Seite wählen
BGH-Urteil zum Datenschutz: Kontrollverlust über Daten als Schaden

BGH-Urteil zum Datenschutz: Kontrollverlust über Daten als Schaden

von | Jan. 27, 2025 | Aktuelles, Datenschutz, Digitale Aufklärung

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

BGH-Urteil zum Datenschutz: Kontrollverlust über Daten als Schaden

Der Bundesgerichtshof (BGH) hat mit Urteil vom 18.11.2024 (VI ZR 10/24) entschieden, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DS-GVO darstellen kann – unabhängig davon, ob die Daten tatsächlich missbräuchlich verwendet wurden oder spürbare negative Folgen eingetreten sind.

Hintergrund des Falls

Ein Nutzer des sozialen Netzwerks Facebook hatte geklagt, weil seine personenbezogenen Daten – darunter Name, Geschlecht und Telefonnummer – durch ein sogenanntes Scraping-Verfahren unbefugt erfasst und veröffentlicht wurden. Das Unternehmen hatte weder den Kläger noch die zuständige Datenschutzbehörde über den Vorfall informiert. Der Kläger machte geltend, dass er dadurch die Kontrolle über seine Daten verloren habe und dies einen Schaden darstelle.

Entscheidung des BGH

Der BGH stellte klar, dass ein Kontrollverlust über Daten bereits für einen Schadensersatzanspruch ausreicht. Dabei muss der Betroffene nicht beweisen, dass es zu konkreten finanziellen oder sonstigen negativen Auswirkungen gekommen ist. Der Gerichtshof betonte, dass der Datenschutz nicht nur vor Missbrauch schützen soll, sondern auch das Grundrecht auf informationelle Selbstbestimmung stärkt.

Höhe des Schadensersatzanspruchs bei Kontrollverlust über personenbezogene Daten

Die Höhe des Schadensersatzanspruchs bei einem Kontrollverlust über personenbezogene Daten hängt von verschiedenen Faktoren ab. Das Gericht muss insbesondere die Sensibilität der betroffenen Daten (z. B. Gesundheitsdaten gemäß Art. 9 Abs. 1 DS-GVO) sowie deren übliche Verwendungszwecke berücksichtigen.

Weitere entscheidende Aspekte sind:

  • Art des Kontrollverlusts (wer hatte Zugriff: begrenzter oder unbegrenzter Empfängerkreis?),
  • Dauer des Kontrollverlusts,
  • Möglichkeit der Wiedererlangung der Kontrolle (z. B. durch Entfernen der Daten aus dem Internet oder Wechsel der Telefonnummer).

Als Richtwert für einen einfachen Kontrollverlust könnte der hypothetische Aufwand für die Wiederherstellung der Kontrolle dienen. Beispielsweise wurde vom OLG Hamm ein Schadensersatz von 100 Euro als angemessen angesehen. Falls der Betroffene jedoch psychische Beeinträchtigungen geltend macht, die über allgemeine Unannehmlichkeiten hinausgehen, kann das Gericht einen höheren Betrag zusprechen. In solchen Fällen ist eine individuelle Prüfung und Anhörung des Betroffenen erforderlich. Dann könnte der Anspruch höher sein. Tatsache ist aber, dass die deutschen Gerichte bei Schmerzensgeld nicht großzügig sind.

Bedeutung für Nutzer und Unternehmen

Diese Entscheidung ist von großer Bedeutung, weil sie den Schutz von personenbezogenen Daten auf eine neue Ebene hebt. Unternehmen müssen ihre Datenschutzmaßnahmen verschärfen, um Verstöße zu vermeiden. Nutzer sollten sich bewusst sein, dass sie einen Anspruch auf Schadensersatz haben, wenn ihre Daten ohne ihre Zustimmung verwendet werden.

Datenschutz ist mehr als nur Theorie

Mit diesem Urteil wird klar: Der Schutz der Privatsphäre ist kein bloßes Lippenbekenntnis, sondern ein einklagbares Recht. Wer Daten verliert, verliert oft mehr als nur Informationen – und jetzt möglicherweise auch Geld.

 

Altersdiskriminierung bei Stellenausschreibungen

Altersdiskriminierung bei Stellenausschreibungen

von | März 2, 2024 | Arbeitswelt

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

Altersdiskriminierung bei Stellenausschreibungen – Urteil des ArbG Heilbronn

Das Arbeitsgericht Heilbronn hat entschieden: Die Formulierung „Digital Native“ in einer Stellenausschreibung kann als Indiz für eine Altersdiskriminierung gewertet werden. In einem aktuellen Fall sprach das Gericht einem abgelehnten Bewerber eine Entschädigung in Höhe von 7.500 Euro zu.

Der Fall im Überblick

Ein 1972 geborener Bewerber hatte sich auf eine ausgeschriebene Stelle als Manager für Unternehmenskommunikation beworben. Die Anzeige enthielt den Passus „Als Digital Native fühlst du dich in der Welt der Social Media … zu Hause“. Nach einer Absage klagte der Bewerber auf Entschädigung, da er sich wegen seines Alters benachteiligt sah.

Gericht bestätigt Diskriminierung

Das ArbG Heilbronn sah die Formulierung als Hinweis darauf, dass vorrangig jüngere Bewerber angesprochen wurden. Der Begriff „Digital Native“ wird meist für Personen verwendet, die mit digitalen Medien aufgewachsen sind – typischerweise ab Jahrgang 1980. Dies könne ältere Bewerber faktisch ausschließen.

Entscheidung und Konsequenzen

Das Gericht erkannte eine Altersdiskriminierung und sprach dem Kläger eine Entschädigung zu, allerdings nicht in der geforderten Höhe von 37.500 Euro, sondern begrenzt auf 1,5 Monatsgehälter. Es stellte fest, dass Stellenausschreibungen neutral formuliert sein müssen, um Diskriminierungen zu vermeiden.

Was bedeutet das für Unternehmen?

Arbeitgeber sollten ihre Stellenausschreibungen genau prüfen, um unbewusste Diskriminierungen zu vermeiden. Begrifflichkeiten wie „junges Team“, „Berufsanfänger“ oder eben „Digital Native“ können problematisch sein. Eine diskriminierungsfreie Sprache schützt Unternehmen vor Klagen – und sorgt für Chancengleichheit auf dem Arbeitsmarkt.

Ein kleiner Fehler in der Formulierung kann also teure Konsequenzen haben – da hilft es, vorher einmal mehr nachzudenken.

 

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

von | Jan. 27, 2023 | Aktuelles, Arbeitswelt, Datenschutz

Künstliche Intelligenz kann Menschen diskriminieren. Seit einiger Zeit ist durch verschiedene Beispiele bekannt, dass Anwendungen von KI diskriminieren können. Beispielsweise wurden Frauen gegenüber Männern bei der Vergabe von Krediten benachteiligt. Es wurden auch Menschen entehrt. Dies geschah, weil die Gesichtserkennung Fotos von einzelnen Personen automatisiert verglichen und einer Tierart zugeordnet hatte. Wie kann das sein? Eigentlich könnte man davon ausgehen, dass KI keine diskriminierenden Entscheidungen treffen kann, denn im Gegensatz zum Menschen, berechnet die KI emotionslos. Die Entscheidung ist das Resultat einer Rechenoperation. Diese ist logisch und gefühllos. In der Tat trifft die KI ihre Entscheidungen auch sachlich, unvoreingenommen und unparteiisch, also objektiv. Dennoch kann der selbst lernende Algorithmus im Ergebnis Menschen diskriminieren, denn die Ausgangsmerkmale, mit denen das Programm rechnet, tragen bereits die Diskriminierung in sich. Beispielsweise wird bei einem Lebenslaufverlauf eine Mutter mit Zeiten der Arbeitsunterbrechung der KI auffallen. Wenn nun die KI nicht die Gründe für diesen Unterschied kennt und wie es mit diesem umzugehen hat, dann kann es zu einer Benachteiligung der Mutter aufgrund dieses Merkmals kommen. Ausschluss von Diskriminierung durch mehr Daten oder positive Diskriminierung? Es klingt paradox, aber je mehr Daten die KI hat, umso besser kann diese differenzieren und Benachteiligungen ausschließen. Dies deckt sich aber nun überhaupt gar nicht mit dem Grundsatz der Datensparsamkeit. Ein Dilemma. Deswegen wird auch in den Fachkreisen überlegt, ob eine positive Diskriminierung, also die gezielte und offenkundige Bevorzugung benachteiligter Menschen, das Problem lösen könnte. Lösung der „Subobjektivität“ überhaupt möglich? Im Grunde ist die Diskriminierung ein Ergebnis einer gleichzeitig subjektiven wie auch objektiven Entscheidungsfindung. Sozusagen eine „Subobjektivität“, denn anhand von subjektiven Merkmalen trifft die KI objektive Entscheidungen. Die für die KI vorgegebenen Kriterien sind also der Grund für die Diskriminierung. Die Ausgangsparameter setzt der Mensch. Deswegen ist es enorm wichtig, dass alle Auswahlkriterien so bestimmt werden, dass nicht durch das Zusammentreffen von subjektiven Kriterien und objektive Berechnungen eine diskriminierende Entscheidung von der KI vorgeschlagen wird.

 

Wer haftet eigentlich wie, wenn der Mitarbeiter nicht datenschutzkonform handelt? Ist prinzipiell das Unternehmen in der Haftung oder trifft es den Mitarbeiter? Diese Haftungsfrage lässt sich bei einer differenzierten Betrachtung beantworten.

Nutzung der Daten fällt völlig aus dem Rahmen

Benutzt der Mitarbeiter die Daten widerrechtlich für eigene private Zwecke, dann fällt die Handlung des Beschäftigten so sehr aus dem Rahmen, dass er im Sinne des Datenschutzrechtes allein für sein Handeln als Verantwortlicher gerade zu stehen hat. Dies ist damit zu begründen, dass der Mitarbeiter die persönlichen Daten anderer so zweckentfremdet und ausufernd nutzt, dass ein sog. Mitarbeiterexzess gegeben ist.

Ein solcher liegt beispielsweise vor bei der:

  • Nutzung von Telefonnummern zum Aufbau privater Kontakte
  • Abfragen von Kontoinformationen zur Nutzung in einer privaten zivilrechtlichen Streitigkeit.
  • Nutzung von polizeilichen Auskunftssystemen für die eigene private politische Vereinsarbeit.

Das Unternehmen haftet in diesem Fall folglich nicht. So sieht es auch die Entschließung der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 3. April 2019. Aber die Ausnahme bestätigt die Regel: Hat die Geschäftsleitung von dem Verhalten des Mitarbeiters Kenntnis und duldet dieses, so sitzen beide im selben Boot und haften gemeinsam.

Mitarbeiter handelt innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform

Handelt ein Mitarbeiter innerhalb der unternehmerischen Tätigkeit nicht datenschutzkonform, wird dessen Handlung dem Unternehmen als Verantwortlicher im Sinne des Datenschutzrechtes zugerechnet. Dies bedeutet, dass das Unternehmen haftet. Ob das Unternehmen den Beschäftigen in Regress nehmen kann, wird im Einzelfall nach den Grundsätzen des sog. innerbetrieblichen Schadensausgleichs festzustellen sein. Der Grad der Haftung hängt vom Grad des Verschuldens des Beschäftigten ab. Bei einer fahrlässigen Datenschutzverletzung hat das Unternehmen in der Regel keinen Anspruch auf Ausgleich, da der Beschäftigte für das Unternehmen und in dessen Interesse gearbeitet hat.

Schadenersatz des Betroffenen

Derjenige, dessen persönliche Daten widerrechtlich verwendet wurden, hat gegen den Verantwortlichen einen Auskunftsanspruch und Schadenersatzanspruch.

Bußgeld durch die Behörde

Die Frage, ob der Mitarbeiter im Exzess oder das Unternehmen im Falle eines nicht exzessiven Datenschutzverstoßes eine Ordnungswidrigkeit begangen hat und hierfür haftet, ist derzeit in der Rechtsprechung und Literatur strittig. Die einen sind der Meinung, dass aus der Verordnungsbegründung (Erwägungsgründen) der DS-GVO der kartellrechtliche sog. funktionale Unternehmensbegriff anzuwenden ist. Die anderen sprechen sich gegen eine Anwendung dieses Begriffs aus. Der funktionale Unternehmensbegriff wird verwendet, um möglichst viele wirtschaftliche Gebilde in den Anwendungsbereich des Kartellrechts einzuordnen. Es geht also lediglich um die Feststellung, dass ein Zusammenschluss von Personen stattfindet und die wirtschaftliche Tätigkeit irgendwie funktioniert, egal welche Rechtsform er hat und wie er sich finanziert. Zusätzlich hierzu sieht die DS-GVO vor, dass grundsätzlich dem EU-Recht der Vorrang vor dem nationalen Recht der Mitgliedsstaaten hat.

Hierin liegt das Dilemma, denn die Anwendung des funktionalen Unternehmensbegriffs lässt sich mit dem deutschen und im Übrigen auch mit dem österreichischen Ordnungswidrigkeitenrecht nicht vereinbaren. Eine juristische Person, also das Unternehmen als GmbH, UG oder AG, kann nur eingeschränkt Täter im Sinne des Ordnungswidrigkeitengesetzes sein. Erforderlich ist, dass ein Fehlverhalten der vertretungsberechtigten Organe, in der Regel der Geschäftsführung, nachgewiesen wird.

So ist es auch nicht verwunderlich, dass der österreichische Verwaltungsgerichtshof im Jahr 2020 der vorrangigen Anwendung von EU-Recht eine Absage erteilt hat (ÖVwGH, Erkenntnis vom 12.5.2020 – Ro 2019/04/0229). In Deutschland ist die Rechtsprechung uneins. Das LG Bonn (Urteil v. 11.11.2020 – 29 OWi 1/20) hat eine unmittelbare Haftung angenommen. Das LG Berlin hat ebenso wie der ÖWwGH eine unmittelbare Haftung des Unternehmens verneint (LG Berlin, Beschluss vom 18.2.2021, Az. 526 OWi LG 212 Js-OWi 1/20 (1/20). Gegen den Beschluss des LG Berlin wurde Beschwerde eingelegt. Es bleibt abzuwarten, wie das Kammergericht Berlin entscheidet und ob es zu einer Vorlage zum EuGH kommt.

Fakt ist, dass es für Unternehmen derzeit keine Rechtssicherheit gibt, ob eine Haftung besteht oder nicht. Unklar sind auch die Maßstäbe für eine zurechenbare Verantwortlichkeit. Fakt ist auch, dass es gar nicht so weit hätte kommen dürfen. Es ist auch bei EU-Verordnungen ein Mindestmaß an sprachlicher Klarheit zu erwarten und nicht erklärbar, weshalb nicht direkt in der Verordnung eine eindeutige Regelung bezüglich der unmittelbaren Verbandshaftung von Unternehmen erfolgt ist.

 

 

 

 

 

 

Cookie Consent mit Real Cookie Banner