Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. Viel Spaß beim Lesen!

1. Zulässigkeit von Cheat-Software: Vorlage des BGH an den EuGH 

2. Cookie-Banner: Welche rechtlichen Anforderungen gibt es? 

3. HGB: Anforderungen an einen Verzicht auf den Einwand der verspäteten Mängelrüge

4. EuGH: Auskunftspflicht bezieht sich auf konkrete Identität von Empfängern

5. Künstliche Intelligenz: Kann Chat GPT Urteile vorhersagen?

6. EuGH zu Bonitätsauskünften: Scoring-Praxis datenschutzrechtlich unzulässig?

1. Zulässigkeit von Cheat-Software: Vorlage des BGH an den EuGH 

Der 23. Februar 2023 wurde in der Gaming-Szene mit Spannung erwartet. Der BGH (Beschluss vom 23. Februar 2023 - I ZR 157/21) hatte über die urheberrechtliche Zulässigkeit des Vertriebs von Cheat-Software zu entscheiden. Dieser hat dabei, wie erwartet, das Verfahren ausgesetzt und dem EuGH zwei Fragen im Wege eines Vorabentscheidungsverfahrens vorgelegt. 

Was ist eigentlich eine Cheat-Software?

Der Einsatz von Cheat-Software ist im Gaming-Bereich verbreitet. Dessen Zulässigkeit wird jedoch kontrovers diskutiert. Der BGH hat in der Vergangenheit bereits entschieden, dass das Anbieten von Cheat-Software für „Massively Multiplayer Online“-Games (MMO) gegen das UWG verstoßen kann (BGH, Urteil vom 12.01.2017 - I ZR 253/14). Unter einer Cheat-Software versteht man dabei eine Software, die es Nutzern ermöglicht, im eigentlichen Videospiel Vorteile zu genießen, die das Videospiel sonst nicht vorsieht, z.B. das Fliegen mit einem Auto in einem Rennspiel oder die Unverwundbarkeit des Spielcharakters. Es gibt eine Vielzahl von verschieden Cheat-Softwares (auch mehrere für dasselbe Videospiel), die sich in der technischen Funktionsweise (also der Art und Weise des Eingriffs in bzw. des Zugriffs auf das Videospiel) erheblich unterscheiden. Die Identifizierung der technischen Funktionsweise spielt dabei aber für die rechtliche Bewertung eine entscheidende Rolle.

Im vorliegenden Verfahren änderte die Cheat-Software die Spielinhalte, indem sie auf Daten Zugriff, die das Videospiel im Arbeitsspeicher der Spielkonsole abgelegt hatte. Es geht also um die Frage, ob hierdurch ein urheberrechtlich relevanter Eingriff in den Schutzbereich eines Computerprogramms bzw. die urheberrechtlich relevante Umarbeitung eines Computerprogramms vorliegt.

Unterschiedliche Beurteilung durch die Vorinstanzen

Verkürzt und vereinfacht lässt sich festhalten, dass die Vorinstanzen diese Fragen unterschiedlich beurteilt haben. Während das Landgericht Hamburg (Urteil vom 24. Januar 2012 - 310 O 199/10) eine Urheberrechtsverletzung durch Umarbeitung des Videospiels durch Veränderung von Daten im Arbeitsspeicher annahm, vertrat die Berufungsinstanz, das Oberlandesgericht Hamburg (Urteil vom 7. Oktober 2021 - 5 U 23/12), eine gegenteilige Position. Es sieht in der Änderung von Daten im Arbeitsspeicher keinen Eingriff in den Quellcode bzw. die innere Struktur der Videospielsoftware, sondern lediglich einen Eingriff in den Ablauf des Videospiels, vor dem aber nicht durch § 69a UrhG bzw. § 69c UrhG geschützt wird. 

Was sagt der BGH?

Die streitgegenständlichen relevanten Normen beruhen auf der Richtlinie 2009/24/EG. Aus diesem Grund hat der BGH das Verfahren ausgesetzt und dem EuGH zur Klärung der Reichweite und Auslegung der Begriffe folgende Fragen gestellt:

„1. Wird in den Schutzbereich eines Computerprogramms nach Art. 1 Abs. 1 bis 3 der Richtlinie 2009/24/EG eingegriffen, wenn nicht der Objekt- oder Quellcode eines Computerprogramms oder dessen Vervielfältigung verändert wird, sondern ein gleichzeitig mit dem geschützten Computerprogramm ablaufendes anderes Programm den Inhalt von Variablen verändert, die das geschützte Computerprogramm im Arbeitsspeicher angelegt hat und im Ablauf des Programms verwendet?

2. Liegt eine Umarbeitung im Sinne von Art. 4 Abs. 1 Buchst. b der Richtlinie 2009/24/EG vor, wenn nicht der Objekt- oder Quellcode eines Computerprogramms oder dessen Vervielfältigung verändert wird, sondern ein gleichzeitig mit dem geschützten Computerprogramm ablaufendes anderes Programm den Inhalt von Variablen verändert, die das geschützte Computerprogramm im Arbeitsspeicher angelegt hat und im Ablauf des Programms verwendet?“ 

Ausblick

Damit wird die Gaming-Szene weiterhin auf eine Klärung des seit über zehn Jahren andauernden Rechtsstreits warten müssen. Angesichts der Vielzahl von Cheat-Software im Umlauf ist nicht ausgeschlossen, dass es hierzu je nach Ausgang des Verfahrens zu weiteren Rechtsstreitigkeiten kommen wird. Interessierte finden im Zusammenhang mit Cheat-Software und Anti-Cheat-Maßnahmen hier und hier (SpoPrax 2022, 419) weitergehenden Lesestoff.

Christian Saßenbach

Zurück

2. Cookie-Banner: Welche rechtlichen Anforderungen gibt es? 

Wie ist eigentlich der aktuelle Stand bei Cookies auf der eigenen Webseite? Wann muss eine Einwilligung des Nutzers eingeholt werden und wie genau funktioniert das?

Die Frage, wie Cookies und vergleichbare Technologien auf der Webseite eingebunden werden können und welche rechtlichen Anforderungen hierfür gelten, beschäftigt die Unternehmen seit längerer Zeit. Bei jedem Aufruf einer Webseite kommt man zwangsläufig in Berührung mit Cookie Bannern, Einwilligungserklärungen und mehr oder weniger eindeutigen Möglichkeiten, die Einwilligung abzulehnen. Aber was gilt rechtlich aktuell?

Die deutsche Datenschutzkonferenz (DSK) gibt mit ihrer im Dezember 2022 aktualisierten Orientierungshilfe für Telemedien (erstmalige Veröffentlichung in 2019) Empfehlungen für die Gestaltung der Webseite. Die kürzliche Aktualisierung basiert insbesondere auf den neuen Regelungen aus dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) und auf einem öffentlichen Konsultationsverfahren, das die DSK durchgeführt und auf diese Weise Stellungnahmen von VertreterIinnen aus Politik, Wirtschaft, Wissenschaft, Gesellschaft und Verwaltung zu diesem Thema berücksichtigt hat.

Welche Auswirkungen hat das TTDSG auf den Betrieb der Webseite?

Nach § 25 Abs. 1 TTDSG ist eine Einwilligung für das Speichern von Informationen oder den Zugriff auf bereits gespeicherte Informationen auf Endgeräten erforderlich. Das Speichern von Informationen auf dem Endgerät betrifft vornehmlich Cookies und ähnliche Technologien wie Local Storage oder Session Storage, bei denen Datenpakete bei der Nutzung einer Webseite auf dem jeweiligen Endgerät zwischengespeichert werden (z.B. zu Analyse-Zwecken). Es ist hierbei unerheblich, ob es sich bei den Informationen um personenbezogene Daten handelt. Laut Gesetz darf die Einwilligung nur auf Grundlage von klaren und umfassenden Informationen abgegeben werden. Die Einholung der Einwilligung muss dabei den Grundsätzen der DSGVO entsprechen. Eine Einwilligung ist nach § 25 Abs. 1 Satz 2 TTDSG jedoch dann entbehrlich, wenn die Speicherung und das Auslesen der Daten dem alleinigen Zweck der Datenübertragung dienen, die Informationen für den vom Nutzer gewünschten Dienst „unbedingt erforderlich“ sind. 

Damit folgen aus dem TTDSG keine wesentlichen Neuerungen für den Webseitenbetreiber. Für die Verwendung von Cookies, die nicht zwingend für den Betrieb der Webseite erforderlich ist, ist eine vorherige Einwilligung des Nutzers einzuholen. Dagegen besteht im Einzelfall Anpassungsbedarf für die Datenschutzhinweise, die u. a. die Verarbeitungen mithilfe der Cookies näher beschreiben, da mit dem TTDSG eine neue Rechtsgrundlage für die Verarbeitung von Endgeräteinformationen geschaffen wurde. Über die konkrete Anwendbarkeit dieser Rechtsgrundlage ist ab sofort ebenfalls in den Datenschutzhinweisen zu informieren.

Welche neuen Erkenntnisse bringt die Aktualisierung der Orientierungshilfe mit sich?

Neben den Auswirkungen des TTDSG haben die Behörden weitere punktuelle Ergänzungen und Konkretisierungen hinsichtlich des Einsatzes von Cookies vorgenommen:

Verarbeitungen des Nutzerverhaltens auf der Webseite zum Zweck der „Reichweitenmessung“ bzw. Analyse soll nach Ansicht der Behörden in der Regel nur nach vorheriger Einwilligung möglich sein. Im Einzelfall soll jedoch dann keine Einwilligung des Nutzers notwendig sein, wenn der Einsatz bestimmter Analyse-Cookies zur „fehlerfreien Auslieferung der Webseite“ erforderlich ist. Darüber hinaus haben die Behörden ihre Ansicht zur Gestaltung des Cookie-Banners dahingehend konkretisiert, dass eine Ablehnoption auf der ersten Ebene des Banners vorgehalten werden muss, wenn der Nutzer auf der ersten Ebene auch die Einwilligung abgegeben kann

Welche Anforderungen bestehen aktuell für das Einbinden von Cookies?

Unter Berücksichtigung der aktualisierten Orientierungshilfe, müssen nach Ansicht der Behörden folgende Anforderungen erfüllt sein, um zulässig unter Verwendung von Cookies Einsicht in das persönliche Nutzerverhalten zu erhalten und die Informationen und Daten zu eigenen Zwecken zu verwenden:

• Bevor Cookies verwendet werden, die nicht technisch erforderlich für den Betrieb der Webseite bzw. den konkreten Dienst ist, ist eine ausdrückliche Einwilligung des Nutzers einzuholen.
• Der Nutzer ist vor der Abgabe der Einwilligung umfänglich zu informieren (z.B. durch den Cookie-Banner und den Datenschutzhinweisen auf der Webseite).
• Die Einwilligung muss vom Nutzer freiwillig durch eine unmissverständliche und eindeutige Handlung abgegeben werden.
• Es ist zulässig, die Einwilligung in Bezug auf einzelne Kategorien (Analyse, Marketing, etc.) einzuholen.
• Wenn der Cookie-Banner auf der ersten Ebene die Möglichkeit der Abgabe der Einwilligung bietet, muss es auf dieser ebenfalls möglich sein, die Einwilligung abzulehnen.
• Der Cookie-Banner darf in Bezug auf die Farben und Anordnung nicht so gestaltet werden, dass der Nutzer zur Abgabe der Einwilligung beeinflusst wird.
• Der Widerruf der Einwilligung muss jederzeit und einfach für den Nutzer möglich sein.

Soweit die oben beschriebenen Anforderungen auf der Webseite nicht eingehalten werden, drohen behördliche Abhilfemaßnahmen und ggf. Bußgelder für die Betreiber der Webseite. Auch wenn die von den Behörden veröffentlichte Orientierungshilfe bei wesentlichen Themen konkrete Empfehlungen beinhaltet, bleiben bestimmte Einzelfragen in der Praxis offen. Es ist in jedem Fall empfehlenswert, die eigene Webseite samt den verwendeten Cookies unter Berücksichtigung der Orientierungshilfe der Datenschutzbehörden zu prüfen. 

Partrick Schwarze

Zurück

3. HGB: Anforderungen an einen Verzicht auf den Einwand der verspäteten Mängelrüge

Der Bundesgerichtshof (Az. VIII ZR 383/20) hat entschieden, dass ein Verkäufer im B2B-Bereich jederzeit und auch stillschweigend auf die Rechtsfolgen aus § 377 Abs. 2, 3 HGB verzichten kann. Ein derartiger Verzicht setzt jedoch voraus, dass eindeutige Anhaltspunkte für die Aufgabe des Verspätungseinwandes vorliegen, die der Käufer auch als solche verstehen darf. 

Sachverhalt

Ein Kaufmann verlangte von einer VW-Händlerin die Rückzahlung des Kaufpreises, hilfsweise Ersatzlieferung, wegen einer in das Fahrzeug eingebauten unzulässigen Abschalteinrichtung. Die VW-Händlerin hatte sich im Oktober 2016 gegenüber dem Käufer zunächst dazu bereit erklärt, ein Software-Update für den Motor des gekauften Autos aufzuspielen, das einen vorschriftsgemäßen Zustand herstellen sollte. Erst im November 2016 erklärte der Käufer Anfechtung wegen arglistiger Täuschung sowie hilfsweise den Rücktritt vom Kaufvertrag. Im April 2017 kam es zur Klage. Dabei stand u.a. in Frage, ob zulasten des Käufers der Mangel der Abschalteinrichtung bereits aufgrund einer verspäteten Mängelrüge nach § 377 Abs. 2, Abs. 3 HGB als genehmigt gilt und ein Rücktritt somit ausgeschlossen ist. Während des Prozesses teilte die Verkäuferin dem Käufer erneut mit, dass ein Update für das Fahrzeug zur Verfügung stehe. Der Bundesgerichtshof ist der Frage nachgegangen, ob eine solche Mitteilung bereits für die Annahme eines konkludenten Verzichts des Verkäufers auf eine Mängelrüge genügen kann. 

Rechtlicher Hintergrund

Die Mängelrüge gemäß § 377 HGB dient der Rechtssicherheit im Rahmen eines schnelllebigen Handelsverkehrs. Danach soll bei Vorliegen eines beidseitigen Handelsgeschäfts die unverzügliche Anzeige von Mängeln dem Verkäufer frühestmöglich Klarheit über die tatsächliche und rechtliche Situation verschaffen. Unterlässt der Käufer eine zügige Anzeige des Mangels, hat dies zur Folge, dass der Mangel als genehmigt gilt und somit sämtliche Gewährleistungsrechte entfallen. Um eine möglichst hohe Rechtssicherheit für die Parteien zu erzeugen, bleiben dem Käufer bei Kenntnis des Mangels maximal wenige Tage, um diesen Mangel beim Verkäufer anzuzeigen. 

Anderes gilt jedoch, wenn der Verkäufer zu erkennen gibt, dass er sich nicht auf den Einwand der verspäteten Mängelrüge berufen wird. Neben dem ausdrücklichen Verhalten ist auch ein stillschweigender Verzicht möglich. Hierfür genügt es häufig, dass der Verkäufer die beanstandete Ware vorbehaltslos zurücknimmt und Nachbesserung verspricht. Ein solch stillschweigender Verzicht kann dabei jedoch nicht im Allgemeinen vermutet werden. Vielmehr müssen eindeutiger Anhaltspunkte vorliegen, die der Käufer als Aufgabe des Rechts aus § 377 Abs. 2, 3 HGB verstehen darf. 

Entscheidung des Bundesgerichtshofs

Grundsätzlich ist davon auszugehen, dass ein Käufer, der seine Rüge erst einen Monat nach Kenntniserlangung vom Mangel (spätestens mit Erhalt des Angebots zum Software-Update) ausspricht, nicht mehr „unverzüglich“ i.S.d. § 377 Abs. 2, 3 HGB gehandelt hat. 

Da die VW-Händlerin jedoch im Laufe des Prozesses in einem an den Kläger gerichteten Schreiben erneut auf die Möglichkeit der Beseitigung der Abschalteinrichtung mittels Software-Update hinwies, könnten für den Käufer genügend Anhaltspunkte für einen Verzicht auf den Einwand der Mängelrüge vorliegen.

Dies hat der Bundegerichtshof in seinem Urteil allerdings mit der Begründung verneint, dass es sich bei dem Schreiben vielmehr um ein allgemeines Informationsschreiben handelte und der erneute Hinweis nur eine bessere Einbindung des Käufers in die technische Durchführung der angebotenen Maßnahme bezweckt habe. Dies würde insbesondere dadurch unterstrichen, dass die VW-Händlerin in ihrem Schreiben betonte, dass die entstehenden Kosten von VW als Hersteller selbst getragen würden. In der Folge stand der VW-Händlerin somit weiterhin der Einwand der verspäteten Mängelrüge zu, sodass die Klage des Käufers auf Kaufpreisrückzahlung keinen Erfolg hatte. 

Fazit

Die Untersuchungs- und Rügeobliegenheit aus § 377 HGB ist ein scharfes Schwert und nicht selten entscheiden sich hieran Gewährleistungsfälle im B2B-Bereich. Ein (stillschweigender) Verzicht des Verkäufers auf den Einwand der Mängelrüge wäre daher für den Käufer extrem vorteilhaft. Grundsätzlich ist ein stillschweigender Verzicht möglich. Die Anforderungen, die die Rechtsprechung hieran stellt, sind jedoch hoch. So ist entscheidend, ob aus der Sicht des Käufers eindeutige Anhaltspunkt für den Rechtsverzicht vorliegen. Neben der Auslegung des konkreten Wortlautes von relevanten Schriftstücken oder E-Mails sind in diesem Zusammenhang auch sämtliche Begleitumstände zu berücksichtigen. Ein einfaches Informationsschreiben über das Angebot des Herstellers eines Produktes, der nicht zugleich der Verkäufer ist, zur Behebung eines Mangels genügt hierfür noch nicht. 

Dr. Hanna Schmidt

Zurück

4. EuGH: Auskunftspflicht bezieht sich auf konkrete Identität von Empfängern

Der Europäischen Gerichtshof (EuGH) hat eine weitere Vorlagefrage zum Umfang des Auskunftsrechts des Betroffenen nach Art. 15 DSGVO beantwortet (Urt. v. 12.01.2023 – Rs. C-154/21).

Die jetzige Entscheidung betrifft die Auslegung von Art. 15 Abs. 1 lit. c DSGVO: Demnach hat die betroffene Person einer Verarbeitung ihrer personenbezogenen Daten unter anderem das Recht, vom Verantwortlichen Auskunft darüber zu erhalten, welchen Empfängern oder Kategorien von Empfängern er ihre personenbezogenen Daten offengelegt hat oder noch offengelegen wird. Bisher war unklar, unter welchen Voraussetzungen sich der Verantwortliche darauf beschränken darf, der betroffenen Person auf ihr Auskunftsersuchen lediglich abstrakt Kategorien von Empfängern zu nennen.

Der EuGH hat mit seiner Entscheidung klargestellt, dass der Verantwortliche in der Regel verpflichtet ist, der betroffenen Person die genaue Identität der Empfänger mitzuteilen. Eine Ausnahme gelte dann, wenn andere Grundrechte in der Weise entgegenstünden, dass eine umfassende Auskunft unverhältnismäßig sei. Dies gelte etwa, wenn es dem Verantwortlichen nicht möglich sei, die Empfänger zu identifizieren. Zudem weist der EuGH auf den Ausschlussgrund des Art. 12 Abs. 5 S. 2 lit. b DSGVO hin: Demnach könne sich der Verantwortliche unter Umständen darauf berufen, dass ein Auskunftsersuchen (teilweise) exzessiv oder offenkundig unbegründet ist. Dann reiche es ggf. aus, lediglich die Kategorien der betreffenden Empfänger zu benennen.

Das Urteil des EuGH behandelt lediglich einen Teilaspekt der Ansprüche des Art. 15 DSGVO, namentlich zum Umfang der zu beauskunftenden allgemeinen Informationen nach Art. 15 Abs. 1 DSGVO. Im Fokus der Literatur und Rechtsprechung steht eine andere Frage, nämlich inwieweit das Recht auf Kopie (Art. 15 Abs. 3 DSGVO) der betroffenen Person einen Anspruch auf Herausgabe sämtlicher beim Verantwortlichen vorliegenden Rohdaten gewährt und unter welchen Voraussetzungen die Herausgabe auf der Basis von Ausschlusstatbeständen verweigert werden kann. Hierzu hatte der BGH bereits 2021 festgestellt, dass Art. 15 Abs. 3 DSGVO auch interne Vermerke und E-Mails umfasse, die der Verantwortliche über einen Betroffenen verarbeitet (BGH, Urt. v. 15.06.2021 – VI ZR 576/19).

Eine endgültige Entscheidung zum Umfang des Rechts auf Kopie obliegt dem EuGH in einem anderen Verfahren (Rechtssache C-487/21)

Maßnahmen zur Umsetzung des Urteils im Unternehmen

Mit Blick auf die Informationspflicht über Empfänger personenbezogener Daten müssen Unternehmen „das Rad nicht neu erfinden“. Denn die übrigen Bestimmungen des Datenschutzrechts, allen voran der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, sehen ohnehin vor, dass Unternehmen jegliche Verarbeitungen personenbezogener Daten in ihrer Organisation dokumentieren müssen – hierzu gehören auch etwaige Empfänger solcher Daten.

Bereits die Beurteilung der Rechtmäßigkeit einer Datenverarbeitung setzt voraus, dass bekannt ist, an welche Empfänger die Daten zum Zwecke der Verarbeitung weitergegeben werden bzw. welche Empfänger hierauf Zugriff haben.

Die Entscheidung dürfte daher nur bei manchen Unternehmen für einen höheren Aufwand sorgen. Viele andere dürften für die Information zu Empfängern personenbezogener Daten auf eine bereits vorhandene Dokumentation zurückgreifen können.

Schwieriger ist dies häufig im Fall massenhafter Datenübermittlungen. Etwa im Bereich der Online-Werbung kann es eine Vielzahl von Empfängern geben, die das Unternehmen nicht auf Anhieb ausmachen und konkret benennen kann.

Reichweite der EuGH-Entscheidung zum Begriff der Empfänger in der DSGVO

Das Urteil des EuGH zu Art. 15 DSGVO lässt sich nicht ohne Weiteres auch auf die Hinweispflichten nach Art. 13 und 14 DSGVO übertragen. Dies folgt aus dem unterschiedlichen Zweck der Regelungen. Der Auskunftsanspruch soll den Betroffenen ermöglichen, die Rechtmäßigkeit einer Datenverarbeitung zu überprüfen. Er soll dann entscheiden können, ob er weitergehende Rechte (etwa auf Löschung) geltend machen möchte.

Die Hinweispflichten nach Art. 13 und 14 DSGVO dienen als Vorstufe zum Auskunftsrecht und geben einer Gruppe von Betroffenen eine erste allgemeine Auskunft. Konkrete Empfänger müssen hier nach der Entscheidung des EuGH gerade noch nicht genannt werden.

Mit Spannung bleibt zu erwarten, inwiefern die Antworten weiterer Vorlagefragen des EuGH konkrete Anforderungen für den Auskunftsanspruch nach Art. 15 DSGVO ergeben, insbesondere zum Umfang des Rechts auf Kopie (Rechtssache C-487/21) und einzelnen Fragen zur Reichweite des Ausschlussgrunds des Art. 12 Abs. 5 DSGVO (Rechtssache C-672/22). Im Allgemeinen ist das Recht auf Kopie noch umfassender und für Unternehmen schwieriger zu erfüllen als das Recht auf Auskunft.

Dr. Jürgen Hartung

Zurück

5. Künstliche Intelligenz: Kann Chat GPT Urteile vorhersagen?

In den USA hat die künstliche Intelligenz ChatGPT-3 von Open AI das juristische Examen geschrieben – mit beachtenswertem Erfolg. Hierzulande wurden testweise bereits Klageschriften verfasst. Wir haben uns angeschaut, ob die KI auch zum komplexen Bereich Datenschutz brauchbare Antworten liefern kann und wie die anwaltliche Arbeit in Zukunft unterstützt werden kann.

Als Anknüpfungspunkt für unseren Test haben wir die EuGH-Entscheidung zum datenschutzrechtlichen Auskunftsanspruch nach Art. 15 DSGVO herangezogen. Wir haben ChatGPT-3 die Vorlagefrage zur Beantwortung vorgelegt: „Kann ich mich für den datenschutzrechtlichen Auskunftsanspruch darauf beschränken, nur die Kategorie der Empfänger offen zu legen, an die personenbezogene Daten weitergegeben wurden? Oder muss auch die Identität des Empfängers offengelegt werden?“

Chat GPT-3 beantwortet die Frage wie folgt:
„Grundsätzlich ist es nicht ausreichend, nur die Kategorie der Empfänger, an die personenbezogene Daten weitergegeben wurden, offenzulegen. Nach den Datenschutzgesetzen müssen Sie die betroffene Person über die konkrete Identität der Empfänger informieren. Die Nennung der Empfängerkategorie kann in einigen Fällen ausreichend sein, wenn die Nennung der konkreten Empfänger nicht praktikabel ist oder einen unverhältnismäßigen Aufwand erfordern würde. Ein Beispiel dafür könnte sein, wenn Sie personenbezogene Daten an eine Vielzahl von Unternehmen in derselben Branche weitergegeben haben.“

In der Anfang des Jahres erschienenen Urteilsbegründung des EuGH (EuGH 12.01.2023 C 154/21)  heißt es:
„Aus dem mit der DSGVO verfolgten Ziel ergibt sich daher auch, dass die betroffene Person das Recht hat, von dem Verantwortlichen Informationen über die konkreten Empfänger zu verlangen, gegenüber denen sie betreffende personenbezogene Daten offengelegt worden sind oder noch offengelegt werden.(…) Außerdem ist darauf hinzuweisen, dass sich der Verantwortliche gemäß Art. 12 Abs. 5 Buchst. b DSGVO im Einklang mit dem in Art. 5 Abs. 2 sowie im 74. Erwägungsgrund dieser Verordnung niedergelegten Grundsatz der Rechenschaftspflicht weigern kann, aufgrund von Anträgen der betroffenen Person tätig zu werden, wenn es sich um offenkundig unbegründete oder exzessive Anträge handelt; hierbei hat der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter der Anträge zu erbringen.“
Es kommen also sowohl die KI als auch der EuGH zu dem Ergebnis, dass sich die Auskunftspflicht nach Art. 15 DSGVO auf die konkrete Identität von Empfängern bezieht, soweit das Auskunftsersuchen nicht offenkundig unbegründet ist oder mit unverhältnismäßigem Aufwand verbunden wäre. 

Kann KI also Urteile vorhersagen?

Die Antwort der KI ist insofern erst einmal bemerkenswert, als dass das Programm nur Zugriff auf Datensätze bis Herbst 2021 hatte. Andererseits stellt sich auf Nachfrage bei dem von der KI gesteuerten Chatbot heraus, dass die Einschätzung der KI auf einer Reproduktion von älteren Urteilen beruht. Grundsätzlich lässt sich ChatGPT-3 daher (noch) als Hilfsprogramm zur Reproduktion von vorhandenen Inhalten klassifizieren. Zur eigenverantwortlichen und originären Schöpfung von Ideen bzw. Lösungen von Problemen ist die künstliche Intelligenz aktuell nicht imstande. Stellt man ihr beispielsweise dieselben Fragen leicht abgewandelt, erhält man abweichende Ergebnisse. Mehr noch – das Programm selbst weist darauf hin, eine Anfrage zu „regenerieren“. Wird exakt dieselbe Frage erneut eingegeben, wird diese neu verarbeitet. Man erhält ein neues, möglicherweise anderes Ergebnis. 

ChatGPT-3 kann allerdings jetzt schon Autoren, Musiker und Gerichte teilweise täuschend echt imitieren. Verlage prüfen daher derzeit Programme, die die künstliche Intelligenz in vermeintlich selbst verfassten Texten entdecken können. Künstliche Intelligenzen wie ChatGPT können teilweise schon jetzt Tätigkeiten übernehmen, in denen Menschen reine Ordnungs- und Reproduktionsaufgaben erledigen. Und es gibt KI-Chatbots, die speziell für die Rechtsbranche entwickelt wurden und teilweise bei amerikanischen Großkanzleien für die Unterstützung bei der Vertragserstellung im Einsatz sind. Auch zahlreiche Legal Tech Anbieter fangen an, KI in ihre Produkte zu implementieren bzw. über Schnittstellen anzubinden. 

Diese Entwicklung wird sich mit dem gerade erschienenen Nachfolger ChatGPT-4 beschleunigen. Zum einen ist das Programm aufgrund der verarbeiteten Datenmenge deutlich leistungsstärker – Chat GPT-4 wurde angeblich mit 17 Billionen Trainingsdaten trainiert, also etwa 100-mal mehr als bei GPT-3. Damit soll das Programm effizienter, schneller und sprachgewandter werden und in der Lage sein, Bilder zu beschreiben. 

Andererseits warnt selbst das Unternehmen Open AI davor, die „Aussagen“ von ChatGPT-4 als wahr hinzunehmen. Auf der Webseite schreibt das Unternehmen dazu: „GPT-4 ist noch nicht vollständig zuverlässig. Es halluziniert Fakten und macht Denkfehler.“ Konkret heißt das: Die Genauigkeit der Antworten liegt bei unter 80 Prozent, also nur bei ca. 80 Prozent der Antworten würden Experten aus dem jeweiligen Bereich die Korrektheit derselben bestätigen. 
Trotz dieser Einschränkungen in der Verlässlichkeit ist es beeindruckend, wozu die KI bereits heute in der Lage ist. Die konkreten Auswirkungen auf die Rechtsbranche und die Möglichkeiten, die sich auch im Legal Tech Bereich dafür herausbilden, werden wir weiter beobachten und in zukünftigen Newsletter-Beiträgen einordnen. 

Michael Lamberty

Zurück

6. EuGH zu Bonitätsauskünften: Scoring-Praxis datenschutzrechtlich unzulässig?

Die Arbeit privater Wirtschaftsauskunfteien hat eine immense Bedeutung für den Wirtschaftsverkehr und die betroffenen Verbraucher: Einerseits dienen Bonitätsauskünfte der Funktionsfähigkeit der Wirtschaft, andererseits dem Schutz von Verbrauchern vor Überschuldung. In einem Vorabentscheidungsverfahren nach Art. 267 AEUV (Rechtssache C-634/21) nimmt der EuGH auf Vorlage des VG Wiesbaden diese Praxis derzeit in datenschutzrechtlicher Hinsicht unter die Lupe.

Dabei wird die Entscheidung des EuGH nicht nur Fragen der Auslegung von Art. 22 DSGVO in Bezug auf automatisierte Datenverarbeitungen für Score-Werte und die Einordnung von § 31 BDSG als (un-)taugliche Rechtsgrundlage für die Erstellung von Score-Werten beantworten. Sie wird darüber hinaus auch Aufschluss für das Verhältnis zwischen dem Auskunftsanspruch nach Art. 15 Abs. 1 lit. h DSGVO und dem Schutz von Geschäftsgeheimnissen geben, der für jegliche Wirtschaftsunternehmen praktische Relevanz haben dürfte, die im Rahmen ihrer Geschäftspraxis (teil-)automatisierte Entscheidungen treffen.

Hintergrund der Vorlage an den EuGH ist ein Rechtsstreit über den Schutz personenbezogener Daten zwischen einer betroffenen Person, der Klägerin, und dem Land Hessen, vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Der Klägerin wurde die Gewährung eines Kredits aufgrund einer von der SCHUFA Holding AG (SCHUFA) vorgenommenen Bonitätsbewertung verwehrt. Daraufhin forderte die Klägerin die SCHUFA auf, die sie betreffenden Eintragungen zu löschen und ihr Auskunft über die Daten zu erteilen.

Die SCHUFA beschränkte sich jedoch unter Berufung auf Geschäftsgeheimnisse darauf, der Klägerin den entsprechenden Score-Wert und in allgemeiner Form die der Methode zur Berechnung des Score-Wertes zugrundeliegenden Grundsätze mitzuteilen. Da der HBDI der Beschwerde der Klägerin nicht abhalf, klagte diese vor dem VG Wiesbaden gegen den Bescheid des HBDI. Das VG wandte sich dann mit zwei Vorlagefragen an den EuGH, um klären zu lassen, ob automatisch erstellte Score-Werte als Entscheidung im Sinne von Art. 22 DSGVO zu verstehen seien, wenn diese maßgeblich für die Kreditentscheidung sind, und ob § 31 BDSG mit der DSGVO vereinbar sei.

In Bezug auf die Scoring-Praxis wird in Rechtsprechung und Literatur bis dato (wohl) überwiegend vertreten, dass eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO nur dann vorliege, wenn das Scoring unmittelbar zu einer Entscheidung beim Entscheidungsträger, etwa dem kreditgebenden Institut führt. Score-Werte von Auskunfteien hingegen dienten regelmäßig nur zur Vorbereitung der eigentlichen (Kredit-)Entscheidung und seien damit nicht von Art. 22 DSGVO umfasst.

In seinen Schlussanträgen vom 16. März 2023 gelangt der Generalanwalt beim EuGH Pikamäe nun zu dem Schluss, dass bereits die automatisierte Erstellung eines Wahrscheinlichkeitswertes über die Fähigkeit einer betroffenen Person, künftig einen Kredit zu bedienen, eine automatisierte Verarbeitung im Sinne des Art. 22 DSGVO sei. Schließt sich der EuGH dieser Auffassung an, stünde der betroffenen Person ein Auskunftsanspruch nach Art. 15 Abs. 1 lit. h DSGVO zu, der nach Ansicht des Generalanwalts auch hinreichend detaillierte Erläuterungen zur Methode für die Berechnung des Score-Wertes umfasse. Insbesondere bedürfte es aber für die Zulässigkeit der automatisierten Datenverarbeitung einer Auskunftei regelmäßig einer mitgliedstaatlichen Rechtsgrundlage im Sinne von Art. 22 Abs. 2 lit. b DDSGVO. In Bezug auf die zweite Vorlagefrage des VG vertritt der Generalanwalt aber die Auffassung, dass § 31 BDSG, auf den die Scoring-Praxis derzeit gestützt wird, keine taugliche Rechtsgrundlage sei, um die Rechtmäßigkeit der Erstellung von Score-Werten im Rahmen der Tätigkeiten von Wirtschaftsauskunfteien zu begründen, da die Norm nicht mit der DSGVO vereinbar sei.

Ob der EuGH sich der ihn nicht bindenden Rechtsauffassung des Generalanwalts anschließen wird, bleibt abzuwarten. Mit einer Entscheidung dürfte frühestens in einigen Monaten zu rechnen sein. Wir werden Sie in einem der kommenden Newsletter hierüber informieren.

Tobias Kollakowski

Zurück

Zurück zur Übersicht