Gericht entschied, dass die Forderung des Handwerksbetriebs mit der „Zahlung an die Dritten“ zwar nicht erfüllt wurde, aber die Kundin auch nicht noch einmal zahlen müsse, da sie gegen die Forderung des Handwerksbetriebs einen Schadensersatzanspruch aus Art. 82 Abs. 2 DSGVO entgegenhalten könne. Da der Handwerksbetrieb mit der Rechnungstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet hatte, war er verpflichtet die in Art. 5, 24 und 32 DSGVO enthaltenen Grundsätze zu beachten. Dies habe er beim Versand der Rechnung als E-Mail-Anhang, der lediglich eine Transportverschlüsselung in Form von SMTP über TLS nicht ausreichend getan. Die Verschlüsselung war nicht ausreichend zum Schutz der Daten im Sinne der DSGVO „geeignet“. Gerade in Fällen sensibler oder persönlicher Inhalte käme laut Gericht nur eine Ende-zu-Ende-Verschlüsselung in Betracht.

Bedeutung:

  • Der Fall des OLG Schleswig-Holstein zeigt, dass eine reine Transportverschlüsselung (z. B. TLS) den Umständen nach nicht ausreicht, um den Vorgaben der DSGVO in Bezug auf ausreichende technische und organisatorische Maßnahmen zu genügen. Insbesondere in Fällen, in denen durch Manipulation von angehängten Rechnungen ein hohes finanzielles Risiko bestehen kann, müssen weiterreichende Verschlüsslungen vorgenommen werden.
    Vergleicht man diese Entscheidung, mit der des OLG Karlsruhe aus Juni 2023 lässt sich aber auch erkennen, dass die Erwägungen des OLG Schleswig-Holstein nicht auf den E-Mail Versand von Rechnungen zwischen zwei Unternehmen übertragbar sind.

Hilfreiche Links:

Weitere ergangene Urteile

  • 3 Jahren Speicherdauer in der Datenbank einer Wirtschaftsauskunftei
    Das LG Rottweil kommt zu dem Schluss, dass die Speicherung vertraglicher Forderungen, um einen Bonitätsscore zu ermitteln und Auskünfte über die Kreditwürdigkeit der Betroffenen zu erteilen, bis zu drei Jahre nach Erledigung der vertraglichen Forderung möglich sei. Dabei sieht es für die Berechnung der Löschfrist eine Ähnlichkeit zu Einträgen aus dem Schuldnerverzeichnis nach § 882e Abs. 1 ZPO, welches nach § 882f Abs. 1 ZPO nur für diejenigen einsehbar ist, die ein berechtigtes Interesse an den Daten wie etwa zur erforderlichen Prüfung der wirtschaftlichen Zuverlässigkeit des Schuldners darlegen können. Für die Speicherung der Daten zu Bonitätsauskünften soll die Ähnlichkeit darin liegen, dass nur Vertragspartner der Auskunftei einen Abruf der Daten ermögliche. Es lehnte daher eine verkürzte Frist nach § 3 InsOBekV ab. Die dort geregelte Löschungsfrist von sechs Monaten für Insolvenzbekanntmachungen beruhe auf der erhöhten Eingriffsintensität, die sich aus deren allgemeinen Abrufbarkeit ergebe.
    LG Rottweil, Urteil vom 20.12.20236 O 65/23
  • Der Begriff des „Unternehmen“ in der DSGVO
    Nach dem EuGH ist der Begriff „Unternehmen“ in der DSGVO im Sinne des EU-Wettbewerbsrechts zu verstehen. Der Unternehmensbegriff umfasst danach „jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“. Das führt dazu, dass für die Berechnung einer Geldbuße der Umsatz einer gesamten Unternehmensgruppe berücksichtigt werden kann. So soll eine effektive Sanktionierung gewährleistet werden, die Geldbußen verhältnismäßig, aber auch wirksam und abschreckend macht.
    EuGH, Urteil vom 13.02.2025 – C‑383/23
  • Rechtsmissbrauch von Auskunftsanfragen
    Bei Löschanfragen Betroffener ist es Unternehmen möglich dieses Begehren zu verweigern, sofern eine der Ausnahmevorschriften des Art. 17 Abs. 3 DSGVO einschlägig ist. Die weitere Speicherung kann jedoch dann nicht auf Grundlage des Art. 17 Abs. 3 lit. e DSGVO gestützt werden, „wenn der zugrundeliegende Vorfall bereits Gegenstand einer gerichtlichen Auseinandersetzung ist und die Geltendmachung weitergehender Ansprüche zwar theoretisch möglich, aber gänzlich unwahrscheinlich ist“.
    OLG Karlsruhe, Urteil vom 15.01.2025 – 14 U 150/23
Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.