Seite wählen
BGH-Urteil zur Einschränkung der Abrufbarkeit personenbezogener Daten im Vereinsregister

BGH-Urteil zur Einschränkung der Abrufbarkeit personenbezogener Daten im Vereinsregister

von | März 12, 2025 | Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Am 4. Juni 2024 entschied der Bundesgerichtshof (BGH) über die Frage, ob ein ehemaliges Vereinsvorstandsmitglied einen Anspruch auf Löschung oder zumindest Einschränkung der Abrufbarkeit seiner personenbezogenen Daten aus dem Vereinsregister hat (BGH, Beschluss vom 4.6.2024 – II ZB 10/23, NJW 2025, 351).

Hintergrund des Verfahrens

Der Antragsteller war bis 2004 Vorstandsvorsitzender eines eingetragenen Vereins. Nach seinem Ausscheiden blieben seine personenbezogenen Daten, darunter Vorname, Nachname, Geburtsdatum und Wohnort, weiterhin öffentlich im Vereinsregister abrufbar. Er beantragte beim Registergericht die Löschung bzw. die Einschränkung der Abrufbarkeit dieser Daten mit Verweis auf Art. 17 Abs. 1 Datenschutz-Grundverordnung (DS-GVO). Das Amtsgericht Bonn (Beschluss vom 27.3.2023, 20 VR 4257, BeckRS 2023, 52322) und das Oberlandesgericht Köln (NZG 2024, 80) wiesen den Antrag zurück, woraufhin der Antragsteller Rechtsbeschwerde beim BGH einlegte.

Entscheidung des BGH

Der BGH entschied, dass der Antragsteller keinen Anspruch auf eine vollständige Löschung seiner Daten habe, wohl aber auf eine Einschränkung der Abrufbarkeit. Die Speicherung personenbezogener Daten im Vereinsregister sei grundsätzlich zulässig, da sie den öffentlichen Informationsinteressen diene. Nach § 79 Abs. 1 BGB iVm § 33 Vereinsregisterverordnung (VRV) seien diese Daten für jedermann abrufbar. Allerdings sei die Bereitstellung zum uneingeschränkten Abruf im Internet nicht uneingeschränkt mit der DS-GVO vereinbar. Art. 17 Abs. 1 DS-GVO könne in bestimmten Fällen eine Löschung oder Einschränkung der Verarbeitung personenbezogener Daten erfordern. Ein Anspruch auf Löschung bestehe jedoch nur dann, wenn keine rechtlichen Gründe mehr für die Speicherung vorliegen. § 79 Abs. 1 und 2 BGB müssten im Lichte der DS-GVO restriktiv ausgelegt werden. Der BGH entschied daher, dass die Abrufbarkeit der Daten des Antragstellers auf Fälle eines dargelegten berechtigten Interesses beschränkt werden müsse. Diese Entscheidung ist insbesondere deshalb wichtig, weil die Regelungen zur Transparenz und Rechtssicherheit aus einer analogen Zeit stammen. Früher konnte ein Registerauszug nicht auf Knopfdruck erhalten werden, sondern musste kostenpflichtig beantragt werden. Heute hingegen sind massenhafte Abrufe innerhalb kürzester Zeit möglich, ohne dass die abrufende Person ein berechtigtes Interesse nachweisen muss. Dies öffnet Tür und Tor für Missbrauch, da die personenbezogenen Daten weltweit uneingeschränkt zugänglich sind.

Bedeutung der Entscheidung

Diese Entscheidung ist von erheblicher Bedeutung für den Datenschutz in Deutschland.

Zukünftig wird es wohl möglich sein, dass ehemalige Vorstandsmitglieder von Vereinen eine Einschränkung der Veröffentlichung ihrer Daten beantragen können. Dabei wird es aber nach der Entscheidung des BGH immer auf eine einzelfallbezogene Abwägung ankommen, insbesondere auf die Dauer seit dem Ausscheiden aus dem Amt. Hier wäre letztlich eine klare gesetzliche Regelung notwendig. Die Praxis, dass diese Daten heute ohne Weiteres und weltweit einsehbar sind, ist problematisch und öffnet Missbrauchsmöglichkeiten, die es in analogen Zeiten nicht gab erfordert dringend ein Umdenken.

Die Entscheidung war überfällig und wäre eigentlich unnötig gewesen, wenn der Gesetzgeber seinem Schutzauftrag nachgekommen wäre. Dies ist besonders wichtig im Hinblick auf das Geburtsdatum, denn dieses ist eine sehr sensible persönliche Information über eine Person. Diese sollte eigentlich niemals ohne Einschränkungen im Internet zugänglich sein!

 

Datenschutzverletzungen richtig melden – Neue EDSA-Leitlinien einfach erklärt

Datenschutzverletzungen richtig melden – Neue EDSA-Leitlinien einfach erklärt

von | März 5, 2025 | Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Datenschutz ist ein wichtiges Thema, das Unternehmen und Organisationen unbedingt ernst nehmen sollten. Die neuen Leitlinien 9/2022 des Europäischen Datenschutzausschusses (EDSA) geben klare Vorgaben zur Meldung von Datenschutzverletzungen gemäß der DSGVO. Diese Leitlinien wurden am 28. März 2023 aktualisiert und präzisieren insbesondere die Meldepflichten für Verantwortliche außerhalb der EU. Doch was bedeutet das konkret für Unternehmen und betroffene Personen?

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten verloren, offengelegt oder manipuliert werden. Die DSGVO unterscheidet zwischen drei Arten von Verstößen:

  • Verletzung der Vertraulichkeit – Unbefugte erhalten Zugang zu Daten.
  • Verletzung der Integrität – Daten werden verändert oder manipuliert.
  • Verletzung der Verfügbarkeit – Daten gehen verloren oder sind nicht mehr zugänglich.

Beispiele für solche Vorfälle sind Hackerangriffe, gestohlene Laptops oder versehentlich veröffentlichte Daten.

Meldung an die Aufsichtsbehörde: Wann und wie?

Art. 33 DSGVO schreibt vor, dass Verantwortliche eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde melden müssen. Die Meldung kann schrittweise erfolgen, falls nicht sofort alle Informationen vorliegen. Folgende Informationen müssen übermittelt werden:

  • Art der Datenschutzverletzung
  • Anzahl der betroffenen Personen und Datensätze
  • Mögliche Folgen der Verletzung
  • Bereits ergriffene Maßnahmen zur Schadensbegrenzung

Wann ist keine Meldung erforderlich?

Nicht jede Datenschutzverletzung muss gemeldet werden. Ausnahmen gelten, wenn kein Risiko für die betroffenen Personen besteht. Zum Beispiel, wenn die Daten stark verschlüsselt waren und somit für Dritte unbrauchbar sind.

Benachrichtigung der Betroffenen gemäß Artikel 34 DSGVO

Ist eine Datenschutzverletzung mit hohem Risiko verbunden, müssen betroffene Personen sofort informiert werden. Dies ist wichtig, um ihnen die Möglichkeit zu geben, sich selbst vor möglichen Schäden zu schützen. Unternehmen müssen die Information in klarer und einfacher Sprache bereitstellen und Kontaktmöglichkeiten für Rückfragen angeben.

Ausnahmen von der Benachrichtigungspflicht gibt es, wenn:

  •  Angemessene Sicherheitsmaßnahmen wie Verschlüsselung bestanden.
  • Unmittelbare Maßnahmen das Risiko bereits minimiert haben.
  • Eine individuelle Benachrichtigung unverhältnismäßigen Aufwand bedeuten würde.

 

Praktische Umsetzung für Unternehmen

Um Datenschutzverletzungen frühzeitig zu erkennen und effektiv zu managen, sollten Unternehmen klare Notfallpläne haben. Dazu gehören:

  • Interne Meldeprozesse: Schulung der Mitarbeiter zur schnellen Erkennung von Vorfällen.
  • Technische Schutzmaßnahmen: Firewalls, Verschlüsselung und Zugriffsbeschränkungen.
  • Dokumentation von Vorfällen: Auch nicht meldepflichtige Datenschutzverletzungen sollten intern erfasst werden, um Verbesserungen abzuleiten.

Fazit

Die neuen EDSA-Leitlinien verdeutlichen, dass der Schutz personenbezogener Daten eine zentrale Pflicht für Unternehmen ist. Die korrekte Meldung und Dokumentation von Datenschutzverletzungen kann nicht nur Strafen vermeiden, sondern auch das Vertrauen von Kunden und Partnern stärken. Unternehmen sollten sich aktiv mit den Vorgaben auseinandersetzen und ihre Datenschutzprozesse kontinuierlich verbessern.

Vorsorge ist immer besser als Nachsorge:  Prüfen Sie Ihre Datenschutzstrategie und stellen Sie sicher, dass Ihr Unternehmen auf mögliche Verstöße vorbereitet ist.

Orientierungshilfe der DSK zur datenschutzkonformen Nutzung von KI

Orientierungshilfe der DSK zur datenschutzkonformen Nutzung von KI

von | Feb. 27, 2025 | Datenschutz, Digitale Aufklärung, KI

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Die Nutzung von Künstlicher Intelligenz (KI) bringt zahlreiche Chancen, aber auch Herausforderungen mit sich – insbesondere im Hinblick auf den Datenschutz. Unternehmen, Behörden und andere Organisationen stehen vor der Frage, wie sie KI-Anwendungen datenschutzkonform einsetzen können. Die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat daher am 6. Mai 2024 eine Orientierungshilfe zu KI und Datenschutz veröffentlicht.

Zielgruppe der Orientierungshilfe

Die Orientierungshilfe richtet sich vorrangig an Unternehmen und Behörden, die KI-Anwendungen in ihren Arbeitsprozessen nutzen oder einführen möchten. Sie bietet einen praxisnahen Leitfaden, um Datenschutzanforderungen einzuhalten und Risiken zu minimieren. Auch Personen, die KI-Systeme entwickeln, herstellen oder bereitstellen, finden hier wertvolle Hinweise, um datenschutzfreundliche Lösungen zu konzipieren. Die Orientierungshilfe ist kein abschließender Anforderungskatalog, sondern eine laufend aktualisierte Empfehlung, die an neue technologische und rechtliche Entwicklungen angepasst wird.

Inhaltlicher Überblick

Die Orientierungshilfe ist sehr umfangreich und behandelt verschiedene Aspekte des Datenschutzes bei der Nutzung von KI. Dabei konzentriert sie sich besonders auf Large Language Models (LLMs), die in den letzten Jahren verstärkt zum Einsatz kommen – sei es als Chatbots oder als Grundlage für weitere Anwendungen.

  1. Auswahl und Konzeption von KI-Anwendungen

Bevor eine KI-Anwendung genutzt wird, sollten Organisationen klar definieren, für welche Zwecke sie eingesetzt werden soll und ob personenbezogene Daten verarbeitet werden. Hierbei sind folgende Fragen entscheidend:

  • Ist der Einsatz der KI rechtlich zulässig?
  • Werden personenbezogene Daten benötigt, oder kann die Anwendung ohne sie betrieben werden?
  • Ist die Verarbeitung von sensiblen Daten, wie Gesundheits- oder biometrischen Daten, überhaupt erlaubt?

Ein besonderes Augenmerk liegt darauf, dass keine automatisierten Letztentscheidungen getroffen werden, da diese nach der Datenschutz-Grundverordnung (DSGVO) nur in engen Ausnahmefällen zulässig sind.

  1. Implementierung von KI in den Arbeitsalltag

Nach der Auswahl einer KI-Anwendung muss sichergestellt werden, dass sie sicher und rechtskonform integriert wird. Dazu gehören unter anderem:

  • Verantwortlichkeiten klären: Wer entscheidet über den Einsatz und die Datenverarbeitung?
  • Datenschutz-Folgenabschätzung durchführen: Falls ein hohes Risiko für Betroffene besteht, muss geprüft werden, welche Maßnahmen notwendig sind.

Nehmt die Leute mit! Es ist wichtig, die Beschäftigten zu sensibilisieren und in den Prozess einzubeziehen. Unternehmen sollten klare Regeln für den Umgang mit KI aufstellen, das Personal schulen und aktiv in die Entwicklung einbinden. Auch der Betriebsrat sollte von Beginn an involviert sein.

Außerdem betont die Orientierungshilfe, dass KI-Systeme am besten als geschlossene Systeme betrieben werden sollten, um Datenschutzrisiken zu minimieren. Offene Systeme, insbesondere solche, die Eingaben für weiteres Training verwenden, sind mit zusätzlichen Herausforderungen verbunden.

  1. Nutzung von KI-Anwendungen

Auch während des laufenden Betriebs gibt es zahlreiche Datenschutzaspekte zu beachten:

  • Transparenz: Nutzende müssen darüber informiert werden, welche Daten verarbeitet werden und wofür.
  • Richtigkeit der Ergebnisse überprüfen: KI-generierte Inhalte können fehlerhaft oder sogar diskriminierend sein. Daher sollte ihre Nutzung immer kritisch hinterfragt werden.
  • Betroffenenrechte umsetzen: Personen haben ein Recht auf Berichtigung, Löschung und Auskunft über ihre Daten. Unternehmen müssen technische Lösungen finden, um diese Rechte durchzusetzen.

Gerade im Umgang mit sensiblen Daten warnt die DSK davor, unkritisch auf KI-Modelle zu vertrauen, da diese Falschinformationen oder diskriminierende Vorurteile enthalten können.

Ein dynamischer Leitfaden für die Zukunft

Die Datenschutzkonferenz hebt hervor, dass die Orientierungshilfe fortlaufend weiterentwickelt wird, um den sich ändernden rechtlichen und technischen Rahmenbedingungen gerecht zu werden. Die rasanten Fortschritte im Bereich KI machen es notwendig, datenschutzrechtliche Anforderungen regelmäßig zu überprüfen und neue Risiken frühzeitig zu erkennen.

BGH-Urteil zum Datenschutz: Kontrollverlust über Daten als Schaden

BGH-Urteil zum Datenschutz: Kontrollverlust über Daten als Schaden

von | Jan. 27, 2025 | Aktuelles, Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

BGH-Urteil zum Datenschutz: Kontrollverlust über Daten als Schaden

Der Bundesgerichtshof (BGH) hat mit Urteil vom 18.11.2024 (VI ZR 10/24) entschieden, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DS-GVO darstellen kann – unabhängig davon, ob die Daten tatsächlich missbräuchlich verwendet wurden oder spürbare negative Folgen eingetreten sind.

Hintergrund des Falls

Ein Nutzer des sozialen Netzwerks Facebook hatte geklagt, weil seine personenbezogenen Daten – darunter Name, Geschlecht und Telefonnummer – durch ein sogenanntes Scraping-Verfahren unbefugt erfasst und veröffentlicht wurden. Das Unternehmen hatte weder den Kläger noch die zuständige Datenschutzbehörde über den Vorfall informiert. Der Kläger machte geltend, dass er dadurch die Kontrolle über seine Daten verloren habe und dies einen Schaden darstelle.

Entscheidung des BGH

Der BGH stellte klar, dass ein Kontrollverlust über Daten bereits für einen Schadensersatzanspruch ausreicht. Dabei muss der Betroffene nicht beweisen, dass es zu konkreten finanziellen oder sonstigen negativen Auswirkungen gekommen ist. Der Gerichtshof betonte, dass der Datenschutz nicht nur vor Missbrauch schützen soll, sondern auch das Grundrecht auf informationelle Selbstbestimmung stärkt.

Höhe des Schadensersatzanspruchs bei Kontrollverlust über personenbezogene Daten

Die Höhe des Schadensersatzanspruchs bei einem Kontrollverlust über personenbezogene Daten hängt von verschiedenen Faktoren ab. Das Gericht muss insbesondere die Sensibilität der betroffenen Daten (z. B. Gesundheitsdaten gemäß Art. 9 Abs. 1 DS-GVO) sowie deren übliche Verwendungszwecke berücksichtigen.

Weitere entscheidende Aspekte sind:

  • Art des Kontrollverlusts (wer hatte Zugriff: begrenzter oder unbegrenzter Empfängerkreis?),
  • Dauer des Kontrollverlusts,
  • Möglichkeit der Wiedererlangung der Kontrolle (z. B. durch Entfernen der Daten aus dem Internet oder Wechsel der Telefonnummer).

Als Richtwert für einen einfachen Kontrollverlust könnte der hypothetische Aufwand für die Wiederherstellung der Kontrolle dienen. Beispielsweise wurde vom OLG Hamm ein Schadensersatz von 100 Euro als angemessen angesehen. Falls der Betroffene jedoch psychische Beeinträchtigungen geltend macht, die über allgemeine Unannehmlichkeiten hinausgehen, kann das Gericht einen höheren Betrag zusprechen. In solchen Fällen ist eine individuelle Prüfung und Anhörung des Betroffenen erforderlich. Dann könnte der Anspruch höher sein. Tatsache ist aber, dass die deutschen Gerichte bei Schmerzensgeld nicht großzügig sind.

Bedeutung für Nutzer und Unternehmen

Diese Entscheidung ist von großer Bedeutung, weil sie den Schutz von personenbezogenen Daten auf eine neue Ebene hebt. Unternehmen müssen ihre Datenschutzmaßnahmen verschärfen, um Verstöße zu vermeiden. Nutzer sollten sich bewusst sein, dass sie einen Anspruch auf Schadensersatz haben, wenn ihre Daten ohne ihre Zustimmung verwendet werden.

Datenschutz ist mehr als nur Theorie

Mit diesem Urteil wird klar: Der Schutz der Privatsphäre ist kein bloßes Lippenbekenntnis, sondern ein einklagbares Recht. Wer Daten verliert, verliert oft mehr als nur Informationen – und jetzt möglicherweise auch Geld.

 

BGH-Urteil zum Datenschutz: Kontrollverlust über Daten als Schaden

Smarte Geräte, große Fragen: Datenschutz im IoT-Zeitalter

von | Aug. 11, 2024 | Aktuelles, Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Smarte Geräte, große Fragen: Datenschutz im IoT-Zeitalter

 

Die Entwicklung des IoT begann bereits in den 1970er-Jahren mit einem vernetzten Getränkeautomaten an der Carnegie Mellon University. Heute sind smarte Geräte aus Haushalten und Unternehmen nicht mehr wegzudenken. Prognosen zeigen, dass der IoT-Markt in Deutschland bis 2028 auf über 51 Milliarden Euro anwachsen wird. Doch während sich die Technologie rasant weiterentwickelt, bleibt der Datenschutz weitgehend ungeklärt.

Ungewisse Datenströme und fehlende Transparenz

Das Internet der Dinge (IoT) vernetzt smarte Geräte mit dem Internet und ermöglicht ihnen den Austausch von Daten. Doch während die Zahl der IoT-Geräte exponentiell wächst, bleiben zentrale Datenschutzfragen ungeklärt. Nutzer wissen oft nicht, welche Daten ihre Geräte sammeln, wohin sie gesendet werden und wer davon profitiert.

Was ist IoT und wo begegnet es uns?

IoT-Geräte sind technische Geräte, die mit einer Software ausgestattet sind und dauerhaft mit dem Internet verbunden sind. Sie generieren Daten, tauschen sie aus und kommunizieren mit anderen Geräten. Der Ursprung dieser Technologie reicht bis in die 1970er-Jahre zurück, als Informatiker der Carnegie Mellon University einen Getränkeautomaten mit Sensoren ausstatteten, um den Füllstand aus der Ferne zu überwachen.

Heute sind IoT-Geräte allgegenwärtig: von Smartphones, Smartwatches und Saugrobotern über intelligente Kaffeemaschinen und Rasenmäher bis hin zu vernetzten Produktionsanlagen und Arbeitsschutzkleidung (Wearables). Insbesondere in der Industrie und im Arbeitsleben gewinnen sie an Bedeutung.

Die Zukunft des IoT: Eine neue technologische Revolution?

Während einige Experten IoT als eine technische Revolution wie das Telefon oder das Internet betrachten, gibt es auch skeptische Stimmen. Dennoch sprechen die Prognosen eine klare Sprache: Der IoT-Markt wird in den nächsten Jahren drastisch wachsen. In Deutschland soll sich der Umsatz bis 2028 auf 51,05 Milliarden Euro vervierfachen. Besonders rasant wächst der Bereich der Konsumgüter, auch wenn er nicht der Haupttreiber der Entwicklung ist.

Welche Daten sammeln IoT-Geräte – und wohin werden sie gesendet?

Eine der drängendsten Fragen ist die Datenverarbeitung durch IoT-Geräte. Nutzer haben derzeit keinen Einblick, welche Daten ihre Geräte erfassen und wohin sie gesendet werden. Dies ist aus datenschutzrechtlicher Sicht problematisch, da sich hier potenzielle Risiken für Verbraucher ergeben.

Warum ist das relevant?

  • Es ist oft nicht ersichtlich, ob und in welchem Umfang personenbezogene Daten übertragen werden.
  • Die Datenschutz-Grundverordnung (DS-GVO) schützt zwar personenbezogene Daten, doch die Abgrenzung zu anonymen oder nicht personenbezogenen Daten ist schwierig.
  • Unternehmen, die IoT-Daten sammeln, sind nicht immer transparent über deren Nutzung.
  • Nutzer haben keinen finanziellen Ausgleich für die durch sie generierten Daten, obwohl diese für Unternehmen einen hohen wirtschaftlichen Wert haben.

Regulierungen: Reicht die DS-GVO aus?

Auf EU-Ebene sind bereits erste Regulierungen in Planung oder Umsetzung, doch ein umfassender Schutz der Verbraucher besteht noch nicht. Die DS-GVO schützt personenbezogene Daten, allerdings bleibt unklar, wer die Kontrolle über nicht-personenbezogene Daten hat.

Der Data Act der EU hat diese Frage bislang nicht eindeutig beantwortet. Besonders unklar bleibt, ob Nutzer Eigentumsrechte an den von ihnen generierten Daten haben sollten und welche Pflichten Hersteller bei der Offenlegung der Datennutzung haben.

Herausforderungen für Verbraucher

Selbst wenn Nutzer technisch in der Lage wären, den Datenfluss ihrer IoT-Geräte zu unterbinden, stellt sich die Frage, ob die Geräte dann noch ordnungsgemäß funktionieren. Hersteller könnten dies als „Mangel“ werten, wodurch Garantieansprüche erlöschen. Zudem bleibt die Frage offen, ob Unternehmen verpflichtet sind, schon vor dem Kauf über die Datenverarbeitung ihrer Geräte zu informieren.

Besonders kritisch ist die Mitbetroffenheit Dritter:

  • Was passiert mit Gästen oder Mitbewohnern, die nicht eingewilligt haben, aber von Kameras oder Sensoren in IoT-Geräten erfasst werden?
  • Welche Rechte haben Personen, die unbeabsichtigt von IoT-Geräten in fremden Haushalten erfasst werden?

Nutzer müssen sich ihrer Daten bewusst werden

Das Internet der Dinge erleichtert unseren Alltag – doch es bringt auch Risiken mit sich. Smarte Geräte wie Sprachassistenten, vernetzte Kameras oder Fitness-Tracker sammeln und übermitteln ständig Daten. Doch wer kontrolliert, was mit diesen Informationen geschieht? Viele Nutzer unterschätzen die Gefahr für ihre Privatsphäre. Ohne klare Einwilligung werden persönliche Daten oft an Unternehmen weitergegeben, gespeichert oder für Werbezwecke genutzt. In einigen Fällen können sogar Bewegungsprofile erstellt oder Gespräche analysiert werden. Viele Geräte scheinen keine Datensicherheit zu gewährleisten, so dass unberechtigte Dritte über die Geräte die Nutzer ausspähen und beispielsweise zur Vorbereitung von Einbruchsdiebstählen nutzen können.

Datenschutz bedeutet, selbst zu entscheiden, welche Daten gesammelt werden und wer darauf Zugriff hat. Nur wer sich dieser Risiken bewusst ist, kann aktiv Maßnahmen ergreifen: Datenschutzeinstellungen anpassen, bewusster Geräte auswählen und gezielt Funktionen deaktivieren. Datenschutz ist kein Luxus, sondern ein Schutzschild für die eigene Privatsphäre. Wer sich informiert, bleibt souverän – auch in einer vernetzten Welt!

Es braucht mehr Transparenz und Regulierung

IoT ist nicht mehr aus unserem Alltag wegzudenken, doch der Datenschutz hinkt hinterher. Nutzer haben weder Einblick in die Datenströme noch die Möglichkeit, ihre Daten zu kontrollieren oder zu monetarisieren.

Dringende Fragen, die geklärt werden müssen:

  • Welche europäischen Rechtsgrundlagen regeln die Datenverarbeitung von IoT-Geräten?
  • Welche Rechte brauchen Verbraucher?
  • Welche Pflichten sollten IoT-Herstellern auferlegt werden?
  • Brauchen wir eine „Datenampel“ zur besseren Kennzeichnung?

Mehr zu diesem Thema in der DANA – Zeitschrift der Deutschen Vereinigung für Datenschutz: DANA-Archiv 2023.

Der Europäische Gerichtshof hat festgestellt: Beamte sind „Beschäftigte“ im Sinne des § 88 DS-GVO.

Der Europäische Gerichtshof hat festgestellt: Beamte sind „Beschäftigte“ im Sinne des § 88 DS-GVO.

von | Mai 23, 2023 | Arbeitswelt, Datenschutz

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Der Europäische Gerichtshof hat festgestellt:

Beamte sind „Beschäftigte“ im Sinne des § 88 DS-GVO.

 

KURZ und knapp.

 

88 Abs.1 DS-GVO regelt die Verarbeitung von Daten im Zusammenhang mit einem „Beschäftigungsverhältnis“. Der EuGH hat in seiner Entscheidung vom 30. März 2023 (Az. C-34/21) klargestellt, dass das Wort „Beschäftigungsverhältnis“ auch ein beamtenrechtliches Dienstverhältnis mit umfasst, weil:

Die DS-GVO den Begriff des „Beschäftigten“ und das in § 88 DSG-VO verwendete Wort „Beschäftigtenkontext“ weder definiert noch auf nationale Gesetze verweist, sodass Beamte nicht ausdrücklich ausgeschlossen sind.

Beschäftigte im üblichen Sinn ihre Arbeit in einem Unterordnungsverhältniss zu ihrem Arbeitgeber und daher unter dessen Kontrolle erledigen.

Das wesentliche Merkmal des „Beschäftigungskontexts“ darin besteht, dass eine Person während einer bestimmten Zeit für eine andere nach deren Weisung Leistungen erbringt, für die sie als Gegenleistung eine Vergütung erhält.

Somit schlussfolgert der EuGH, dass § 88 DS-GVO mit dem Wort „Beschäftigungskontext“ Beschäftigungsverhältnisse sowohl im privaten wie auch im öffentlichen Sektor umfasst.

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

von | Jan. 27, 2023 | Aktuelles, Arbeitswelt, Datenschutz

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

 

Wer haftet eigentlich wie, wenn der Mitarbeiter nicht datenschutzkonform handelt? Ist prinzipiell das Unternehmen in der Haftung oder trifft es den Mitarbeiter? Diese Haftungsfrage lässt sich bei einer differenzierten Betrachtung beantworten.

Nutzung der Daten fällt völlig aus dem Rahmen

Benutzt der Mitarbeiter die Daten widerrechtlich für eigene private Zwecke, dann fällt die Handlung des Beschäftigten so sehr aus dem Rahmen, dass er im Sinne des Datenschutzrechtes allein für sein Handeln als Verantwortlicher gerade zu stehen hat. Dies ist damit zu begründen, dass der Mitarbeiter die persönlichen Daten anderer so zweckentfremdet und ausufernd nutzt, dass ein sog. Mitarbeiterexzess gegeben ist.

Ein solcher liegt beispielsweise vor bei der:

  • Nutzung von Telefonnummern zum Aufbau privater Kontakte
  • Abfragen von Kontoinformationen zur Nutzung in einer privaten zivilrechtlichen Streitigkeit.
  • Nutzung von polizeilichen Auskunftssystemen für die eigene private politische Vereinsarbeit.

Das Unternehmen haftet in diesem Fall folglich nicht. So sieht es auch die Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. April 2019. Aber die Ausnahme bestätigt die Regel: Hat die Geschäftsleitung von dem Verhalten des Mitarbeiters Kenntnis und duldet dieses, so sitzen beide im selben Boot und haften gemeinsam.

Mitarbeiter handelt innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform

Handelt ein Mitarbeiter innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform, wird dessen Handlung dem Unternehmen als Verantwortlicher im Sinne des Datenschutzrechtes zugerechnet. Dies bedeutet, dass das Unternehmen haftet. Ob das Unternehmen den Beschäftigen in Regress nehmen kann, wird im Einzelfall nach den Grundsätzen des sog. innerbetrieblichen Schadensausgleichs festzustellen sein. Der Grad der Haftung hängt vom Grad des Verschuldens des Beschäftigten ab. Bei einer fahrlässigen Datenschutzverletzung hat das Unternehmen in der Regel keinen Anspruch auf Ausgleich, da der Beschäftigte für das Unternehmen und in dessen Interesse gearbeitet hat.

Schadenersatz des Betroffenen

Derjenige, dessen persönliche Daten widerrechtlich verwendet wurden, hat gegen den Verantwortlichen einen Auskunftsanspruch und Schadenersatzanspruch.

Bußgeld durch die Behörde

Die Frage, ob der Mitarbeiter im Exzess oder das Unternehmen im Falle eines nicht exzessiven Datenschutzverstoßes eine Ordnungswidrigkeit begangen hat und hierfür haftet, ist derzeit in der Rechtsprechung und Literatur strittig. Die einen sind der Meinung, dass aus der Verordnungsbegründung (Erwägungsgründen) der DS-GVO der kartellrechtliche sog. funktionale Unternehmensbegriff anzuwenden ist. Die anderen sprechen sich gegen eine Anwendung dieses Begriffs aus. Der funktionale Unternehmensbegriff wird verwendet, um möglichst viele wirtschaftliche Gebilde in den Anwendungsbereich des Kartellrechts einzuordnen. Es geht also lediglich um die Feststellung, dass ein Zusammenschluss von Personen stattfindet und die wirtschaftliche Tätigkeit irgendwie funktioniert, egal welche Rechtsform er hat und wie er sich finanziert. Zusätzlich hierzu sieht die DS-GVO vor, dass grundsätzlich dem EU-Recht der Vorrang vor dem nationalen Recht der Mitgliedsstaaten hat.

Hierin liegt das Dilemma, denn die Anwendung des funktionalen Unternehmensbegriffs lässt sich mit dem deutschen und im Übrigen auch mit dem österreichischen Ordnungswidrigkeitenrecht nicht vereinbaren. Eine juristische Person, also das Unternehmen als GmbH, UG oder AG, kann nur eingeschränkt Täter im Sinne des Ordnungswidrigkeitengesetzes sein. Erforderlich ist, dass ein Fehlverhalten der vertretungsberechtigten Organe, in der Regel der Geschäftsführung, nachgewiesen wird.

So ist es auch nicht verwunderlich, dass der österreichische Verwaltungsgerichtshof im Jahr 2020 der vorrangigen Anwendung von EU-Recht eine Absage erteilt hat (ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229). In Deutschland ist die Rechtsprechung uneins. Das LG Bonn (Urteil v. 11.11.2020 – 29 OWi 1/20) hat eine unmittelbare Haftung angenommen. Das LG Berlin hat ebenso wie der ÖWwGH eine unmittelbare Haftung des Unternehmens verneint (LG Berlin, Beschluss vom 18.2.2021, Az. 526 OWi LG 212 Js-OWi 1/20 (1/20). Gegen den Beschluss des LG Berlin wurde Beschwerde eingelegt. Es bleibt abzuwarten, wie das Kammergericht Berlin entscheidet und ob es zu einer Vorlage zum EuGH kommt.

Fakt ist, dass es für Unternehmen derzeit keine Rechtssicherheit gibt, ob eine Haftung besteht oder nicht. Unklar sind auch die Maßstäbe für eine zurechenbare Verantwortlichkeit. Fakt ist auch, dass es gar nicht so weit hätte kommen dürfen. Es ist auch bei EU-Verordnungen ein Mindestmaß an sprachlicher Klarheit zu erwarten und nicht erklärbar, weshalb nicht direkt in der Verordnung eine eindeutige Regelung bezüglich der unmittelbaren Verbandshaftung von Unternehmen erfolgt ist.

 

 

 

 

 

 

Betriebsvereinbarung über Beschäftigtendatenschutz

Betriebsvereinbarung über Beschäftigtendatenschutz

von | Sep. 18, 2022 | Arbeitswelt, Datenschutz, KI

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Was ist eine Betriebsvereinbarung?

Eine Betriebsvereinbarung ist die Einigung zwischen dem Betriebsrat und dem Arbeitgeber über einen Regelungsbereich im Betrieb. Sie gliedert sich in einen schuldrechtlichen Teil, der die Rechtsbeziehung zwischen dem Betriebsrat und dem Arbeitgeber regelt sowie einen normativen Teil, der verbindliche Regelungen über die Arbeitsverhältnisse der Angestellten im Unternehmen.

Eine gültige Betriebsvereinbarung liegt vor, wenn:

  • Der Betriebsrat und der Arbeitgeber eine wirksame Vereinbarung geschlossen haben.
  • Diese schriftlich niedergelegt ist (§ 77 Abs. 2 BetrVG).
  • Sie zulässige Regelungen über die Arbeitsverhältnisse enthält.

Was ist unter Beschäftigtendatenschutz zu verstehen?

Der Begriff umschreibt die Verarbeitung von personenbezogenen Daten der Beschäftigten im Rahmen des Arbeitsverhältnisses. Unter solchen personenbezogenen Daten sind alle Einzelangaben über persönliche und sachliche Verhältnisse eines bestimmten oder bestimmbaren Beschäftigten zu verstehen.

Kann in einer Betriebsvereinbarung der Beschäftigtendatenschutz geregelt werden?

Ja, die europäische Datenschutzgrundverordnung legt in § 88 Abs. DS-GVO (Datenschutz Grundverordnung) ausdrücklich fest, dass die einzelnen Mitgliedsstaaten durch Rechtsvorschriften oder Kollektivvereinbarungen den Beschäftigtendatenschutz regeln können. Die Betriebsvereinbarung ist eine Dienstvereinbarung im Sinne der europäischen Datenschutzverordnung.

Warum ist eine Betriebsvereinbarung über den Beschäftigtendatenschutz notwendig?

Durch das Bundesdatenschutzgesetz werden in § 26 BDSG (Bundesdatenschutzgesetz) Regelungen über die Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses aufgestellt. Diese sind aber nicht abschließend. Um die individuellen Gegebenheiten und Bedürfnisse im Einzelfall für einen ganz bestimmten Betrieb regeln zu können, ist eine Betriebsvereinbarung für die Rechtsklarheit über die Rechte und Ansprüche von Arbeitgeber, Betriebsrat und Arbeitnehmer äußerst ratsam. Die Betriebsvereinbarung kann beispielsweise die Videoüberwachung, den Einsatz von künstlicher Intelligenz, die Durchführung von Mitarbeiterkontrollen oder die Leistungsüberwachung regeln.

Durch die Betriebsvereinbarung können nicht nur Konkretisierungen des BDSG oder der Datenschutz zu Gunsten der Beschäftigen verbessert werden, sondern es darf durch sie auch zulasten der Beschäftigten von den Regelungen des BDSG abgewichen werden.

In einem solchen Fall muss eine sorgfältige Abwägung zwischen den Interessen des Arbeitgebers an einer bestimmten Datenverarbeitung und dem Persönlichkeitsrecht getroffen werden. Hier ist vor allem § 75 Abs.2 BetrVG zu beachten, wonach Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern haben.

 

 

 

 

 

 

 

 

Datenschutzverletzungen richtig melden – Neue EDSA-Leitlinien einfach erklärt

Datenschutz und Betriebsrat

von | Juni 8, 2022 | Aktuelles, Datenschutz

Bisher war nicht klar, ob im Rahmen der Betriebsratsarbeit der Arbeitgeber oder der Betriebsrat „Verantwortlicher“ im Sinne der Europäischen Datenschutzgrundverordnung (DSVGO) und des Bundesdatenschutzgesetzes (BDSG) ist. Der Gesetzgeber hat durch die Einführung von § 79a S.2 BetrVG diese Frage entschieden. Danach ist der Arbeitgeber der „Verantwortliche“, da der Betriebsrat institutionell als unselbstständiger Teil im Unternehmen tätig ist. Der Betriebsrat muss aber die datenschutzrechtlichen Vorschriften einhalten. Welche Rechtsfolgen bei einem Verstoß des Datenschutzes dem Betriebsrat treffen können, lässt die Norm offen. Klar geregelt ist hingegen, dass sich Arbeitgeber und Betriebsrat gegenseitig unterstützen sollen, um den Datenschutz auch in diesem Bereich des Unternehmens sicherzustellen.

Nicht geregelt ist, wie die Unterstützung zu leisten ist und wie die gegenseitige Unterstützungspflicht durchgesetzt werden kann, wenn ihr nicht entsprochen wird. Ob der Datenschutzbeauftragte des Unternehmens hier die Schnittstelle und Kontrollinstanz sein kann, wird sich zeigen. Der Gesetzgeber sieht in dem Datenschutzbeauftragten des Unternehmens eine neutrale Instanz, die gegenüber dem Arbeitgeber zur Verschwiegenheit über Informationen verpflichtet ist, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrates zulassen.

Die Änderung hat auch zur Folge, dass der Arbeitgeber in seinem als „Verantwortlicher“ zu führenden Verarbeitungsverzeichnis gem. Art. 30 DSGVO mit aufnehmen muss welche Daten der Betriebsrat wie verarbeitet, speichert und möglicherweise an Dritte weiterleitet.

Der Datenschutz allein ist ein weites Feld. Verknüpft mit der Arbeit des Betriebsratet bietet sich, wie kann es hier an dieser Stelle auch anders stehen, ein Seminar an. In einer solchen Schulung ließe sich dann auch der wichtige Bereich des Beschäftigtendatenschutzes hervorragend eingliedern.

 

Cookie Consent mit Real Cookie Banner