Seite wählen
BGH-Urteil zur Einschränkung der Abrufbarkeit personenbezogener Daten im Vereinsregister

BGH-Urteil zur Einschränkung der Abrufbarkeit personenbezogener Daten im Vereinsregister

von | März 12, 2025 | Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Am 4. Juni 2024 entschied der Bundesgerichtshof (BGH) über die Frage, ob ein ehemaliges Vereinsvorstandsmitglied einen Anspruch auf Löschung oder zumindest Einschränkung der Abrufbarkeit seiner personenbezogenen Daten aus dem Vereinsregister hat (BGH, Beschluss vom 4.6.2024 – II ZB 10/23, NJW 2025, 351).

Hintergrund des Verfahrens

Der Antragsteller war bis 2004 Vorstandsvorsitzender eines eingetragenen Vereins. Nach seinem Ausscheiden blieben seine personenbezogenen Daten, darunter Vorname, Nachname, Geburtsdatum und Wohnort, weiterhin öffentlich im Vereinsregister abrufbar. Er beantragte beim Registergericht die Löschung bzw. die Einschränkung der Abrufbarkeit dieser Daten mit Verweis auf Art. 17 Abs. 1 Datenschutz-Grundverordnung (DS-GVO). Das Amtsgericht Bonn (Beschluss vom 27.3.2023, 20 VR 4257, BeckRS 2023, 52322) und das Oberlandesgericht Köln (NZG 2024, 80) wiesen den Antrag zurück, woraufhin der Antragsteller Rechtsbeschwerde beim BGH einlegte.

Entscheidung des BGH

Der BGH entschied, dass der Antragsteller keinen Anspruch auf eine vollständige Löschung seiner Daten habe, wohl aber auf eine Einschränkung der Abrufbarkeit. Die Speicherung personenbezogener Daten im Vereinsregister sei grundsätzlich zulässig, da sie den öffentlichen Informationsinteressen diene. Nach § 79 Abs. 1 BGB iVm § 33 Vereinsregisterverordnung (VRV) seien diese Daten für jedermann abrufbar. Allerdings sei die Bereitstellung zum uneingeschränkten Abruf im Internet nicht uneingeschränkt mit der DS-GVO vereinbar. Art. 17 Abs. 1 DS-GVO könne in bestimmten Fällen eine Löschung oder Einschränkung der Verarbeitung personenbezogener Daten erfordern. Ein Anspruch auf Löschung bestehe jedoch nur dann, wenn keine rechtlichen Gründe mehr für die Speicherung vorliegen. § 79 Abs. 1 und 2 BGB müssten im Lichte der DS-GVO restriktiv ausgelegt werden. Der BGH entschied daher, dass die Abrufbarkeit der Daten des Antragstellers auf Fälle eines dargelegten berechtigten Interesses beschränkt werden müsse. Diese Entscheidung ist insbesondere deshalb wichtig, weil die Regelungen zur Transparenz und Rechtssicherheit aus einer analogen Zeit stammen. Früher konnte ein Registerauszug nicht auf Knopfdruck erhalten werden, sondern musste kostenpflichtig beantragt werden. Heute hingegen sind massenhafte Abrufe innerhalb kürzester Zeit möglich, ohne dass die abrufende Person ein berechtigtes Interesse nachweisen muss. Dies öffnet Tür und Tor für Missbrauch, da die personenbezogenen Daten weltweit uneingeschränkt zugänglich sind.

Bedeutung der Entscheidung

Diese Entscheidung ist von erheblicher Bedeutung für den Datenschutz in Deutschland.

Zukünftig wird es wohl möglich sein, dass ehemalige Vorstandsmitglieder von Vereinen eine Einschränkung der Veröffentlichung ihrer Daten beantragen können. Dabei wird es aber nach der Entscheidung des BGH immer auf eine einzelfallbezogene Abwägung ankommen, insbesondere auf die Dauer seit dem Ausscheiden aus dem Amt. Hier wäre letztlich eine klare gesetzliche Regelung notwendig. Die Praxis, dass diese Daten heute ohne Weiteres und weltweit einsehbar sind, ist problematisch und öffnet Missbrauchsmöglichkeiten, die es in analogen Zeiten nicht gab erfordert dringend ein Umdenken.

Die Entscheidung war überfällig und wäre eigentlich unnötig gewesen, wenn der Gesetzgeber seinem Schutzauftrag nachgekommen wäre. Dies ist besonders wichtig im Hinblick auf das Geburtsdatum, denn dieses ist eine sehr sensible persönliche Information über eine Person. Diese sollte eigentlich niemals ohne Einschränkungen im Internet zugänglich sein!

 

Datenschutzverletzungen richtig melden – Neue EDSA-Leitlinien einfach erklärt

Datenschutzverletzungen richtig melden – Neue EDSA-Leitlinien einfach erklärt

von | März 5, 2025 | Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Datenschutz ist ein wichtiges Thema, das Unternehmen und Organisationen unbedingt ernst nehmen sollten. Die neuen Leitlinien 9/2022 des Europäischen Datenschutzausschusses (EDSA) geben klare Vorgaben zur Meldung von Datenschutzverletzungen gemäß der DSGVO. Diese Leitlinien wurden am 28. März 2023 aktualisiert und präzisieren insbesondere die Meldepflichten für Verantwortliche außerhalb der EU. Doch was bedeutet das konkret für Unternehmen und betroffene Personen?

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten verloren, offengelegt oder manipuliert werden. Die DSGVO unterscheidet zwischen drei Arten von Verstößen:

  • Verletzung der Vertraulichkeit – Unbefugte erhalten Zugang zu Daten.
  • Verletzung der Integrität – Daten werden verändert oder manipuliert.
  • Verletzung der Verfügbarkeit – Daten gehen verloren oder sind nicht mehr zugänglich.

Beispiele für solche Vorfälle sind Hackerangriffe, gestohlene Laptops oder versehentlich veröffentlichte Daten.

Meldung an die Aufsichtsbehörde: Wann und wie?

Art. 33 DSGVO schreibt vor, dass Verantwortliche eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde melden müssen. Die Meldung kann schrittweise erfolgen, falls nicht sofort alle Informationen vorliegen. Folgende Informationen müssen übermittelt werden:

  • Art der Datenschutzverletzung
  • Anzahl der betroffenen Personen und Datensätze
  • Mögliche Folgen der Verletzung
  • Bereits ergriffene Maßnahmen zur Schadensbegrenzung

Wann ist keine Meldung erforderlich?

Nicht jede Datenschutzverletzung muss gemeldet werden. Ausnahmen gelten, wenn kein Risiko für die betroffenen Personen besteht. Zum Beispiel, wenn die Daten stark verschlüsselt waren und somit für Dritte unbrauchbar sind.

Benachrichtigung der Betroffenen gemäß Artikel 34 DSGVO

Ist eine Datenschutzverletzung mit hohem Risiko verbunden, müssen betroffene Personen sofort informiert werden. Dies ist wichtig, um ihnen die Möglichkeit zu geben, sich selbst vor möglichen Schäden zu schützen. Unternehmen müssen die Information in klarer und einfacher Sprache bereitstellen und Kontaktmöglichkeiten für Rückfragen angeben.

Ausnahmen von der Benachrichtigungspflicht gibt es, wenn:

  •  Angemessene Sicherheitsmaßnahmen wie Verschlüsselung bestanden.
  • Unmittelbare Maßnahmen das Risiko bereits minimiert haben.
  • Eine individuelle Benachrichtigung unverhältnismäßigen Aufwand bedeuten würde.

 

Praktische Umsetzung für Unternehmen

Um Datenschutzverletzungen frühzeitig zu erkennen und effektiv zu managen, sollten Unternehmen klare Notfallpläne haben. Dazu gehören:

  • Interne Meldeprozesse: Schulung der Mitarbeiter zur schnellen Erkennung von Vorfällen.
  • Technische Schutzmaßnahmen: Firewalls, Verschlüsselung und Zugriffsbeschränkungen.
  • Dokumentation von Vorfällen: Auch nicht meldepflichtige Datenschutzverletzungen sollten intern erfasst werden, um Verbesserungen abzuleiten.

Fazit

Die neuen EDSA-Leitlinien verdeutlichen, dass der Schutz personenbezogener Daten eine zentrale Pflicht für Unternehmen ist. Die korrekte Meldung und Dokumentation von Datenschutzverletzungen kann nicht nur Strafen vermeiden, sondern auch das Vertrauen von Kunden und Partnern stärken. Unternehmen sollten sich aktiv mit den Vorgaben auseinandersetzen und ihre Datenschutzprozesse kontinuierlich verbessern.

Vorsorge ist immer besser als Nachsorge:  Prüfen Sie Ihre Datenschutzstrategie und stellen Sie sicher, dass Ihr Unternehmen auf mögliche Verstöße vorbereitet ist.

Cookie Consent mit Real Cookie Banner