Auf den Menschen ausgerichtete und vertrauenswürdige Künstliche Intelligenz: Der Regulierungsrahmen steht
Am 1. August 2024 ist die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz in Kraft getreten. Damit findet ein umfangreiches und langwieriges Gesetzgebungsvorhaben seinen Abschluss. Hersteller, Anbieter, Betreiber und Händler von KI-Systemen haben nun einen Orientierungsrahmen, der die Anforderungen an KI-Systeme in den einzelnen Phasen der Wertschöpfungskette klarstellt. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz weist u.a. darauf hin, dass in den zahlreichen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, das Datenschutzrecht und der damit gesicherte Grundrechtsschutz von der KI-Verordnung unberührt bleiben.
Offenkundige Synergien
Viele Mechanismen, die zu einer transparenten und vertrauenswürdigen KI beitragen, sind bereits aus der DSGVO und der Richtlinie für Polizei und Justiz bekannt. Wer über ein gutes Datenschutzmanagement verfügt, kann dieses für die Umsetzung der Anforderungen der KI-Verordnung nutzbar machen. Durch Transparenz- und Dokumentationsvorgaben wird Vertrauen in die Systeme geschaffen. Zudem haben die betroffenen Personen ein Recht auf Erläuterung der Entscheidungsfindung, das zu den Betroffenenrechten der DSGVO hinzutritt. Auch wenn die Risiko-Klassifizierung der KI-Verordnung einem strikteren Konzept folgt als in der DSGVO, können die Instrumente, mit denen Risiken gemanagt werden, sinnvoll ineinandergreifen: Risikomanagementsysteme nach Art. 9 KI-VO könnten etwa mit dem Datenschutzmanagement kombiniert werden, die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme öffentlicher Stellen nach Art. 27 KI-VO lässt sich gegebenenfalls mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verbinden.
Sicherstellung einer einheitlichen Aufsicht
Synergien zwischen den Anforderungen der KI-Verordnung und der Datenschutz-Grundverordnung hat der Verordnungsgeber auch erkannt, als er den Datenschutzaufsichtsbehörden die Funktion der Marküberwachung über die Hochrisiko-Systeme im Bereich der Strafverfolgung, Justiz, Migration und Wahlen zuwies. Erklärtes Ziel des Verordnungsgebers ist dabei die Sicherstellung einer einheitlichen Aufsicht. Letzteres sollte auch der deutsche Gesetzgeber anstreben, der in den kommenden Monaten die nationale Aufsichtsstruktur der KI-Verordnung regeln muss. Die Datenschutzkonferenz hat ihre Bereitschaft zur Übernahme der nationalen Aufsicht über die KI-Verordnung bereits erklärt und entsprechende personelle Ausstattung eingefordert.
Verschiedene weitere Umsetzungsfristen
Mit dem Inkrafttreten der KI-Verordnung laufen verschiedene mit ihr verbundene Umsetzungsfristen an. Schon zum 2. Februar 2025 werden bestimmte hochriskante Praktiken der künstlichen Intelligenz verboten sein. Hierzu zählt das Verbot biometrischer Echtzeit-Fernüberwachung sowie das Verbot von Social Scoring. Zum 2. August 2025 müssen die nationalen Aufsichtsbehörden für die KI-Verordnung benannt sein. Weitere Regelungen treten gestaffelt in Kraft, spätestens zum 2. August 2026 entfaltet die KI-Verordnung vollumfänglich Wirksamkeit.
Praxishilfen:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg liefert mit dem „Orientierungshilfen-Navigator KI & Datenschutz“ – kurz ONKIDA – eine Übersicht über zentrale Vorgaben der DS-GVO und setzt sie in Bezug zu einer Auswahl der veröffentlichten Hilfestellungen. ONKIDA ist eine thematisch geordnete Fundstellenübersicht mit Links zu ausgewählten aufsichtsbehördlichen Papieren zu „Künstlicher Intelligenz“. Das Tool liefert als Materialsammlung Überblick und schnellen Zugriff auf die Dokumente und versteht sich so als Hilfestellung für die eigene Arbeit mit diesen Dokumenten. Damit für alle Interessierten der Einstieg erleichtert wird, stellt der Landesbeauftragte in einem Video das Tool und seine Inhalte vor.
Die Praxishilfe der GDD stellt die wichtigsten Rechtsakte, die im Rahmen der Europäischen Datenstrategie geplant oder bereits verabschiedet worden sind, überblickartig dar. Zudem werden diese in ihren datenschutzrechtlichen Auswirkungen eingeordnet. Besonderes Augenmerk gilt hierbei auch Stellung und Aufgaben des Datenschutzbeauftragten, der sich in Bezug auf die in Rede stehenden Rechtsakte mit neuen Aufgaben konfrontiert sieht.
Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft
Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor die zuständige Aufsichtsbehörde.
Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach dem Gesetz "besonders wichtige" und "wichtige" Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten.
Da das Gesetz noch nicht verabschiedet ist, kann sich das BSI noch nicht genauer zu daraus möglicherweise entstehenden Pflichten äußern. Wir möchten Unternehmen und Organisationen aber schon während des laufenden Gesetzgebungsverfahrens bestmöglich unterstützen und die Umsetzung der NIS-2-Richtlinie in Deutschland so reibungslos wie möglich gestalten.
Auch wenn das Umsetzungsgesetz in diesem Jahr nicht mehr in Kraft treten wird, gilt es weiterhin die erforderlichen Voraussetzungen in den Unternehmen zu schaffen. Denn aufgeschoben, ist nicht aufgehoben.
Die ersten Informationen und Unterstützungsangebote des BSI werden unter diesem Link zusammengestellt.
Pflichten aus dem Barrierefreiheitsstärkungsgesetz (BFSG)
Das BFSG wurde bereits am 15.06.2022 verabschiedet und setzt den European Accessibility Act (EAA) der EU in nationales Recht um. Das Gesetz definiert Barrierefreiheitsanforderungen für Produkte und Dienstleistungen, die nach dem 28.06.2025 in den Verkehr gebracht bzw. erbracht werden. Darunter fallen u.a. der gesamte Online-Handel, Hardware, Software, aber auch Personenverkehr oder Bankdienstleistungen. Das BFSG betrifft Hersteller, Händler und Importeure von bestimmen Produkten sowie Dienstleistungserbringer.
Kleinstunternehmen (Unternehmen, die weniger als zehn Personen beschäftigen und entweder einen Jahresumsatz von höchstens 2 Millionen Euro erzielen oder dessen Jahresbilanzsumme sich auf höchstens 2 Millionen Euro beläuft) sind vom Gesetz teilweise ausgenommen.
Bei Nichteinhaltung können Marktüberwachungsbehörden die Bereitstellung des Produkts oder der Dienstleistung einschränken oder untersagen oder dafür sorgen, dass Produkte zurückgenommen oder zurückgerufen werden. Dies betrifft nicht nur Hersteller, sondern auch Händler und Importeure.
Weiterführende Informationen und Checklisten sind auf dem Portal zur Barrierefreiheit des Bundes zusammengestellt.
900.000 Euro Bußgeld wegen Verstoßes gegen Löschpflichten
Obwohl Löschfristen abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt. Diese Ordnungswidrigkeit hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. Dies geht aus einer Pressemitteilung des HmbBfDI vom 12.11.2024 hervor.
Aufgefallen war der Verstoß, weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte. Hamburg ist in diesem Sektor ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner sind tendenziell besonders sensibel und werden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssen die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.
Unabhängig von individuellen Beschwerdefällen wurde überprüft, wie die Daten der Schuldner bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben. Darüber hinaus wurden die Unternehmen aufgefordert, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich suchte der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen auf.
Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht. Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung standen dabei im Vordergrund.
Im Falle eines Unternehmens stellte das Team des HmbBfDI bei der Vor-Ort-Prüfung fest, dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren. Bis Mitte November 2023 speicherte das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage und verstieß damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO. Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.
Diese Ordnungswidrigkeit hat der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert. Es hat bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt wurde.
Bei einem weiteren der geprüften Unternehmen wurden ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt – das entsprechende Verfahren dauert noch an.
Praxistipp:
Bei jeder Datenspeicherung sollte auch die Datenlöschung mitgedacht werden. Denn ohne Rechtsgrundlage droht neben einem behördlichen Bußgeld auch ein möglicher Schadensersatzanspruch der betroffenen Personen. Zu den Themen Schadensersatz, Auskunftsanspruch und Löschfristen stehen wir Ihnen gerne zur Verfügung.
BGH: Ansprüche im Zusammenhang mit einem Datenschutzvorfall beim sozialen Netzwerk Facebook (sog. Scraping)
Am 18.11.2024(VI ZR 10/24) hat der BGH eine wegweisende Entscheidung zum Schadensersatzanspruch nach der DSGVO im Zusammenhang mit dem sog. Scraping bei Facebook verkündet.
Seit dem Frühjahr 2021 wurden Daten über ca. 533 Millionen Nutzende der Social-Media-Plattform Facebook in einem Hackerforum im Darknet veröffentlicht. Unbekannte hatten zuvor eine Lücke in der Funktion zur Freunde-Suche auf der Plattform ausgenutzt. Die Funktion ermöglichte es, ein Nutzungsprofil mithilfe einer Telefonnummer zu finden. Durch die Eingabe zufälliger Ziffernfolgen ließen sich hierdurch in großem Umfang Telefonnummern bestimmten Konten zuordnen und weitere veröffentlichte Profildaten wie Vor- und Nachname, Arbeitsstätte und Geschlecht abgreifen. Dieses Vorgehen wird auch als Scraping bezeichnet.
Nach der für die Auslegung des Art. 82 Abs. 1 DSGVO maßgeblichen Rechtsprechung des EuGH kann auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein. Weder muss insoweit eine konkrete missbräuchliche Verwendung dieser Daten zum Nachteil des Betroffenen erfolgt sein noch bedarf es sonstiger zusätzlicher spürbarer negativer Folgen.
Erfolg hatte die Revision auch, soweit das Berufungsgericht die Anträge des Klägers auf Feststellung einer Ersatzpflicht für zukünftige Schäden, auf Unterlassung der Verwendung seiner Telefonnummer, soweit diese nicht von seiner Einwilligung gedeckt ist, und auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten abgewiesen hat. Es fehlt nicht an dem notwendigen Feststellungsinteresse des Klägers, da die Möglichkeit des Eintritts künftiger Schäden unter den Umständen des Streitfalles ohne Weiteres besteht. Der genannte Unterlassungsanspruch ist hinreichend bestimmt und dem Kläger fehlt insoweit auch nicht das Rechtsschutzbedürfnis. Im Übrigen (weiterer Unterlassungsantrag und Auskunftsantrag) blieb die Revision hingegen ohne Erfolg.
Im Umfang des Erfolges der Revision hat der BGH die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen. Für die weitere Prüfung hat der BGH das Berufungsgericht zum einen darauf hingewiesen, dass die von der Beklagten vorgenommene Voreinstellung der Suchbarkeitseinstellung auf "alle" nicht dem Grundsatz der Datenminimierung entsprochen haben dürfte, wobei das Berufungsgericht ergänzend die Frage einer wirksamen Einwilligung des Klägers in die Datenverarbeitung durch die Beklagte zu prüfen haben wird. Zum anderen hat der BGH Hinweise zur Bemessung (§ 287 ZPO) des immateriellen Schadens aus Art. 82 Abs. 1 DSGVO erteilt und ausgeführt, warum unter den Umständen des Streitfalles von Rechts wegen keine Bedenken dagegen bestünden, den Ausgleich für den bloßen Kontrollverlust in einer Größenordnung von 100 € zu bemessen.
Hinweis:
Das Urteil stärkt die Rechte betroffener Personen. Gleichzeitig erhöhen sich für Unternehmen die Risiken im Fall einer Datenpanne, die zu einem Abfluss von Daten führt, denn neben Bußgeldern drohen zudem – wenn auch im Einzelfall niedrige – datenschutzrechtliche Schadenersatzansprüche der betroffenen Personen.
DSK aktualisiert Orientierungshilfe für Anbieter digitaler Dienste
Mit Stand November hat die Datenschutzkonferenz ihre Orientierungshilfe für Anbieter digitaler Dienste (OH Digitale Dienste) auf die Version 1.2 aktualisiert.
Mit Wirkung zum 1.12.2021 war Art. 5 Abs. 3 ePrivacy-RL zunächst durch § 25 TTDSG in deutsches Recht umgesetzt worden. Die Anforderungen des § 25 TTDSG waren beim Einsatz von jeglichen Technologien zu beachten, mittels derer Informationen auf Endeinrichtungen gespeichert oder aus diesen ausgelesen werden. Mit Blick auf diese Änderung wurde die OH Telemedien im Jahr 2021 vollständig überarbeitet und ergänzt.
Gemäß Art. 8 Änderungsgesetz zur Einführung des Digitale-Dienste-Gesetzes (DDG) wurde der Begriff „Telemedien“ im TTDSG nunmehr durch den Begriff „digitale Dienste“ ersetzt, sodass das Gesetz nunmehr Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) heißt. Gleichzeitig mit dem Inkrafttreten des DDG zum 14.05.2024 ist das TMG ganz außer Kraft getreten.
Der neue § 25 TDDDG entspricht inhaltlich der Vorgängernorm des § 25 TTDSG. Die OH Digitale Dienste ist an die neue Terminologie angepasst. Zudem wurden Aktualisierungen in den Rz. 114 ff. vorgenommen, um Rechtsentwicklungen seit dem Jahr 2021 abzubilden.
Praxistipp:
Sofern noch nicht erfolgt, sollten Hinweise auf das TMG aus dem Impressum der Homepages von Unternehmen entfernt werden.
Zurück
