auftragsdatenverarbeitung

Sanktionen, Bußgelder und Schadensersatzpflicht – das neue Hinweisgeberschutzgesetz ist da!

Seit 02.07.2023 ist das neue Hinweisgeberschutzgesetz in Kraft – eine echte Herausforderung für Unternehmen. Mit dem Hinweisgeberschutzgesetz (HinSchG) trifft Unternehmen ab einer gewissen Größenordnung die gesetzliche Pflicht, eine interne Meldestelle einzuführen.

Die Einrichtung des Hinweisgeberverfahrens gilt dabei für Unternehmen mit mehr als 250 Beschäftigten bereits seit 02.07.2023. Kleineren Betrieben mit mehr als 50 Beschäftigten, aber weniger als 250 Mitarbeitenden wird noch eine „Schonfrist“ bis zum 17.12.2023 zur Implementierung einer internen Meldestelle eingeräumt.

Die Anschaffung und die Inbetriebnahme eines funktionierenden Hinweisgebersystems verursachen Aufwände in finanzieller und personeller Hinsicht. Gerade kleinere Unternehmen stehen vor der Frage, einen professionellen Anbieter eine Meldestelle zu beauftragen oder eigene betriebsinterne Personalressourcen für die Entgegennahme und Bearbeitung von Hinweisen entsprechend einzusetzen und zu schulen. Nicht zuletzt verlangt das HinSchG für die mit dem internen Meldesystem beauftragten Mitarbeiter eine gewisse Fachkunde, sodass entsprechende Schulungen für das Personal zu empfehlen sind, um eine ordnungsgemäße Bearbeitung von Hinweisen zu gewährleisten.

Die Einführung eines internen Meldesystems sollte von Betriebsinhabern und Geschäftsführern nicht stiefmütterlich behandelt werden, auch wenn die Nicht-Umsetzung eines internen Hinweisgebersystems oder aber eine kostengünstige Hinweisgeberplattform, wie eine einfache E-Mail-Adresse, zunächst lukrativer erscheint.

Ordnungswidrigkeiten nach dem HinSchG – gestaffelte Bußgelder

Verstöße gegen die Vorgaben des HinSchG können als Ordnungswidrigkeiten mit empfindlichen Geldbußen bewertet werden. § 40 Abs. 2 HinSchG normiert als bußgeldbewehrten Tatbestand, die Nicht-Einrichtung und Nicht-Inbetriebnahme einer internen Meldestelle trotz gesetzlicher Verpflichtung der Implementierung eines internen Meldesystems. Gleichzeitig werden die Behinderung der Kommunikation entgegen der gesetzlichen Vorschiften und der Verstoß gegen Repressalien mit Bußgeldern bedroht. Gemäß § 40 Abs. 3 HinSchG stellt auch die Verletzung der Vertraulichkeit ein bußgeldbewährtes Verhalten dar.

Die Bußgelder nach dem HinSchG unterliegen einer Staffelung:

Der Gesetzgeber hat Unternehmen ab 250 Beschäftigten aufgrund der kurzen Frist zwischen Verkündung des Gesetzes und Inkrafttreten ab dem 02.07.2023 eine „Übergangsfrist“ hinsichtlich der Verhängung von Bußgeldern wegen Nicht-Einrichtung einer internen Meldestelle gewährt. So werden Bußgelder wegen Nicht-Einrichtung erst ab dem 01.12.2023 vorgesehen. Während die Nicht-Einrichtung einer internen Meldestelle eine Geldbuße bis zu 20.000 € nach sich ziehen kann, fallen die Bußgelder für die Behinderung der Kommunikation und dem Einsatz von Repressalien deutlich höher aus.

Die Behinderung der Meldung von Hinweisen oder die Kommunikation zwischen hinweisgebender Person und der Meldestelle kann ebenso wie die Androhung oder Anwendung von Repressalien gegenüber hinweisgebenden Personen und die Verletzung der Vertraulichkeit mit einer Geldbuße von bis zu 50.000 € geahndet werden. Unter bestimmten Voraussetzungen verzehnfacht sich das Höchstmaß der Geldbuße im Fall der Behinderung der Kommunikation oder dem Einsatz von Repressalien auf mitunter 500.000 €. Betriebsinhaber, die sich aus finanziellen Gründen weigern eine interne Meldestelle einzuführen und darauf spekulieren, dass die Nicht-Implementierung unentdeckt bleibt, riskieren daher ein erhebliches Bußgeld, welches in der Summe höher ausfallen dürfte als die Einrichtung einer internen Meldestelle und die dazugehörige Personalschulung oder Beauftragung externer Dritter.

Kostengünstige Meldestellenvarianten – Problem der Vertraulichkeit

Die Verunsicherung vieler Unternehmen hinsichtlich der Einrichtung eines internen Meldesystems ist groß. Es gibt daher vielerorts Überlegungen, ein internes Meldesystem durch geringfügige Änderungen zu generieren.

Eigene Meldekanäle wie betriebseigene E-Mail-Adressen über einen allgemeinen E-Mailanbieter werden ebenso wie allgemeine Telefonhotlines den Anforderungen des Vertraulichkeitsgrundsatzes nach dem HinSchG nicht gerecht. Es besteht bei diesen Alternativen keinerlei Garantie, dass ausschließlich die mit dem internen Meldesystem beauftragte Person Zugriff auf interne Meldekanäle erhält und die Anonymität des Hinweisgebenden gewahrt wird.

Nicht zuletzt die interne IT-Administration des Unternehmens oder des Server-Anbieters kann auf das entsprechende E-Mail-Konto zugreifen und so die Kommunikation mitlesen. Die Rufnummer des Hinweisgebers kann gespeichert und ausgelesen werden, sodass Rückschlüsse auf den Hinweisgebenden bzw. sogar auf den Inhalt des Hinweises gezogen werden können.

Dies steht im direkten Widerspruch zum Vertraulichkeitsgebot des HinSchG. Das gesamte Hinweisgebersystem beruht auf dem Schutzgedanken des Hinweisgebers und muss dergestalt konzipiert sein, ein Meldesystem einzurichten, bei welchem die Vertraulichkeit der Identität der hinweisgebenden Person gewahrt wird. Nur die beauftragten Personen, die eingehende Hinweise bearbeiten, sollen auf diese Informationen Zugriff haben, sofern nicht eine Weitergabe nach § 8 HinSchG zulässig ist.

Weitergehende Schutzvorkehrungen wie eine Zwei-Faktor-Authentifizierung sind bei den genannten Konstellationen auch nur schwer realisierbar, aber zum Schutz der Vertraulichkeit dringend anzuraten. Beispielsweise bei Verhinderung der für die Meldestelle beauftragten Person müssen Zugangsbeschränkungen zur Hinweisgeberplattform wie Passwörter etc. an Vertreterpersonen weitergegeben werden. Dies stellt mitunter ein weiteres Risiko dar, dass Unberechtigte Zugang zur Hinweisgeberplattform erhalten oder etwa ausgeschiedene Mitarbeitende auch nach Beendigung des Arbeitsverhältnisses auf ein allgemeines E-Mail-Postfach zugreifen können.

Auch aus datenschutzrechtlicher Sicht bereiten derartige kostengünstigere Varianten Probleme, sodass hier weitere Bußgelder für die Unternehmen oder Betriebe drohen können.

Schadensersatz bei Verstößen – weitere finanzielle Belastung für Unternehmen

Neben den genannten empfindlichen Bußgeldern verpflichtet der Gesetzgeber Unternehmen und Betriebe zur Zahlung von Schadensersatz. Wird eine hinweisgebende Person im Zusammenhang mit ihrer beruflichen Tätigkeit nach einer Meldung benachteiligt, so steht ihr nach dem HinSchG ein Anspruch auf Schadensersatz zu. Dieser Anspruch besteht neben der Auferlegung des Bußgeldes, sodass es hier zu einer doppelten finanziellen Belastung des Unternehmens kommen kann. 

Fazit

Das HinSchG stellt betroffene Unternehmen vor besondere Herausforderungen. Um hohe Bußgelder zu vermeiden, sollten Unternehmen innerhalb der für sie geltenden Frist IT-geschützte Hinweisgebersysteme einführen und entsprechende Kosten auf sich nehmen, um später nicht mit noch größeren finanziellen Konsequenzen konfrontiert zu werden.

Wir beraten Sie gerne zu den rechtlichen Anforderungen nach dem HinSchG und unserem sicheren Hinweisgebersystem White Sparrow der MKM Compliance GmbH.

Wer muss bei Datenschutzverstößen zahlen? Klarheit durch EuGH-Urteil erwartet

Grundsätzlich können Verstöße gegen die Datenschutzgrundverordnung gemäß den Vorgaben aus Art. 83 Abs. 4, 5 und 6 DSGVO mit einem Bußgeld geahndet werden. Die deutschen Gerichte beschäftigt nach wie vor die Frage, ob ein Unternehmen als Verantwortlicher unmittelbar und ohne weitere Nachweise unmittelbar haftet oder nicht doch ein (schuldhafter) Verstoß eines leitenden Beschäftigten nachgewiesen werden muss.

Worum dreht sich der Streit?

Im Kern dreht sich der Streit um die Frage, ob bei der Verhängung von Bußgeldern das Funktions- oder das Rechtsträgerprinzip Anwendung findet. Bei Anwendung des Funktionsprinzips kann ein Bußgeld gegen ein Unternehmen bereits dann verhängt werden, wenn ein objektiver Verstoß eines Beschäftigten des Unternehmens vorliegt. Fordert man dagegen die Anwendung des Rechtsträgerprinzips, so könnte ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn nachgewiesen werden kann, dass eine Leitungsperson in Wahrnehmung ihrer Aufgabe einen schuldhaften Verstoß begangen oder ihre Aufsichtspflichten verletzt hat.

Diese Frage wird in naher Zukunft durch den Europäischen Gerichtshof (EuGH) beantwortet werden, da das Kammergericht Berlin (begrüßenswerterweise) im Wege des Vorabentscheidungsersuchens dem EuGH diese nicht ganz unwesentliche Rechtsfrage vorgelegt hat.

Datenschutzkonferenz hat sich bereits positioniert

Die Deutsche Datenschutzkonferenz (kurz DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, hat sich in der Frage bereits positioniert und eine Pressemitteilung veröffentlicht.

Wenig überraschend hält die DSK das Funktionsträgerprinzip für anwendbar und lehnt die Anwendung des Rechtsträgerprinzips ab.

Die DSK begründet ihre Ansicht mit dem Adressatenkreis von Bußgeldern, der sich unmittelbar aus der DSGVO ergäbe und direkt auf Unternehmen abziele. Weiter führt die DSK an, dass sich aus Satz 3 des Erwägungsgrunds 150 eindeutig ergebe, dass hier das Funktionsträgerprinzip Anwendung finden müsse. Dieser sei von den Gerichten zwingend bei der Auslegung der Bußgeldvorschriften der DSGVO zu berücksichtigen.

Wann ist mit einem Urteil zu rechnen und welche Folgen hat dies für Unternehmen?

Das Gutachten des Generalanwalts, das für Ende April angekündigt wurde, wird einen ersten Hinweis liefern, wie der EuGH entscheiden könnte. In der Regel entscheidet der EuGH zeitnah nach Veröffentlichung des Gutachtens. Ein Termin zur Entscheidungsverkündung wurde jedoch noch nicht bekannt gegeben. Insofern darf die weitere Entwicklung mit Spannung erwartet werden.

Die Entscheidung des EuGH wird weitreichende Folgen für die Verhängung von Bußgeldern haben. Folgt der EuGH der Auffassung der Datenschutzkonferenz, so können wesentlich leichter Bußgelder verhängt werden. Entscheidet sich der EuGH für die Anwendung des Rechtsträgerprinzips, so müssten die Datenschutzbehörden vor Verhängung eines Bußgeldes einen Verstoß einer Leitungsperson feststellen und nachweisen. Dies stellt in der Praxis erheblich höhere Anforderungen an den Bußgeldbescheid dar als bei Anwendung des Funktionsträgerprinzips, da hier der konkrete Nachweis nicht weiter erbracht werden muss.

Am besten ist es jedoch ohnehin, es erst gar nicht zu Verstößen kommen zu lassen. Unser Datenschutz-Team berät Sie gerne und findet für Sie passgenaue und datenschutzkonforme Lösungen.

Sollte „das Kind schon in den Brunnen gefallen sein“ unterstützen wir Sie nicht minder gerne bei der Abwehr der von den Behörden gestellten Forderung.

Autor: Fabian Dechent (Rechtsanwalt)

ChatGPT – Rechtliche Herausforderungen im KI-Zeitalter

Manch einer witzelt, man solle doch erst einmal die natürliche Intelligenz stabilisieren, bevor man sich an die künstliche wagt. Davon abgesehen ist die Entwicklung der künstlichen Intelligenz (KI, AI) nicht aufzuhalten. Mehr noch: Sie hat in der letzten Zeit dermaßen an Fahrt aufgenommen, dass es vielen Beobachtern schwindelig wird. Wir können im Augenblick nur vermuten, wie sich unser Leben in den nächsten Jahren aufgrund des Fortschritts verändern wird. Und wie meist hinkt die Rechtsordnung der technischen Entwicklung meilenweit hinterher.

Gerade ChatGPT („Chat Generative Pre-trained Transformer“), der selbstlernende Chatbot von OpenAI, ist aus der Sicht vieler Unternehmern schon jetzt sehr attraktiv – wir sparen uns an dieser Stelle, die KI-Anwendung näher zu beschreiben. Die Entwicklung des Tools gipfelte kürzlich in der Version 4.0, die nicht mehr kostenfrei, aber dafür noch wesentlich leistungsfähiger sein soll. Es ist höchste Zeit, die rechtlichen Probleme beim Einsatz von ChatGPT zu beleuchten, da vor dem Einsatz von KI-gestützten Tools Haftungs- und anderen Fragen geklärt werden sollten.

Die Sache mit dem Copyright

Zum Einstieg lohnt sich der Blick auf eine naheliegende Schwierigkeit, die sich bei näherer Betrachtung in zwei Unterprobleme aufteilt: Zum einen muss man sich fragen, ob man bei der Verwendung der automatisch generierten Texte nicht zumindest teilweise das Urheberrecht eines Dritten verletzt. Es erscheint nicht ausgeschlossen, dass sich im Text – wenn auch zufällig – Passagen befinden, die wortgleich bereits anderweitig veröffentlicht sind. Zum anderen sollte der Verwender wissen, dass es zumindest nach dem bisherigen Stand der Diskussion schwierig wird, andere Dritte von der Verwendung der eigens generierten Texte abzuhalten – denn sie sind in der Regel keine urheberrechtlich geschützten Werke, da sie nicht durch einen Menschen geschaffen wurden. Wer also ein kreatives Marketing betreibt und dazu KI-Texte verwendet, sollte bei schmissigen Slogans aus der KI-Küche gleich an Markenschutz denken, um sich abzusichern.

Probleme mit Datenschutz und Geschäftsgeheimnissen

Bekannterweise sperrte die italienische Datenschutzbehörde ChatGPT kurzerhand, auch in anderen Ländern steht die Anwendung auf dem Prüfstand. Die deutsche Datenschutzkonferenz (DSK), bestehend aus den Landes- und dem Bundesbeauftragten für Datenschutz, prüfen noch eingehend, wie sie sich zum Verhältnis von ChatGPT zur DSGVO positionieren sollen.

Was es den Datenschützern so schwer macht, ist, dass die KI trotz anderslautender Bekundungen (Stichwort: OpenAI) überwiegend eine intransparente Blackbox ist. Von außen ist der Algorithmus nicht zu durchschauen, Quellen und Verwendungen von enthaltenen personenbezogenen Daten bleiben unklar. Eine relativ offensichtliche Hürde, die Datenschutz-Folgeabschätzung, die nach nach Art. 35 DGSVO bei einer solch bahnbrechenden Technik obligatorisch ist, muss eigentlich vor der erstmaligen Datenverarbeitung genommen werden – das gilt übrigens auch für den Anwender!

Angesichts der unklaren Verwendung der Daten durch OpenAI sollte auch tunlichst davon abgesehen werden, Geschäftsgeheimnisse für ChatGPT zugänglich zu machen: Zum einen können die Informationen dadurch den Schutzstatus nach dem GeschGehG verlieren, zum anderen ist eine Aneignung der Geheimnisse durch Dritte durchaus denkbar. Vor der erstmaligen Verwendung der KI-Unterstützung sowie in regelmäßigen Abständen sollten Mitarbeiter zu diesen Gefahren zwingend geschult werden.

Unternehmen sollten nicht vergessen, dass ChatGPT sekündlich mit Daten gefüttert wird und nicht selten auch wieder welche ausspuckt. Unternehmen, die KI-gestützt arbeiten möchten und solche Anbieter verwenden, sollten es grundsätzlich vermeiden, in solche Systeme personenbezogene Daten über Mitarbeiter, Kunden etc. einzugeben – insbesondere besonders geschützte Daten i.S. des Art. 9 DSGVO. Sollte es dennoch zu Datenschutzverletzungen kommen, drohen Geldbußen sowie die Geltendmachung von Ansprüchen durch Betroffene. Im Augenblick sollte der Blick fortwährend den Veröffentlichungen der Datenschutzbehörden gelten: Wird die Nutzung von ChatGPT auch hierzulande untersagt, ist die gleichwohl fortgesetzte Nutzung bereits Grund genug für eine Haftung.

Es menschelt – die rechtsverletzende Maschine

Die Maschine lernt letztlich vom menschlichen Verhalten. Es bedarf keiner großen Lebenserfahrung, um zu wissen, dass eine stark angepasste KI in der Lage ist, nicht nur moralisch verwerfliche, sondern auch strafwürdige Texte von sich zu geben. Wie man festgestellt hat, kann ChatGPT nicht nur versehentlich Unwahres verfassen, sondern auch bewusst lügen, um gesteckte Ziele zu erreichen. Die Komplexität heutiger Anforderungen an Political Correctness kommt erschwerend hinzu, wenn man als Unternehmen mit Formulierung nach außen auftritt: diskriminierende Äußerungen werden schnell publik, der Ruf wird mitunter irreparabel geschädigt.

Wenn man ChatGPT zum Thema Diskriminierung befragt, kommt die richtige Antwort, dass das KI-Sprachmodell gar nicht in der Lage ist, jemanden zu diskriminieren – es fehlt schlicht an einer Täterschaft. Die Organisation, die KI-Technologie einsetzt, beißen dann aber am Ende die sprichwörtlichen Hunde. Zu empfehlen ist daher, den Einsatz von KI damit zu vergleichen, dass man mit seinen Kindern irgendwo zu Besuch ist: man muss schon aufpassen, was sie erzählen. Umgesetzt bedeutet das, dass es eben Menschen als Aufpasser geben muss, die den Einsatz der KI in nicht zu großen Abständen evaluieren und jede Möglichkeit nutzen, um schädlichen Output im Ansatz zu verhindern. Gleichzeitig ist das Risiko von Rufschädigung, Geldbußen und Ansprüchen Dritter vor dem Einsatz von KI eingehend zu bewerten und der Nutzen vor dem Hintergrund möglicher Rechtsverletzungen ganz bewusst abzuwägen.

Blick in die Zukunft

In den nächsten Jahren wird die gesamte Riege der Gewaltenteilung auf die technische Entwicklung reagieren müssen: Die Gesetzgebung hat nicht die Zeit für lange ethische Diskussionen, zu groß sind die rechtlichen Unsicherheiten für die Anwender und die Betroffenen. Die Behörden versuchen derweil mit dem gegebenen Handwerkszeug, insbesondere dem Schwert des Datenschutzes, bedenklichen Entwicklungen zu begegnen – die Reichweite der Maßnahmen ist erfahrungsgemäß allerdings eher begrenzt. Nach einem zu langen Zeitraum werden dann Gerichte in vielen Einzelfällen zu einer gewissen Rechtssicherheit beitragen. Die Geschichte zeigt indes, dass alle staatlichen Maßnahmen vieles können, nur eines nicht: den Fortschritt aufhalten.

Bleiben Sie mit uns immer auf dem neuesten Stand der Entwicklungen. Vertrauen Sie auch in Sachen künstlicher Intelligenz lieber den Menschen von MKM.


Autor: Andree Hönninger (Rechtsanwalt I Fachanwalt für IT-Recht)