IT-Recht und Datenschutz20.06.2023 Newsletter
Fokus IT&C – 2. Quartal 2023
Wir haben für Sie wichtige und spannende Neuerungen und Rechtsprechung aus dem IT-Recht und Datenschutz zusammengestellt. Viel Spaß beim Lesen!
1. Europa und die digitale Identität – Reform der eIDAS-Verordnung
2. Vom BAG zum EuGH und wieder zurück: Abberufung von Datenschutzbeauftragten
5. Künstliche Intelligenz: Verjagt der AI Act ChatGPT aus Europa?
6. BGH: Erneute Vorlage an EuGH zur Klagebefugnis bei DSGVO-Verstößen
1. Europa und die digitale Identität – Reform der eIDAS-Verordnung
Digitale Brieftaschen auf dem Vormarsch
Mindestens 80 Prozent der Bevölkerung sollen sich bis 2030 nach der Vorstellung der Europäischen Kommission digital identifizieren können, wenn sie öffentliche Dienstleistungen in Anspruch nehmen. Ermöglichen soll dies ein digitales Wallet, die sog. Brieftasche für die europäische digitale Identität, kurz EUid-Brieftasche. Bedient werden soll diese digitale Brieftasche unter anderem über das Handy. Nicht nur die Ausweisung der eigenen Person soll hierüber ermöglicht werden, auch Führerschein, Zeugnisse oder Gesundheitsbescheinigungen sollen über die EUid-Brieftasche bereitgestellt werden können. Wenn es nach der Kommissionspräsidentin Ursula von der Leyen geht, soll sogar die einfache Fahrradmiete über das Wallet erfolgen. Entsprechend weit formuliert die EU-Kommission den Anwendungsbereich des geplanten Vorhabens:
„Alle EUid-Brieftaschen sollten es Nutzern ermöglichen, sich online und offline grenzübergreifend elektronisch zu identifizieren und zu authentifizieren, um Zugang zu einem breiten Spektrum öffentlicher und privater Dienste zu erhalten.“
Rechtlicher Rahmen
Rechtlich eingebettet ist diese Vision in den neuen Entwurf der EU-Kommission vom 3. Juni 2021 zur Änderung der eIDAS-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS-VOEntwurf), auf dessen Grundlage das EU-Parlament am 16. März 2023 verschiedene Änderungsanträge formal gebilligt hat. Die ersten EUid-Brieftaschen sollen bereits 2024 verfügbar sein. Bislang ist die eIDAS-Verordnung insbesondere für die Reglementierung der sog. qualifizierten elektronischen Signatur (QES) bekannt. Relevant ist die QES, wenn das Gesetz zur Wirksamkeit eines Rechtsgeschäfts die Schriftform vorschreibt, da diese gem. § 126a Abs. 1 BGB durch eine QES ersetzt werden kann. Hilfsmittel in diesem Zusammenhang ist häufig der Personalausweis, dessen elektronische Funktionen für eine QES freigeschaltet sein muss. Hieran anknüpfend soll der Bürger künftig in der Lage sein, auch mit der EUid-Brieftasche solche QES zu erstellen (vgl. Art. 3 Nr. 42 eIDAS-VOEntwurf).
Vergleichbar mit den bereits existenten QES, müssen die Mitgliedsstaaten (auch nach der neuen eIDAS-VO) die EUid-Brieftaschen nicht selbst ausstellen und verwalten. Stattdessen können sie sich hierzu Dritter bedienen oder diese Aufgabe einer anerkannten, unabhängigen Stelle überlassen (Art. 6a Abs. 2 eIDAS-VOEntwurf). Die Ausstellung der QES ist ebenfalls den sog. qualifizierten Vertrauensdienste-Anbietern vorbehalten, die in Deutschland von der zuständigen Bundesnetzagentur zertifiziert werden.
Akzeptanz und Datenschutz
Abzuwarten bleibt auch bei der EUid-Brieftasche, auf welche Akzeptanz diese in der Bevölkerung stoßen wird. Obwohl die Online-Ausweisfunktion des Personalausweises den meisten Deutschen bekannt ist, nutzten sie nach einer Umfrage Mitte 2021 nur sieben Prozent. Entscheidend dürfte daher die technische Umsetzung und intuitive Bedienbarkeit der EUid-Brieftasche sein. Wie so oft bei digitalen Diensten, wird dabei auch der Datenschutz eine große Rolle spielen. Besondere Vorgaben bestehen hier, da nach dem gesetzgeberischen Vorhaben auch die Verarbeitung sensibler Daten (Art. 9 DS-GVO) im Raum steht. Zugleich sollen die Funktionen der EUid-Brieftasche europaweit einsetzbar sein. Es darf mit Spannung erwartet werden, welche technischen und rechtlichen Herausforderungen die europäische digitale Identität bereithält.
Dr. Axel Grätz
2. Vom BAG zum EuGH und wieder zurück: Abberufung von Datenschutzbeauftragten
Nachdem das BAG zwei Verfahren zur Vorabentscheidung dem EuGH im Zusammenhang mit der Abberufung eines Datenschutzbeauftragten vorgelegt hatte, ist dieses nun nach Beantwortung der Vorlagefragen durch den EuGH erneut am Zug. Das BAG entschied nunmehr zum einen, dass das Amt des Betriebsratsvorsitzenden nicht mit der Funktion des betrieblichen Datenschutzbeauftragten vereinbar ist (Urteil vom 06.06.2023 – 9 AZR 383/19). Zum anderen spielte das BAG den Ball zum Berufungsgericht zur weiteren Tatsachenaufklärung zurück und hob das Urteil des Sächsischen LAG auf (Urteil vom 06.06.2023 - 9 AZR 621/19).
Vorlage an den EuGH
Das BAG hatte dem EuGH bereits im Jahr 2019 diverse Vorlagefragen zur Abberufung eines betrieblichen Datenschutzbeauftragten aus wichtigem Grund vorgelegt. Der EuGH nahm zu diesem Fragen im Februar dieses Jahres Stellung (vgl. hierzu unseren Beitrag vom 09.02.2023).
Nunmehr hat sich das BAG erneut mit den Verfahren auseinandergesetzt und zwei Entscheidungen zur Frage der Interessenkollision bei einem betrieblichen Datenschutzbeauftragten und der daraus resultieren Möglichkeit zur Abberufung erlassen.
Unvereinbarkeit von Betriebsratsamt mit der Bestellung zum Datenschutzbeauftragten (9 AZR 383/19)
In dem durch das BAG zu entscheidenden Fall hatte der Kläger die Funktion des Betriebsratsvorsitzenden im Betrieb der Beklagten inne. Mit Wirkung zum 01.06.2015 wurde er zum betrieblichen Datenschutzbeauftragten bestellt. Allerdings widerrief die Beklagte nach dem Inkrafttreten der DSGVO die Bestellung aus betriebsbedingten Gründen, da der Kläger, aufgrund seiner Tätigkeit als Betriebsratsvorsitzender, in einem Interessenkonflikt zum Amt des Datenschutzbeauftragten stünde. Mit seiner Klage begehrte der Kläger die Feststellung, dass seine Rechtsstellung als betrieblicher Datenschutzbeauftragter unverändert fortbesteht.
Die Vorinstanzen gaben der Klage statt und das BAG setzte das Verfahren aus, um einzelne Fragen vorab durch den EuGH klären zu lassen. Der EuGH beantwortete zwar nicht konkret die Frage, ob im vorliegenden Fall ein Interessenkonflikt besteht, führte aber aus, dass ein Interessenkonflikt im Sinne des Art. 38 Abs. 6 DSGVO dann vorliege, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festzulegen. Bei der Beurteilung handele es sich um einen Einzelfall, wobei eine Würdigung aller relevanten Umstände vorzunehmen sei.
Das BAG stellt nunmehr fest, dass der Betriebsrat durch Gremiumsbeschluss darüber entscheide, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordert und auf welche Weise er diese anschließend verarbeitet. In diesem Rahmen lege er die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Die hervorgehobene Funktion des Betriebsratsvorsitzenden, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, hebe die zur Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderliche Zuverlässigkeit im Sinne von § 4f Abs. 2 Satz 1 BDSG aF auf. Dementsprechend sei die Abberufung aus wichtigem Grund im vorliegenden Fall auch gerechtfertigt gewesen.
Weitere Tatsachenaufklärung durch das Berufungsgericht erforderlich (9 AZR 621/19)
In einem weiteren Verfahren beim BAG (9 AZR 621/19) verarbeitete der Kläger im Rahmen seiner beruflichen Tätigkeit als Anwendungsberater Finanzdaten von Bürgern. Die Beklagte berief den Kläger als Datenschutzbeauftragten mit der Begründung ab, dass seine Tätigkeit als Datenschutzbeauftragter mit seiner beruflichen Tätigkeit kollidiere. Somit macht der Kläger mit seiner Klage die Unwirksamkeit der Abberufung geltend. Es fehle an einem wichtigen Grund zur Kündigung.
Während die Vorinstanzen dem Kläger Recht gaben, ließ das BAG vorab durch den EuGH das Verhältnis nationaler Vorschriften zur Abberufung und der Vorschrift des Art. 38 Abs. 3 S. 2 DSGVO klären. Der EuGH stellte sodann mit Urteil vom 09.02.2023 (C-453/21) fest, dass Art. 38 Abs. 3 S. 2 DSGVO, wonach ein Datenschutzbeauftragter nicht wegen der Erfüllung seiner Aufgaben abberufen werden darf, nicht abschließend sei. Die Mitgliedstaaten könnten strengere nationale Regelungen erlassen, durch die ein Datenschutzbeauftragter vor einer Abberufung geschützt wird. Voraussetzung dafür sei aber, dass die nationale Regelung die Verwirklichung der Ziele der DSGVO, insbesondere dem Schutz der Unabhängigkeit des Datenschutzbeauftragten, nicht beeinträchtige.
Das BAG hob nunmehr das Berufungsurteil des Sächsischen LAG auf und verwies den Rechtsstreit zur neuen Verhandlung und Entscheidung zurück. Eine Pressemitteilung des BAG liegt zu diesem Verfahren nicht vor, allerdings ist davon auszugehen, dass die bisherige Tätigkeitsbeschreibung des Klägers noch nicht ausreichend Aufschluss darüber gibt, ob hierdurch die Unabhängigkeit des Datenschutzbeauftragten beeinträchtigt ist.
Fazit
Erfreulicherweise hat das BAG klargestellt, dass das Amt des Betriebsratsvorsitzenden nicht mit dem des Datenschutzbeauftragten zu vereinbaren ist. Zwar erging die Entscheidung in Bezug auf § 4f Abs. 2 Satz 1 BDSG aF. Der EuGH verdeutlichte aber bei der Beantwortung der Vorlagefrage explizit, dass die Vorschrift § 38 Abs. 2 i. V. m. § 6 Abs. 4 Satz 1 BDSG nF, die eine Abberufung nur aus wichtigem Grund i. S. d. § 626 BGB zulässt, grundsätzlich nicht der unionsrechtlichen Regelung des Art. 38 Abs. 3 Satz 2 DSGVO entgegensteht. Dies gelte auch dann, wenn die Abberufung nicht mit der Erfüllung der Aufgaben des Datenschutzbeauftragten zusammenhänge. Dementsprechend können Unternehmen auch nach den Regelungen des DSGVO und des BDSG nF einen Datenschutzbeauftragten abberufen, sofern dieser gleichzeitig das Amt des Betriebsratsvorsitzenden innehat.
Offen gelassen hat das BAG allerdings die Frage, ob grundsätzlich die Mitgliedschaft im Betriebsrat der Übernahme des Amtes als Datenschutzbeauftragter entgegensteht. Hierfür spricht allerdings, dass der Betriebsratsvorsitzende zwar den Betriebsrat vertritt, die Zustimmung für etwaige Entscheidungen aber durch das Gremium und somit auch durch die einzelnen Betriebsratsmitglieder erfolgen muss. Eine (höchstrichterliche) Entscheidung bleibt insofern aber abzuwarten.
Wie die Zurückverweisung zum Berufungsgericht in dem weiteren Verfahren des BAG aber gezeigt hat, kommt es bei der Prüfung, ob ein mit dem Amt als Datenschutzbeauftragter nicht zu vereinbarender Interessenkonflikt vorliegt, immer auf eine Einzelfallprüfung an. Unternehmen sollten daher die konkrete Tätigkeit des Datenschutzbeauftragten in ihrer Funktion als Mitarbeitender prüfen, bevor eine Abberufung erfolgt.
Annabelle Marceau
3. KI-basierte Systeme: Verarbeitung personenbezogener Beschäftigtendaten zur Angriffs-erkennung (Cyberthreat Monitoring Tools)
Die Anforderungen an Unternehmen zur Eindämmung von Cyberrisiken steigen ständig. Unter-nehmen, die kritische Infrastruktur betreiben, werden durch § 8a Abs. 1a BSIG seit dem 1. Mai 2023 dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Abwehrsysteme ver-arbeiten in der Regel zwar keine Inhaltsdaten (wie etwa den Inhalt von Emails oder anderer Kommunikation), dafür aber Nutzungsdaten aus dem Netzwerk einschließlich IP-Adressen, wel-che anhand von aufgetretenen Anomalien oder Incidents bestimmten Mitarbeitern zugeordnet werden können.
Erlaubnistatbestand
Daher bedarf es für diese Verarbeitung personenbezogener Daten eines Erlaubnistatbestandes.
Zunächst ist festzustellen, dass der sachliche Anwendungsbereich des § 26 Abs. 1 BDSG nicht eröffnet ist. (soweit er nach dem Urteil des EuGH vom 30. März 2023 (Az. C-34/21) überhaupt noch als Rechtsgrundlage in Betracht kommt), da die Datenverarbeitung der Prävention im Be-reich der IT-Sicherheit und schwerpunktmäßig der Aufklärung anderer Vorkommnisse als Strafta-ten dient. Daher bleibt der nach h.M. zu Recht zulässige Rückgriff auf Art. 6 Abs. 1 DSGVO.
- Die Verarbeitung personenbezogener Beschäftigtendaten zur Erkennung und Abwehr von IT-Sicherheitsrisiken kann grundsätzlich im überwiegenden berechtigten Interesse des Arbeitgebers und daher gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO zulässig sein. Denn die Datenverarbeitung zur Abwehr von Cyberattacken dient auch der Verhinderung des Zugriffs von Hackern auf Daten der Beschäftigten und Kunden und liegt damit auch in deren Interesse (LAG München, Beschl. v. 23.07.2020 – 2 TaBV 126/19, Rn. 118, 123 ff.). Allerdings ist die Datenverarbeitung stets auf das zwingend notwendige Maß zu beschränken, weitest möglich im Wege der Dunkelverarbeitung durchzuführen und für den Zugang zu den Daten ein tragfähiges Berechtigungskonzept zu erstellen. Schließlich sind angemessene Lösch- und Archivierungsregelungen zu implementieren.
Sofern das Monitoring dem Schutz kritischer Infrastruktur dient, kann die Verarbeitung wohl auch auf Art. 6 Abs. 1 S. 1 lit. c DSGVO (Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung) gestützt werden, da sie der Umsetzung der gemäß § 8a BSIG erforderlichen präventiven IT-Sicherheitsmaßnahmen dient.
- Betreiber kritischer Infrastrukturen haben hiernach angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen.
- Die Vorschrift des § 8a BSIG ist durch das 2. IT-Sicherheitsgesetz um Abs. 1a BSIG ergänzt worden, der diese Unternehmen seit dem 1. Mai 2023 sogar explizit zum Einsatz von Systemen zur Angriffserkennung (§ 2 Abs. 9b BSIG) verpflichtet.
- Nach unserer Einschätzung sollten diese Pflichten auch hinreichend konkret sein, um aus ihnen rechtliche Verpflichtungen zur Durchführung konkreter Verarbeitungsvorgänge abzuleiten (so auch das LAG München a.a.O. Rn. 125). Stellte man schärfere Anforderungen, drohte Art. 6 Abs. 1 S. 1 lit. c DSGVO leerzulaufen.
- Da die Einrichtung und Nutzung von Cyberthreat Monitoring Tools nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig ist, bedarf es einer Betriebsvereinbarung, auf welche die Verarbeitung der Beschäftigtendaten nach Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 4 S. 1 BDSG gestützt werden kann. Wenngleich wegen Art. 88 Abs. 2 DSGVO in Frage gestellt wird, ob Datenverarbeitungen durch eine Betriebsvereinbarung überhaupt über das nach Art. 6 DSGVO Erlaubte hinaus zulässig sein können, bleibt doch zumindest für die Praxis der Gewinn, mittels einer Betriebsvereinbarung zumindest die Modalitäten der zulässigen Implementierung konkretisieren zu können.
Informationspflichten
Die Informationen, die den Arbeitnehmern im Rahmen der Pflichtinformationen gemäß Art. 13, 14 der DSGVO sind allgemeiner Natur und müssen keine Einzelheiten über die Funktionsweise des verwendeten Systems enthalten. Denn dies wäre kontraproduktiv und könnte die Umgehung der Systeme erleichtern. Davon unabhängig ist eine einzelne betroffene Person zu informieren, so-fern ihre Daten im Zusammenhang mit einer erkannten Anomalie verarbeitet werden, es sei denn konkrete Anhaltspunkte deuten darauf hin, dass nach Erhalt einer solchen Information Spuren verwischt oder die Funktionsweise des Systems offengelegt werden müsste.
Datenschutzfolgeabschätzung
Erstellt das System systematische Mitarbeiterprofile (IP-basiert o.ä.), ist eine Datenschutzfolge-abschätzung (DSFA) gemäß Art. 35 Abs. 1 DSGVO erforderlich. Andernfalls ist mangels beson-derer Umstände eine Verpflichtung eher nicht anzunehmen (vgl. dazu Nr. 8 der Liste der Konfe-renz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK DSFA Positiv-Liste) sowie die Leitlinien der Art.-29-Datenschutzgruppe („WP 248 Rev. 01“, 2018 bestä-tigt vom European Data Protection Board). Danach sei eine DSFA erforderlich für eine: „company systematically monitoring its employees’ activities, including the monitoring of the employees’ work station.”
Dr. Marc Hilber
4. OLG Brandenburg: Grenzen des datenschutzrechtlichen Auskunftsverlangens zur Aufdeckung von Fehlern in der Berechnung von Versicherungsprämien
Das Oberlandesgericht Brandenburg hat sich in einer aktuellen Entscheidung (Urt. v. 14.04.2023 – 11 U 223/22) mit der Frage beschäftigt, wo die Grenze bei einem auf Art. 15 DSGVO gestützten Auskunftsverlangen zu ziehen sind. Vor dem Hintergrund des Schutzzwecks der DSGVO ist, nach Auffassung des Senats, die Auskunft über vorgenommene Beitragsanpassungen rechtsmissbräuchlich, wenn sie allein dazu dient, aufgrund möglicher formeller Mängel etwaige Zahlungsansprüche gegen einen Versicherer durchzusetzen.
Der Kunde einer privaten Krankenversicherung begehrte im Wege einer Stufenklage von seinem Versicherer Auskunft zu Prämienanpassungen, um im Anschluss die Feststellung der Unwirksamkeit möglicher Prämienerhöhungen zu erstreiten. Dieses Vorgehen ist im Versicherungsrecht in jüngster Zeit öfter anzutreffen. Wobei das Oberlandesgericht die Stufenklage in eine allgemeine Klagehäufung umdeutete.
Im vorliegenden Fall sprach die Vorinstanz, ebenso wie nun das Oberlandesgericht, zwar einen Anspruch auf Auskunft zu Beitragsanpassungen der Jahre 2013 bis 2020 durch Vorlage von Versicherungsscheinen und Nachträgen gemäß § 3 Abs. 3 und 4 VVG zu. Einen weitergehenden, umfassenden Auskunftsanspruch hinsichtlich sämtlicher Anschreiben und Beiblätter verneinte das Oberlandesgericht jedoch, insbesondere im Hinblick auf Art. 15 DSGVO.
Rechtsmissbräuchlichkeit eines Auskunftsbegehrens
Der Fall macht deutlich, welche Bedeutung der geäußerten Zielsetzung des Betroffenen mit Wunsch zur Auskunftserteilung für die Frage nach der Rechtmäßigkeit seines Begehrens und zugleich des Weigerungsrechts des datenschutzrechtlich Verantwortlichen nach Art. 12 Abs. 5 S. 2 lit. b) DSGVO zukommt.
Hierbei schlägt das Oberlandesgericht einen Bogen zu der EuGH-Vorlagefrage des Bundesgerichtshofs vom 29.03.2022 (VI ZR 1352/20, Rn. 12 ff.), betont aber zugleich, dass es auf die Frage nach der inhaltlichen Beschränkbarkeit des Auskunftsanspruchs bei Verfolgung anderer, zwar datenschutzfremder, aber legitimer Zwecke in diesem Fall gerade nicht ankomme. Denn das Auskunftsbegehren des Klägers war in diesem Fall nicht nur von keiner datenschutzrechtlichen Zielsetzung getragen, es diente schon nicht der Verfolgung eines irgendwie gearteten legitimen Zwecks. Es sei daher als rechtsmissbräuchlich anzusehen.
Bei der Beurteilung, ob ein Auskunftsbegehren rechtsmissbräuchlich – und damit zugleich „exzessiv“ im Sinne des Art. 12 Abs. 5 S. 2 DSGVO – ist, ist insbesondere der Schutzzweck der DSGVO von Bedeutung. Aus Erwägungsgrund 63 zu der Verordnung ergibt sich, dass Sinn und Zweck des in Art. 15 DSGVO normierten Auskunftsrechts ist, es der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können.
In diesem Fall jedoch ging es dem Kläger schon nach seinem eigenen Vorbringen überhaupt nicht um ein Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung seiner personenbezogenen Daten. Sinn und Zweck der von ihm begehrten Auskunftserteilung war vielmehr ausschließlich die Überprüfung etwaiger vom Versicherer vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach dem Versicherungsvertragsrecht. Eine solche Vorgehensweise ist nach Auffassung des Oberlandesgerichts vom Schutzzweck der DSGVO nicht umfasst.
Mit dieser Entscheidung grenzt sich das Gericht von einer Entscheidung des Oberlandesgerichts Celle ab. Dieses stützte sich seinerzeit darauf, dass die Motivationslage des Klägers unmaßgeblich sei, weil die DSGVO den Auskunftsanspruch nicht von einer bestimmten Zielsetzung des Anspruchsinhabers abhängig mache und dementsprechend der Antrag auf Auskunftserteilung auch nicht begründet werden müsse (Urt. v. 15.12.2022 – 8 U 165/22, Rn. 121).
Kein Auskunftsanspruch aufgrund anderer Anspruchsgrundlage
Auch sämtliche weitere, in diesem Zusammenhang in Betracht kommende Anspruchsgrundlagen schieden im Ergebnis aus:
Ein Anspruch auf die begehrten Unterlagen ergab sich weder aus § 3 Abs. 3 und 4 VVG, dessen Anwendungsbereich Anschreiben und Beiblätter nicht erfasst, noch aus § 810 BGB, der zwar die Einsicht, nicht aber die Auskunftserteilung und Übersendung von Unterlagen ermöglicht.
Schließlich schied auch § 242 BGB in Verbindung mit dem Versicherungsvertrag als Anspruchsgrundlage aus. Hierfür müssten unter anderem ausreichende Anhaltspunkte dafür bestehen, dass ein bestimmter durchsetzbarer Anspruch existiert (BGH, Urt. v. 11.02.2015 – IV ZR 213/14, Rn. 29). Die Auskunft sollte im vorliegenden Fall jedoch überhaupt erst Aufschluss darüber geben, ob ein Zahlungsanspruch gegen die Versicherung besteht.
Fazit
Die Entscheidung ist ein Beispiel dafür, dass die DSGVO sich mitunter nur schützend an die Seite derjenigen stellt, die gerade ihr besonderes Anliegen teilen: den Schutz personenbezogener Daten. Ebenso wenig wie die Pflichten der Verantwortlichen nach der DSGVO als lästig abgetan werden dürfen, dürfen die dem Betroffenen an die Hand gegebenen Rechte als „Allheilmittel“ verstanden werden, das immer dann aus dem Hut gezogen werden kann, wenn es in irgendeiner Art um personenbezogene Daten geht. Das Auskunftsrecht nach Art. 15 DSGVO dient mit der Entscheidung des Oberlandesgerichts Brandenburg jedenfalls nur den Betroffenen, denen es zumindest auch auf den Schutz ihrer personenbezogenen Daten ankommt.
Dr. Hanna Schmidt
5. Künstliche Intelligenz: Verjagt der AI Act ChatGPT aus Europa?
Die Berichterstattung über Künstliche Intelligenz (KI) ist längst nicht mehr nur aufregend und bahnbrechend. Warnungen zu Gefahren, wie Desinformationskampagnen, Fehlfunktionen und Begehung von Straftaten häufen sich. Zuletzt befürchteten KI-Experten aus Forschung, Wissenschaft und Tech-Branche gar das Risiko der Auslöschung der Menschheit.
Beispielsweise warnt ausgerechnet der Mitgründer des ChatGPT-Anbieters OpenAI vor den Gefahren einer unkontrollierten KI. Er war einer von mehreren hundert Experten, die Ende Mai mit einem einzigen, aber sehr einprägsamen Satz den Ruf nach Regulierung von KI laut werden ließen:
„Es sollte global priorisiert werden, das Risiko der Auslöschung durch KI zu verringern – auf einer Stufe mit anderen Risiken für die gesamte Gesellschaft, wie etwa Pandemien und Nuklearkrieg.“
Der Ruf nach festen Sicherheitsstandards für die Entwicklung und Regulierung von KI wird aufgrund dessen immer lauter. Auch Diskussionen zu rechtlichen Fragestellungen des Datenschutzes und des Urheberrechts nehmen an Fahrt auf.
Der erste Entwurf der EU des sog. „Artificial Intelligence Act“ (kurz „AI Act“ und zu Deutsch „Gesetz über Künstliche Intelligenz“) stammt aus dem April 2021.
Die zwischenzeitliche Einführung von ChatGPT und ähnlicher Anwendungen führte zu zahlreichen Änderungen an dem Gesetzesentwurf. Am 11.05.2023 wurde ein „Kompromiss“-Entwurf der Verordnung veröffentlicht, der die aktuellen Entwicklungen rund um den KI-Hype berücksichtigt. Dieser Kommissionsentwurf wurde Mitte Juni vom EU-Parlament verschärft und veröffentlicht.
Welche Regeln plant die EU für ChatGPT & Co?
Der AI Act konzentriert sich insbesondere auf die Regulierung von „Hochrisiko-KI-Systemen". Dies sind Systeme, die ein erhebliches Risiko für die Gesundheit, Sicherheit oder Grundrechte von Personen darstellen, wie beispielsweise KI-Anwendungen im Gesundheitswesen oder im Personalmanagement. Anbieter solcher Hochrisiko-Anwendungen müssen ihre Systeme vor Inbetriebnahme in einer EU-weiten Datenbank registrieren und Konformitätsbewertungsverfahren durchführen. Besonders riskante Anwendungen, etwa zum Social Scoring oder zur Gesichtserkennung sollen gänzlich verboten werden.
Sprachmodelle wie ChatGPT und Bildgeneratoren wie Midjourney haben gemeinsam, dass sie keinen vorgegebenen Zweck verfolgen, sondern vielfältig einsetzbar sind. Daher hat sich für diese Modelle der Begriff der general purpose AI, der Multifunktions- oder Vielzwecks-KI, herausgebildet.
Im neuen Entwurf wird für diese Anwendungen der Begriff der foundation models eingeführt. Hierunter fallen z.B. Sprach- und Bildgeneratoren als Basismodelle, die sich dazu eignen, für eine viel größere Bandbreite spezifischer Aufgaben angepasst und weiterentwickelt zu werden. Ein foundation model bildet also die Grundlage für die Entwicklung speziellerer KI-Anwendungen.
In der Zweckoffenheit liegt eine der Schwierigkeiten der Regulierung von foundation models. Ist es das Basismodell oder das „Finetuning“, das die größeren Risiken in die Sache bringt? Für Vertreter aus der Branche, aus Wissenschaft und Forschung ist klar: „Für die Hersteller von Systemen wie ChatGPT und Midjourney sollten die gleichen Regeln gelten wie für Hersteller von Hochrisiko-Systemen.“
(Wie) lässt sich etwas regulieren, das ungeahnte Möglichkeiten birgt?
Der AI Act stuft foundation models jedoch nicht als Hochrisiko-KI-Systeme ein. Er knüpft für eine Vielzahl von Pflichten aber dennoch an Anbieter von Programmen wie ChatGPT an.
Anbieter generativer KI müssen etwa die Verantwortung dafür übernehmen, dass die Modelle so konzipiert und trainiert werden, dass keine illegalen Inhalte generiert oder urheberrechtlich geschützte Daten veröffentlicht werden können.
Die Verordnung stellt außerdem hohe Anforderungen an die Transparenz der Anwendungen. Dies erfordert zum einen, dass KI-Systeme auf eine Weise entwickelt und eingesetzt werden, die nachvollziehbar und interpretierbar ist. Den Nutzern muss stets bewusst sein, dass sie mit einem KI-System kommunizieren bzw. interagieren. Sie müssen über Fähigkeiten und Grenzen des Systems aufgeklärt und mit Beschwerde- und Auskunftsrechten ausgestattet werden.
Darüber hinaus gibt die EU einen Teil der fortschreitenden Regulierungsarbeit an die Anbieter ab, indem diese dazu aufgefordert werden vorab „vorhersehbare Risiken“ zu benennen und zu minimieren, die von ihren Modellen ausgehen könnten.
Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro (bei Verstößen zu Datenverwaltung oder Transparenzvorschriften) bzw. bis zu 40 Millionen Euro beim Inverkehrbringen von verbotenen KI-Systemen.
Profitieren Tech-Giganten von der geplanten Regulierung?
Alle möglichen Anwendungsmöglichkeiten und Risikoszenarien im Voraus zu bedenken, könnte für kleinere Unternehmen, Wissenschaftler und kleinere Entwicklercommunitys zu einer nicht zu bewältigenden Mammutaufgabe werden.
Juristen, KI-Wissenschaftler und Unternehmer befürchten daher, dass eine strenge Regulierung durch den AI Act die Forschung in Europa ausbremsen und die Entwicklung von foundation models zukünftig zu großen Konzernen außerhalb der EU verlagern könnte.
Mit Stand von Januar 2022 wurden rund 73 Prozent der großen KI-Modelle in den USA und 15 Prozent in China entwickelt. In den USA wurden vergangenes Jahr ganze 542 Unternehmen mit dem Schwerpunkt „Künstliche Intelligenz“ gegründet, während es in Deutschland nur 41 waren.
Welchen Einfluss die zukünftige EU-Regulierung auf diese Entwicklung haben wird, bleibt abzuwarten.
Nach Veröffentlichung der Position des EU-Parlamentes Mitte Juni ist der Weg für den Trilog frei. In Verhandlungen mit der EU-Kommission und den Mitgliedstaaten soll bis zum Jahresende eine Einigung über die endgültige Fassung des Gesetzes gefunden werden, so dass dieses voraussichtlich Anfang 2024 in Kraft treten kann. Anschließend haben Unternehmen dann zwei Jahre Zeit, um sich an die veränderten Rahmenbedingungen anzupassen.
Michael Lamberty
6. BGH: Erneute Vorlage an EuGH zur Klagebefugnis bei DSGVO-Verstößen
Wer darf wegen DSGVO-Verstößen klagen? Klagebefugnis von Verbänden und Wettbewerbern auf dem Prüfstand
Der Bundesgerichtshof (BGH) hat dem Europäischen Gerichtshof (EuGH) erneut Fragen zur Klagemöglichkeit von Verbraucherverbänden auf Grundlage des Unterlassungsklagegesetzes (UKlaG) vorgelegt. Zudem hat der BGH dem EuGH erstmalig die Frage vorgelegt, ob die DSGVO nationalen Regelungen entgegensteht, die Wettbewerbern ein Klagerecht bei angenommenen Datenschutzverstößen einräumen.
Klagemöglichkeit von Verbraucherverbänden
Die Fragen des BGH zur Klagemöglichkeit von Verbänden betreffen die Auslegung von Art. 80 Abs. 2 DSGVO. Die Vorschrift erlaubt es den EU-Mitgliedstaaten u.a., bestimmten Stellen ohne Gewinnerzielungsabsicht, die im Bereich des Schutzes der Rechte personenbezogener Daten tätig sind (insbesondere Verbraucherverbände), gerichtliche Rechtsbehelfe gegen Unternehmen geltend zu machen, die ihre datenschutzrechtlichen Pflichten zulasten betroffener Personen verletzen. Bereits im Jahr 2020 hatte der BGH dem EuGH die Frage vorgelegt, ob Art. 80 Abs. 2 DSGVO nationale Klagemöglichkeiten ausschließt, die es Verbraucherverbänden erlauben, unabhängig von der Verletzung konkreter Rechte einzelner betroffener Personen ohne deren Auftrag, gegen Datenschutzverletzungen zu klagen (Beschl. v. 28.05.2020, Az. I ZR 186/17). Denn eine solche „unabhängige Klagemöglichkeit“ sieht das UKlaG vor. Der EuGH bejahte diese Frage und stellte fest, dass die DSGVO einer nationalen Klagemöglichkeit für Verbraucherverbände ohne Auftrag konkreter betroffener Personen nicht im Wege steht (Urt. v. 28.04.2022, Rs. C-3-19/20).
Nun hat der BGH dem EuGH die Frage vorgelegt, ob auch die Verletzung von Informationspflichten nach der DSGVO durch Verbraucherverbände klageweise angegriffen werden kann (Beschl. v. 10.11.2022, Az. I ZR 186/17). Hintergrund der Frage ist, dass Art. 80 Abs. 2 DSGVO seinem Wortlaut nach nur dann eine Klage erlaubt, wenn der klagende Verband der Ansicht ist, dass die Rechte einer betroffenen Person gemäß der DSGVO „infolge einer Verarbeitung“ verletzt worden sind. Dies ist in dem Verfahren, das der BGH zu entscheiden hat, fraglich, weil der klagende Verbraucherzentrale Bundesverband e.V. (vzbv) sich gegen eine mangelhafte Erteilung von Informationen nach Art. 12, 13 DSGVO durch den Facebook-Mutterkonzern Meta richtet. Die Erfüllung der Informationspflichten stellt dabei aber keine „Verarbeitung“ nach der Terminologie der DSGVO dar, sondern ist dieser nur vorgelagert. Außerdem ist unklar, worin die „Rechtsverletzung“ zu sehen sein soll, die nach dem Wortlaut von Art. 80 Abs. 2 DSGVO „infolge der Verarbeitung“ eingetreten sein muss.
Die Frage, die der BGH nun dem EuGH vorgelegt hat, ist auch für die Klagemöglichkeit der betroffenen Personen selbst von höchster Relevanz. Denn der hierfür maßgebliche Art. 79 Abs. 1 DSGVO erlaubt der betroffenen Person eine Klage seinem Wortlaut nach ebenfalls (nur) dann, wenn sie der Ansicht ist, dass „die ihr aufgrund [der DSGVO] zustehenden Rechte infolge einer [DSGVO-widrigen] Verarbeitung ihrer personenbezogenen Daten verletzt wurden“. Ob diese Voraussetzungen vorliegen, wenn die betroffene Person gerichtlich die Unterlassung bestimmter Datenschutzverletzungen geltend macht, ist bislang umstritten. Denn im Fall von Klagen auf Unterlassen bestimmter Verarbeitungen wendet sich die betroffene Person – anders als etwa bei Schadensersatzklagen – nicht gegen eine „Verletzung ihrer Rechte infolge einer Verarbeitung“, sondern unmittelbar gegen die Verarbeitung selbst. Begehrt die betroffene Person nicht die Unterlassung einer „Verarbeitung“, sondern die Unterlassung anderer Datenschutzverstöße (z.B. der mangelnden Informierung), stellt sich – wie im Fall des BGH – die Frage, wie der Begriff der „Verarbeitung“ im Rahmen von Art. 79 Abs. 1 DSGVO auszulegen ist. Je nach Ausgang des Verfahrens vor dem EuGH könnten betroffene Personen mit einem Unterlassungsbegehren darauf beschränkt sein, nach Art. 77 Abs. 1 DSGVO Beschwerde bei einer zuständigen Aufsichtsbehörde einzulegen.
Klagemöglichkeit von Wettbewerbern
Ein weiteres aktuelles Vorlageverfahren betrifft die Klagemöglichkeit von Wettbewerbern gegen einen Verantwortlichen, der gegen Vorschriften der DSGVO verstößt (BGH, Beschl. v. 12.01.2023, Az. I ZR 223/19).
In dem Verfahren, das der BGH zu entscheiden hat, klagt ein Apotheker gegen einen anderen Apotheker, der apothekenpflichtige Medikamente über Amazon vertreibt. Der Kläger ist der Ansicht, dass es sich bei den Bestelldaten um Gesundheitsdaten handele, für deren Verarbeitung der Beklagte eine Einwilligung einholen müsse, die er jedoch nicht eingeholt habe. Der Kläger verlangt auf der Basis von §§ 3a, 8 UWG die Unterlassung der Verarbeitung ohne die Einholung einer Einwilligung. Der BGH hat dem EuGH u.a. die Frage vorgelegt, ob die DSGVO nationalen Regelungen entgegensteht, die Mitbewerbern die Befugnis einräumen, wegen Verstößen gegen die DSGVO klageweise gegen den Verletzer vorzugehen. Hintergrund dieser Frage ist, dass die DSGVO – anders als bei betroffenen Personen selbst und Verbraucherverbänden (siehe oben) – keine Klagemöglichkeit regelt. Soweit der EuGH die Rechtsschutzmöglichkeiten der DSGVO als abschließend ansieht, wäre eine Klage von Wettbewerbern auf der Basis des UWG ausgeschlossen.
Kommt der EuGH zu dem Ergebnis, dass Raum für nationale Klagemöglichkeiten neben der DSGVO bestehen, wird der BGH zu entscheiden haben, ob es sich bei Datenschutzverstößen um Markverhaltensregelungen i.S.v. § 3a UWG handelt. Diese Frage war in der deutschen Rechtsprechung bislang umstritten. Die Entscheidung des EuGH und die mögliche nachfolgende Entscheidung des BGH wird nun endgültig klären, ob das UWG Wettbewerbern eine Abmahnung und Klage im Fall von Datenschutzverstößen ermöglicht. Diese Frage ist für die Praxis von höchster Relevanz. Sollte eine solche Abmahnmöglichkeit bestehen, könnten Abmahnungen wegen DSGVO-Verstößen endgültig zu einem Massenphänomen werden.
Marco Degginger
Legal Tech Tools - Digitale Anwendungen für effizientere Lösungen
Endecken Sie unser umfangreiches Legal Tech Angebot! Erfahren Sie mehr ...
Christian Saßenbach
LL.M. (Norwich), CIPP/E
AssociateRechtsanwalt
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 115
M +49 151 1765 2240
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126
