Es ist August und damit mal wieder Zeit für ein neues Update-Datenschutz. Falls du meinst, dass du im Juni und Juli ein Update verpasst hast, das ist nicht der Fall. Ich habe es etwas schleifen lassen. Verzeih mir. Falls du neu im Verteiler bist, herzlich willkommen.

Heute geht nicht nur um Datenschutz. Aber wie du vielleicht weißt, bin ich auch Fachanwalt für IT-Recht und da komme ich manchmal um ein paar Themen nicht herum. Eines dieser Themen ist KI. Angeblich ist der Hype schon wieder vorbei, das sagt zumindest auch mein Aktiendepot, aber so ganz wird das Thema nicht verschwinden. Und so kam es dann auch, dass die EU mit der KI-Verordnung die weltweit erste Regelung in diesem Bereich auf den Weg gebracht hat.

KI-Verordnung

Es wäre stark übertrieben oder einfach gelogen, wenn ich sage, dass die KI-Verordnung lange herbeigesehnt wurde. Trotzdem wurde die KI-Verordnung am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht. Sie gilt grundsätzlich ab dem 2. August 2026. Allerdings gibt es Ausnahmen. Die Kapitel I und II gelten z. B. bereits ab dem 2. Februar 2025. Kapitel II regelt in erster Linie verbotene Praktiken wie biometrische Echtzeit-Fernüberwachung und Social Scoring. Die KI-Verordnung ist stark umstritten. Juristen bemängeln in erster Linie viele Unklarheiten und Grauzonen sowie die Komplexität. Manche Kollegen sprechen sogar von einer Verordnung, die schlimmer ist als die DSGVO. Insofern dürfen wir uns hier sicherlich noch auf ein bisschen Spaß einstellen.

Wenn du KI im Unternehmen einsetzt, solltest du dich zumindest einmal mit der Verordnung beschäftigen. Auch wenn es dort häufig um gänzlich verbotene Praktiken geht oder den Einsatz von Hochrisiko-KI, solltest du mal einen Blick riskieren. Denn erstens kann dich das Thema Hochrisiko-KI schneller treffen, als du vielleicht meinst, z. B. beim Einsatz von Software fürs Recruiting. Außerdem müssen auch beim Einsatz von „normaler“ KI u.U. bestimmte Informationspflichten erfüllt werden, z. B. beim Einsatz von Chatbots oder Deepfakes. Wir haben hier mal ein wenig, was zusammengefasst:

• Rechtliche Aspekte beim Einsatz von KI für Softwareentwicklung
• Rechtliche Aspekte beim Einsatz von KI im Unternehmen
• KI im Unternehmen: So erstellst du eine KI-Richtlinie mit Augenmaß inkl. Muster

Cybercrime weiter auf dem Vormarsch

KI hält überall Einzug, so auch beim Thema IT-SIcherheit und Cybercrime. Vermutlich überrascht es dich nicht, dass das Thema Cybercrime immer mehr Fahrt aufnimmt. Das wird auch in dem vom BKA und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen „Bundeslagebild Cybercrime 2023“ bestätigt. Die Anzahl der Fälle von Cyberkriminalität ist weiter deutlich gestiegen. Zwar konnte auch die Aufklärungsquote auf 32 % erhöht werden. Am Ende bleibt das aber mehr oder weniger doch ein Tropfen auf den heißen Stein. Das ganze Thema wird darüber hinaus professioneller. Underground Economy und „Cybercrime as a Service“ sind dabei nur zwei Begriffe, die vermutlich auch in Zukunft noch öfter auftauchen werden. Laut dem Lagebericht hat außerdem die Zahl der Auslandstaten deutlich zugenommen, was der Aufklärungsquote vermutlich nicht unbedingt zugutekommt. Trotzdem bedeutet Aufklärung nicht gleich, dass der Schaden kompensiert wurde.

Phishing bleibt ein häufiger Eintrittsvektor, ebenso wie IT-/Software-Schwachstellen und Initial Access Broker. Durch den Einsatz von KI werden auch die Angriffe immer besser. Diese Erfahrung kann ich in der täglichen Arbeit bestätigen. Einer der größten „Schwachstellen“ im Beriech der IT-Sicherheit ist und bleibt der Faktor Mensch. Die Schulung und Sensibilisieren deiner Mitarbeiter sollte also ein unverzichtbarer Baustein deiner IT-Sicherheit-Infastruktur sein.

Schnüffeln im Internet im Bewerbungsverfahren?

Das Thema Recruiting habe ich oben beim Einsatz von KI schon einmal angesprochen. Es geht aber auch ganz klassisch.

Mal die Hand hoch, wer noch nie einen potenziellen Bewerber gegoogelt hat. Ich selbst kann mich noch eines meiner ersten Bewerbungsgespräche erinnern, hier allerdings als Bewerber. Der Kollege fragte damals im Gespräch, ob ich gerne Computerspiele zocke. Leicht verwundert nach dem Gespräch habe ich mich dann doch mal selbst gegoogelt und festgestellt, dass man da recht viel über meine Aktivitäten in einem Browsergame finden konnte. Na ja, es war das erste Gespräch nach dem Ref. und es waren andere Zeiten.

Das Thema solltest du trotzdem nicht auf die leichte Schulter nehmen. Solche Sachen können (heute) auch leicht vor Gericht landen.

In einem Verfahren vor dem LAG Düsseldorf (Urteil vom 10.04.2024, 12 Sa 1007/23) warf nämlich der Bewerber und Kläger der Arbeitgeberin vor, ihn zum Gegenstand einer rechtswidrigen „Online-Schnüffelei“ gemacht zu haben. Soso. Der Arbeitgeber hatte so von einer Vorstrafe des Bewerbers erfahren und es kam, wie es kommen musste. Der Bewerber wurde abgelehnt. Dann ging es vor Gericht.

Das Verfahren bringt zwei interessante Learning:

Das erste Learning: Wer recherchiert, muss informieren. Das LAG Düsseldorf hat entschieden, dass die Beklagte Arbeitgeberin verpflichtet war, den Bewerber über die Recherche oder Schnüffelei, nennt es wie ihr wollt, informieren muss. Diese Informationspflicht ergibt sich aus Art. 14. Das überrascht nicht. Das LAG sprach darüber hinaus dem Kläger auch noch Schadensersatz in Höhe von 1.000 EUR zu, weil er aufgrund der fehlenden Informationen einen immateriellen Schadenerlitten. Darüber kann man sich streiten und viele Gerichte sind hier doch mittlerweile sehr zurückhaltend beim Thema Schadensersatz. Hier hat es jedenfalls geklappt.

Das zweite Learning: Bereitet euch auf Auskunftsanfragen vor. Dem ganzen Prozedere ging nämlich eine Auskunftsanfrage nach Art. 15 DSGVO des Beklagten voraus, die er nach der erhaltenen Absage gestellt hatte. Erst so erfuhr er von einer internen Stellungnahme der Beklagten und konnte darauf den Prozess aufbauen. Das Thema Auskunftsanfrage solltet ihr nicht auf die leichte Schulter nehmen. Wie man damit umgeht, habe ich übrigens hier mal zusammengefasst: “Der richtige Umgang mit Auskunftsanfragen im Datenschutz“.

Funfact: Der Bewerber war oder ist übrigens Volljurist und war wegen Betruges vorbestraft. Seine Masche bestand offensichtlich darin, sich auf diverse Positionen zu bewerben und dann einen Schadensersatzanspruch nach dem AGG geltend zu machen. Das Thema dürfte dir bekannt sein, zumindest wenn du auch mit Personalangelegenheiten zu tun hast. Für die Masche muss man aber nicht Volljurist sein, nur falls du dich jetzt schon entspannt zurücklegen willst.

Aktuelle Rechtsprechung

Ansonsten gab es noch ein paar Urteile, die man jedenfalls mal gehört haben kann:

Das OLG Stuttgart durfte sich in mehreren Entscheidungen mit dem Thema Schadensersatz auseinandersetzen.

• OLG Stuttgart – Urteil vom 19.06.2024, Az. 4 U 132/23:Nach Auffassung des Gerichts muss der Kläger grundsätzlich darlegen und beweisen, dass der Anwendungsbereich der DSGVO eröffnet ist. Der Kläger steht aber außerhalb des Geschehensablaufs und hat keine Kenntnisse von den maßgeblichen Tatsachen. Er kann auch den Sachverhalt von sich aus nicht ermitteln. Demgegenüber kann der Beklagte die erforderliche Aufklärung leisten. Das ist ihm auch zuzumuten. Der Grundsatz muss daher eingeschränkt werden.
• OLG Stuttgart, Urteil vom 26.06.2024, Az. 4 U 172/23 :Ein Datenschutzverstoß alleine reicht nicht aus. Es muss darüber hinaus auch zu einem Schaden gekommen sein. Alleine der Verstoß ist noch kein Schaden. Das ist jetzt auch nicht mehr ganz neu und dürfte mittlerweile fast als gefestigte Rechtsprechung gelten. Hierzu hatte bereits auch der EuGH entschieden (ich hatte berichtet). Die alleine auf Verstöße gegen die DSGVO gestützte Klage ist unbegründet, weil nicht mit der notwendigen Sicherheit festgestellt werden kann, dass es zu einem Abgriff der Daten des Klägers während der zeitlichen Geltung der DSGVO ab dem 25.05.2018 gekommen ist.
• OLG Stuttgart – Urteil vom 26.06.2024, Az. 4 U 114/23: Und wenn dann schon ein Schaden eingetreten ist, muss dieser auch durch die Beeinträchtigung ausgelöst worden sein. Sofern der Verantwortliche diese Kausalität bestreitet, muss der Kläger ihn beweisen. Das kann in der Praxis schwierig werden.

Das Thema Schadensersatz wird noch eine Weile spannend bleiben. Momentan sieht es für mich jedenfalls so aus, dass die ersten Schwellen sehr niedrig angesetzt sind, aber am Ende einerseits der Nachweis eines Schadens nicht ganz einfach sein wird. Andererseits dürften auch die Schadensersatzsummen nicht allzu üppig ausfallen. Ich will nicht sagen, dass die Zeiten des ArbG Düsseldorf (5000,00 EUR Schadensersatz für eine verspätete Auskunft) vorbei sind. Aber gerade, nachdem der EuGH 2000,00 EUR für die Preisgabe von hochsensiblen Daten als ausreichend erachtete, dürfte hier die Messlatte wieder etwas niedriger werden (EuGH, Urteil vom 05.03.2024 – AZ: C-755/21).