datenschutz

Kategorie: Datenschutz

Abheben mit Microsofts Copilot

Eine KI Sicherheitseinweisung

Am 13.03.2024 stimmte das EU-Parlament in Straßburg mehrheitlich für das KI-Gesetz, das wir in unserem Beitrag Mal was Intelligentes aus Brüssel – Die europäische KI-Verordnung kommt! bereits vorgestellt hatten. Einhelliger Tenor der Medien: Die Anwendung von KI birgt sowohl Vorteile als auch Risiken.

Was für viele Unternehmen immer noch sehr theoretisch klingt, ist für andere Firmen schon seit einigen Monaten gelebte Praxis. Spätestens, als Microsoft im Januar 2023 als Hauptaktionär von OpenAI noch einmal 10 Mrd. US-Dollar in die Macher von ChatGPT steckte, war abzusehen, dass die Integration der KI-Anwendung in die Produktpalette von Microsoft nicht lange auf sich warten lassen konnte. Das Ergebnis lässt sich sehen: Gleicht der Nutzer von Microsoft 365 einem Flugkapitän und sein Unternehmen dem Flugzeug, so stellt der Softwaregigant nun die bahnbrechende KI-Anwendung als hilfreichen Unterstützer zur Seite – eben einen Copiloten.

Diesem Bild folgend stellt sich angesichts des doch steilen Aufstiegs der KI bei manchen Firmen eine gewisse Flugangst ein. Die diffusive Befürchtung, mit der Nutzung von Copilot die Büchse der Pandora zu öffnen, führt zur Unsicherheit im Umgang mit einer Technologie, an deren Einführung am Ende aber niemand herumkommt. Wir wollen nachfolgend die wesentlichen Risiken skizzieren und Wege aufzeigen, um Bruchlandungen zu vermeiden.

1. Destination und Muster

Die Einsatzmöglichkeiten in Microsoft 365 sind schon für gewöhnliche Anwender äußerst vielfältig. In Word lassen sich ganze Dokumente zu einem Thema mithilfe von KI erstellen oder auch verbessern. Für alle, die mit Excel-Tabellen etwas fremdeln, kann Copilot mit Formeln und Analysen helfen. Die PowerPoint-Muffel freuen sich, dass die KI-Lösung Präsentationen entwerfen und optimieren kann. E-Mails schreiben sich in Outlook quasi von selbst und Teams-Meetings lassen sich mittels Copilot organisieren und mittels Transkription schnell dokumentieren.

Doch damit nicht genug: Nutzer von Dynamics (CRM, z.B. Sales, Marketing) verfügen über Möglichkeiten zur optimierten Kommunikation im Team und mit Kunden, Marketing-Kampagnen lassen sich mit neuen Ideen entwerfen oder steuern. Inhalte für Internetseiten wie z.B. FAQs, vorher mühsam zusammengetragen, lassen sich in Windeseile erstellen.

Abseits der Welt von Microsoft 365 ist eine Nutzung von Copilot als Einzellizenz natürlich auch möglich. An dieser Stelle liegt der Gedanke nicht fern, dass Mitarbeiter – mit oder ohne Wissen der Geschäftsführung – schon jetzt diese KI-Software anwenden, ohne dass eine offizielle Einführung seitens des Unternehmens vorliegt. Schon deshalb, weil die einfachen Lizenzen nicht das Datenschutzniveau der Unternehmenslizenzen erreichen, sollten Alleingänge nicht zugelassen werden. Die nachfolgende Ziffer 2 liefert weitere Gründe für ein geordnetes Vorgehen.

2. Ready for Takeoff?

Bevor dem Verlangen nach Implementierung von KI nachgegeben wird, es ist dringend anzuraten, zuerst einen gründlichen Checkup am Boden durchzuführen. Dafür ist es insbesondere erforderlich, nicht nur aus einer interessierten Abteilung wie z.B. Marketing heraus den Bedarf zu analysieren, sondern sämtliche Use Cases in allen erdenklichen Ausgestaltungen zu erfassen.

2.1.       Data Governance

Grundlegend sollte die Funktionsweise des integrierten Chatbots verstanden werden: Bei Microsoft 365 greift dieser u.a. auf Sharepoint und Teams-Kanäle zu. Das klingt zunächst vorteilhaft, wird allerdings in den vielen Fällen zum Problem: Der den Chatbot nutzende Mitarbeiter erhält – je nach Anfrage – eine Verarbeitung von Informationen aus allen Ordnern und Kommunikationen, zu denen er irgendwann einmal Zugriffsrechte erhalten hat. Wenn die Verteilung von Rollen und Rechten im Unternehmen aus dem Ruder gelaufen ist, gelangt der einzelne Nutzer – ob er es darauf anlegt oder nicht – in den Besitz von Informationen, die nicht für seine Augen gedacht sind und die er ohne KI-Hilfe auch niemals aufgefunden hätte. Welche Auswirkungen eine solches Szenario allein im Datenschutzrecht haben kann, muss wahrscheinlich an dieser Stelle nicht ausführlich dargestellt werden. Wenn es also jemals einen Zeitpunkt gegeben hat, von Seiten der IT das Berechtigungskonzept endlich zu überarbeiten oder gar zu erstellen, dann vor Einführung von Copilot.

Auch unabhängig von der Frage der Zugriffsrechte besteht in Sachen Data Governance in den allermeisten Fällen Optimierungsbedarf, wenn Copilot optimal genutzt werden soll. Ähnlich der Suchmaschinenoptimierung, die den Seitenbetreiber zur Verschlagwortung von Inhalten nötigt, ist es als wichtige Unterstützung des KI-Helfers zu betrachten, wenn Dateien nicht nur richtig klassifiziert, sondern auch in den Dateiinformationen mit sinnvollen Tags versehen werden. Microsoft bietet für das wichtige Dateimanagement die Lösung Purview an, es gibt allerdings auch noch jede Menge Alternativen auf dem Markt, die noch zusätzliche Features bieten.

2.2.       KI-Richtlinie und deren Umsetzung

Daneben sollte auf der Checkliste vor dem Start auch das Thema Information und Schulungen von Mitarbeitern auftauchen. Zum einen bieten interne Richtlinien zum Thema die Gelegenheit, Regeln für die Anwendung mitzugeben und damit klar Grenzen zu setzen. Zum anderen wäre es am Ende des Tages auch ein Haftungsproblem, wenn die Nutzer im Unternehmen völlig freie Bahn eingeräumt bekommen und keinerlei Kontrolle ausgeübt wird. Nicht zuletzt sieht der dann zur Geltung kommende KI-Act zumindest mittelbar die Pflicht vor, bei den Beschäftigten eine ausreichende KI-Kompetenz herbeizuführen – wenn man so will einen Copiloten-Schein. Naturgemäß sollte diese Kompetenz bereits vorliegen und die Regeln im Unternehmen stehen, bevor die Anwendung live geht.

2.3.       Datenschutz

Wie immer vor Einführung einer neuen Anwendung freut sich der Datenschutzbeauftragte über eine Einbindung vor dem Start. Auch wenn kein Beauftragter bestellt ist, müssen vor dem Einsatz von Copilot wichtige Punkte abgearbeitet werden.

Eine im Verhältnis noch einfache Aufgabe ist die Vervollständigung der Dokumentation. Dazu gehört natürlich die Erstellung bzw. die Ergänzung eines Eintrags im Verarbeitungsverzeichnis, aber auch die Vorprüfung sowie ggf. die Durchführung einer Datenschutz-Folgenabschätzung. Schwieriger wird die Frage der Auftragsverarbeitung durch Microsoft bei der Nutzung von Copilot, da nach den im Moment zur Verfügung stehenden Informationen unklar ist, ob die dafür erforderlichen vertraglichen Grundlagen wie das Data Protection Addendum gelten. Anscheinend ist auch die Auswahl der Rechenzentren (Stichwort EU Data Boundary) nicht automatisch beschränkt, die Zulässigkeit einer vorliegenden Drittlandsübermittlung ist daher ggf. zu prüfen.

Nach den aktuellen Nutzungsbedingungen wird von Microsoft immerhin zugesichert, dass die in den Chat eingefügten Daten zum einen nur für die Zwecke der Copilot-Nutzung kurzzeitig gespeichert werden und dass zum anderen ausgeschlossen ist, dass die Daten zum weiteren Training der KI genutzt werden. Wichtig ist jedenfalls, dass vor der Implementierung allseits Klarheit darüber herrscht, dass die KI nicht zur automatisierten Entscheidungsfindung im Sinne des Art. 22 DSGVO genutzt werden darf – am Ende muss daher stets noch eine menschliche Prüfung und Bewertung der Ergebnisse stattfinden, bevor Kunden oder Mitarbeiter vom Output der Maschine tangiert werden.

3. Mögliche Turbolenzen

Die mit Copilot einhergehenden Probleme unterscheiden sich grundsätzlich nicht von denen, wie sie allgemein zum Thema KI diskutiert werden. Es ist nachvollziehbar, dass erhebliche Risiken in Kauf genommen werden, wenn der unter Ziffer 2 empfohlene Checkup nicht beherzigt wird. Gerade die in vielen Unternehmen zu leichtfertig gehandhabte Berechtigungsstruktur kann in Einzelfällen Ärger im Betrieb und mit Behörden auslösen. Die wichtige Schulung der Mitarbeiter auf den richtigen Umgang mit KI sowie die sorgfältige Auswahl von Einstellungen der Software können wertvolle Hilfen zur Risikominimierung sein.

Weitere Gefahren lauern derweil bei der Nutzung der Ergebnisse, die mit KI erzielt werden. Microsoft weist in den Nutzungsbedingungen und weiteren Informationen nicht nur darauf hin, dass KI dem Grunde nach fehlerhaft arbeitet und sich bisweilen unwahre Behauptungen zusammenreimt („Halluzinieren“), sondern gibt auch den Hinweis, dass die mit Copilot geschaffenen Texte nicht den Anspruch erheben, dem Nutzer das alleinige Nutzungsrecht zu verschaffen. Microsoft erhebt anscheinend keinen Anspruch auf das „Eigentum“ an den geschaffenen Daten, es kann daher bei der Nutzung auch keinerlei Recht vom Anbieter abgeleitet werden. Ohne das Thema Urheberecht bei KI, zu dem die KI-Verordnung keinen Lösungsansatz liefert, zu sehr zu vertiefen, soll hier jedoch das Problembewusstsein im Umgang mit den Kreationen ausgelöst werden. Es ist z.B. denkbar, dass der durch Copilot erschaffene Werbespruch für das Marketing untauglich ist, weil er bereits zuvor von anderen erschaffen und auch geschützt wurde.

Inwiefern die offenkundig mit der Nutzung einhergehende Beschleunigung von Prozessen gegenüber Personen, die von den Ergebnissen der KI betroffen sind oder für die die Ergebnisse aufgrund vertraglicher Verpflichtungen geschaffen werden, dazu zwingt, die Nutzung der KI transparent zu machen, wird eine Frage sein, mit der sich die Unternehmen beschäftigen müssen – die KI-Verordnung ordnet eine solche Transparenz jedenfalls grundsätzlich an. Angesichts der bekannten Fehleranfälligkeit der Anwendung erscheint es aus Haftungsgründen sogar ratsam, die Einbindung von KI offenzulegen, auch wenn dies nicht von der Verpflichtung der menschlichen Aufsicht über die Maschine ablenken kann.

4. Wir wünschen einen guten Flug!

Der Copilot ist kein echter Autopilot. Trotz aller anzuerkennenden Erleichterungen, die die KI im Arbeitsalltag mit Microsoft-Produkten bringen kann, sollte der Mensch weiter das Steuer in der Hand halten. Eine Einführung ohne grundlegende Vorbereitungen käme einem Blindflug gleich, sie sollten daher durchaus ernstgenommen werden. Das Thema KI gehört auch dann auf die Tagesordnung, wenn eine offizielle Einführung im Unternehmen gar nicht geplant ist – dafür ist es für die Mitarbeiter viel zu verlockend, sich mit Anwendungen wie Copilot heimlich die Arbeit zu erleichtern.

Und nein, dieser Text ist nicht durch künstliche, sondern durch menschliche Intelligenz kreiert worden, was man vielleicht an der bildhaften Sprache erkennen kann. Wenn wir Sie und Ihr Unternehmen bei der Implementierung von KI-Anwendungen rechtlich unterstützen können, werden wir das ebenfalls auf ganz persönliche Weise gerne tun.

Die Kündigung als datenschutzrechtliches Risiko

Wenn Mitarbeitende gehen – was bleibt – ist das Bußgeld?

Der Europäische Datenschutzausschuss (EDSA) hat bereits 2021 Leitlinien „zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten“ in der Version 2.0 veröffentlicht. Darin hat sich der EDSA auch mit der internen menschlichen Risikoquelle beschäftigt. Nach der EDSA-Leitlinie Beispielsfall 8 kann es auch einen datenschutzrechtlichen Verstoß darstellen, wenn ein Mitarbeitender nach einer Kündigung – unabhängig davon, ob es sich um eine Eigenkündigung oder eine Kündigung durch den Arbeitgeber handelt – weiterhin Zugriff auf personenbezogene Daten von anderen Mitarbeitenden oder von Kunden hat. Dies gilt unabhängig davon, ob der Mitarbeitende die Daten für seine Arbeit bis zur Beendigung des Arbeitsverhältnisses benötigt. Es stellt sich daher die Frage, was Arbeitgeber im Arbeitsverhältnis zu beachten haben, damit der größte Wert des Unternehmens, die Mitarbeitenden, nicht zum größten Schaden des Unternehmens werden.

Im Folgenden geben wir Ihnen einen Überblick über mögliche Maßnahmen, die der Arbeitgeber nach Ausspruch einer Kündigung im Arbeitsverhältnis beachten sollte.

1. Vertragliche Maßnahmen

Der erste Schritt im Rahmen einer Kündigung sollte immer sein, den Mitarbeitenden noch einmal an die Pflichten aus der Datenschutzbelehrung und etwaigen Verschwiegenheitspflichten zu erinnern. Dies kann direkt im Kündigungsschreiben geschehen oder bei der Bestätigung des Eingangs der Kündigung. Soll die Erinnerung an die Pflichten aus dem Arbeitsverhältnis mit einer Kündigungsbestätigung im Rahmen einer Eigenkündigung des Mitarbeitenden erfolgen, sollte diese zeitnah nach Erhalt der Kündigung mit dem Hinweis auf die datenschutzrechtlichen Pflichten sowie die Verschwiegenheitspflichten des Mitarbeitenden geschehen.

Im Kündigungsschreiben bzw. in der Kündigungsbestätigung kann auch nochmals auf bestehende Wettbewerbsverbote während der Kündigungsfrist hingewiesen werden. Dies bietet sich vor allem dann an, wenn der Mitarbeitende über einen längeren Zeitraum freigestellt werden soll oder geht, um sich selbständig zu machen.

Spätestens bei Beendigung des Arbeitsverhältnisses bzw. bei Freistellungen mit Beginn der Freistellung sollte der ausscheidende Mitarbeitende schriftlich aufgefordert werden, alle Schlüssel und alle im Rahmen des Arbeitsverhältnisses überlassenen oder sonst erhaltenen Arbeitsmittel, Originale sowie Kopien firmeninterner Unterlagen und Dateien herauszugeben bzw. zu löschen und dies schriftlich zu bestätigen.

2. Technische und organisatorische Maßnahmen

Nach Ausspruch einer Kündigung sollten zudem organisatorische Maßnahmen vom Arbeitgeber ergriffen werden, um personenbezogene Daten und Geschäftsgeheimnisse zu schützen. In den EDSA-Leitlinien wird unter anderem genannt, dass Zugriffe protokolliert und gekennzeichnet werden oder gar bestimmte Formen des Zugangs ganz entzogen werden. Die Verwendung von privaten externen Speichermedien sollte bereits im laufenden Arbeitsverhältnis verboten werden, um einen Virenbefall zu vermeiden. Darüber hinaus kann über eine Schnittstellensicherheit oder den Einsatz von Software zur Kontrolle von Computerschnittstellen verhindert werden, dass externe Speichermedien angebracht werden.

Im Falle einer Kündigung muss zudem ggfs. erneut geprüft werden, welche Zugriffe der betroffene Mitarbeitende für die Ausübung seiner vertraglich geschuldeten Tätigkeit benötigt. Zugleich muss entschieden werden, ob weitere Einschränkungen ausreichen oder der einzelne Zugriff auf Daten durch den Mitarbeitenden protokolliert werden muss, sofern dies nicht bereits standardmäßig erfolgt (etwa bei besonders sensiblen Informationen).

Bei der Protokollierung sollte in Betrieben mit einem Betriebsrat eine Betriebsvereinbarung abgeschlossen sein, die eine Auswertung bzw. eine Prüfung der Zugriffe auch in diesen Fällen ermöglicht. In Betrieben ohne Betriebsrat sollte es hierzu eine interne Richtlinie geben. Hierbei ist maßgeblich, ob eine Privatnutzung der betrieblichen IT (Internet, E-Mail, etc.) erlaubt ist, um beurteilen zu können, ob ggfs. noch eine Einwilligung der Mitarbeitenden in die Auswertung benötigt wird oder in welcher Art und Weise auf die Protokolle zugegriffen werden kann.

Einige Firmen ermöglichen zudem einen Fernzugriff über private Endgeräte auf das E-Mail-Postfach oder firmeninterne Kommunikationsmöglichkeiten, durch die auch ein Zugriff auf Dateien ermöglicht wird oder nutzen – trotz aller datenschutzrechtlichen Bedenken – die Möglichkeit, dass Mitarbeitende ihre privaten Endgeräte für dienstliche Zwecke nutzen (Bring your own device – BYOD). Hierbei ist besonders darauf zu achten, dass der Fernzugriff für den Mitarbeitenden nach einer Kündigung bzw. spätestens nach Beendigung des Arbeitsverhältnisses nicht mehr möglich ist.

Bei BYOD sollte zudem bereits vor dem Beginn der Nutzung privater Endgeräte durch Mitarbeitende klar geregelt sein, wie unter anderem bei Ausscheiden zu verfahren ist. Generell sollte BYOD nur mit einer wirksamen Regelung (Betriebsvereinbarung, Richtlinie, individuelle Vereinbarung) erfolgen, um Daten auch im BYOD zu schützen. Denn auf privaten Endgeräten lässt sich ein Herunterladen von Daten durch den Arbeitgeber nur schwer nachweisen.

In Fällen, in denen eine weitere Beschäftigung nicht mehr gewünscht ist, weil Gründe vorliegen, aus denen eine weitere Beschäftigung nicht mehr hinnehmbar ist, kann auch eine entsprechende (widerrufliche oder unwiderrufliche) Freistellung des betroffenen Mitarbeitenden ausgesprochen werden, um so in jedem Fall einen weiteren Zugriff auf personenbezogene Daten und einen entsprechenden Missbrauch zu vermeiden. Wichtig ist dabei aber, dass Mitarbeitende aufgefordert werden, auch die Arbeitsmittel wie Diensthandy, Laptop, Schlüssel, etc. zurückzugeben und dass darauf geachtet wird, dass sie diese nicht während der Freistellung behalten.

3. Was tun, wenn es zu spät ist?

Zur Minderung der Auswirkungen, wenn Mitarbeitende Daten vor dem Ausscheiden „abgegriffen“ haben, müssen diese in einem ersten Schritt daran gehindert werden, die Daten weiter zu verwenden. Hierzu kann je nach Fall eine Aufforderung zur Einstellung der Nutzung der abgezogenen Daten oder gar ein rechtliches Vorgehen relevant sein. In einem solchen Fall sollte jedoch schnell gehandelt werden, um eine weitere Verbreitung der Daten zu vermeiden.

4. Fazit

Einen Einheitsweg für alle Fälle eines Ausscheidens gibt es nicht. Letztlich wird es immer erforderlich sein, bereits im laufenden Arbeitsverhältnis entsprechende Schutzmaßnahmen vertraglicher, technischer und organisatorischer Natur zu nutzen und diese im Falle einer Kündigung auszuweiten. Dabei kommt es jeweils auf den Einzelfall an. Nichts zu unternehmen kann für Arbeitgeber aber aufgrund von Bußgeldern im Bereich des Datenschutzes und des allgemeinen Verlustes von Geschäftsgeheimnissen teuer zu stehen kommen. Die aufgezeigten Möglichkeiten stellen daher keine abschließende Aufzählung dar. Kommen Sie bei Kündigungen gerne auf uns zu.

Recht auf Datenkopie – Neues vom EuGH

Noch immer herrscht in vielen Unternehmen so etwas wie Alarmstimmung, wenn Anträge auf Auskunft nach Artikel 15 Datenschutzgrundverordnung (DSGVO) eingehen. Das gilt besonders bei Auskunftsbegehren von gekündigten Mitarbeitern – oder solchen, die diesen Status anstreben. Der Schrecken liegt dabei weniger in der Aufzählung der Kategorien der verarbeiteten Daten mitsamt der Verarbeitungszwecke, da dies bei einem gepflegten Verarbeitungsverzeichnis keine große Sache sein sollte. Kopfzerbrechen bereitet vielmehr regelmäßig die mit dem Auskunftsersuchen verbundene Forderung nach Kopien der personenbezogenen Daten im Sinne des Artikel 15 Absatz 3 DSGVO. Bei Anträgen von langjährigen Mitarbeitern, Geschäftspartnern oder Kunden ist schon der Aufwand beim Sammeln der relevanten Dokumente immens. Da E-Mails, Briefe, Protokolle etc. wiederum regelmäßig personenbezogene Daten von Dritten sowie ggf. Geschäftsgeheimnisse beinhalten, wird in der Praxis meistens dann noch viel Zeit investiert, um Wörter und Passagen zu schwärzen. Die Frage ist, ob dieser ganze Aufwand wirklich immer nötig ist.

Das Recht des Betroffenen nach Artikel 15 Absatz 3 DSGVO

Nach Artikel 15 Absatz 3 DSGVO stellt der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“. Form und Frist zu diesem Anhängsel zur Auskunft ergeben sich aus Artikel 12 DSGVO. Ansonsten ist rund um das Recht auf Datenkopie einiges umstritten. Der wesentliche Streit dreht sich darum, was denn eigentlich Kopie in diesem Sinne bedeutet: Müssen ganze Dokumente oder gar Datenbanken zur Verfügung gestellt werden oder genügt es, wenn das konkrete personenbezogene Datum ohne Kontext mitgeteilt wird.

Der Betroffene soll durch die Auskunft des Verantwortlichen die Rechtmäßigkeit der Verarbeitungen überprüfen können. Zu diesem Zweck erzwingt Art. 15 DSGVO eine weitestgehende Transparenz, wozu auch der Einblick in die konkreten Verarbeitungen gehörten soll.

Die Meinung des EuGH…

Der EuGH hat nun in seinem Urteil vom 04.05.2023 (Az. C‑487/21) festgehalten, dass der Betroffene gemäß Art. 15 DSGVO das Recht hat, eine originalgetreue und verständliche Reproduktion aller vorhandenen Daten zu erhalten. Allerdings: Dokumente bzw. Datenbanken ganz oder in Auszügen muss man nur dann in Kopie herausgeben, wenn es unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen. „Kopie“ meint in diesem Zusammenhang nämlich nicht das Dokument an sich, sondern die personenbezogenen Daten, die darin zu finden sind.

…und warum das eine gute Nachricht für Verantwortliche ist

Die verantwortlichen Unternehmen werden darüber nicht auf den ersten Blick jubeln. Schließlich obliegt die Einschätzung dieser Unerlässlichkeit natürlich zunächst dem Verantwortlichen, weil er auf die Anfrage des Betroffenen reagieren muss. Es droht immer noch der Aufwand, bei jedem einzelnen Dokument, in dem ein personenbezogenes Datum des Betroffenen zu lesen ist, prüfen zu müssen, ob die Rechtmäßigkeit der Verarbeitung nur mittels des gesamten oder Teil des Dokuments geprüft werden kann.

Andererseits muss man bedenken, dass Unternehmen nun dazu neigen können, die ganze Sache erheblich zu vereinfachen: Der Betroffene erhält nur eine Darstellung der konkreten personenbezogenen Daten als Kopie, Dokumente dazu werden zunächst gar nicht herausgerückt – möge doch der Betroffene im zweiten Schritt darlegen, warum er den gesamten Kontext für seine Einschätzung der Rechtmäßigkeit braucht. Gerade im Streit mit Arbeitnehmern, die sich im Kündigungsprozess über den Kopieanspruch brisante Informationen besorgen möchten, könnte man dank EuGH den Informationsgehalt der Unterlagen erheblich reduzieren. Das DSGVO-Schwert, das Rechtsanwälte gern vorm Arbeitsgericht schwingen, würde zusehends stumpfer werden.

Betroffene sehen schwarz

Wenig hilfreich erscheint der Tipp des EuGH, dass bei der Auskunftserteilung die Rechte und Freiheiten anderer zu berücksichtigen sind – das steht so auch schon in Art. 15 Absatz 4 DSGVO. Auch der Hinweis, dass diese Berücksichtigung nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird, steht im Satz 6 des 63. Erwägungsgrunds zur DSGVO. Wann nun geistiges Eigentum, Geschäftsgeheimnisse oder schlicht personenbezogen Daten Dritter dazu führen dürfen, dass Wörter und ganze Passagen in einem Dokument geschwärzt werden, kann man mit diesen Allgemeinplätzen nicht im Einzelfall beantworten.

Andererseits hilft die Festlegung des EuGH in Bezug auf den Kopie-Begriff bei der vorzunehmenden Abwägung: Wenn der Betroffene die personenbezogenen Daten eines Dritten z.B. in einer E-Mail nicht sehen muss, um zu ergründen, ob sein Datum rechtmäßig verarbeitet wird, spricht nichts dagegen, die Daten des Dritten zu schwärzen, da sie gar nicht Teil der Datenkopie sein müssen. Man darf davon ausgehen, dass diese und ähnliche Fragen die Gerichte noch viele Jahre beschäftigen werden.

Sonderfall Patientenakte?

Eine der Fälle, die in Zukunft auch noch vom EuGH entschieden werden müssen, basiert auf dem Vorlagebeschluss des BGH vom 29.08.2022 (Az. VI ZR 1352/20). Da geht es u.a. um die für Ärzte nicht unerhebliche Frage, ob man Patienten für eine Kopie der Patientenakte zur Kasse bitten darf (so ausdrücklich § 630g Absatz 2 Satz 2 BGB) oder ob die Kostenfreiheit aus Artikel 12 Absatz 5 Satz 1 DSGVO vorgeht. Vor dem Hintergrund der oben dargestellten EuGH-Entscheidung möchte man folgende Antwort orakeln: Da eine Kopie der Daten nicht unbedingt ein ganzes Dokument darstellen muss, müsste der Arzt den Patienten vor die Wahl stellen dürfen: Kopien von Daten aus der Patientenakte mit mehr oder weniger Kontext gibt es kostenlos, eine komplette Aktenkopie gibt es nur gegen Entgelt. Dass der gemeine Bürger bei einer solchen Auswahl verwirrt den Kopf schütteln wird, scheint gewiss – aber so ist es in rechtlichen Dingen leider oft.

Fazit

Unternehmen, die zur Beantwortung von Auskunftsanfragen bereits Prozesse aufgesetzt haben, sollten diese nach den letzten EuGH-Urteilen auf den Prüfstand stellen – die anderen sollten einen solchen Prozess dringend aufsetzen. Zunächst muss man sich fragen, wie unter Berücksichtigung aller geschäftlichen Umstände des Verantwortlichen grundsätzlich mit Forderung nach Kopien umgegangen werden muss: Bei welchen Verarbeitungen von Mitarbeiter- oder Kundendaten liegt es in der Natur der Sache, dass die reinen Daten ohne das sie beinhaltende Dokument nicht ausreichend sein werden? Sodann muss man festlegen, ob man im Rahmen der Bearbeitung eines konkreten Kopiebegehrens eher eine rechtssichere aber dafür aufwändigere Reaktion zeigen möchte, die eben weiter die Übermittlung ganzer Dokumente vorsieht, oder ob dies eher zur Ausnahme gekürt werden soll. Egal, ob es um diese grundlegenden Weichenstellungen oder um die Hilfe bei der konkreten Auskunft geht: Wir von MKM stehen Ihnen immer professionell und kompetent mit Rat und Tat zur Seite.

Schadenersatz bei jedem Verstoß gegen die Datenschutzgrundverordnung?

Der EuGH hat am 04.05.2023 (EuGH C-300/21) darüber entschieden, ob allein bei Verstoß gegen Vorschriften der DSGVO (hier Verstoß gegen die Datenverarbeitung) der Datenverantwortliche an den Betroffenen Schadensersatz in Geld leisten muss. Das besondere an dem Fall war, dass der Betroffene Bürger gar keinen materiellen Schaden, sondern „nur“ einen immateriellen Schaden erlitten hatte, nämlich nach seiner Ansicht hat er „großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt“.

Der EuGH entschied recht eindeutig:

Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Schadenersatzanspruch hängt auch nicht davon ab, ob der entstandene (immaterielle) Schaden eine gewisse Erheblichkeit erreicht. Festlegungen zur Ermittlung der Höhe des Schadens sind Sache der Mitgliedsstaaten.

Was war passiert?

Die Österreichische Post sammelte Informationen über die politischen Affinitäten der österreichischen Bevölkerung und definierte mit Hilfe eines Algorithmus zu sozialen und demografischen Merkmalen „Zielgruppenadressen“. Daraus leitete die Österreichische Post ab, dass bestimmte Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei haben. Eine Übermittlung der verarbeiteten Daten an Dritte fand nicht statt.

Ein betroffener Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, begehrt vor den österreichischen Gerichten die Zahlung von 1 000 Euro. Er behauptete, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt.

Der österreichische Oberste Gerichtshof äußerte Zweifel, ob die DSGVO Schadenersatz für den Fall vorsieht, dass allein wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist und legt dem EuGH die Sache zur Vorabentscheidung mit folgenden drei Fragen vor:

  1. Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadenersatzanspruch zu begründen?
  2. Muss für den (immateriellen) Schadenersatz ein bestimmter Grad an Erheblichkeit erreichen werden?
  3. Welche unionsrechtlichen Vorgaben bestehen für die Festsetzung der Höhe des Schadenersatzes?

Nach der Entscheidung des EUGH ist der in der DSGVO vorgesehene Schadenersatzanspruch an drei kumulative Voraussetzungen geknüpft:

  1. Vorliegen eines Verstoßes gegen die DSGVO
  2. Vorliegen eines materiellen oder immateriellen Schadens, der aus diesem Verstoß resultiert
  3. Kausalzusammenhang zwischen dem Schaden und dem Verstoß

Nicht jeder Verstoß gegen die DSGVO begründet für sich genommen den Schadenersatzanspruch. Dem steht der klare Wortlaut der DSGVO entgegen. Nach den Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, führt ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden. Außerdem muss ein Kausalzusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere bei der Verhängung von Geldbußen, bei der ein individueller Schaden nicht nachgewiesen werden muss.

Der Gerichtshof stellt allerdings weiter fest, dass der Schadenersatzanspruch nicht auf (materielle und) immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Das entspricht nicht dem in der DSGVO gewählten weiten Verständnis des Begriffs „Schaden“. Würde zudem der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte die graduelle Abstufung von der Möglichkeit, Schadenersatz zu erhalten, nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen. Das läuft dem Willen des Unionsgesetzgebers an einer gleichartigen Umsetzung der DSGVO in den Mitgliedsstaaten entgegen.

Schließlich:

Die DSGVO kennt keine Regeln für die Bemessung des Schadenersatzes. Ausgestaltung von Klageverfahren und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes ist Aufgabe der einzelnen Mitgliedstaaten. Dabei soll aber ein vollständiger und wirksamer Schadenersatz für den erlittenen Schaden sichergestellt werden. Zur Frage des Verschuldens für einen Verstoß hat der EuGH in dieser Sache nicht entschieden. Dabei dürften aber die Schlussanträge des Generalanwaltes des EuGHs in der Rechtssache C-340/21 maßgeblich sein, der dort ausführt: „Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist“. Ergo: Zunächst hat einmal der Verantwortliche jeden Verstoß gegen die DSGVO zu verantworten.

TikTok – Publicity um jeden Preis & jedes Risiko

Das soziale Netzwerk TikTok erfreut sich immer größerer Beliebtheit, auch bei Unternehmen. Denn insbesondere soziale Netzwerke eignen sich ausgezeichnet, kostengünstig und mit geringem Aufwand für Leistungen und Produkte eines Unternehmens zu werben. Jedoch stellt die Nutzung sozialer Netzwerke, wie auch TikTok, Unternehmen vor allem in Bezug auf die Einhaltung datenschutzrechtlicher Bestimmungen vor immer neue Herausforderungen.

Bei TikTok handelt es sich um ein Videoportal für die Lippensynchronisation von Musikvideos und anderen kurzen Videoclips, das zusätzlich Funktionen eines sozialen Netzwerks anbietet und vom chinesischen Unternehmen ByteDance betrieben wird. Für Unternehmen besteht die Möglichkeit bei TikTok ein sog. Nutzerprofil “TikTok for Business” anzulegen. Sofern sich das Unternehmen dann einen sog. Business-Account eingerichtet hat, kann es kurze Videoclips erstellen, um beispielsweise neues Personal zu gewinnen oder für Produkte und Dienstleistungen zu werben. Dabei werden oft die eigenen Beschäftigten in den Fokus gestellt bzw. als Schauspielende herangezogen.

Unternehmen können durch die Veröffentlichung von Videos eine sehr schnelle virale Reichweite erzielen, die deutlich erfolgsversprechender ist als auf anderen Plattformen. Jedoch bringt die Nutzung von TikTok vor allem aus rechtlicher Sicht einige Gefahren mit sich, insbesondere hinsichtlich des Datenschutzes.

Funktionsweise von TikTok

Wie bereits eingangs erwähnt, wird TikTok vorwiegend dazu genutzt, kurze Videosequenzen hochzuladen, diese Videos mit anderen Nutzern zu teilen und somit den Bekanntheitsgrad des eigenen Unternehmens zu erhöhen. Hierzu kann sich der Nutzer auch der von TikTok zur Verfügung gestellten Musik und Filtern bedienen, um die Videos zu bearbeiten und anzupassen. Vor dem Hochladen des fertiggestellten Videoclips können zudem Produkte oder auch Personen verlinkt werden. Weiterhin besteht die Möglichkeit, die Option „Stitch“ auszuwählen, wonach Teile des eigenen Videos von anderen Nutzern auf TikTok mit deren Videos kombiniert werden können.

Nach Erstellung eines Videos erhält der Nutzer die Möglichkeit, das Video mit anderen Nutzern entweder privat (nur mit Nutzern, denen selbst gefolgt wird) oder öffentlich (für alle Nutzer sichtbar) zu teilen.

Sind Videos erst einmal veröffentlicht, können sie von anderen Nutzern geliked, kommentiert, gespeichert oder auch auf anderen sozialen Kanälen geteilt werden. Auch ist es anderen Nutzern möglich, ein von einem Unternehmen für die Öffentlichkeit hochgeladenes Video für den eigenen Kanal zu bearbeiten und anschließend selbst zu veröffentlichen. Teilen Nutzer das Video beispielsweise auf Twitter, erscheint das Video zunächst mit der Abbildung der ersten Videosequenz unter dem Bereich “Tweets” des Twitteraccounts. Zudem kann der Link des Videos auch per WhatsApp, den Facebook Messenger und weiteren Apps von anderen Nutzern an beliebige Dritte gesendet werden.

Die Datenerhebung durch TikTok

Aus datenschutzrechtlicher Sicht äußerst bedenklich ist vor allem das „direkte“ oder „indirekte“ Sammeln und Verarbeiten zahlreicher Nutzerdaten durch TikTok. Hierunter fallen beispielhaft folgende vom Nutzer bereitgestellte Daten:  

  • Name
  • Telefonnummer
  • E-Mail-Adresse
  • Name des Unternehmens und dessen Sitz
  • IP-Adresse

TikTok weist in seiner „privacy policy“ darauf hin, dass in einigen Fällen auch geschäftliche Informationen, wie z.B. berufliche Kontaktdaten gespeichert werden. TikTok führt in seiner „privacy policy“ jedoch nur eine beispielhafte Aufzählung an Nutzerdaten an, die gespeichert und ggf. verarbeitet werden. Damit herrscht eine große Unsicherheit, welche Daten konkret von dem jeweiligen Nutzer durch TikTok gespeichert und ggf. weiterverarbeitet werden.

Weitergabe der personenbezogenen Daten

Kritisch zu sehen ist die Weitergabe der erhobenen, personenbezogenen Daten durch TikTok an andere Unternehmen. So gibt die Plattform z.B. sämtliche erhobenen Daten an Drittanbieter weiter, die TikTok dabei helfen, die Werbung auf der Plattform zu messen und den Werbetreibenden dabei zu unterstützen, die Wirksamkeit ihrer Werbung zu ermitteln. Weiterhin werden durch TikTok die erhobenen personenbezogenen Daten an Geschäftspartner, andere Unternehmen der gleichen Gruppe, Analyseanbieter und viele mehr weitergegeben. TikTok weist in seiner „privacy policy“ ausdrücklich darauf hin, dass die Daten an Unternehmen in den Ländern, wie die USA, Hongkong und Singapur weitergeben und dort entsprechend gespeichert werden. Es ist hierbei oft völlig unklar, zu welchen Zwecken die anderen Unternehmen die personenbezogenen Daten übermittelt bekommen und anschließend verarbeiten.

Rechtliche Herausforderungen

1. Veröffentlichung von Werbevideos unter Einbeziehung von Beschäftigten als Darsteller

Unternehmen verwenden TikTok vor allem zu Werbezwecken. Dabei werden oft Videoaufnahmen von und mit Beschäftigten erstellt. Nachfolgend zeigen ausgewählte Beispiele, welche Herausforderungen sich hieraus ergeben können.

1.1 Die Einwilligung beteiligter Personen
Sofern Bild-, Video-, und Tonaufnahmen von Beschäftigten durch das Unternehmen angefertigt werden, muss hierfür eine Einwilligung von der betroffenen Person eingeholt werden. Aus datenschutzrechtlicher Sicht bedenklich ist hierbei, ob eine solche Einwilligung von den Beschäftigten überhaupt eingeholt werden sollte, da durch die Nutzung und das Hochladen eines Videos auf TikTok ggf. bereits datenschutzrechtliche Grundprinzipien nicht eingehalten werden können.

1.2 Widerruf der Einwilligung und das Recht auf Löschung
Selbst wenn das Unternehmen eine Einwilligung von den Beschäftigten eingeholt hat, stellt sich bei der Verwendung ein weiteres Problem hinsichtlich der Durchsetzung des Rechts auf Löschung der personenbezogenen Daten der betroffenen Person gem. Art. 17 Abs. 1 lit. b DS-GVO. Diese Norm schreibt u.a. eine unverzügliche Löschung personenbezogener Daten vor, wenn die Verarbeitung auf eine Einwilligung gestützt und diese anschließend widerrufen wurde und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Widerruft die beschäftigte Person nach Veröffentlichung des Videos seine Einwilligung, so hätte der Arbeitgeber das Video auf TikTok unverzüglich zu löschen. Zwar ist die Löschung des Videos auf TikTok durch den Nutzer, der das Video hochgeladen hat, auf dem Unternehmensprofil jederzeit möglich, allerdings ergibt sich hierbei das Problem, dass das von dem Unternehmen hochgeladene und inzwischen wieder gelöschte Video bereits durch andere Nutzer entweder auf TikTok oder auf anderen sozialen Netzwerken geteilt, gespeichert oder anderweitig verbreitet worden sein kann.

Gemäß der Datenschutzerklärung von TikTok kann der Nutzer TikTok zumindest darum bitten, die Daten ganz oder teilweise auf der Plattform zu löschen. Ob TikTok diesem Versprechen tatsächlich nachkommen wird bzw. überhaupt kann, ist aber mehr als fraglich. Infolge dessen wird es das Unternehmen als Arbeitgeber schwer haben, den gesetzlichen Löschungsanspruch der Beschäftigten nach erklärtem Widerruf der Einwilligungserklärung in der Praxis (rechtssicher) zu erfüllen.

2. Übermittlung der Daten an Drittländer

Wie eingangs näher beschrieben, werden alle erhobenen Daten der Nutzer der gesamten Unternehmensgruppe weitergegeben.

Darüber hinaus werden (personenbezogene) Daten in weitere, sog. “unsichere Drittländer” mit Sitz in Singapur oder den USA übermittelt, welche das in der EU geltende Datenschutzniveau nicht garantieren können.

TikTok nutzt zudem den Dienst Appsflyer, um Nutzerdaten zu sammeln und die Werbung entsprechend anzupassen. Dabei ist derzeit unbekannt, wohin die Daten von Appsflyer verteilt werden. Der Dienst nennt über 4.500 mögliche Partnerfirmen, die auf die Daten zugreifen können.

3. Beteiligung von externen Dritten an Videos

Weitere Herausforderungen ergeben sich, wenn das jeweilige Unternehmen nicht die eigenen Beschäftigten in die Videoaufnahmen einbezieht, sondern externe Dritte (z.B. Influencer oder Models) zur Mitwirkung an den Videos beauftragt. Hierbei sind nicht nur die Vorgaben der DSGVO zu beachten, sondern auch vertragliche Beziehungen und weitere Gesetze. Für diesen Fall ist eine umfassende Rechtsberatung erforderlich, bei der Ihnen das Team von MKM LEGAL weiterhelfen kann.

Fazit

Die Nutzung von TikTok für geschäftliche Zwecke ist in datenschutzrechtlicher Hinsicht mit vielen Schwierigkeiten und Herausforderungen verbunden. Wenn Sie mehr über die unternehmerische Nutzung von TikTok erfahren möchten und auf Ihre Anforderungen hin konkrete Handlungsempfehlungen wünschen, kontaktieren Sie uns gern.

Wer muss bei Datenschutzverstößen zahlen? Klarheit durch EuGH-Urteil erwartet

Grundsätzlich können Verstöße gegen die Datenschutzgrundverordnung gemäß den Vorgaben aus Art. 83 Abs. 4, 5 und 6 DSGVO mit einem Bußgeld geahndet werden. Die deutschen Gerichte beschäftigt nach wie vor die Frage, ob ein Unternehmen als Verantwortlicher unmittelbar und ohne weitere Nachweise unmittelbar haftet oder nicht doch ein (schuldhafter) Verstoß eines leitenden Beschäftigten nachgewiesen werden muss.

Worum dreht sich der Streit?

Im Kern dreht sich der Streit um die Frage, ob bei der Verhängung von Bußgeldern das Funktions- oder das Rechtsträgerprinzip Anwendung findet. Bei Anwendung des Funktionsprinzips kann ein Bußgeld gegen ein Unternehmen bereits dann verhängt werden, wenn ein objektiver Verstoß eines Beschäftigten des Unternehmens vorliegt. Fordert man dagegen die Anwendung des Rechtsträgerprinzips, so könnte ein Bußgeld gegen ein Unternehmen nur dann verhängt werden, wenn nachgewiesen werden kann, dass eine Leitungsperson in Wahrnehmung ihrer Aufgabe einen schuldhaften Verstoß begangen oder ihre Aufsichtspflichten verletzt hat.

Diese Frage wird in naher Zukunft durch den Europäischen Gerichtshof (EuGH) beantwortet werden, da das Kammergericht Berlin (begrüßenswerterweise) im Wege des Vorabentscheidungsersuchens dem EuGH diese nicht ganz unwesentliche Rechtsfrage vorgelegt hat.

Datenschutzkonferenz hat sich bereits positioniert

Die Deutsche Datenschutzkonferenz (kurz DSK), der Zusammenschluss aller deutschen Datenschutzaufsichtsbehörden, hat sich in der Frage bereits positioniert und eine Pressemitteilung veröffentlicht.

Wenig überraschend hält die DSK das Funktionsträgerprinzip für anwendbar und lehnt die Anwendung des Rechtsträgerprinzips ab.

Die DSK begründet ihre Ansicht mit dem Adressatenkreis von Bußgeldern, der sich unmittelbar aus der DSGVO ergäbe und direkt auf Unternehmen abziele. Weiter führt die DSK an, dass sich aus Satz 3 des Erwägungsgrunds 150 eindeutig ergebe, dass hier das Funktionsträgerprinzip Anwendung finden müsse. Dieser sei von den Gerichten zwingend bei der Auslegung der Bußgeldvorschriften der DSGVO zu berücksichtigen.

Wann ist mit einem Urteil zu rechnen und welche Folgen hat dies für Unternehmen?

Das Gutachten des Generalanwalts, das für Ende April angekündigt wurde, wird einen ersten Hinweis liefern, wie der EuGH entscheiden könnte. In der Regel entscheidet der EuGH zeitnah nach Veröffentlichung des Gutachtens. Ein Termin zur Entscheidungsverkündung wurde jedoch noch nicht bekannt gegeben. Insofern darf die weitere Entwicklung mit Spannung erwartet werden.

Die Entscheidung des EuGH wird weitreichende Folgen für die Verhängung von Bußgeldern haben. Folgt der EuGH der Auffassung der Datenschutzkonferenz, so können wesentlich leichter Bußgelder verhängt werden. Entscheidet sich der EuGH für die Anwendung des Rechtsträgerprinzips, so müssten die Datenschutzbehörden vor Verhängung eines Bußgeldes einen Verstoß einer Leitungsperson feststellen und nachweisen. Dies stellt in der Praxis erheblich höhere Anforderungen an den Bußgeldbescheid dar als bei Anwendung des Funktionsträgerprinzips, da hier der konkrete Nachweis nicht weiter erbracht werden muss.

Am besten ist es jedoch ohnehin, es erst gar nicht zu Verstößen kommen zu lassen. Unser Datenschutz-Team berät Sie gerne und findet für Sie passgenaue und datenschutzkonforme Lösungen.

Sollte „das Kind schon in den Brunnen gefallen sein“ unterstützen wir Sie nicht minder gerne bei der Abwehr der von den Behörden gestellten Forderung.

Autor: Fabian Dechent (Rechtsanwalt)

ChatGPT – Rechtliche Herausforderungen im KI-Zeitalter

Manch einer witzelt, man solle doch erst einmal die natürliche Intelligenz stabilisieren, bevor man sich an die künstliche wagt. Davon abgesehen ist die Entwicklung der künstlichen Intelligenz (KI, AI) nicht aufzuhalten. Mehr noch: Sie hat in der letzten Zeit dermaßen an Fahrt aufgenommen, dass es vielen Beobachtern schwindelig wird. Wir können im Augenblick nur vermuten, wie sich unser Leben in den nächsten Jahren aufgrund des Fortschritts verändern wird. Und wie meist hinkt die Rechtsordnung der technischen Entwicklung meilenweit hinterher.

Gerade ChatGPT („Chat Generative Pre-trained Transformer“), der selbstlernende Chatbot von OpenAI, ist aus der Sicht vieler Unternehmern schon jetzt sehr attraktiv – wir sparen uns an dieser Stelle, die KI-Anwendung näher zu beschreiben. Die Entwicklung des Tools gipfelte kürzlich in der Version 4.0, die nicht mehr kostenfrei, aber dafür noch wesentlich leistungsfähiger sein soll. Es ist höchste Zeit, die rechtlichen Probleme beim Einsatz von ChatGPT zu beleuchten, da vor dem Einsatz von KI-gestützten Tools Haftungs- und anderen Fragen geklärt werden sollten.

Die Sache mit dem Copyright

Zum Einstieg lohnt sich der Blick auf eine naheliegende Schwierigkeit, die sich bei näherer Betrachtung in zwei Unterprobleme aufteilt: Zum einen muss man sich fragen, ob man bei der Verwendung der automatisch generierten Texte nicht zumindest teilweise das Urheberrecht eines Dritten verletzt. Es erscheint nicht ausgeschlossen, dass sich im Text – wenn auch zufällig – Passagen befinden, die wortgleich bereits anderweitig veröffentlicht sind. Zum anderen sollte der Verwender wissen, dass es zumindest nach dem bisherigen Stand der Diskussion schwierig wird, andere Dritte von der Verwendung der eigens generierten Texte abzuhalten – denn sie sind in der Regel keine urheberrechtlich geschützten Werke, da sie nicht durch einen Menschen geschaffen wurden. Wer also ein kreatives Marketing betreibt und dazu KI-Texte verwendet, sollte bei schmissigen Slogans aus der KI-Küche gleich an Markenschutz denken, um sich abzusichern.

Probleme mit Datenschutz und Geschäftsgeheimnissen

Bekannterweise sperrte die italienische Datenschutzbehörde ChatGPT kurzerhand, auch in anderen Ländern steht die Anwendung auf dem Prüfstand. Die deutsche Datenschutzkonferenz (DSK), bestehend aus den Landes- und dem Bundesbeauftragten für Datenschutz, prüfen noch eingehend, wie sie sich zum Verhältnis von ChatGPT zur DSGVO positionieren sollen.

Was es den Datenschützern so schwer macht, ist, dass die KI trotz anderslautender Bekundungen (Stichwort: OpenAI) überwiegend eine intransparente Blackbox ist. Von außen ist der Algorithmus nicht zu durchschauen, Quellen und Verwendungen von enthaltenen personenbezogenen Daten bleiben unklar. Eine relativ offensichtliche Hürde, die Datenschutz-Folgeabschätzung, die nach nach Art. 35 DGSVO bei einer solch bahnbrechenden Technik obligatorisch ist, muss eigentlich vor der erstmaligen Datenverarbeitung genommen werden – das gilt übrigens auch für den Anwender!

Angesichts der unklaren Verwendung der Daten durch OpenAI sollte auch tunlichst davon abgesehen werden, Geschäftsgeheimnisse für ChatGPT zugänglich zu machen: Zum einen können die Informationen dadurch den Schutzstatus nach dem GeschGehG verlieren, zum anderen ist eine Aneignung der Geheimnisse durch Dritte durchaus denkbar. Vor der erstmaligen Verwendung der KI-Unterstützung sowie in regelmäßigen Abständen sollten Mitarbeiter zu diesen Gefahren zwingend geschult werden.

Unternehmen sollten nicht vergessen, dass ChatGPT sekündlich mit Daten gefüttert wird und nicht selten auch wieder welche ausspuckt. Unternehmen, die KI-gestützt arbeiten möchten und solche Anbieter verwenden, sollten es grundsätzlich vermeiden, in solche Systeme personenbezogene Daten über Mitarbeiter, Kunden etc. einzugeben – insbesondere besonders geschützte Daten i.S. des Art. 9 DSGVO. Sollte es dennoch zu Datenschutzverletzungen kommen, drohen Geldbußen sowie die Geltendmachung von Ansprüchen durch Betroffene. Im Augenblick sollte der Blick fortwährend den Veröffentlichungen der Datenschutzbehörden gelten: Wird die Nutzung von ChatGPT auch hierzulande untersagt, ist die gleichwohl fortgesetzte Nutzung bereits Grund genug für eine Haftung.

Es menschelt – die rechtsverletzende Maschine

Die Maschine lernt letztlich vom menschlichen Verhalten. Es bedarf keiner großen Lebenserfahrung, um zu wissen, dass eine stark angepasste KI in der Lage ist, nicht nur moralisch verwerfliche, sondern auch strafwürdige Texte von sich zu geben. Wie man festgestellt hat, kann ChatGPT nicht nur versehentlich Unwahres verfassen, sondern auch bewusst lügen, um gesteckte Ziele zu erreichen. Die Komplexität heutiger Anforderungen an Political Correctness kommt erschwerend hinzu, wenn man als Unternehmen mit Formulierung nach außen auftritt: diskriminierende Äußerungen werden schnell publik, der Ruf wird mitunter irreparabel geschädigt.

Wenn man ChatGPT zum Thema Diskriminierung befragt, kommt die richtige Antwort, dass das KI-Sprachmodell gar nicht in der Lage ist, jemanden zu diskriminieren – es fehlt schlicht an einer Täterschaft. Die Organisation, die KI-Technologie einsetzt, beißen dann aber am Ende die sprichwörtlichen Hunde. Zu empfehlen ist daher, den Einsatz von KI damit zu vergleichen, dass man mit seinen Kindern irgendwo zu Besuch ist: man muss schon aufpassen, was sie erzählen. Umgesetzt bedeutet das, dass es eben Menschen als Aufpasser geben muss, die den Einsatz der KI in nicht zu großen Abständen evaluieren und jede Möglichkeit nutzen, um schädlichen Output im Ansatz zu verhindern. Gleichzeitig ist das Risiko von Rufschädigung, Geldbußen und Ansprüchen Dritter vor dem Einsatz von KI eingehend zu bewerten und der Nutzen vor dem Hintergrund möglicher Rechtsverletzungen ganz bewusst abzuwägen.

Blick in die Zukunft

In den nächsten Jahren wird die gesamte Riege der Gewaltenteilung auf die technische Entwicklung reagieren müssen: Die Gesetzgebung hat nicht die Zeit für lange ethische Diskussionen, zu groß sind die rechtlichen Unsicherheiten für die Anwender und die Betroffenen. Die Behörden versuchen derweil mit dem gegebenen Handwerkszeug, insbesondere dem Schwert des Datenschutzes, bedenklichen Entwicklungen zu begegnen – die Reichweite der Maßnahmen ist erfahrungsgemäß allerdings eher begrenzt. Nach einem zu langen Zeitraum werden dann Gerichte in vielen Einzelfällen zu einer gewissen Rechtssicherheit beitragen. Die Geschichte zeigt indes, dass alle staatlichen Maßnahmen vieles können, nur eines nicht: den Fortschritt aufhalten.

Bleiben Sie mit uns immer auf dem neuesten Stand der Entwicklungen. Vertrauen Sie auch in Sachen künstlicher Intelligenz lieber den Menschen von MKM.


Autor: Andree Hönninger (Rechtsanwalt I Fachanwalt für IT-Recht)

Abmahnwelle Google Fonts – Kein Anspruch auf Schadensersatz

Das Landgericht München I befand in seinem Urteil vom 20.01.2022, Az. 3 O 17493/20, dass die automatische Übermittlung von IP-Adressen bei der Nutzung des Dienstes Google Fonts ohne vorherige Einwilligung rechtswidrig ist, und sprach dem Kläger unter anderem Schadensersatz in Höhe von 100,00 € zu.

Anschließend brach in Deutschland eine regelrechte Abmahnwelle los. Die betroffenen Unternehmen wurden mittels anwaltlicher Abmahnung aufgefordert eine Unterlassungserklärung abzugeben und einen Betrag von 170,00 € als Schadensersatz zu zahlen.

Wir haben unseren Mandanten und Kunden geraten, die Abmahnungen zu ignorieren, da wir diese für unbegründet hielten. Unsere Auffassung wurde nun durch das Landgericht München I durch Urteil vom 30.03.2023, Az. 4 O 13063/22, bestätigt. Ob dieses Urteil rechtskräftig ist, ist jedoch nicht bekannt.

Kein Anspruch auf Unterlassung

Das LG München I stellt im Wege der negativen Feststellungsklage zunächst fest, dass seitens der Abmahner kein Anspruch auf Unterlassung besteht, da die rechtlichen Voraussetzungen für einen solchen Unterlassungsanspruch im konkreten Fall nicht vorlagen. Dabei urteilte das Gericht – aufgrund der ursprünglichen Entscheidung vom 20.01.2022 wenig überraschend – fest, dass die dynamische Einbindung von Google Fonts gegen das Datenschutzrecht verstößt, wenn die Webseitenbesucher nicht vorab in die Übermittlung der IP-Adresse an Google einwilligen.

Jedoch erkennt das LG München I, dass es an der erforderlichen konkreten Betroffenheit des Abmahnenden fehlte. Das Gericht merkte an, dass der Abmahnende die Webseiten der abgemahnten Unternehmen nicht selbst besuchte, sondern vielmehr einen Web-Crawler einsetzte, um solche Webseiten aufzufinden, die Google Fonts dynamisch eingebunden hatten. Das Gericht führt hierzu prägnant aus:

„Wer Websites gar nicht persönlich aufsucht, kann persönlich auch keine Verärgerung oder Verunsicherung über die Übertragung seiner IP-Adresse an die Fa. Google in den USA verspüren.“

Selbst wenn der Abmahner jedoch tatsächlich alle Webseiten der Abgemahnten Unternehmen selbst besucht hätte, so wären die Voraussetzungen des Unterlassungsanspruch nach der Ansicht des LG München I dennoch nicht gegeben. Hier begründet das Gericht, dass jemand, der gezielt eine Situation aufsuche, bei der eine Persönlichkeitsverletzung droht, um direkt im Anschluss daraus eigene Ansprüche zu begründen, gerade nicht schutzbedürftig ist.

Zudem erkannte das Gericht fest, dass die Abmahnungen allein der Gewinnerzielungsabsicht dienten und es dem Abmahner gerade nicht um das Aufzeigen und das Verfolgen eines datenschutzrechtlichen Missstands ging. Auch hier wird das Gericht in seiner Formulierung deutlich:

„Das Gericht erachtet es für kaum denkbar, dass eine Privatperson nur aus Verärgerung über einen aus ihrer Sicht gegebenen und weit verbreiteten Datenschutzverstoß von Website-Betreibern den mit der Versendung von mindestens 100.00 Abmahnschreiben verbundenen Aufwand auf sich nehmen wird, nur um auf den von ihm gesehenen Missstand beim Datenschutz aufmerksam zu machen.“

Da die Abmahnung jedenfalls rechtsmissbräuchlich erfolgte, konnte sich das Gericht weitere Ausführungen zum Unterlassungsanspruch sparen.

Kein Anspruch auf Schadensersatz

Der Anspruch auf Schadensersatz in Höhe von 170,00 € besteht nach Ansicht des Gerichts aus den vorgenannten Gründen ebenfalls nicht. In der Rechtsprechung ist derzeit umstritten, ob Angstgefühle bzw. Verunsicherungen für sich genommen ausreichen, um einen entsprechenden Anspruch nach Art. 82 DSGVO zu begründen. Im konkreten Fall kommt es nach Ansicht des LG München I auf die Klärung dieser Rechtsfrage gar nicht an, da der Abmahner durch den Einsatz eines Webcrawlers nicht in seinen Gefühlen verletzt werden konnte. Das Gericht führt hierzu aus:

„Wer gar nicht weiß, welche Websites „in seinem Namen“ besucht werden, kann sich überhaupt nicht individuell Gedanken dazu machen, dass ihm aus der Übertragung seiner IP-Adresse Unannehmlichkeiten entstehen könnten.“

Im Übrigen wäre auch ein Anspruch auf Schadensersatz aufgrund wegen des Rechtsmissbrauchs ausgeschlossen.

Fazit

Das LG München I hat die Abmahnwelle mit seinem Urteil vom 20.01.2022 mutmaßlich losgetreten und mit Urteil vom 30.03.2023 nicht nur die Google Fonts Abmahnwelle endgültig beendet, sondern die Hürden für Massen-Abmahnungen im Datenschutzrecht sehr hoch gesetzt.Auch wenn der dynamische Einsatz von Google Fonts ohne Einwilligung rechtswidrig ist, können Abmahnende hierdurch nicht „an das schnelle Geld“ gelangen, indem massenhaft (nach Angaben des Prozessvertreters der „IG Datenschutz“ übrigens eine „niedrige sechsstellige Zahl“) versendet werden.

Autor: Fabian Dechent (Rechtsanwalt)

Wie Digitalisierung das Kartellrecht beeinflusst

Die Digitalisierung bringt immer neue Geschäftsmodelle hervor. Viele digitale Plattformen stellen ihr Angebot entgeltfrei zur Verfügung, Daten und der Handel mit ihnen werden immer relevanter. Welche Auswirkungen hat das auf das Kartellrecht und für Unternehmen?

Mit diesen und anderen Fragen setzt sich ein Aufsatz von Rechtsanwalt Sebastian Telle auseinander, erschienen in der Zeitschrift zum Innovations- und Technikrecht. Im Folgenden werden die grundlegenden Probleme der aktuellen Entwicklungen aufgezeigt.

Daten als neue Währung?

Immer wieder wird davon gesprochen, dass es sich bei Daten um eine neue Währung handelt. Insbesondere bei entgeltfreien Plattformen, wie bspw. sozialen Netzwerken und Messenger-Diensten, herrscht oft die Meinung vor, dass Nutzer diese Dienste mit ihren Daten bezahlen würden. In vielen Fällen nutzen kostenlos angebotene Dienste die Nutzerdaten, bspw. für personalisierte Werbemaßnahmen. Wie also sollen solche Geschäftsmodelle kartell- und wettbewerbsrechtlich bewertet werden?

Sebastian Telle gibt hierzu einen lesenswerten Überblick. Für die kartellrechtliche Definition bestimmter Sachverhalte sind eine Marktdefinition und eine Marktabgrenzung erforderlich. Neben den schon erwähnten verwendeten Nutzerdaten bei entgeltfreien Plattformen wird teilweise vertreten, dass zu einer solchen Marktdefinition auch die Aufmerksamkeit der Nutzer herangezogen werden kann. Deren Identifikation soll wiederum durch generierte Daten gemessen werden. Letztlich soll die potentielle Entgeltlichkeit des Angebotes zur Begründung eines relevanten Marktverhältnisses ausreichen.

Wie Daten und Marktmacht sich verhalten, wie sich ein eventueller Marktmissbrauch auszeichnet und wie ein Verbot wettbewerbsbeschränkender Verhaltensweisen aussehen kann wird von Sebastian Telle anschaulich dargelegt. Die Lektüren kann jedem empfohlen werden, für den Datenschutz, Wettbewerbs- und Kartellrecht relevant sind.

Neuregelung für Berufsgeheimnisträger: Geheimnisschutz bei Mitwirkung Dritter

Das Bundesjustizministerium arbeitet an der Neuregelung des Schutzes von Privatgeheimnissen (§ 203 StGB). Damit soll auf die veränderte Arbeitswirklichkeit der Berufsgeheimnisträger reagiert werden. Für viele Berufsgruppen bleiben aber noch Fragen offen.

Gesetzeslage an Arbeitsrealität der Berufsgeheimnisträger anpassen

Kernanliegen des Entwurfs des Bundesjustizministeriums ist die Änderung der Strafbewehrung des § 203 StGB (Verletzung von Privatgeheimnissen) hinsichtlich einer Einbeziehung externer Dritter durch Berufsgeheimnisträger. Die aktuelle Fassung der Norm wird der Arbeitsrealität von bspw. Rechtsanwälten nur schwer gerecht.

Ziel ist es unter anderem, die Verschwiegenheitspflicht im Bereich des Non-legal Outsourcing neu zu regeln. Relevant wird dies bspw. bei Einrichtung, Betrieb und Wartung der Kanzlei-IT durch externe Dienstleister. Die meisten Berufsgeheimnisträger dürften aktuell auf die Dienstleistungen Dritter zurückgreifen, um ihre Arbeit überhaupt anbieten und durchführen zu können. So sieht der Entwurf u.a. vor, dass ein Rechtsanwalt nicht mehr für jedes Hinzuziehen Dritter zur Bewältigung der Mandatstätigkeit eine mutmaßliche oder tatsächliche Einwilligung einholen muss. Dies würde durch die generellen Mandatsbedingungen und die gesetzliche Neuregelung gedeckt, um der faktisch vorherrschenden Arbeitsteilung Rechnung zu tragen.

In einer Stellungnahme des Deutschen Anwaltvereins (DAV) weißt selbiger auf noch kritische Punkte des Entwurfs hin.

Genauere Definitionen für mehr Rechtssicherheit

Der Begriff des „Offenbarens“ ist ein solcher Punkt. Es ist umstritten, was genau darunter zu verstehen ist und insbesondere, ob ein Empfänger tatsächlich Kenntnis von einem Geheimnis erlangen muss oder die Möglichkeit hierzu ausreichen soll. Wäre Letzteres der Fall, dürften z.B. Cloud-Lösungen generell problematisch bis unmöglich sein. Der Berufsgeheimnisträger müsste dafür Sorge tragen, dass sein Dienstleister wiederum keine externen Dienstleister hinzuzieht – wenn nicht schon das Outsourcing in eine Cloud unzulässig ist.

Zudem sieht der Entwurf vor, dass die Offenbarung gegenüber beteiligten Dritten „erforderlich“ gewesen sein muss. Wann aber ist eine solche Offenbarung erforderlich und wer legt das fest? Sollten die Beurteilung ausschließlich den Gerichten obliegen, würden sich Berufsgeheimnisträger einer nicht unerheblichen Rechtsunsicherheit aussetzen. Ihnen bliebe entweder auf externe Dritte zu verzichten, eine heutzutage kaum realistische Vorstellung. Oder aber sie müssten das entsprechende Risiko eingehen. Der DAV fordert deshalb den Berufsgeheimnisträgern ein Ermessen einzuräumen, ähnlich wie es bei bestimmten Entscheidungen der Verwaltung im Bereich des Verwaltungsrechts und der –gerichtsbarkeit anerkanntermaßen zusteht. Der Berufsgeheimnisträger würde dann quasi auf nicht-inhaltliche Ermessensfehler hin überprüft, wie z.B. Offenbarungen, die der vernünftige, durchschnittliche Berufsgeheimnisträger nicht gemacht hätte.

Ob sich an dem Entwurf noch etwas ändert muss abgewartet werden.