EuGH: Ist jeder Datendiebstahl mit einem immateriellen Schaden verbunden?

EuGH: Ist jeder Datendiebstahl mit einem immateriellen Schaden verbunden?

Auch bei Datenverlust muss ein tatsächlicher Schaden nachgewiesen werden

Ist jeder Datendiebstahl mit einem immateriellen Schaden verbunden? 

Der Europäische Gerichtshof (EuGH) hat sich in den Verfahren C-182/22 und C-189/22 mit der Frage befasst, unter welchen Voraussetzungen Personen, deren personenbezogene Daten gestohlen wurden, einen Anspruch auf Ersatz des immateriellen Schadens haben. Dabei ging es insbesondere um die Frage, ob bereits der Verlust der Kontrolle über die Daten einen solchen Schaden begründet oder ob ein konkreter Missbrauch nachgewiesen werden muss. 

Welches sind nach dem EuGH die wesentlichen Gesichtspunkte eines immateriellen Schadens? 

Der EuGH hat klargestellt, dass der bloße Verlust der Kontrolle über personenbezogene Daten nicht automatisch einen Anspruch auf immateriellen Schadenersatz begründet. Vielmehr muss ein tatsächlicher Schaden nachgewiesen werden. 

Der immaterielle Schadenersatz dient in erster Linie dem Ausgleich eines tatsächlich erlittenen Schadens und nicht der Bestrafung des Verantwortlichen. Ein Identitätsdiebstahl liegt nur dann vor, wenn ein Dritter tatsächlich die Identität des Betroffenen annimmt. Es muss jedoch nicht nachgewiesen werden, dass dieser Missbrauch konkrete Folgen hatte. Das bedeutet, dass es keinen festen Katalog von Nachweisen gibt, die in jedem Fall erforderlich sind. Vielmehr wird es darauf ankommen, eine möglichst überzeugende Indizienkette zu schaffen, die darauf hindeutet, dass die gestohlenen Daten tatsächlich missbraucht wurden. Die Gerichte werden jeden Einzelfall prüfen und abwägen müssen.  

Die Höhe des Schadensersatzes liegt im Ermessen der nationalen Gerichte. Das Verschulden des Verantwortlichen spielt bei der Bemessung des Schadensersatzes keine Rolle. 

Was bedeutet die Entscheidung für die Betroffenen? 

Die Entscheidung des EuGH schränkt die Möglichkeiten für Betroffene von Datenschutzverletzungen ein. Betroffene von Datenschutzverletzungen werden es in Zukunft schwerer haben, immateriellen Schadensersatz zu erlangen. Die Rechtslage ist nach wie vor unklar. Welche konkreten Folgen eines Datendiebstahls müssen nachgewiesen werden, um einen immateriellen Schaden zu begründen? Wie hoch ist der immaterielle Schaden in einzelnen Fällen zu bemessen? 

Der EuGH macht mit dieser Entscheidung deutlich, dass der Schutz personenbezogener Daten in der EU ernst genommen wird. Die Durchsetzung von Ansprüchen kann jedoch weiterhin schwierig sein. 

Was bedeutet das für Unternehmen? 

Um Unternehmen wirksam vor Schadensersatzklagen zu schützen, ist eine proaktive Prävention unerlässlich. Durch die Implementierung eines robusten Risikomanagementsystems, regelmäßige Schulungen der Mitarbeiter, klare Vertragsgestaltung und eine umfassende Dokumentation können potenzielle Risiken minimiert werden. Zudem ist es ratsam, rechtzeitig auf Veränderungen in der Rechtslage zu reagieren und sich kontinuierlich über aktuelle Entwicklungen zu informieren. Wenn ein Datenschutzvorfall eingetreten ist, sollten alle möglichen Maßnahmen ergriffen werden, um den Eintritt eines Schadens so gering wie möglich zu halten.

 

Wir unterstützen Sie gerne bei der Umsetzung und Einhaltung der DSGVO, indem wir Ihre Prozesse analysieren, Datenschutzschulungen durchführen und Sie bei der Dokumentation begleiten. 

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

AI Act: Eine Weichenstellung in der Regulierung künstlicher Intelligenz

AI Act: Eine Weichenstellung in der Regulierung künstlicher Intelligenz

AI Act – was sich jetzt ändert

Einleitung

Die rasante Entwicklung der Künstlichen Intelligenz (KI) stellt die Gesellschaft vor neue Herausforderungen und Chancen. Schon heute sind Chatbots und KI-generierte Bilder und Videos weit verbreitete Manifestationen dieser Technologie. 

Um die Risiken zu minimieren und die Vorteile zu maximieren, hat die Europäische Union den AI Act verabschiedet. Dieses Gesetz gilt als eines der weltweit ersten umfassenden Regelwerke für den Einsatz von KI und soll einen Rahmen für die Entwicklung und den Einsatz von KI-Systemen schaffen, der die Grundrechte und Werte der EU schützt.

 

Was regelt der AI Act, und warum?

Ziel des AI Act ist es, einen einheitlichen Rechtsrahmen für die Entwicklung, den Vertrieb und die Nutzung von KI-Systemen in der Europäischen Union zu schaffen. Dabei orientiert es sich am Produktsicherheitsrecht.

KI-Systeme werden nach ihren potenziellen Risiken für Sicherheit, Grundrechte und Demokratie in verschiedene Kategorien eingeteilt. Anwendungen, die als inakzeptabel angesehen werden, wie z.B. Sozialkredit-Systeme wie in China, soziale Manipulation oder Massenüberwachung, werden verboten. KI-Systeme mit hohem Risiko, wie sie beispielsweise in der Strafverfolgung oder im Personalwesen eingesetzt werden, müssen strenge Anforderungen an Transparenz, Robustheit und menschliche Aufsicht erfüllen. Der AI Act soll dazu beitragen, dass KI-Systeme ethisch vertretbar und transparent entwickelt und eingesetzt werden.

 

Der AI Act unterscheidet zwischen verschiedenen Risikokategorien von KI-Systemen und legt je nach Risiko unterschiedliche Anforderungen fest. Bestimmte KI-Anwendungen, die als Gefahr für die Grundrechte oder die öffentliche Sicherheit angesehen werden, sind verboten. Für KI-Systeme mit hohem Risiko gelten strenge Anforderungen an Datenqualität, Robustheit, Transparenz und menschliche Aufsicht. Die EU-Mitgliedstaaten sind für die Marktüberwachung zuständig und müssen sicherstellen, dass KI-Systeme die Anforderungen des AI Act erfüllen. Eine europäische Behörde soll die Zusammenarbeit der Mitgliedstaaten koordinieren und die einheitliche Anwendung des AI Act sicherstellen.

Der AI Act wird erhebliche Auswirkungen auf die Entwicklung und den Einsatz von KI-Systemen haben. Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen sich auf umfangreiche Anpassungen einstellen. Insbesondere für Unternehmen, die KI-Systeme in risikoreichen Bereichen einsetzen, wird der administrative Aufwand steigen. Anbieter von Hochrisiko-Systemen müssen eine sog. Konformitätsbewertung durchlaufen, um ihr Produkt in der EU auf den Markt zu bringen. Gleichzeitig bietet der AI Act auch Chancen für Unternehmen, die sich an die neuen Regeln anpassen und vertrauenswürdige KI-Lösungen anbieten können.

Kritiker argumentieren, dass die Anforderungen, insbesondere für risikoreiche KI, zu hoch und bürokratisch sind. Dies könne Innovationen hemmen und kleinere Unternehmen benachteiligen. Die Definitionen von Begriffen wie „Hochrisiko-KI” sind teilweise unklar und führen zu Rechtsunsicherheit. Die Beurteilung, welche KI-Systeme als risikoreich einzustufen sind, ist subjektiv und kann zu unterschiedlichen Interpretationen führen. Zudem erschwert die schnelle Entwicklung von KI-Modellen eine statische Risikobewertung. Zu strenge Vorschriften könnten die europäische KI-Forschung und -Entwicklung behindern und dazu führen, dass Unternehmen ihre Aktivitäten in Regionen mit weniger strengen Vorschriften verlagern.  

Dies könnte dazu führen, dass Europa im globalen Wettlauf um die Führungsrolle im Bereich der KI zurückfällt.

 

Was ist bei der Regulierung nach dem AI Act zu beachten?

Der AI Act ist ein wichtiger Schritt in Richtung einer ethischen und verantwortungsvollen Entwicklung von künstlicher Intelligenz. Mit der Einführung eines umfassenden Rechtsrahmens schafft die EU die Grundlage für den Einsatz von KI-Systemen. 

Unternehmen und Entwickler müssen sich auf die neuen Anforderungen einstellen, um weiterhin erfolgreich am Markt bestehen zu können. Gleichzeitig bietet der AI Act auch Chancen für Innovation und Wachstum in diesem Bereich. Wichtig ist jedoch, die Kritik ernst zu nehmen und den Rechtsrahmen kontinuierlich zu evaluieren und anzupassen. Ein ausgewogenes Verhältnis zwischen Regulierung und Innovation ist entscheidend, um die Vorteile von KI zu nutzen und die Risiken zu minimieren.

Wenn Sie Fragen zum AI Act oder zu anderen Aspekten der KI-Regulierung haben, setzen Sie sich mit uns in Verbindung. Unser Expertenteam steht Ihnen gerne zur Verfügung, um Sie umfassend zu beraten und Ihre Anliegen zu klären. Ob Sie Unterstützung bei der Umsetzung der neuen Regelungen benötigen oder einfach nur mehr über die Auswirkungen auf Ihr Unternehmen erfahren möchten – wir sind für Sie da! Kontaktieren Sie uns und lassen Sie uns gemeinsam die Chancen und Herausforderungen der Künstlichen Intelligenz erkunden. Wir freuen uns auf Ihre Nachricht!

 

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Übermittlung von Daten an Google LLC. datenschutzwidrig?

Ist die Übermittlung personenbezogener Daten an Google LLC datenschutzwidrig? 

arthur-osipyan-5OyvN4Yx46E-unsplash

Mit dem Angemessenheitsbeschluss der Europäischen Kommission vom Juli 2023 (“Data Privacy Framework – DPF”) wurde für solche US-Unternehmen, die sich im Rahmen dieses Beschlusses zertifizieren lassen, ein angemessenes Datenschutzniveau festgestellt. Nach Auffassung des OLG Köln (Urt. V. 03.11.2023 – Az.: 6 U 58/23) war die Übermittlung von Daten durch die Telekom an die Google LLC. mit Sitz in den USA unzulässig. Ist eine Übermittlung von Daten in die USA daher unzulässig? 

Zuvor hatte das Landgericht Köln der Klage der Verbraucherzentrale NRW nur im Hinblick auf die unzulässige Übermittlung der Daten an die Google LLC. stattgegeben. Konkret hatte die Beklagte, die Telekom, Browser- und Geräteinformationen an Google LLC. als Betreiberin der Google Analyse- und Marketingdienste mit Sitz in den USA übermittelt. Das LG Köln argumentierte, IP-Adressen sind insofern personenbezogene Daten, als das es sich bei den Besuchern der Website um Kunden der Telekom handelt und die Nutzer identifizierbar sind.  

Unerheblich ist jedoch die Frage der Anonymisierung der IP-Adresse, da die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig sind, wenn sie von einem der folgenden Rechtfertigungstatbeständen gedeckt sind: 

  • § 25 Abs. 1 TTDSG: Wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Einwilligung hat gem. Artikel 6 Absatz 1 S. 1 lit. a) DS-GVO zu erfolgen;
  • § 25 Abs. 2 Nr. 1 TTDSG: Wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  • § 25 Abs. 2 Nr. 2 TTDSG: Wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Das OLG hat in der Berufung dem Anklagepunkt zwar zugestimmt, den Grund für die Unzulässigkeit jedoch bereits auf Ebene der Datenerhebung gesehen. Auch wenn aufgrund des Angemessenheitsbeschlusses eine Drittlandübermittlung zulässig ist, müssen trotzdem die allgemeinen Anforderungen für eine Datenerhebung und -verarbeitung erfüllt sein. Dazu ist auch das Vorliegen einer Einwilligung im Sinne der DS-GVO nötig. Eine Einwilligung im Sinne der Vorschrift erfordert, dass der für die Verarbeitung Verantwortliche der betroffenen Person eine Information über alle Umstände im Zusammenhang mit der Verarbeitung der Daten in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zukommen lässt, da dieser Person insbesondere die Art der zu verarbeitenden Daten, die Identität des für die Verarbeitung Verantwortlichen, die Dauer und die Modalitäten dieser Verarbeitung sowie die Zwecke, die damit verfolgt werden, bekannt sein müssen. Solche Informationen müssen diese Person in die Lage versetzen, die Konsequenzen einer etwaigen von ihr erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird (vgl. EuGH, Urteil vom 11.11.2020, Rs. C-61/19 Rn. 40 – Orange România SA/ANSPDCP, = NJW 2021, 841). Im Cookie-Banner befanden sich jedoch widersprüchliche Informationen über die Erhebung der Daten und deren Übermittlung an Google LLC. Dies hatte zur Folge, dass – unabhängig von der tatsächlichen Übermittlung in ein Drittland – schon keine wirksame Einwilligung in die Erhebung der Daten vorlag. Mangels Transparenz kann keine „informierte“ Einwilligung eingeholt werden, weshalb keine Rechtsgrundlage für die Erhebung und Verarbeitung der Daten durch die Telekom besteht. Folglich kann die Drittlandübermittlung dieser Daten nicht zulässig sein. 

Der Angemessenheitsbeschluss befreit nicht von der rechtmäßigen Erhebung und Verarbeitung von personenbezogenen Daten, demnach müssen auch bei Vorliegen eines Angemessenheitsbeschlusses die übrigen – allgemeinen – Anforderungen an eine zulässige Datenverarbeitung erfüllt sein. Für Unternehmen gilt es daher bei der Datenerhebung weiterhin die Grundsätze der zulässigen Datenverarbeitung zu achten. Vor allem aber sollte die Korrektheit und die Verständlichkeit der Informationen in Cookie-Bannern ausreichend geprüft werden, wenn deren Einwilligung (§ 25 TTDSG i.V.m. Art. 6 Abs. 1 lit. a) DS-GVO) als Basis für die Erhebung und Übermittlung der Daten dienen soll.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Hackerangriff bei Motel One

Hackerangriff bei Motel One

Nach einem Hackerangriff der Cybergang ALPHV wurden schätzungsweise 6 Terabyte Daten im Darknet veröffentlicht. Angegriffen wurde die Hotelgruppe Motel One. 

Publik geworden sind hierbei insbesondere Adress- und Buchungsdaten der Hotelgäste, sowie 150 Kreditkartendaten. Laut Aussage von Motel One wurden zumindest diejenigen Gäste informiert, deren Kreditkartendaten veröffentlicht worden sind bereits informiert. Motel One hat dazu selbst Informationen auf der Unternehmenswebsite veröffentlicht.

Nach Presseinformationen sind ebenfalls nahezu vollständige Übernachtungslisten beginnend mit dem Jahr 2016 enthalten. Ob diese rechtmäßig in derartigem Umfang gespeichert werden durften, wird derzeit hinterfragt.

Ob auch Ihre Daten von dem Angriff bei Motel One betroffen sind oder bei einem anderen Datenleck veröffentlicht wurden, können Sie mit dem Identity Leak Checkers des Hasso-Plattner-Instituts überprüfen.

Fragen Sie sich, welche Rechte Ihnen als betroffene Person aus Datenschutzgesichtspunkten zustehen? Betroffene können Ihr Recht auf Auskunft (Art. 15 DS-GVO), das Recht auf Berichtigung oder Löschung (Art. 16 und Art. 17 DS-GVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO), das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) sowie das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO) gegenüber dem Verantwortlichen geltend machen. Sollten Sie der Ansicht sein, dass die Verarbeitung gegen Datenschutzrecht verstößt, haben Sie gemäß Art. 77 Abs. 1 DS-GVO das Recht, sich bei einer Datenschutzaufsichtsbehörde eigener Wahl zu beschweren. Darüber hinaus sind auch mögliche Schadensersatzansprüche denkbar. Melden Sie sich dazu gerne bei unserem Team.
Gerne beraten wir auch Ihr Unternehmen hinsichtlich der Punkte zu Datensparsamkeit und rechtssicheren Löschkonzepten, die die Verarbeitung von personenbezogenen Daten minimieren und somit eine geringere Angriffsfläche für etwaige Hackerangriffe bieten können.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Haben Sie ein Auskunftsersuchen (Art. 15 DS-GVO) von Maximilian Größbauer erhalten?

Auskunftsersuchen von Maximilian Grössbauer

Haben Sie ein Auskunftsersuchen (Art. 15 DS-GVO) von Maximilian Größbauer erhalten?

Wenn Sie eine E-Mail von Herrn Größbauer erhalten haben, in der er freundlich um Auskunft bittet, ob Ihr Unternehmen Daten zu seiner Person verarbeitet, ist die Wahrscheinlichkeit sehr hoch, dass er sich zuvor über Ihre Unternehmenswebsite für einen Newsletter angemeldet hat. Sie sollten daher prüfen, ob Sie personenbezogene Daten verarbeiten und seinem Auskunftsersuchen nachkommen. Sollten Sie tatsächlich keine personenbezogenen Daten verarbeiten, müssen Sie mit einer Negativauskunft reagieren.

Ein Auskunftsersuchen nach Art. 15 DS-GVO ist zunächst immer ernst zu nehmen. Denn auch wenn das Vorgehen als problematisch angesehen werden kann, ist eine rechtsmissbräuchliche Ausübung der Betroffenenrechte schwer nachzuweisen. Auch das gleichzeitig geltend gemachte Recht, eine Kopie aller Daten zu erhalten, sollte nicht ignoriert werden. Insbesondere ist darauf zu achten, dass keine ungeschwärzten Datenkopien herausgegeben werden, soweit personenbezogene Daten Dritter erkennbar sind. Inwieweit die Herausgabe sämtlicher Datenkopien zu erfolgen hat, ist im Einzelfall zu prüfen. Die Gerichte tendieren mittlerweile zu einem weitergehenden Anspruch auf Herausgabe dieser Datenkopien.

Die Besonderheit bei der Anfrage von Herrn Größbauer liegt darin, dass er sich für den Erhalt eines Newsletters angemeldet hat, für dessen Versand US-Dienstleister eingesetzt werden, sodass eine Datenübertragung ins Drittland stattfindet, wobei besondere Vorsicht geboten ist.

Daher kann es sein, dass Sie in einem zweiten Schritt nach Erteilung der Auskunft und Übermittlung der Datenkopien eine Abmahnung wegen einer vermeintlich unzulässigen Übermittlung dieser personenbezogenen Daten in die USA erhalten.

Sollte ein solcher oder ähnlicher Fall auch in Ihrem Unternehmen aufgetreten sein: Rickert.law unterstützt Sie gerne als auf Datenschutz spezialisierte Kanzlei. Zögern Sie nicht, uns zu kontaktieren. Im Rahmen unserer Tätigkeit beraten wir Sie umfassend, damit Sie die Rechte der Betroffenen guten Gewissens ernst nehmen können und nicht Gefahr laufen, abgemahnt zu werden.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Sicherer Umgang mit KI im Unternehmensalltag

Sicherer Umgang mit künstlicher Intelligenz im Unternehmensalltag 

Was darf Ki im Unternehmen?

Einleitung

Wir haben in unserem ersten Artikel bereit einen kurzen Überblick darüber gegeben, was genau eigentlich unter Künstliche Intelligenzen (KI) verstanden wird und haben in diesem Rahmen die Verordnung zur Regulierung von KI den sogenannten Artificial Intelligence Act (AI Act) beleuchtet. 

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und Darstellen wie man KI im Unternehmen einsetzten kann. 

Künstliche Intelligenzen sind heute aus dem Unternehmensalltag nicht mehr wegzudenken. Sie ermöglichen Innovation, Effizienz und könnten europäischen Unternehmen einen Wettbewerbsvorteil verschaffen. Mit dem AI Act soll ein Regelwerk für den sicheren Umgang mit Künstlichen Intelligenzen in der Europäischen Union festgelegt werden (dazu haben wir bereits in unserem ersten Artikel Stellung genommen.). Adressaten dieses Gesetzes sind nicht nur die Entwickler von KI, sondern auch Unternehmen, die KI nutzen. Welche laut Lars Klingholz, Leiter Künstliche Intelligenz beim Digitalverband Bitcom, ein Großteil der europäischen Unternehmen sein. Der Verband begrüßt jedoch den AI Act und sieht ihn als Möglichkeit nachhaltig KI einzusetzen. 

Wie kann man Künstliche Intelligenzen im Unternehmen nutzen? 

Ob in Form eines Chatbot im Bereich des Kundenservice, zur Auswertung von Kundenbewertungen, in Gestalt von Robotern in der Fabrikation oder gar Tools zur Zusammenfassung von Kundengesprächen, die Einsatzmöglichkeiten von KI in Unternehmen sind vielfältig. 

KI ist in der Lage, ganze Aufgabenbereiche selbständig zu übernehmen und kann dabei helfen, neue Produkte und Dienstleistungen zu entwickeln, Vertriebswege zu optimieren und die Produktionsleistung zu steigern. Das Europäische Parlament hofft, dass dies zu einer positiven Entwicklung in Sektoren führen wird, die bereits in der Europäischen Union etabliert sind, wie Maschinenbau, Landwirtschaft, Gesundheitswesen oder auch Mode. 

Im Bereich Human Resources kann KI beispielsweise bei der Einstellung neuer Mitarbeiter:innen unterstützen, indem sie das gesamte Verfahren der Stellenausschreibung, der Durchführung des Bewerbungsgesprächs und der Auswahl der Teilnehmenden übernimmt. Einzig die Entscheidung, welcher Kandidat eingestellt wird, muss dann nur noch der Arbeitgebende treffen, da automatisierte Einzelentscheidungen nach Art. 22 DS-GVO verboten sind. 

Das Thema Videoüberwachung, insbesondere im Unternehmenskontext ist hingegen heikel und nicht selten mit Stolperfallen für den Arbeitgeber verbunden. Während bei Berufen mit hohem Berufsrisiko, beispielsweise bei der Polizei, KI zur Wahrung des persönlichen Schutzes verwendet wird, ist KI in anderen Bereichen in der Lage die Erstellung von Leistungs- und Bewegungsprofile der Mitarbeitenden zu ermöglichen. Dies stellt jedoch regelmäßig einen nicht notwendigen Eingriff in die Rechte und Freiheiten der Mitarbeitenden dar und soll daher künftig durch das neue Beschäftigtendatenschutzgesetz besser geregelt werden. 

Bei der Nutzung von KI am Arbeitsplatz kann sich auch ein Konflikt mit der Informationspflicht des Arbeitsgebers gegenüber den Arbeitnehmenden ergeben. Neben der Information darüber, dass mit KI gearbeitet wird, ist auch die Offenlegung des Aufbaus und die Funktionsweise des Algorithmus der KI nötig. Oftmals arbeiten Unternehmen jedoch mit KI-Anwendungen anderer Unternehmen, deren Algorithmus ein Geschäftsgeheimnis ist und haben daher selbst keine Kenntnis über die konkrete Funktionsweise der KI. Hieraus kann sich dann ein Informationsdefizit des Arbeitgebers gegenüber den Arbeitnehmenden ergeben. 

Künstliche Intelligenzen sind imstande, zahlreiche Aufgaben übernehmen. Wie sieht es mit den Arbeitsplätzen aus? 

Bei vielen Arbeitnehmenden besteht nach wie vor die Sorge aufgrund von KI ihren Arbeitsplatz zu verlieren. Künstliche Intelligenzen sind stetig in der Entwicklung und erweitern daher täglich ihr Wissen und ihre Fähigkeiten. Während einige Ökonomen dies für Berufe mit routinierten Tätigkeiten vorhersagen, sehen andere das Problem eher bei den fehlenden Investitionen in die Entwicklung von KI, insbesondere in Deutschland. Durch diesen Marktanteilverlust würden viel mehr Arbeitsplätze verloren gehen und nicht etwa durch die Übernahme von Tätigkeiten durch KI. Während in den USA allein im Jahr 2022 47,4 Mrd. US-Dollar in die Entwicklung Künstlicher Intelligenzen investiert wurde, gefolgt von China mit 13,4 Mrd. US-Dollar, waren es in Deutschland hingegen nur 2,4 Mrd. US-Dollar. Allerdings investierte auch kein anderer EU-Staat mehr.  

Welche konkreten Probleme ergeben sich beim Einsatz von KI im Unternehmensalltag? 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) kritisiert in einer Stellungnahme den Einsatz von generativer KI-Anwendungen durch Arbeitnehmende am Arbeitsplatz. Gerade durch die Integration generativer KI in alltäglich genutzte Anwendungen wie Textverarbeitungsprogrammen oder auch Suchmaschinen ist die Hürde für die Nutzung denkbar gering. Arbeitnehmende müssen sich dessen bewusst sein, dass sie auch hier die datenschutzrechtlichen Grundsätze beachten und insbesondere eine Rechtsgrundlage für die Verarbeitung haben müssen. Dabei sind insbesondere Arbeitgeber in der Pflicht, entsprechend zu schulen und ihre Beschäftigten für die Problematik zu sensibilisieren. Die Verwendung solcher Systeme führt zudem häufig zu einem Konflikt mit dem datenschutzrechtlichen Transparenzgebot. Es ist häufig kaum oder gar nicht zu erkennen aus welchem Datenpool die KI ihr Wissen bezieht. 

Ein Fall aus den USA zeigt, dass das Wissen der KI auch veraltet oder vielmehr noch die herausgegebenen Informationen falsch sein kann. Ein Anwalt aus den USA hatte mithilfe des Chatbots ChatGPT nach Präzedenzfällen im Zusammenhang mit Verjährungen gesucht. ChatGPT hatte ihm daraufhin falsche Fälle präsentiert. Die KI war in der Lage mithilfe ihres Wissens ganze Fallakten zu erfinden, welche wiederum Verweise auf weitere erfundene Gerichtsurteile enthielten. Das Gericht sah darin einen Täuschungsversuch, welcher gravierende Folgen für den Rechtsanwalt haben könnte.  

Kompliziert wird es also vor allem bei der Frage der Haftung. Ob Fehler auf Anwender- oder Programmfehler zurückzuführen sind, kann gegebenenfalls schwierig zu beweisen sein. Auch bei der Generierung von Bildern stellt sich die Frage, wem dieses gehört. Dem Unternehmen, dass die KI eingesetzt hat, dem Mitarbeiter, der die Daten in das System eingespeist hat oder doch dem Entwickler? 

Fazit und Ausblick 

KI im Unternehmen? Ja oder nein? 

Ob der Einsatz von KI-Anwendungen sinnvoll ist, hängt von dem Tätigkeitsbereich ab. Innerhalb der Produktion stellt die Verwendung von KI eher kein Problem dar. Auch für Recherchearbeiten oder im Bewerbungsverfahren kann KI eine Erleichterung darstellen, jedoch sollten die ausgegebenen Informationen anschließend kontrolliert werden.  

Bei der Bewertung des Einsatzes von KI muss jedoch klar differenziert werden, ob gerade personenbezogene Daten verwendet werden und basierend darauf abgewogen werden, ob eine Nutzung nicht mit einem zu hohen Risiko verbunden ist. Grundsätzlich können Künstliche Intelligenzen für Unternehmen ein großer Gewinn sein, die Anwendung ist jedoch mit Vorsicht zu genießen.  

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Regulierungen von Künstlicher Intelligenz – Was plant die EU?

Regulierung von Künstlicher Intelligenz - Was plant die EU?

Neue EU-Verordnung zur Regulierung von künstlicher intelligenz

Die Rechtslage bezüglich Künstlicher Intelligenz (KI) ist momentan noch undurchsichtig. Daher hat das EU-Parlament nach dem Vorschlag vom April 2021 nun eine Verordnung zur Regulierung von KI, den sogenannten Artificial Intelligence Act (AI Act), verabschiedet.  Ziel der Verordnung ist es, einheitliche Anforderungen für die Nutzung von KI-Anwendungen zu schaffen, die das Potential von künstlicher Intelligenz ausschöpfen und gleichzeitig den Schutz von Daten des Einzelnen gewährleisten. 

Doch was genau ist Künstliche Intelligenz und wie funktioniert sie? 

Unter dem Begriff “Künstlicher Intelligenz” versteht das Europäische Parlament die Fähigkeit einer Maschine, menschliche Fähigkeiten wie logisches Denken, Lernen, Planen und Kreativität zu imitieren. Sie kann z.B. aus früheren Handlungen lernen und so selbstständig ihr Verhalten anpassen. Gängige Beispiele für KI-Systeme sind persönliche digitale Assistenten auf Smartphone, Online-Shopping, Web-Suche und autonome Autos.  

Die konkreten Funktionsweisen sind jedoch unterschiedlich. Der Chatbot ChatGPT des Betreibers OpenAI beispielsweise beruht auf der Sprach-KI GPT-3, die zuerst gelernt hat, wie Sprache im Internet funktioniert. ChatGPT lernt neue Informationen sowohl unüberwacht und selbstständig als auch überwacht mithilfe von menschlichem Feedback. Grundsätzlich nutzt die KI maschinelles Lernen, um künstliche neuronale Netze zu bilden, die dem menschlichen Nervensystem ähneln. 

Welche Regulierungen von Künstlicher Intelligenz wird es geben? 

Mit dem AI Act hat die EU-Kommission ein Gesetz über Künstliche Intelligenz veröffentlicht. Er enthält konkrete Vorschläge zur Reglung im Umgang mit KI in der Forschung und Wirtschaft. 

Im Rahmen des AI Act erfolgt eine Einteilung der Anwendungen in die folgenden vier Risikoklassen: minimales, geringes, hohes und unannehmbares Risiko.  

Bei der letztgenannten Kategorie erfolgt ein Verbot ihrer Anwendung. KI, die die Sicherheit von Menschen gefährdet, z. B. Social Scoring-Systeme oder eine automatische Erkennung von Emotionen, werden als solche bezeichnet.  

Risikoreiche Anwendungen sollen mithilfe von Maßnahmen zur Risikominimierung reguliert werden, wie etwa der Einführung eines Risikomanagementsystems, der Veröffentlichung detaillierter Zusammenfassungen von Daten, die zu Trainingszwecken verwendet wurden und externen Audits. Für risikoärmer KI-Systeme sind bislang wenige bis gar keine Regulierungen geplant. 

Kritik an den Regulierungen 

Alleine die Einteilung in Risikoklassen scheint jedoch schon problematisch zu sein. Bei Multifunktions-KI (sog. generative KI), wie ChatGPT, fehlt es an der Zweckbestimmung, welche gerade das Maß an Regulierung bestimmen soll. Kritisch wird insbesondere gesehen, dass obwohl generative KI seit 2021 bereits existieren, die EU die weiten Anwendungsmöglichkeiten nicht bedacht habe. Es gibt Hinweise darauf, dass geplant ist, solche als Hochrisiko KI einzustufen, was bedeutet, dass diese von hohen Regulierungen betroffen sein könnten. 

Allerdings gibt es auch einige Stimmen, die das Ausmaß der geplanten Regulierungen kritisch sehen. Während sie einerseits in den niedrigen Risikoklassen als nicht weitreichend genug empfunden werden, wird besonders im Wirtschaftssektor angemerkt, dass eine solche Überregulierung europäischen Anbietern im internationalen Konkurrenzkampf schadet und zur Abwanderung in Regionen mit weniger Regulierungen für KI, führt. Vor allem kleinere Unternehmen und Startups würden durch die Umsetzung vor finanzielle Herausforderungen gestellt. 

Was bedeutet das für die Zukunft von Künstlicher Intelligenz in Europa?

In vielen EU-Staaten wurden die Stimmen gerade in Bezug auf generative KI lauter, und einige haben bereits Untersuchungen wegen datenschutzrechtlicher Bedenken eingeleitet. In Italien beispielsweise war der Chatbot gesperrt, bis der Betreiber eine Altersverifizierung und die Möglichkeit einführte, gegen der Datennutzung zu widersprechen. OpenAI Gründer Sam Altman sieht zwar die Notwendigkeit einer Regulierung von KI, hat jedoch bereits angekündigt, sich aus Europa zurückzuziehen, wenn die Regelungen des AI Acts in der Form umgesetzt werden sollten. 

Der AI Act muss nun in einem Trilog zwischen der EU-Kommission und den Mitgliedsstaaten abgestimmt werden, bevor er voraussichtlich im Jahr 2026 in Kraft treten könnte. Ob der Spagat zwischen Regulierung zum Schutz persönlicher Daten vor Missbrauch und technischem Fortschritt gelingen wird, bleibt abzuwarten. 

Wir zeigen Ihnen im zweiten Teil des Artikels die konkreten Einsatzmöglichkeiten von KI und deren Voraussetzungen im Unternehmen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der European Data Governance Act

Der European Data Governance Act 

Neue Regelungen Zur Vereinfachung des Datenaustasches und der Datenverwendung

Einleitung

Der Data-Governance-Act („DGA“) ist eine Verordnung der Europäischen Union (Verordnung (EU) 2022/686), welche am 3. Juli 2022 veröffentlicht wurde und nun dieses Jahr am 24. September in Kraft tritt. Es handelt sich um eine Verordnung zur Datenverwaltung, die eine bessere gemeinsame Nutzung von Daten zwischen den Mitgliedstaaten der EU ermöglichen soll. Als Verordnung gilt der DGA unmittelbar in allen Europäischen Mitgliedstaaten und bedarf keiner Umsetzung durch nationales Recht.

Der DGA gilt als wichtiger Eckpfeiler der europäischen Datenstrategie. In dem folgenden Beitrag soll der DGA mit seinen Inhalten und Zielen vorgestellt und die Anwendung in der Praxis erläutert werden.

Wozu ist eine solche Verordnung notwendig und welches Ziel verfolgt sie?

Daten spielen in der heutigen digitalisierten Welt eine herausragende Rolle: gerade bei aktuellen Themen wie der Bewältigung der Klimakrise, der Mobilitätswende, der digitalen Vernetzung oder der Digitalisierung der Verwaltung spielt die Verfügbarkeit und der Austausch von Daten eine zentrale Rolle. In nahezu jedem Wirtschaftssektor ist die Verwendung und der Austausch von personenbezogenen und nicht personenbezogenen Daten von zentraler Bedeutung. Gerade dies soll durch den DGA realisiert und erleichtert werden.

Derzeit gestaltet sich ein funktionierender und effizienter Datenaustausch innerhalb der EU aufgrund vieler Faktoren schwierig. Durch ein fehlendes einheitliches System mangelt es beispielsweise bei Unternehmen an Vertrauen in einen sicheren Datenaustausch, die Frage der Datenweiterleitung ist aufgrund verschiedener landeseigener Regelungen undurchsichtig und auch technische Hindernisse bestehen. Die Datenschutzgrundverordnung („DSGVO“) kann hierbei nicht Abhilfe schaffen und stellt kein einheitliches System dar, da sie nur den europaweit einheitlichen Umgang mit personenbezogenen Daten regelt, aber gerade nicht einen sicheren Austausch und die Weiterverwendung von Daten durch Unternehmen oder Private regelt. Diese Faktoren sollen durch den DGA beseitigt werden, indem ein einheitliches, sicheres System für eine Datenübermittlung und den Datenaustausch geschaffen wird.

Die Verordnung ist Teil der europäischen Datenstrategie und soll einen grundlegenden rechtlichen Rahmen für die gemeinsame Nutzung von Daten schaffen. Sie verfolgt das Ziel, das Vertrauen in die gemeinsame Nutzung von Daten zu stärken, die Datenverfügbarkeit durch gewisse Mechanismen zu erhöhen und derzeitige technische Schwierigkeiten bei der Weiterleitung und -verarbeitung von Daten zwischen den Mitgliedstaaten der EU zum Vorteil des europäischen Binnenmarktes zu beseitigen. Als ein sektorübergreifendes Instrument regelt die Verordnung die Weiterleitung von gespeicherten, geschützten Daten.

Konkret wird der DGA für die Einrichtung und Entwicklung gemeinsamer Datenräume der Mitgliedstaaten relevant, an denen private und öffentliche Akteure teilhaben sollen. So soll ein effizienter und schneller Datenaustausch zwischen den Mitgliedstaaten und den Sektoren der EU ermöglicht werden. Gerade in den Bereichen Gesundheitswesen, Landwirtschaft, Umwelt, Energie, Finanzen und der öffentlichen Verwaltung wird ein effizienter Datenaustausch und -abgleich zur Digitalisierung und Erleichterung des Austausches der Mitgliedländer beitragen, sodass Fortschritt und Weiterentwicklung länderübergreifend gelingen können. In den noch zu schaffenden Datenräumen werden sodann beispielsweise Gesundheitsdaten, Umwelt- und Agrardaten gesammelt, damit private und öffentliche Akteure auf diese zugreifen können und zum Beispiel für die Entwicklung ihrer Produkte oder die Entwicklung einer künstlichen Intelligenz verwenden können.

Doch wie sieht die Umsetzung dieser Ziele aus?

Um die grundsätzlich schon vorhandene Menge an Daten in der EU und deren Potenzial nutzen zu können, soll das Vertrauen in das Teilen und Zurverfügungstellen von Daten gestärkt werden. Derzeit befürchten viele Unternehmen, dass die Weitergabe ihrer Daten mit einem Verlust an Wettbewerbsfähigkeit einhergeht und die Offenlegung von Daten ein Missbrauchsrisiko darstellt. Der DGA benennt unter anderem eine Reihe von Regeln für Anbieter von Datenvermittlungsdiensten, damit diese als vertrauenswürdige Organisatoren den Datenaustausch abwickeln. Der DGA sieht mehrere Säulen zur Umsetzung vor:

 

Technische Voraussetzungen:

Zunächst sollen die Mitgliedstaaten technisch passend ausgestatten sein, damit die Privatsphäre und Vertraulichkeit der Daten sichergestellt werden kann.

Möglichkeit der Datenspende:

Gerade um eine Vielfalt von Daten für Wirtschaft, Forschung und Gesundheit nutzen zu können, müssen erst einmal auch Datenmenge vorliegen. Als ein Instrument wird die Datenspende vorgesehen, die es Unternehmen und auch öffentlichen Stellen ermöglicht, Daten freiwillig zur Verfügung zu stellen (sog. Datenaltruismus).

Daneben sind Maßnahmen normiert, die es Bürgern und Unternehmen ermöglichen, ihre Daten zum Nutzen der Allgemeinheit in dem geschaffenen System zur Verfügung zu stellen, sowie Maßnahmen zur Erleichterung des Datenaustauschs, insbesondere zur Ermöglichung der grenzübergreifenden Nutzung von Daten und zur Auffindung der richtigen Daten für den richtigen Zweck.

Erleichterungen bei der Weiterverarbeitung:

Sodann sieht der Data Governance Act einen Mechanismus zur Erleichterung der Weiterverarbeitung bestimmter Daten des öffentlichen Sektors vor, die nicht als offene Daten zur Verfügung gestellt werden können.

Vertrauenswürdigkeit:

Des Weiteren enthält die Verordnung Maßnahmen, mit denen sichergestellt wird, dass Datenintermediäre (Datenvermittlungsdienste) als vertrauenswürdige Organisatoren des Datenaustauschs oder der Datenbündelung innerhalb der gemeinsamen europäischen Datenräume fungieren. Dadurch soll ein sicheres Datensystem entstehen, wodurch mehr Daten offengelegt werden, sodass die Datenverfügbarkeit gesteigert wird.

Zusammenarbeit öffentlicher Stellen und Verwender:

Weiterhin sollen öffentliche Stellen und Verwender der Daten eng zusammenarbeiten, damit eine problemlose Verwendung und Nutzung gegen Entgelt und Weiterverarbeitung der Daten gewährleistet werden. Kann eine öffentliche Stelle zum Bespiel keinen Zugang zu gewissen Daten zur Weiterleitung gewähren, so soll sie dem potenziellen Verwender dabei helfen, die Zustimmung der betroffenen Person zur Weiterverarbeitung einzuholen.

Wichtig ist zu betonen, dass die Datenintermediäre als neutrale Dritte fungieren, die Einzelpersonen und Unternehmen auf der einen Seite mit Datennutzern auf der anderen Seite verbinden. Datenintermediäre können die Daten nicht monetarisieren und müssen durchgehend gewissen Anforderungen erfüllen, um eine Neutralität zu gewährleisten und Interessenskonflikte vorzubeugen. Ebenfalls wichtig ist, dass durch den DGA die öffentlichen Stellen nicht verpflichtet werden können, eine Erlaubnis in die Weiterverarbeitung ihrer Daten zwangsweise zu erteilen.

Durch diese verschiedenen Säulen und Maßnahmen lässt sich ein Teil der europäischen Datenstrategie umsetzen. Diese beinhaltet die sog. „FAIR-Datengrundsätze“:

F – Findability (Auffindbarkeit)
A – Accessibility (Zugänglichkeit)
I – Interoperability (Interoperabilität)
R – Reusability (Weiterverwendbarkeit)

 

Fazit und Ausblick

Der DGA sieht mit seinen Regelungsgegenständen eine weitreichende, effiziente und mitgliedstaatenübergreifende Nutzung von Daten vor. Eine solche sektorübergreifende und gezielte Förderung des Austausches und der Weiterverwendung von Daten könnte nicht nur insbesondere in der Forschung ein Vorankommen bedeuten, sondern auch kleinere Unternehmen der Mitgliedstaaten könnten signifikant durch den Datengewinn profitieren. Sei es, dass die bereitgestellten Daten die Produktentwicklung vorantreiben oder den Marktzugang erleichtern.

Der DGA ist jedoch nur ein Rechtsrahmen, er gibt ein rechtliches System als Rahmenbedingung vor, beinhaltet aber keine konkrete Pflicht zur Nutzung der neu erschaffenen Möglichkeiten in den Mitgliedstaaten. Es besteht somit keine Verpflichtung zur öffentlichen Bereitstellung von Daten. Auch sind keine Bußgelder oder ähnliche Sanktionen vorgesehen, sodass es fraglich ist, ob der Verordnung eine breite praktische Relevanz zukommen wird.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Neuer US-Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und der USA

Trans-Atlantic Data Privacy Framework

Neuer US-Angemessenheitsbeschluss für den Datenverkehr zwischen der EU und der USA

Trans-Atlantic Data Privacy Framework

Trotz Kritiken am Data Privacy Framework – die EU Kommission erklärt die USA als sicheres Drittland

Einleitung

 

Die Europäische Kommission hat am 10. Juli 2023 den neuen AngemessenheitsbeschlusTrans-Atlantic Data Privacy Framework für den Datenschutzrahmen EU-USA angenommen.

Die Europäische Kommission hat beschlossen, dass es sich bei den Vereinigten Staaten um ein Drittland mit gleichwertigem Schutzniveau für personenbezogene Daten, vergleichbar mit dem der EU, handelt und damit weitere Schutzmaßnahmen bei der Datenübermittlung entfallen, wenn das jeweilige US-Unternehmen sich dem Datenschutzrahmen anschließt, mithin die Einhaltung der Datenschutzpflichten gewährleistet. Laut Kommissionspräsidentin Ursula von der Leyen führe das auf beiden Seiten zu mehr Rechtssicherheit.

Was ist neu?

Der Zugang der US-Nachrichtendienste auf EU-Daten bleibe dabei, laut Kommission, auf ein notwendiges und verhältnismäßiges Maß beschränkt. Was darunter zu verstehen ist, wird nicht konkretisiert. Als Rechtsbehelfe bzw. überprüfende Stellen bei nicht ordnungsgemäßer Behandlung der Daten durch US-Unternehmen sind ein Civil Liberties Protecition Officer (CLPO) und ein Gericht zur Datenschutzüberprüfung (Data Protection Review Court, DPRC) vorgesehen, an die Einzelpersonen sich wenden können. Das Gericht soll feststellen, ob bei der Datenerhebung gegen Garantien verstoßen wurde und kann die Löschung der Daten anordnen. Ob Verstöße festgestellt wurden und Abhilfemaßnahmen getroffen wurden, wird dem Beschwerdeführer nicht mitgeteilt.

US-Unternehmen können sich dem Data Privacy Framework anschließen, indem sie sich verpflichten, bestimmte Datenschutzgrundsätze zu wahren, wie beispielweise die Löschung personenbezogener Daten bei Wegfall des Zwecks der Erhebung. Auf der Website der US International Trade Administration, US Department of Commerce (www.dataprivacyframework.gov/s/data-protection-authorities), kann eingesehen werden, welche Unternehmen sich dem Data Privacy Framework unterworfen haben.

Die Webseite befindet sich zum Zeitpunkt der Veröffentlichung noch teilweise im Aufbau und noch sind keine zertifizierten US-Unternehmen veröffentlicht. Wie schnell der Zertifizierungsprozess vonstattengeht, wird sich in den nächsten Wochen zeigen und ob bereits dann erste US-Unternehmen in der Zertifizierten-Liste veröffentlicht sind.

Bedeutung für europäische Unternehmen

Für europäische Unternehmen bedeutet der US-Angemessenheitsbeschluss, dass keine zusätzlichen Standardvertragsklauseln mehr nötig wären, sofern sie unter dem US-Angemessenheitsbeschluss zertifizierte US-Unternehmen als Dienstleister verwenden. In praktischer Hinsicht bedeutet das eine Erweiterung der Auswahl an (zertifizierten) Dienstleistern und die Vereinfachung von Vertragsverhandlungen.

Kritik und Ausblicke

Die Nichtregierungsorganisation None of Your Business („NOYB“) kündigte bereits an schon Verfahrensoptionen vorbereitet zu haben. Der Vorsitzende Max Schrems, österreichischer Jurist und Datenschutzaktivist sowie Anlassgeber der Schrems I und Schrems II Urteile, kritisiert den Angemessenheitsbeschluss und bezeichnet ihn als Kopie des „Privacy Shields“ und „Safe Harbour“ – die vorangegangenen und durch den EuGH aufgehobenen US-Angemessenheitsentscheidungen aus 2015 und 2020.

Er wirft der Europäischen Kommission vor, keine substanziellen Änderungen zu beabsichtigen, sondern basierend auf kurzfristigem politischem Denken zu handeln und damit zum dritten Mal die Urteile des Europäischen Gerichtshof (EuGH) zu ignorieren. Auch hat der EuGH das Massenüberwachungssystem der USA (FISA 702) als nicht verhältnismäßig und als Verstoß gegen die EU-Grundrechtscharta erklärt. Wenngleich die neue Executive Order 14086, die Grundvoraussetzung für den Angemessenheitsbeschluss war, nunmehr eine Verhältnismäßigkeit fordert, so ist zu befürchten, dass aufgrund einer fehlenden gemeinsamen Definition abweichende Verständnisse des Begriffes Verhältnismäßigkeit von EU und USA vorliegen werden, die zu abweichenden Bewertungen einzelner Maßnahmen, auch im Lichte der EuGH-Rechtsprechung, führen werden.

Bei einer erfolgreichen Anfechtung könnte der EuGH das Abkommen während des gesamten Verfahrens aussetzen. Mit einer endgültigen Entscheidung kann dann erst 2024 oder 2025 gerechnet werden.

Empfehlungen für europäische Unternehmen

Bis auf weiteres sollten Standardvertragsklauseln mit US-Unternehmen beibehalten werden, soweit diese nicht zertifiziert sind. Jedoch können Datenschutzerklärungen dahingehend angepasst werden, dass der Abschnitt über die Vereinigten Staaten als unsicheres Drittland entfernt werden kann. Ein Hinweis auf die Standardvertragsklausel sollte jedoch bis zur Zertifizierung des Dienstleisters erhalten bleiben. Sollte der Angemessenheitsbeschluss nach Ankündigung der Organisation „NOYB“ erneut vor dem EuGH landen und dann für unzureichend erklärt werden, hätte dies wieder zur Folge, dass personenbezogen Daten in unzulässigerweise an US-Dienstleister übermittelt wurden. Deshalb ist es ratsam, bis zur endgültigen Klärung beim EuGH weiterhin Standardvertragsklauseln für die Datenübermittlung zu verwenden.

 

Frühere Artikel zu diesem Thema finden Sie hier:

Der EDSA und das Trans-Atlantic Data Privacy Framework (Teil 1)

Der EDSA und das Trans-Atlantic Data Privacy Framework (Teil 2)

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der EDSA und das Trans-Atlantic Data Privacy Framework (2)

Trans-Atlantic Data Privacy Framework

Der EDSA und das Trans-Atlantic Data Privacy Framework (2)

Trans-Atlantic Data Privacy Framework

Kann auf Basis der derzeitigen Data Privacy Framework Prinzipien eine Angemessenheitsentscheidung ergehen?

Einleitung

In unserem ersten Artikel der kurzen Beitragsreihe vom 29.03.2023 sind wir bereits auf die Kritikpunkte des Europäischen Datenschutzausschusses („EDSA“) am Entwurf des Angemessenheitsbeschlusses („Data Privacy Framework“) eingegangen.

Im Nachfolgenden möchten wir noch tiefer ins Detail gehen und weitere aufgekommene Kritiken anderer Stellen vorstellen.

Kurzer Rückblick: was ist und soll das Data Privacy Framework?

Grundsätzlich sieht das Data Privacy Framework („DPF“) eine Vielzahl von Grundsätzen und Regeln vor, um ein angemessenes Datenschutzniveau bei der Übermittlung von personenbezogen Daten zu gewährleisten. Die neuen Grundsätze sind, ebenso wie die vorherigen Safe Harbor Prinzipien und die Privacy Shield Prinzipien, an der Datenschutz-Grundverordnung orientiert und sollen ein mit der EU vergleichbares Datenschutzniveau herstellen.

Die Grundsätze wurden in Absprache von der Europäischen Kommission, der Industrie und anderen Interessengruppen entwickelt und werden als die „Schlüsselkomponente“ („key component“) des DPF beschrieben.

Sie sollen einerseits einen „praktischen Regelungsmechanismus“ („ready-to-use mechanism“) für die Datenübermittlungen aus der EU an die USA bieten, andererseits sollen die so übermittelten personenbezogene Daten gemäß EU-Rechtsvorschriften gesichert und geschützt werden. Man könnte also sagen, dass es sich bei den Grundsätzen um eine „light“-Version der Rechte und Pflichten der DS-GVO handelt.

An den Grundsätzen gibt es jedoch durchaus berechtigte Kritik, vor allem von Seiten des EDSA sowie von Mitgliedern des Europäischen Parlaments (MdEPs).

Wenngleich der EDSA die zahlreichen Aktualisierungen der Grundsätze für die Verarbeitung personenbezogener Daten begrüßt, so stellt er doch auch fest, dass eine Reihe von Grundsätzen im Wesentlichen die gleichen geblieben sind wie sie es bereits bei Safe Harbor und dem Privacy Shield waren (Article 29 Working Party, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision).

Aus diesem Grund bleiben auch weiterhin einige Kritikpunkte bestehen, die bereits bei Safe Harbor und Privacy Shield bestanden, wie z.B. die Ausnahmen vom Auskunftsrecht, das Fehlen von Schlüsseldefinitionen oder die mangelnde Klarheit darüber, wie die Grundsätze auf Auftragsverarbeiter anzuwenden sind.

Darüber hinaus fordert der EDSA die Kommission direkt auf, konkreter zu werden. Es soll unter anderem eine klare Begrenzung für Ausnahmen von der Pflicht zur Einhaltung der Grundsätze geben.

Weiterhin wird in der Stellungnahme auch betont, wie wichtig eine wirksame Aufsicht und Durchsetzung des Datenschutzschildes in den USA ist.

Auch kündigt der EDSA an, die Wirksamkeit der neu geschaffenen Rechtsbehelfe, die den betroffenen Personen zur Verfügung stehen, genau beobachten zu wollen.

Gleichzeitig bringt der EDSA auch eine gewisse Besorgnis zum Ausdruck, unter anderem über die mögliche Massenerfassung von Daten oder über die mangelnde Überwachung, wenn es um die Frage der Einhaltung der Anforderungen der DSGVO gehe.

Insgesamt sieht der EDSA aber noch Klärungsbedarf vor allem, was die praktische Umsetzung angeht.

Dieser durchaus kritischen Haltung haben sich nun auch die MdEP in ihrer im April erschienenen Stellungnahme (s. Pressemitteilung vom 13.04.2023 und Resolution vom 11.05.2023) angeschlossen. Sie teilten ebenfalls die Ansicht, dass das vorgeschlagene DPF zwar eine Verbesserung im Vergleich zu den früheren Mechanismen darstelle, aber nicht ausreicht, um eine Angemessenheitsentscheidung für die Übermittlung personenbezogener Daten zu rechtfertigen.

Sie haben mit ihren Äußerungen klar zum Ausdruck gebracht, dass die Europäische Kommission den USA auf dieser Basis keinen Angemessenheitsbeschluss erlassen solle.

Wie der EDSA weisen auch die MdEP darauf hin, dass die neue Verordnung keine ausreichenden Garantien für eine Übermittlung bietet.

Die Mitglieder schließen sich im Wesentlichen den bereits von der EDSA vorgetragenen Kritikpunkten an, wie der bestehenden Möglichkeit der massenhaften Sammlung personenbezogener Daten, der Möglichkeit des Zugriffs von US-Behörden auf personenbezogene Daten von EU-Bürgern oder dem Umstand, dass die Entscheidungen des mit der US Executive Order (14086) geschaffenen Gerichts für den Betroffenen oberflächlich und intransparent bleiben und somit das Recht auf Auskunft und Berichtigung verletzen.

Die MdEP empfehlen eine Rahmenregelung zu finden, die den rechtsicheren Datentransfer zwischen der EU und den USA gewährleistet. Insbesondere solle mehr Rechtssicherheit statt mehr Rechtsunsicherheit geschaffen werden. Ein auf wackligen Beinen aufgestelltes DPF würde Gefahr laufen, das Schicksal seiner Vorgänger zu erleiden.  

Auch nach Ansicht von NOYB („None Of Your Business“), dem Europäischen Zentrum für digitale Rechte, würde ein Angemessenheitsbeschluss in seiner jetzigen Form einer Überprüfung durch den EuGH nicht standhalten. Damit würde der Kreislauf der Verhandlungen über einen sicheren Datentransfer zwischen der EU und den USA erneut in Gang gesetzt.

Fazit

Somit bleibt die Frage offen, ob die Europäische Kommission die Angemessenheitsentscheidung für Datenübermittlungen auf der Grundlage des derzeitig in seiner gültigen Fassung vorliegenden DPF trotz der Kritiken von EDSA und MdEP erlassen wird.

Sofern der Angemessenheitsbeschluss ergeht, können sich die europäischen Unternehmen jedoch auf diesen berufen, um Daten in die USA zu übermitteln und dies ohne zusätzliche Datenschutzgarantien einführen zu müssen.

Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten.

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!