Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

das Thema der Künstlichen Intelligenz („KI“) beschäftigt die Politik sehr. Am 20. und 21. November 2023 fand in Jena der sog. Digital-Gipfel statt. Im Rahmen dieser Veranstaltung tauschte sich die Bundesregierung mit Vertretern aus Wirtschaft und Zivilgesellschaft über die Auswirkungen von Digitalisierung und KI auf die Gesellschaft aus. Der Digital-Gipfel wurde federführend vom Bundesministerium für Wirtschaft und Klimaschutz sowie dem Bundesministerium für Digitales und Verkehr organisiert.

Im Zuge der Veranstaltung wurde auch über die Notwendigkeit einer KI-Regulierung diskutiert. Bundeswirtschaftsminister Robert Habeck hat in diesem Zuge betont, dass eine Regulierung auf europäischer Ebene innovationsfreundlich gestaltet sein müsse. Eine zu starke Regulierung könne dazu führen, dass Innovationen behindert werden. Maßgabe sei es, dass die Regulierungen lediglich die Anwendung, nicht die Technologie selbst betreffen dürfe. Robert Habeck sprach sich darüber hinaus für eine Förderung von Investitionen der Privatwirtschaft in die neue Technik aus.

Ähnliche Anforderungen an die KI-Regulierung wurden bereits in einem Positionspapier der Bundesregierung aus dem Oktober 2023 aufgestellt.

Das EU-Parlament hingegen strebt einen anderen Regelungsansatz an.  Bereits im Juni 2023 hat das Parlament einen Standpunkt zum geplanten „AI Act“ festgelegt, wonach strenge Regelungen für die KI-Systeme verlangt werden. Systeme wie ChatGPT müssen besonders auf Risiken geprüft werden und der Anbieter muss bei Bedarf Abwendungsmaßnahmen etablieren. Darüber hinaus sollen bestimmte KI-Praktiken verboten werden.

Es wird abzuwarten sein, wie die europäischen Regelungen zur Regulierung der KI-Technologie im Ergebnis aussehen werden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Verarbeitung von Gesundheitsdaten

Für die Verarbeitung von personenbezogenen Daten, die ihrem Wesen nach als besonders sensibel eingestuft werden, gelten aus datenschutzrechtlicher Perspektive besonders strenge Anforderungen und Maßstäbe. Da im Zusammenhang mit der Verarbeitung dieser Daten erhebliche Risiken für die Rechte der Betroffenen auftreten können, bedürfen die Daten eines besonderen Schutzes. Insbesondere dürfen entsprechende Daten nur auf Grundlage spezieller Rechtsgrundlagen verarbeitet werden und es sind besondere Schutzmaßnahmen zu ergreifen. Zu diesen sensiblen Daten gehören unter anderem auch Gesundheitsdaten, wie sich aus Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) ausdrücklich ergibt.

Aufgrund der besonders strengen Anforderungen an die Verarbeitung von Gesundheitsdaten und möglicher Bußgelder bei Nichtbeachtung der entsprechenden Vorgaben, sollten alle Datenverarbeitungsprozesse, die einen Bezug zu Gesundheitsdaten aufweisen, intensiv geprüft, abgesichert und dokumentiert werden, um den ordnungsgemäßen Umgang mit den besonders schutzwürdigen Daten sicherzustellen und nachweisen zu können.

Zum vollständigen Schwerpunktthema

LfDI Rheinland-Pfalz: Datenschutzrechtliche Prüfung von ChatGPT geht weiter

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, hat als Leiter der Taskforce „Künstliche Intelligenz“ die Erstellung eines neuen Fragebogens für das KI-Tool ChatGPT koordiniert (Pressemitteilung v. 26.10.2023).

Der Fragenbogen bestand aus 79 Einzelfragen und knüpft an ein erstes Auskunftsersuchen an, welches der LfDI Rheinland-Pfalz innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erarbeitet und an das Unternehmen OpenAI – den Betreiber des Dienstes ChatGPT – versandt hat. Laut Prof. Dr. Kugelmann hat das OpenAI den ersten Fragenkatalog kooperativ und umfangreich beantwortet. Allerdings hat eine nachträgliche Analyse innerhalb der Taskforce gezeigt, dass weiterhin erheblicher Bedarf für Nachfragen bestehe. Die Fragen dienten der Prüfung, ob die Verarbeitung personenbezogener Daten in ChatGPT rechtmäßig erfolgt. Dabei standen die besonderen Datenkategorien nach Art. 9 DSGVO im Fokus, also sensible Daten, die einen speziellen Schutz genießen, wie etwa Angaben zur Religion, Gesundheit oder zur sexuellen Orientierung. Auch die Betroffenenrechte, wie etwa das Recht auf Auskunft, Berichtigung oder Löschung personenbezogener Daten wird kritisch betrachtet. Dabei liegt der Fokus insbesondere darauf, ob ChatGPT diese personenbezogenen Daten als solche erkennt und selbstständig aussortiert oder ob eine datenschutzkonforme Datenverarbeitung anderweitig erreicht werden kann.

Prof. Dr. Kugelmann betont, er habe als Landesdatenschutzbeauftragter die Aufgabe, das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung zu schützen. Um zu bewerten, ob die Regelungen der DSGVO im Rahmen der Nutzung von ChatGPT eingehalten werden, müsse die App Transparenz zeigen. Nur durch Nachvollziehbarkeit der Vorgänge innerhalb der App könne sichergestellt werden, dass Vorgänge den datenschutzrechtlichen Vorgaben entsprächen und das Tool an den berechtigten Normen und Werten unserer Gesellschaft gemessen werde.

Da das US-amerikanische Unternehmen OpenAI keine Niederlassung in der EU hat, sind alle europäischen Aufsichtsbehörden für die Überwachung und Einhaltung der DSGVO zuständig. Auch eine Niederlassung in Irland, die sich nach den aktuellen Entwicklungen abzeichnet, würde eine Zuständigkeit des LfDI nicht beenden, da sich sowohl der gegenwärtige als auch der vergangene Zustand einer datenschutzrechtlichen Prüfung unterzieht.

(Eva Ritterswürden)

OVG Schleswig: Videoüberwachung in Fitnessstudio ist Datenschutzverletzung

Das OVG Schleswig hat durch Beschluss entschieden, dass es sich bei einer Videoüberwachung der Herrenumkleide, der Trainingsfläche und des Aufenthaltsbereichs in einem Fitnessstudio um eine Datenschutzverletzung handelt (OVG Schleswig, Beschl. v. 14.07.2023 - Az.: 4 LA 11/20).

Die zuständige Datenschutzbehörde führte bei dem Fitnessstudio eine Betriebsprüfung durch, stufte die Videoüberwachung als Verletzung der DSGVO ein und untersagte diese letztendlich durch amtliche Anordnung. Die Betreiberin des Fitnessstudios wehrte sich gerichtlich gegen die Anordnung. In erster Instanz verlor die Klägerin, da das Gericht die amtliche Anordnung für rechtmäßig hielt. Auch im Rahmen der Berufung kam das OVG Schleswig zum identischen Ergebnis und lehnte das Rechtsmittel ab.

Das Gericht führt aus, dass im Rahmen der Interessenvertretung auf Seiten der verantwortlichen Stelle insbesondere die Zwecksetzung der Videoüberwachung zu beachten ist, während auf Seiten der von der Überwachung betroffenen Personen das allgemeine Persönlichkeitsrecht gem. Art. 2 Abs. 1 i.V.m. Art. 1 GG in seiner Ausprägung als Recht der informationellen Selbstbestimmung, des Rechtes am eigenen Bild sowie des Schutzes der Privatsphäre von Bedeutung ist. Hier kommt der Eingriffsintensität besondere Bedeutung zu. Das Gewicht des Eingriffs wird maßgeblich durch Art und Umfang der erfassten Informationen, durch Anlass und Umstände der Erhebung, den betroffenen Personenkreis und die Art und den Umfang der Verwertung der erhobenen Daten bestimmt. Die Interessenabwägung ist von den konkreten Gegebenheiten des jeweils zu beurteilenden Falles abhängig.

Die Klägerin wollte sich darauf stützen, dass im öffentlichen Personennahverkehr ebenfalls eine zulässige Videoüberwachung gegeben ist. Allerdings kann die Zulässigkeit einer Datenverarbeitung bei anderer Sachlage nicht die Datenschutzkonformität eines Falles begründen. Weiterhin drängt sich hier, insbesondere mit Blick auf die Videoüberwachung einer Umkleidekabine, ein gewichtiger Unterschied zur Überwachung öffentlicher Verkehrsmittel auf. Es ist nicht ersichtlich, dass die Interessenabwägung mit Blick auf den öffentlichen Personennahverkehr zwingend identisch zu der hier vorzunehmenden Interessenabwägung auszufallen hat. Das Gericht stellte fest, dass durch die Videoüberwachung die Intimsphäre der Besucher betroffen sei und die Interessen der Klägerin in diesem Fall geringer zu bewerten seien.

(Eva Ritterswürden)

Hamburgischer Datenschutzbeauftragter: Gemeinsame Kundendatenbank führt zu gemeinsamer Verantwortlichkeit

Wird durch verschiedene Firmen in einem gemeinsamen Unternehmensverbund eine gemeinsame Kundendatenbank geführt, führt dies nach Einschätzung des Hamburgischen Datenschutzbeauftragten zu einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO (Tätigkeitsbericht Datenschutz 2020, S. 119).

Ursprünglich ging es dabei um ein Unternehmen, welches Kurse für die Erwachsenenbildung anbietet und zum selben Mutterkonzern wie Unternehmen mit einem ähnlichen Angebot gehört. Der Beschwerdeführer hatte einen Kurs bei einem der Unternehmen gebucht und die entstandenen Kursgebühren nicht bezahlt. Als er sich einige Zeit später bei einem Kurs eines anderen Unternehmens des gleichen Mutterkonzerns anmelden wollte, wurde er für den Kurs abgelehnt. Begründet wurde die Ablehnung durch die Zahlungsrückstände bei dem anderen Unternehmen.

Daraufhin verhängte die zuständige Datenschutzbehörde ein Bußgeld in Höhe von 13.000€ gegen den Mutterkonzern. Es fehle eine schriftliche Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Die DSGVO kenne kein Konzernprivileg, nach welchem etwaige Daten zwischen Unternehmen eines Konzerns ausgetauscht werden dürfen. Es handelt sich um mehrere, rechtlich selbstständige Unternehmen. Führen diese gemeinsam eine Kundendatenbank, erfolgt dies zwangsläufig in gemeinsamer Verantwortlichkeit. Dies erfordere zwingend eine schriftliche Vereinbarung, welche die jeweiligen Funktionen und Beziehungen der gemeinsamen Verantwortlichen gegenüber betroffenen Personen transparent machen und gebührend widerspiegeln. Mangels einer solchen Vereinbarung sei ein Bußgeld gerechtfertigt.

(Eva Ritterswürden)

OLG Stuttgart: Kein Schadensersatz für Scraping-Vorfälle bei Facebook

Der 4. Zivilsenat des OLG Stuttgart hat in zwei Fällen über Ansprüche im Zusammenhang mit einem Datenleck bei Facebook (Scraping) entschieden. Ein Schadensersatzanspruch bestehe nicht, da es an einer spürbaren immateriellen Beeinträchtigung fehlt (OLG Stuttgart, Urt. v. 22.11.2023 - Az.: 4 U 17/23 und OLG Stuttgart, Urt. v. 22.11.2023 - Az.: 4 U 20/23).

In den vorliegenden Fällen machen die Kläger gegen Meta jeweils mehrere Verstöße gegen die DSGVO geltend, nachdem es im Jahr 2018 zu einem Datenabgriff kam, bei dem mehrere personenbezogene Daten der Kläger ausgewertet und mit deren Handynummer verknüpf wurden. Es wurden insgesamt 533 Millionen entsprechende Datensätze im Darknet veröffentlicht (wir berichteten bereits u.a. im Dezember 2022, Januar und Oktober).

Wie bereits durch das OLG Hamm zuvor entschieden, wies auch das OLG Stuttgart einen Anspruch auf Schadensersatz nach Art. 82 DSGVO zurück. Laut Senat bestehe keine spürbare immaterielle Beeinträchtigung der beiden Kläger. Es müsse ein Verstoß gegen die DSGVO vorliegen, der einen konkreten Schaden verursacht hat. Der Begriff des konkreten Schadens erfordert eine einheitliche europarechtliche Definition, wobei nach den Erwägungsgründen zur DSGVO der Verlust der Kontrolle über personenbezogene Daten, die Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person genügen sollen. Es gilt hier insoweit nach Einschätzung des EuGH keine Erheblichkeits- oder Bagatellgrenze.

Allerdings haben die Kläger nicht ausreichend schriftlich vorgetragen. Es wurden bloße Lästigkeiten und Unannehmlichkeiten geschildert sowie der Kontrollverlust über Daten angeführt, der für sich allein noch keine Beeinträchtigung begründet.

Allerdings hatte in einem der beiden Verfahren ein Feststellungsantrag auf eine zukünftige Ersatzpflicht Erfolg. Der Senat hat insbesondere Verstöße gegen Art. 5 Abs. 1 lit. f) DSGVO und Art. 25 DSGVO festgestellt. Durch die vorhandene Möglichkeit eines Zugriffs auf die persönlichen Daten im sogenannten "Kontakt-Import-Tool" wurde gegen Art. 5 Abs. 1 lit. f) DSGVO verstoßen. Die Voreinstellungen einer Zugriffsmöglichkeit, die aktiv abgewählt werden muss, verstoße gegen das Verbot eines Opt-Out-Modells.

Bei dem Senat sind bereits über 100 Fälle anhängig - bundesweit soll es etwa 6.000 derartige Verfahren geben.

(Eva Ritterswürden)

EuGH: Fahrzeug-Identifikationsnummer (FIN) ist in der Regel kein personenbezogenes Datum

Der EuGH hat entschieden, dass es sich bei der Fahrzeug-Identifikationsnummer (FIN) in der Regel nicht um ein personenbezogenes Datum handelt (Pressemitteilung des EuGH v. 09.11.2023). Wird einem Dritten allerdings die Möglichkeit eröffnet, durch die FIN den Halter zu identifizieren, ist die FIN ausnahmsweise als personenbezogenes Datum zu behandeln.

Grundlage des Urteils war ein deutscher Branchenverband des Kfz-Teilehandels, der sich an das Landgericht Köln wandte. Fahrzeughersteller sind europarechtlich verpflichtet, unabhängigen Wirtschaftsakteuren, zu denen Reparaturbetriebe, Ersatzteilhändler und Herausgeber technischer Informationen gehören, die Informationen zugänglich zu machen, die für die Reparatur und Wartung der von ihnen hergestellten Fahrzeuge erforderlich sind. Der Verband war der Ansicht, dass weder die Form noch der Inhalt der Informationen, die seinen Mitgliedern von einem Lkw-Hersteller zur Verfügung gestellt werden, der Pflicht genügen.

Das LG Köln hat sich u.a. für die Beantwortung der Frage, ob es sich bei der FIN um ein personenbezogenes Datum handelt, zu deren Übermittlung die Hersteller verpflichtet sind, an den EuGH gewandt.

Dieser entschied dahingehend, dass die Fahrzeughersteller verpflichtet sind, Zugang zu allen Fahrzeugreparatur- und -wartungsinformationen zu gewähren. Dabei muss das Format für die unmittelbare elektronische Weiterverarbeitung geeignet sein, damit die maßgeblichen Daten extrahiert und unmittelbar nach ihrer Erhebung gespeichert werden können. Weiterhin sind Fahrzeughersteller verpflichtet, eine Datenbank zu erstellen, die die Informationen über die Teile umfasst, die durch Ersatzteile ausgetauscht werden könne. Innerhalb dieser Datenbank muss eine Suche durch Fahrzeugidentifikationsnummern und weiterer Merkmale, wie etwa die Motorleistung, möglich sein.

Dabei betont der EuGH, dass die FIN in der Datenbank enthalten sein müssen. Sie sei als solche zwar nicht personenbezogen. Sie werde jedoch zu einem personenbezogenen Datum, wenn derjenige, der Zugang zu ihr hat, über Mittel verfügt, die ihm die Identifizierung des Halters des Fahrzeugs ermöglichen. Dies gilt jedenfalls, wenn der Halter eine natürliche Person ist. Der Halter wie auch die FIN sei in der Zulassungsbescheinigung angegeben. Selbst in den Fällen, in denen die FIN als personenbezogenes Datum einzustufen sei, steht die DSGVO dem nicht entgegen, dass Fahrzeughersteller verpflichtet sind, sie unabhängigen Wirtschaftsakteuren bereitzustellen.

(Eva Ritterswürden)

EuGH: Erste Kopie der Patientenakte ist kostenfrei

Der EuGH hat mit Urteil vom 26. Oktober 2023 entschieden, dass Patienten auch ohne die Angabe von Gründen einen datenschutzrechtlichen Anspruch auf eine erste unentgeltliche Kopie ihrer Patientenakte haben.

Der EuGH begründete seine Entscheidung mit dem Verweis auf die Vorgaben der DSGVO. In der DSGVO ist das Recht auf Auskunft für betroffene Personen fest verankert. Dieses Recht entfaltet speziell auch dann Wirkung, wenn es vor Gericht gegen Ärzte verwendet werden kann.

Um die Rechte von Betroffenen auch praktisch durchführen zu können und eine wirksame Ausübung zu ermöglichen, kann es im Einzelfall erforderlich sein, eine originalgetreue Kopie bzw. Reproduktion von Auszügen aus Dokumenten oder auch ganze Dokumente, die personenbezogene Daten enthalten, dem Patient oder der Patientin zur Verfügung zu stellen. Voraussetzung sei laut EuGH allerdings, dass diese vollständige Kopie erforderlich sei, der betroffenen Person die Überprüfung der Richtigkeit und Vollständigkeit der Daten zu ermöglichen und die Verständlichkeit der Daten zu gewährleisten. Dazu gehören explizit Informationen wie Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte sowie Angaben zu Behandlungen und Eingriffen.

(Eva Ritterswürden)

EDSA: Untersagung von personalisierter Werbung ohne Einwilligung

Der Europäische Datenschutzausschuss (EDSA) hat dem US-amerikanischen Konzern Meta mit Beschluss vom 27.10.2023 das Schalten von personalisierter Werbung ohne Vorliegen einer entsprechenden Einwilligung untersagt. Dem Unternehmen wurde für die Umsetzung der Vorgabe aufgrund der Dringlichkeit nur eine kurze Frist gesetzt.

Der EDSA hat die irische Datenschutzbehörde (DPC) mittels einer verbindlichen Eilentscheidung angewiesen, Maßnahmen zu ergreifen und ein Verbot der Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung im gesamten Europäischen Wirtschaftsraum (EWR) zu verhängen. In der Folge haben die Aufsichtsbehörden in einem Dringlichkeitsverfahren nach Art. 66 DSGVO erstmals Maßnahmen erlassen, die für den gesamten Geltungsbereich der DSGVO wirken. Ob Meta sich in Zukunft an die Vorgaben hält und Einwilligungsmöglichkeiten einführt, die der DSGVO entsprechen, bleibt hingegen abzuwarten. Wichtig ist dabei eine Freiwilligkeit der Einwilligung, Transparenz sowie der Verzicht auf irreführende Gestaltungsmittel.

Durch das Unternehmen wurde bereits angekündigt, es werde ein Bezahl-Modell eingeführt, um entsprechende Vorgaben des EDSA umzusetzen. Zahlenden Nutzern werde keine Werbung mehr angezeigt, wohingegen Nutzern, die kein Abonnement abschließen, in die personalisierte Werbung einwilligen müssen, um Dienste wie Facebook oder Instagram weiterhin nutzen zu können.

(Eva Ritterswürden)

DSK: Gesetzliche Regulierung medizinischer Register

In einer Entschließung der Datenschutzkonferenz vom 22./23. November 2023 hat sich die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) mit Rahmenbedingungen und Empfehlungen für die gesetzliche Regulierung medizinischer Register auseinandergesetzt.

In Deutschland gibt es bislang eine Vielzahl medizinischer Register in unterschiedlichen Formen und Strukturen. Die meisten Register stützen sich zur Datenverarbeitung auf die Einwilligung der Betroffenen nach Art. 6 Abs. 1 lit. a) DSGVO. Die Bundesregierung hat in ihrem Koalitionsvertrag (Koalitionsvertrag „Mehr Fortschritt wagen“, S. 83) festgelegt, dass ein Registergesetz im Einklang mit der DSGVO geschaffen werden soll.

Die DSK begrüßt ausdrücklich das Begehren der Bundesregierung, gesetzliche Regelungen für medizinische Register zu erlassen, insbesondere Regelungen zur Schaffung einer Zentralstelle für medizinische Register, die das Registerverzeichnis führen und die eine Auditierung und Zuordnung entsprechender Register verantworten soll.

Ergänzend hat die DSK Rahmenbedingungen aus datenschutzrechtlicher Sicht für die gesetzliche Regulierung der medizinischen Register vorgesehen. So weist die DSK unter anderem darauf hin, dass rechtsklare und verhältnismäßige Regelungen zur Aufbewahrungsdauer der in den Registern gespeicherten Daten zu treffen sind. Für die Verarbeitung sei eine medizinisch-fachliche Erforderlichkeit für einen der in Art. 9 Abs. 2-4 DSGVO genannten Zwecke erforderlich. Die Rechtmäßigkeit der Datenverarbeitung sollte differenziert und abhängig nach dem konkreten Verarbeitungszweck beurteilt werden.

Vorgaben zu technisch-organisatorischen Maßnahmen sollten standardisiert und harmonisiert festgelegt werden, inhaltlich wird hierbei insbesondere eine dezentrale Speicherung und Verarbeitung der Daten angeregt. Die DSK hält es für tragfähig, Zulassungsverfahren für Register vorzusehen und dass regelmäßig unabhängige Vertrauensstellen vorgesehen werden sollen. Die unabhängigen Vertrauensstellen sollen insbesondere eine wichtige Rolle für die Anonymisierung und Pseudonymiserung von Gesundheitsdaten und der Verwaltung von Kennzeichen als einheitliche Identifikatoren spielen. Nach der DSK stünde der datenschutzrechtliche Grundsatz der Zweckbindung einer Verknüpfung von Datensätzen grundsätzlich entgegen. Soll für Forschungszwecke eine solche Verknüpfung erfolgen, sollte dies nur mit einer besonderen Rechtfertigung möglich sein, in der Regel einem öffentlichen Interesse oder eines gesellschaftlichen Nutzens.

Die gesetzliche Regulierung von Gesundheitsregistern ist durchaus sinnvoll. Die DSK hat in diesem Zusammenhang noch einmal auf den wichtigen Aspekt des Datenschutzes hingewiesen und Leitlinien aufgestellt, an denen sich der Gesetzgeber gut orientieren kann.

(Hendrik Verst)