Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht |
Newsletter zum DatenschutzSehr geehrte Damen und Herren, der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel, der bei unserem BRANDI-Datenschutzrechtstag 2023 zu Gast war, übernimmt vom 16. Mai bis 31. Dezember 2024 den Vorsitz der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Roßnagel äußerte sich zur Übernahme des Vorsitzes wie folgt „Ich freue mich, diese besondere Aufgabe übernehmen zu dürfen. Die Datenschutzaufsichtsbehörden stehen vor großen Herausforderungen. Sie müssen dazu beitragen, dass die digitale Transformation von Wirtschaft, Verwaltung und Gesellschaft zukunfts- und menschengerecht erfolgt und für Freiheit und Demokratie mehr Vor- als Nachteile bietet. Insbesondere hinsichtlich der neuesten Entwicklungen im Bereich der Künstlichen Intelligenz überträgt ihnen die künftige europäische KI-Verordnung wichtige Aufgaben. Deren Erfüllung erfordert eine intensive Zusammenarbeit und Koordination der unabhängigen Datenschutzaufsichtsbehörden.“ Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage. Dr. Sebastian Meyer und das Datenschutzteam von BRANDI Thema des Monats: BRANDI-Datenschutzrechtstag zum Thema „Sicherheit beginnt mit Datenschutz“Am 24. Mai 2024 waren Herr Dr. Thilo Weichert, ehemaliger Leiter der Datenschutzaufsichtsbehörde in Schleswig-Holstein (ULD), und Prof. Dr. Eckhard Koch, Vizepräsident für Forschung, Entwicklung und Transfer an der FHDW Paderborn, zu Gast bei BRANDI. Im Rahmen des diesjährigen Datenschutzrechtstags zum Thema „Sicherheit beginnt mit Datenschutz“ gaben unsere Gäste im Gespräch mit Juristinnen und Juristen von BRANDI, darunter Dr. Sebastian Meyer, Dr. Christoph Rempe, Johanna Schmale, Dr. Carina Thull und Dr. Daniel Wittig, einen spannenden Einblick in verschiedene datenschutzrechtliche und IT-sicherheitsrechtliche Themen, aktuelle Verfahren und ihre tägliche Arbeit. Zum vollständigen SchwerpunktthemaRat der EU verabschiedet KI-VerordnungAm 21. Mai 2024 hat der Rat der EU die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) verabschiedet (Mitteilung v. 21.05.2024). Die KI-Verordnung sei weltweit die erste ihrer Art und könne internationale Standards setzen. Die neue Verordnung verfolgt einen risikobasierten Ansatz. Je höher das Risiko eines Schadens für die Gesellschaft ist, desto strengere Vorschriften müssen eingehalten werden. Während bei Systemen mit begrenztem Risiko nur vergleichsweise geringe Transparenzpflichten gelten, müssen Hochrisiko-KI-Systeme bestimmten Anforderungen und Verpflichtungen gerecht werden, um Zugang zum Markt zu erhalten. Verschiedene Anwendungsbereiche, wie kognitive Verhaltensmanipulation, Sozialkreditsysteme sowie „predictive policing“ (vorausschauende Polizeiarbeit) sind sogar gänzlich ausgeschlossen. Auf diese Weise soll die Entwicklung und Nutzung sicherer und vertrauenswürdiger KI-Systeme gefördert werden. Zudem sollen die Vorschriften die Einhaltung der Grundrechte der EU-Bürgerinnen und -Bürger gewährleisten. Mit Einführung der KI-Verordnung werden gleichzeitig verschiedene neue Gremien eingerichtet. Das Amt für Künstliche Intelligenz ist für die Durchsetzung der Vorschriften zuständig, das wissenschaftliche Gremium unabhängiger Sachverständiger unterstützt die Durchsetzungsmaßnahmen, der Ausschuss für künstliche Intelligenz übernimmt vor allem eine Beratungsfunktion und das Beratungsforum für Interessenträger stellt technisches Fachwissen zur Verfügung. Mathieu Michel, belgischer Staatssekretär für Digitalisierung, äußerte sich wie folgt zu der neuen Verordnung: „Der Erlass des KI-Gesetzes ist ein bedeutender Meilenstein für die Europäische Union. Mit dieser wegweisenden Vorschrift - der weltweit ersten ihrer Art - wird eine globale technologische Herausforderung, durch die auch Chancen für unsere Gesellschaften und Volkswirtschaften geschaffen werden, angegangen. Mit dem KI-Gesetz macht Europa deutlich, wie wichtig Vertrauen, Transparenz und Rechenschaftspflicht beim Umgang mit neuen Technologien sind. Zugleich wird gewährleistet, dass diese sich rasch wandelnde Technologie florieren und europäischen Innovationen einen Schub geben kann.“ Nach der Unterzeichnung durch die Präsidentin des Europäischen Parlaments und den Präsidenten des Rates wird die KI-Verordnung im Amtsblatt der Europäischen Union veröffentlich und tritt 20 Tage nach der Veröffentlichung in Kraft. Mit Ausnahme einzelner Bestimmungen, müssen die Vorschriften der Verordnung nach einem Übergangszeitraum von zwei Jahren nach ihrem Inkrafttreten eingehalten werden. EuGH äußert sich erneut zum SchadensersatzanspruchDer EuGH hat sich in zwei Entscheidungen vom 20. Juni 2024 erneut zum Schadensersatzanspruch nach Art. 82 DSGVO geäußert. In dem ersten Verfahren kam es nach einem Adresswechsel zu einer Versendung von Unterlagen durch eine Steuerberatungsgesellschaft an eine veraltete Adresse (EuGH, Urt. v. 20.06.2024 - Az. C-590/22). In dem Ausgangsverfahren konnte nicht geklärt werden, welche Unterlagen sich in dem Umschlag befanden und ob die neuen Bewohner Kenntnis vom Inhalt des falsch adressierten Briefes genommen haben. In der Folge wurde ein Schadensersatzanspruch in Höhe von 15.000 Euro gegen die Steuerberatungsgesellschaft wegen der Weitergabe von personenbezogenen Daten an Dritte geltend gemacht. Dem zweiten Verfahren liegen zwei Ausgangsverfahren mit weitgehend identischem Sachverhalt zugrunde, im Rahmen derer es zu einem Angriff auf eine Trading-App kam im Zuge dessen persönliche Daten sowie Daten zum Wertpapier-Depot der Kläger von Dritten, deren Identität unbekannt ist, abgegriffen wurden (EuGH, Urt. v. 20.06.2024 - Az. C-182/22 und C-189/22). Nach Angaben des App-Anbieters wurden die Daten bislang nicht in betrügerischer Weise genutzt. Unter Verweis auf seine bisherige Rechtsprechung führte der EuGH in beiden Verfahren erneut aus, dass Art. 82 DSGVO einen Verstoß gegen die DSGVO, einen Schaden und einen Kausalzusammenhang zwischen Verstoß und Schaden voraussetzt. Ein bloßer Verstoß begründe insoweit nicht zwangsläufig einen Schadensersatzanspruch. Eine Erheblichkeitsschwelle müsse demgegenüber nicht überschritten werden. Der Betroffene müsse den Schaden aber nachweisen und es stehe dem Gericht des Mitgliedstaates frei, auch einen geringfügigen Schadensersatz auszusprechen. Die Befürchtung, dass personenbezogene Daten an Dritte weitergegeben wurden, ohne dass dies nachgewiesen werden kann, sei vom Grundsatz her ausreichend, sofern die Befürchtung einschließlich der negativen Folgen ordnungsgemäß nachgewiesen werden kann. Hinsichtlich der Höhe des Schadensersatzes führte der EuGH weiter aus, dass die Kriterien des Art. 83 DSGVO nicht zur Bemessung herangezogen werden können. Die Festlegung der Kriterien für die Ermittlung des Umfangs des Schadensersatzes sei Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten seien. Der Anspruch auf Schadensersatz erfülle allerdings keine Straffunktion, weshalb der Betrag nicht über den vollständigen Ersatz des Schadens hinausgehen dürfe. Ein zusätzlicher Verstoß gegen nationale Vorschriften sowie der Grad der Schwere und die etwaige Vorsätzlichkeit des Verstoßes seien bei der Bemessung nicht zu berücksichtigen. OLG Hamm zum Schadensersatzanspruch gegen X wegen API-BugDas OLG Hamm hat nun ebenfalls entschieden, dass einem Betroffenen wegen des API-Bugs bei X (ehemals Twitter) kein Schadensersatzanspruch gegen das Unternehmen zusteht (OLG Hamm, Urt. v. 14.05.2024 - Az. 7 U 14/24). Das LG Stuttgart und das LG Freiburg hatten sich zu datenschutzrechtlichen Ansprüchen im Zusammenhang mit einem API-Bug bei X zuvor schon in unterschiedlicher Weise geäußert (wir berichteten im Mai 2024). Ein auf mögliche Verstöße zurückführbarer immaterieller Schaden sei aus Sicht des Gerichts nicht hinreichend dargelegt worden. Es könne schon nicht von einem Kontrollverlust ausgegangen werden. Einen solchen vermute der Kläger lediglich, er habe ihn allerdings nicht nachgewiesen. Zudem habe er auch keinerlei Anhaltpunkte vorgetragen, warum er davon ausgeht, dass er von dem API-Bug betroffenen gewesen sein soll. Die Beklagte habe unstreitig alle von dem Vorfall betroffenen Nutzer informiert. Der Kläger habe allerdings nicht zu diesem Kreis gehört und auch nicht dargelegt, wieso er trotzdem glaubt, von dem Vorfall betroffen zu sein. Darüber hinaus könne der Kläger auch keinen Schadensersatz wegen Nichterteilung einer den gesetzlichen Anforderungen entsprechenden Auskunft verlangen. Unabhängig von der Frage, ob die Auskunft nicht ordnungsgemäß erfolgte, sei insoweit schon kein Schaden erkennbar. LG Gießen: Übermittlung von Positivdaten an SCHUFA ist keine DatenschutzrechtsverletzungDas LG Gießen hat entschieden, dass die Übermittlung von Positivdaten an die SCHUFA, konkret die Mitteilung über den Abschluss eines Vertrages durch ein Telekommunikationsunternehmen, keinen Anspruch auf Schadensersatz nach Art. 82 DSGVO rechtfertigt (LG Gießen, Urt. v. 03.04.2024 - Az. 9 O 523/23, GRUR-RS 2024, 7986). Schon der vom Kläger vorgetragene Verstoß gegen Art. 6 Abs. 1 S. 1 lit. f) DSGVO liege nicht vor. Es sei zwar grundsätzlich streitig, ob die Interessen der Beklagten, konkret Betrugsprävention, Überschuldungsprävention, Präzision der Ausfallrisikoprognosen und Validierung der Daten, das Recht des Klägers auf informationelle Selbstbestimmung überwiegen. Die besseren Argumente sprächen aber dafür, da kein geeigneteres Mittel zur Erreichung der legitimen Interessen der Beklagten erkennbar sei. Darüber hinaus fehle es auch an einem Schaden. Obwohl der Begriff des immateriellen Schadens weit zu verstehen sei, reiche ein formelhafter, nicht individueller Vortrag nicht aus, um das Tatbestandsmerkmal auszufüllen. Das behauptete Gefühl des Kontrollverlustes und der großen Sorgen in Bezug auf seine Bonität aufgrund der Positivmitteilung und nicht etwa wegen verschiedener anderer Negativeinträge sei so offensichtlich falsch, dass es sich nur um eine intentionale Falschbehauptung handeln könne. Die Bonität des Klägers sei zu Recht schlecht, weil er seine Verbindlichkeiten nicht bedient habe. Die Meldung der Beklagten sei nicht geeignet gewesen, die Bonität des Klägers weiter zu verschlechtern. Die Entscheidung steht damit im Widerspruch zu verschiedenen Verfahren (etwa LG München I, Urt. v. 25.04.2023 - Az. 33 O 5976/22 und LG Frankfurt, Urt. v. 26.05.2023 - Az. 2-24 O 156/21), die gegen solche Unternehmen geführt wurden, die Positivdaten an die Schufa übermitteln und denen diese Praxis untersagt wurde, die von der Schufa ohnehin weitgehend eingestellt wurde. Im vorliegenden Fall sollten allerdings Schadensersatzansprüche durch einen Betroffenen geltend gemacht werden, was erfolglos blieb. LG Kiel: Cyberversicherung muss bei Falschangaben nicht zahlenMacht ein Kunde bei Abschluss einer Cyberversicherung falsche Angaben, so muss die Versicherung im Schadensfall nach Auffassung des LG Kiel nicht zahlen und kann den Vertrag wegen arglistiger Täuschung anfechten (LG Kiel, Urt. v. 23.05.2025 - Az. 5 O 128/21). In dem zu entscheidenden Fall hatte das Unternehmen bei der Abfrage der Gefahrumstände anlässlich des Abschlusses einer Cyberversicherung unter anderem angegeben, dass alle verfügbaren Sicherheitsupdates durchgeführt werden und nur solche Softwareprodukte eingesetzt werden, für die vom Hersteller Sicherheitsupdates bereitgestellt werden. Außerdem verwende das Unternehmen auf allen Arbeitsrechnern eine aktuelle Software zur Erkennung von Schadsoftware. Tatsächlich nutzte das Unternehmen in seinem Webshop einen Web SQL-Server mit dem Betriebssystem Windows 2008, für den seit Januar 2020 keine Software- und Sicherheitsupdates mehr zur Verfügung gestellt wurden. Der Server verfügte außerdem nicht über eine Antiviren-Software. Auch im Übrigen verwendete das Unternehmen teilweise veraltete Systeme. Nachdem festgestellt wurde, dass ein externer Angreifer Zugriff auf die Systeme des Unternehmens hat und es zu einem Datenabfluss gekommen war, erfolgte eine Schadensmeldung. Ursache für den Datenabfluss war eine durch den Angriff über den Windows 2008-Rechner eingeschleuste Schadsoftware. Nachdem sich im Rahmen der Schadensregulierung herausstellte, dass das Unternehmen die Fragen zu den Gefahrumständen teilweise falsch beantwortete, erklärte die Versicherung die Anfechtung des Vertrages und verweigerte die Leistung. Das LG Kiel stellte schließlich fest, dass der Versicherungsvertrag aufgrund von Anfechtung wegen arglistiger Täuschung über vertragsrelevante Risiken durch Falschbeantwortung der Risikofragen nichtig ist. In der Folge sei die Versicherung nicht zur Erbringung der vereinbarten Versicherungsleistungen verpflichtet. LAG Niedersachsen: kein Anspruch eines Betriebsratsmitglieds auf Lohnabrechnungen seiner KollegenDas LAG Niedersachsen hat am 26. April 2024 entschieden, dass ein freigestelltes Betriebsratsmitglied keinen Anspruch auf Vorlage der Lohnabrechnungen seiner Kollegen zur Vorbereitung eines Anspruchs nach § 37 Abs. 2 BetrVG hat (LAG Niedersachsen, Urt. v. 26.04.2024 - Az. 14 Sa 736/23; BeckRS 2024, 12675). Im Zuge einer Auseinandersetzung über die gesetzeskonforme Vergütung eines langjährig freigestellten Betriebsratsmitglieds machte dieses (Beklagter) einen Auskunftsanspruch gegen seinen Arbeitgeber (Klägerin) geltend. Der Beklagte war der Auffassung, die Klägerin müsse ihm auch Auskunft über die Vergütung und deren Zusammensetzung von Kollegen seiner Referenzgruppe erteilen, damit er die Berechnung seiner Vergütung durch die Klägerin überprüfen könne. Das Gericht stellte fest, dass der Beklagte keinen Anspruch auf Auskunft in Bezug auf die Lohnabrechnungen von Kollegen habe. Der Antrag sei so zu verstehen, dass der Beklagte neben der Auskunft über die im Einzelnen aufgeschlüsselte Vergütung auch Vorlage der Abrechnungen als Nachweis verlange. Die Herausgabe ist nach Auffassung des Gerichts nicht rechtmäßig und kann deshalb nicht verlangt werden. Die Weitergabe sei eine Datenverarbeitung und müsse deshalb auf eine Rechtsgrundlage gestützt werden. Art. 6 Abs. 1 S. 1 lit. f) DSGVO komme als Rechtsgrundlage nicht in Betracht, da die angeforderten Unterlagen sehr sensible Daten der Kollegen enthalten würde und insoweit ein hohes Schutzinteresse bestehe, während auf Seiten des Beklagten kein berechtigtes Interesse erkennbar sei, diese Daten in Erfahrung zu bringen. AG Gelnhausen: Videoüberwachung mittels schwenkbarer Kamera unzulässigAm 4. März 2024 hat das AG Gelnhausen entschieden, dass das Aufstellen einer Überwachungskamera schon dann unzulässig ist, wenn sich diese elektronisch auf das Nachbargrundstück schwenken lässt (AG Gelnhausen, Urt. v. 04.03.2024 - Az. 52 C 76/24). Für einen Unterlassungsanspruch sei es erforderlich, aber auch ausreichend, dass ein sog. Überwachungsdruck bestehe. Maßgeblich sei insoweit, dass dritte Personen eine Überwachung ernsthaft befürchten müssen. Hierfür sei bereits ausreichend, dass ein angespanntes Nachbarschaftsverhältnis vorläge und sich die Kamera mittels eines elektronischen Steuerungsmechanismus auf das Nachbargrundstück ausrichten lasse. Ob die Funktion tatsächlich verwendet werde, sei unerheblich. Dass mittels der Videoüberwachung das eigene Eigentum geschützt werden soll, stelle zwar durchaus ein legitimes Interesse dar. Vorliegend gehe hiermit aber eine unverhältnismäßige Beeinträchtigung der Nachbarn einher. EDSA: Report über die Arbeit der Task Force „ChatGPT“Die Task Force „ChatGPT“ hat am 23. Mai 2024 einen Bericht über ihre Arbeit veröffentlicht. Da die Arbeit der Task Force noch nicht vollständig abgeschlossen ist, handele es sich bei den Inhalten des Berichts nach eigenen Angaben nur um vorläufige Ergebnisse. Hintergrund der Untersuchung ist die zunehmende Verbreitung großer Sprachmodelle (LLM). Angesichts dessen, dass die Datenverarbeitungsprozesse, die im Zusammenhang mit entsprechenden Modellen stehen, den datenschutzrechtlichen Anforderungen genügen müssen, sind bereits von verschiedenen Aufsichtsbehörden Untersuchungsverfahren unter anderem gegen OpenAI, den Betreiber von ChatGPT, eingeleitet worden. Da OpenAI bis zum 15. Februar 2024 keine Niederlassung in der EU hatte, entschied der EDSA im April 2023 eine Task Force zu gründen um die Zusammenarbeit und den Informationsaustausch über mögliche Maßnahmen im Kontext ChatGPT zwischen den Aufsichtsbehörden zu vereinfachen. Bei der Beurteilung der Rechtmäßigkeit der in Rede stehenden Datenverarbeitungsprozesse müsse laut der Task Force zwischen verschiedenen Phasen unterschieden werden. Diese seien Erhebung von Schulungsdaten, Vorverarbeitung der Daten, Training, ChatGPT-Input („prompts“ oder Eingaben in ChatGPT) und ChatGPT-Output sowie Training von ChatGPT mit Prompts. Die ersten drei Phasen seien angesichts des in diesem Kontext durchgeführten „Web Scrapings“, der Sammlung und Extrahierung von Informationen aus öffentlich zugänglichen Quellen, mit besonderen Risiken für die Grundrechte und Grundfreiheiten natürlicher Personen verbunden. Die gesammelten Informationen könnten nicht nur personenbezogene Daten, sondern auch besonders sensible Daten enthalten, für deren Verarbeitung eine besondere Rechtsgrundlage benötigt werde. Zur Absicherung der Prozesse sei es zudem erforderlich, geeignete technische Maßnahmen zu ergreifen sowie Prozesse zur Löschung und Anonymisierung von Daten vorzusehen. Eine abschließende Beurteilung der Rechtmäßigkeit stehe insoweit noch aus. Hinsichtlich der weiteren Phasen sei es wichtig, Nutzer transparent darüber zu informieren, welche der von ihnen eingegebenen Daten zu Trainingszwecken verwendet werden. Darüber hinaus sei es nach Treu und Glauben nicht zulässig, Risiken des Unternehmens auf betroffene Personen zu übertragen. Die Einhaltung der datenschutzrechtlichen Vorschriften dürfe insoweit nicht auf die Betroffenen übertragen werden. Eine Klausel in den AGB, in der stehe, dass Betroffene für ihre Chat-Eingaben selbst verantwortlich seien, sei deshalb unzulässig. Hinsichtlich der von ChatGPT ausgelieferten Ergebnisse sei zudem der Grundsatz der Datenrichtigkeit zu beachten. Die Nutzer müssten außerdem über die Zuverlässigkeit der ausgelieferten Ergebnisse informiert werden. Die Task Force habe im Rahmen mehrerer Sitzungen zudem einen Fragebogen entwickelt, der als Grundlage für den Austausch mit OpenAI dienen könne. Die Entwicklung des Dokuments habe darauf abgezielt, einheitliche Untersuchungen zu ermöglichen. Der Fragebogen enthält unter anderem Fragen zu Rechtsgrundlagen und den Grundsätzen der Datenverarbeitung, Risikomanagement und Datenschutz-Folgenabschätzung, Informationspflichten und Betroffenenrechten sowie zu Datenübermittlungen an andere Unternehmen und in Drittstaaten. SDTB kontrolliert 30.000 WebsitesIm Mai 2024 hat die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) etwa 30.000 sächsische Internetauftritte im Hinblick auf Datenschutzverstöße untersucht (Mitteilung v. 13.06.2024). Dabei setzte sich die SDTB vor allem auch mit der Nutzung des Dienstes Google Analytics auseinander. Sollen Tracking-Tools auf Webseiten genutzt werden, muss vorab eine wirksame Nutzereinwilligung eingeholt werden. Die SDTB stellte im Rahmen ihrer Überprüfung fest, dass Webseitenbetreiber den insoweit geltenden Anforderungen in 2.300 Fällen nicht im erforderlichen Umfang nachkamen. Die betroffenen Unternehmen, Vereine und öffentlichen Stellen werden nunmehr von der Behörde aufgefordert, den Datenschutzverstoß zu beseitigen und alle rechtswidrige erhobenen Daten zu löschen. Kommen die Verantwortlichen Stellen der Aufforderung nicht nach, drohe ihnen nach erneuter Überprüfung ein förmliches Verwaltungsverfahren. SDTB Dr. Juliane Hundert äußerte: „Tracking-Dienste wie Google Analytics gewähren tiefgehende Einblicke in das Verhalten und die Privatsphäre von Websitebesuchern. Datenschutzrechtlich stehen die Interessen der Betreiberinnen und Betreiber deshalb zurück. Das bedeutet, möchten Verantwortliche Google Analytics nutzen, sind sie verpflichtet, von Nutzerinnen und Nutzern eine Einwilligung einzuholen.“ HmbBfDI: Positionspapier zu Bewerberdatenschutz und RecruitingAngesichts der zunehmenden Relevanz von Digitalisierung und künstlicher Intelligenz im Bewerbungsverfahren hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) am 6. Juni 2024 ein Positionspapier zu Bewerberdatenschutz und Recruiting veröffentlicht. Zunächst stellt der HmbBfDI heraus, dass Bewerbungsunterlagen eine Vielzahl sensibler Daten enthalten, weshalb der datenschutzkonforme Umgang von größter Wichtigkeit sei. Die Daten von Bewerbern seien mit gleicher Sorgfalt und Diskretion wie bei Mitarbeitern zu behandeln. Nach einer Einführung in die Grundsätze der DSGVO, einer Auseinandersetzung mit den relevanten Begrifflichkeiten und einer Übersicht über die unterschiedlichen Phasen des Recruiting-Prozesses geht er auf einige konkrete Fragestellungen ein. Die Aufnahme in einen Talentpool sei etwa nur dann möglich, wenn der Bewerber hierzu seine ausdrückliche Einwilligung erteilt habe. Besonders wichtig sei, dass die Einwilligung unter Beachtung der Informationspflichten transparent und freiwillig erteilt worden sei. Diese setze eine umfassende Information über die im Zusammenhang mit der Datenspeicherung im Talentpool erfolgenden Datenverarbeitungsprozesse voraus. Außerdem sei es empfehlenswert, die Einwilligung bezogen auf einen konkreten Zeitraum einzuholen und ggf. erneut um Einwilligung zu bitten. Sollen Informationen über einen Bewerber per Internetrecherche oder die Suchfunktion in sozialen Netzwerken beschafft werden, sei dies zwar grundsätzlich möglich. Informationen, die über das Fragerecht des Arbeitgebers hinausgehen, müssten aber unter Umständen unberücksichtigt bleiben. Genauso dürften Informationen aus privaten Netzwerken, die zu privaten Zwecken preisgegeben wurden, nicht für Background-Checks herangezogen werden. Bewerber seien zudem nach Art. 14 DSGVO über die Informationsbeschaffung zu informieren. Anschließend geht der HmbBfDI auf die Nutzung von KI-Tools im Rahmen des Bewerbungsprozesses sowie sich hieraus ergebende datenschutzrechtliche Schwierigkeiten ein. Der Einsatz von Tools zum Auslesen von Bewerbungsunterlagen und zur strukturierten Übertragung der Daten in ein Bewerbungsmanagementsystem sei etwa grundsätzlich zulässig, solange der Grundsatz der Datenrichtigkeit beachtet werde. Sollen nach dem Parsing allerdings zusätzlich Datenanalysen durchgeführt werden, müssten die Voraussetzungen von Art. 22 DSGVO für automatisierte Einzelfallentscheidungen eingehalten werden. Dies bedeute unter anderem, dass Entscheidungen mit Rechtswirkung nur von Menschen getroffen werden dürfen. Eine bloß formelle menschliche Beteiligung sei insoweit nicht ausreichend. Vielmehr müsse dem Entscheider ein echter Entscheidungsspielraum zukommen. Emotionsanalysen seien demgegenüber grundsätzlich unzulässig. Problematisch sei insoweit vor allem, dass die Analysen in der Regel nicht erforderlich seien und der Aspekt der Freiwilligkeit zweifelhaft sei. Abschließend hält der Datenschutzbeauftragte fest, dass die Integration datenschutzkonformer automatisierter Analysen den gesamten Recruiting-Prozess positiv beeinflussen könne, indem sie personalisierte, faire und diskriminierungsfreie Bewerbungsverfahren ermögliche. Unternehmen seien insoweit aber angehalten, die datenschutzrechtlichen Vorgaben einzuhalten und transparente Verfahren zu implementieren. Die Herausforderung bestehe darin, eine Balance zwischen technologischem Fortschritt und Datenschutz der Bewerber zu finden. LfDI BW: Checkliste zur Nutzung von TikTokDer Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI) hat sich zur Nutzung von TikTok durch öffentliche Stellen geäußert (Mitteilung v. 28.05.2024). Er weist zunächst auf die allgemeine Problematik hin, dass bei Nutzung von Social Media-Plattformen häufig nur begrenzte Einflussmöglichkeiten auf die Datenverarbeitungsprozesse und die Nutzungsbedingungen bestehen. Vor diesem Hintergrund sei zweifelhaft, ob die Nutzung von TikTok den datenschutzrechtlichen Anforderungen überhaupt genügen könne. Konkret sei fraglich, ob die im Zuge der Nutzung von TikTok erfolgende Datenverarbeitung den Prinzipien von Art. 5 DSGVO (Verarbeitung nach Treu und Glauben, Datenminimierung sowie Integrität und Vertraulichkeit) und 25 DSGVO (Datenschutz durch Technikgestaltung) gerecht werden könne, ob sie auf einer gültigen Rechtsgrundlage beruhen, ob die Anforderungen des Art. 8 DSGVO an die Verarbeitung von Minderjährigen-Daten und die sich aus Art. 13 und 14 DSGVO ergebenden Anforderungen an eine transparente Nutzerinformation eingehalten werden könnten. Darüber hinaus wird eine Checkliste zum datenschutzkonformen Einsatz durch öffentliche Stellen zur Verfügung gestellt. Maßgeblich seien insoweit vor allem die Art des TikTok-Kontos, die vorgenommenen Konfigurationen zum Schutz personenbezogener Daten, der Umfang der genutzten Tools, die datenschutzrechtliche Rollenverteilung, die Rechtsgrundlage, die ergriffenen Absicherungsmaßnahmen sowie alternative Kommunikationsmöglichkeiten. Zudem müsse die Nutzung von TikTok in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Niedersachsen: Datenschutzaufsichtsbehörde veröffentlicht Jahresbericht 2023Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Denis Lehmkemper, hat am 6. Juni 2024 den 29. Tätigkeitsbericht für das Jahr 2023 seiner Behörde vorgelegt. Aus dem Bericht ergibt sich unter anderem, dass die Zahl der Meldungen im Vergleich zum Jahr 2022 gestiegen ist. Dies betreffe sowohl die Zahl der Beschwerden (+7%) als auch die Zahl der gemeldeten Datenschutzverletzungen (+13%). Seit Einführung der DSGVO würden die Meldungen von Datenschutzverletzungen kontinuierlichen ansteigen. Im Berichtszeitraum seien außerdem 51 Bußgelder in Höhe von insgesamt rund 5,3 Mio. Euro verhängt worden. Viele dieser Bußgelder beträfen den Bereich Videoüberwachung. Dabei reichten die Datenschutzverletzungen von unzulässigen Aufzeichnungen per Dashcam, über die Videoüberwachung im Arbeitsbereich bis hin zur Überwachung einer Veranstaltungsfläche. Der Bericht geht außerdem auf das Thema „Künstliche Intelligenz“ ein, dessen Relevanz stetig zunehme, und setzt sich mit dem Entwurf einer europäischen KI-Verordnung auseinander. Die Behörde gibt dabei unter anderem einen Überblick über datenschutzrechtliche Herausforderungen beim Training und Einsatz von KI-Systemen. Ein neu berufenes Gremium aus Expertinnen und Experten soll zudem neue Impulse zum Einsatz von KI geben und Rahmenbedingungen für einen datenschutzkonformen Einsatz erarbeiten. Insgesamt zieht Lehmkemper ein positives Fazit: „Die meisten Unternehmen und öffentliche Stellen in Niedersachsen nehmen den Datenschutz ernst und haben ihre Prozesse an die Anforderungen der Datenschutzgrundverordnung angepasst.“ Dennoch gebe es angesichts der Digitalisierung und neuer Herausforderungen wie das Thema „Künstliche Intelligenz“ viel zu tun. Italien: Bußgeld wegen Weiternutzung einer dienstlichen E-Mail-AdresseDie italienische Aufsichtsbehörde (GDPD) hat am 24. Januar 2024 ein Bußgeld in Höhe von 15.000 Euro gegen MP1 srl verhängt, weil das Unternehmen die E-Mail-Adresse eines Mitarbeiters auch noch Monate nach dessen Ausscheiden aus dem Unternehmen aktiv geschaltet hatte und weiterhin nutzte (Mitteilung v. 24.01.2024). Die Entscheidung erfolgte anlässlich einer Beschwerde des ehemaligen Mitarbeiters. Das Unternehmen erklärte zu der Beschwerde, es habe die eingehenden E-Mails an ein anderes Postfach weitergeleitet, um eingehende Anfragen weiterbearbeiten zu können. Außerdem seien die Absender jeweils über den Umstand, dass der Mitarbeiter ausgeschieden sei, informiert worden. Nach einer weiteren Beschwerde schaltete das Unternehmen die E-Mail-Adresse ab. Im Übrigen reagierte das Unternehmen nicht auf die förmlichen Anträge des Betroffenen, woraufhin dieser sich an die Aufsichtsbehörde wendete. Die Aufsichtsbehörde stellte sodann im Rahmen ihrer Untersuchung fest, dass das Unternehmen gegen die datenschutzrechtlichen Vorschriften verstoßen habe. Die ausbleibende Reaktion des Unternehmens auf die Anträge des Betroffenen verstoße gegen Art. 5 Abs. 1 lit. c), 12 und 17 DSGVO. Das Unternehmen hätte spätestens innerhalb eines Monats auf das Löschbegehren antworten müssen. GDPD wies außerdem darauf hin, dass selbst dann, wenn eine Löschung aufgrund einer der Ausnahmetatbestände nicht vorgenommen werden müsse, eine Beantwortung der Anfrage erforderlich gewesen wäre. Dem Betroffenen hätte mitgeteilt werden müssen, aus welchem Gründe seinem Antrag nicht stattgegeben wurde und welche Betroffenenrechte ihm zustehen. Weiter äußerte die Aufsichtsbehörde, dass eine vorübergehende Weiterleitung eingehender E-Mails zwar möglich, die in Rede stehende Verarbeitung aber vor allem mit Blick auf den Zeitraum der Umleitungsmaßnahme nicht verhältnismäßig gewesen sei. Unter Berücksichtigung des Grundsatzes der Datenminimierung sei es erforderlich, das Postfach nach Ausscheiden des Mitarbeiters zu deaktivieren, Dritte über diesen Umstand zu informieren und ihnen alternative Kommunikationsadressen zur Verfügung zu stellen. Dies diene auch dem Schutz der Absender. In der Folge verhängte die Aufsichtsbehörde wegen der Verstöße eine Geldbuße in Höhe von 15.000 Euro. Italien: Bußgeld wegen Werbung trotz WiderspruchAm 22. Februar 2024 hat die italienische Aufsichtsbehörde (GPDP) ein weiteres Bußgeld in Höhe von 90.000 Euro gegen die Coop Italia Società Cooperativa verhängt, weil die Gesellschaft Werbemitteilungen trotz Widerspruchs des Betroffenen versendete (Mitteilung v. 22.02.2024). Dem Verfahren lag die Beschwerde eines Betroffenen zugrunde, der gegenüber der Aufsichtsbehörde angab, dass er sich an das Unternehmen gewendet habe, um der Verarbeitung seiner Daten zu Werbezwecken zu widersprechen und seinen Auskunftsanspruch geltend zu machen. Das Unternehmen habe ihm daraufhin lediglich mitgeteilt, dass es seinen Werbewiderspruch registriert habe. In der Folge habe der Betroffene erneut um Auskunft und zusätzlich um Löschung seiner Daten gebeten. Das Unternehmen habe ihm jedoch weiterhin Werbenachrichten per SMS zukommen lassen. Im Rahmen der Untersuchung durch die GDPD gab das Unternehmen sodann an, dass es den Anträgen des Betroffenen aufgrund eines internen Missverständnisses nicht nachgekommen sei. Die Aufsichtsbehörde stellte fest, dass das Unternehmen verschiedene Daten seiner Kunden unter anderem zu Werbezwecken nutzte und an Dritte weitergab, ohne dass insoweit eine wirksame Einwilligung der Nutzer vorgelegen habe. Die Aufsichtsbehörde führte aus, dass der Verstoß zwar nicht systematischer Natur gewesen, aber gleichwohl von besonderer Bedeutung sei und eine Verletzung von Art. 5 Abs. 1 lit. e), 12 Abs. 3, 15 und 21 Abs. 2 DSGVO vorläge. Die Aufsichtsbehörde verhängte in der Folge eine Geldbuße in 90.000 Euro gegen das Unternehmen und forderte es zudem auf, seinen Einwilligungstext anzupassen. |
Wenn Sie den Newsletter nicht mehr erhalten möchten, klicken Sie bitte hier Sie können sich hier für den Newsletter anmelden. BRANDI Rechtsanwälte Partnerschaft mbB BRANDI Rechtsanwälte ist eine Partnerschaft mit beschränkter Berufshaftung. |