Update Datenschutz 12 – KI und 5.000 Seiten Akten
KI und der richtige Umgang aus rechtlicher Sicht
Das Thema KI ist gerade in aller Munde. Natürlich gibt es dabei auch ein paar rechtliche Aspekte zu beachten. Erste Urteile zum Thema gibt es auch schon. Das Arbeitsgericht Hamburg entscheid, dass der Betriebsrat kein Mitbestimmungsrecht bei der Einführung von ChatGPT im Unternehmen hat (ArbG Hamburg, Entscheidung vom 16.01.2024, 24 BVGa 1/24). In meinem Blog habe ich mich etwas allgemeiner mit dem Thema beschäftigt. Im Artikel „Rechtliche Aspekte beim Einsatz von KI im Unternehmen“ findest du eine Übersicht, was du alles beachten solltet, wenn du KI einsetzen willst. Ich will gar nicht vom Einsatz abraten. Ich nutze auch KI. Aber ein paar Dinge sollte man im Auge behalten. In diesem Zusammenhang bietet sich auch eine Richtlinie für deine Mitarbeiter an. Was du hier beachten solltest, habe ich hier festgehalten: „KI im Unternehmen: So erstellst du eine KI-Richtlinie mit Augenmaß“. Ein Muster für eine Richtlinie findest du natürlich auch im Downloadbereich.
Bewertungsportal muss Daten der bewertenden Person preisgeben oder Bewertung löschen
Rachebewertungen gibt es nicht nur auf Google. Auch bei ehemaligen Mitarbeitern besteht die Gefahr, den ehemaligen Arbeitgeber manchmal in ein falsches Licht zu rücken. In Zeiten von Fachkräftemangel ist das umso ärgerlicher. Das sind Fälle, in denen du vermutlich den direkten Kontakt zur bewertenden Person suchst. Manchmal um die Sache im persönlichen Gespräch richtigzustellen, manchmal vielleicht aber auch um mit rechtlichen Mitteln eine falsche Behauptung aus der Welt zu schaffen. Die Bewertungsportale wiederum neigen dazu, die bewertende Person anonym zu halten. Dem hat das OLG Hamburg jetzt im Fall von Kununu einen Riegel vorgeschoben. Das OLG ist überzeugt, dass das Portal die Bewertung löschen muss, wenn der Bewerter gegenüber dem Bewerteten nicht so individualisiert, dass er das Vorliegen eines geschäftlichen Kontaktes überprüfen kann. Das gilt auch dann, wenn der Portalbetreiber einwendet, aufgrund datenschutzrechtlicher Bestimmungen diese Individualisierung nicht vornehmen zu dürfen.
Einige Stimmen behaupten, dass damit bereits das Geschäftsmodell von Kununu am Ende ist. Ich habe dazu keine Meinung. Aber gut für Arbeitgeber ist es allemal und stärkt die Möglichkeiten im Umgang mit solchen Bewertungen.
Quelle: Urteil des OLG Hamburg vom 08.02.2024, 7W 11/24
Zahlen des Tages
Die Zahlen des Tages sind heute 65 und 500 EUR. 65 ist die Anzahl an Bußgeldern, die 2023 in NRW erlassen worden. 500 EUR ist die mittlere Höhe der Bußgelder. Das sind gute Zahlen. Sie zeigen, dass es gar nicht mal so viele Bußgelder gibt. Und wenn dann doch eines kommt, bleibt es überschaubar. Das muss natürlich nichts für den Einzelfall heißen, aber die oft herbei geschworenen massenhaften und existenzbedrohenden Bußgelder lassen offenbar noch auf sich warten. Die Übersicht findest du auf der Seite des LDI NRW: EINGABEN, BESCHWERDEN UND DATENPANNEN.
Das heißt jetzt nicht, dass du das Thema Datenschutz zur Seite packen kannst. Denn bei systematischen Verstößen drohen saftige Bußgelder. Außerdem dürften Aufsichtsbehörden zunehmend auch strenger gegen Datenschutzverstöße vorgehen. Und Bußgelder sind nicht das einzige Thema. Verstöße gegen die DSGVO können natürlich auch Schadensersatzansprüche nach sich ziehen (dazu gleich mehr). Und selbstverständlich ist die Einhaltung der DSGVO ein Bestandteil eines soliden Compliance-Managements. Verstöße gegen Compliance können wiederum Probleme mit Versicherungen bringen oder sogar ein Thema bei Finanzierungen werden. Abgesehen davon kann ein „schlechtes Datenschutzmanagement“ auch ganz andere Auswirkungen haben. Denk dabei nur mal an Auskunftsanfragen.
5000 Seiten Akten sind nicht zu viel
Auskunftsanfragen sind aktuell ein heißes Thema. Einen ausführlichen Artikel im Umgang damit und natürlich ein Muster findest du hier: Der richtige Umgang mit Auskunftsanfragen im Datenschutz. Einen kleinen Vorgeschmack, was solche Fragen mit sich bringen, bietet ein Urteil des Verwaltungsgerichts Berlin. Dort hatte ein Bürger Auskunft nach Art. 15 DSGVO von einer Behörde verlangt. Diese verweigerte die Auskunft teilweise mit dem Argument, dass sie für eine vollständige Auskunft Unterlagen aus über 100 in den vergangenen 20 Jahren durch den Kläger geführten Verfahren sichten und jeweils prüfen muss, ob durch die Herausgabe an den Kläger Rechte Dritter verletzt würden. Nach einer groben Schätzung der Behörde betrifft das weit über 5.000 Seiten Akten.
Dem Verwaltungsgericht Berlin war das egal (VG Berlin, Urteil vom 06.02.2024, AZ: 1 K 187/21). Es gab der Klage zumindest in diesem Punkt statt. Die Behörde kann sich nicht Unverhältnismäßigkeit oder Rechtsmissbrauch berufen. Das Gericht erkennt zwar den Aufwand für die Behörde. Aber nach seiner Auffassung wiegt der Auskunftsanspruch schwerer und kann nur in eng begrenzten Ausnahmefällen eingeschränkt werden, z.B. ein offenkundig grobes Missverhältnis zwischen den zur Erfüllung des Auskunftsanspruches erforderlichen Anstrengungen und dem Informationsinteresse des Betroffenen. Diese Voraussetzung war aber nach Auffassung des Gerichts nicht erfüllt. Nur zur Verdeutlichung: Hier geht es nicht bloß um die Sichtung der Akten, sondern auch um das Schwärzen von Teilen, die dritten Personen betreffen.
Jetzt kannst du dich natürlich fragen, was ein Anspruch gegen eine Behörde mit dir zu tun hat? In erster Linie nicht viel. Aber das Urteil zeigt, wie ausufernd solch ein Auskunftsanspruch sein kann. Stell dir mal vor, ein ehemaliger Mitarbeiter, der 10 Jahre im Unternehmen war, verlangt Auskunft und (er hat ein Recht darauf) Kopien seiner Daten. Das umfasst dann auch E-Mails aus 10 Jahren.
Datenschutzbehörde darf Löschung von personenbezogenen Daten anordnen, wenn diese unrechtmäßig verarbeitet werden
Und weil wir einmal bei unschönen Geschichten sind, kommen wir auch gleich zu einem aktuellen Urteil des EuGH vom 14. März 2024 (AZ: C-46/23). Da hat der EuGH entschieden, dass eine Aufsichtsbehörde die Löschung unrechtmäßig verarbeiteter Daten anordnen darf. Das gilt sowohl für Daten, die direkt bei der betroffenen Person erhoben wurden, aber als auch für Daten, die aus einer anderen Quelle stammen. Die Löschung kann auch ohne Antrag der betroffenen Person angeordnet werden.
Ich kann bisher nicht sagen, welche Auswirkungen das Urteil haben wird. Aber das Urteil könnte weitreichende Folgen im Marketing haben. Auf dieser Basis können die Behörden nämlich unzulässige Maßnahmen im Bereich E-Mail-Marketing unterbinden. Da könnte zum Beispiel angeordnet werden, dass alle Daten aus dem LinkedIn Navigator gelöscht werden, wenn diese nicht ordnungsgemäß erlangt wurden. Oder die Behörden könnten die Löschung der Newsletter-Liste verlangen, wenn du die Einwilligung nicht nachweisen kannst. Und das sind nur ein paar Ideen. Ob und was hier passiert, müssen wir abwarten. In Anbetracht der Auslastung der Behörden bin ich nicht sicher, ob hier was passiert. Aber ich werde das Thema im Auge behalten.
EuGH positioniert sich zur Höhe des Schadensersatzes
Und damit kommen wir auch schon wieder zum Ende unseres Updates. Und hier gibt es noch einmal gute Nachrichten. Mit Urteil vom 05.03.2024 hat sich der EuGH (AZ: C-755/21) zur Höhe des immateriellen Schadensersatzes positioniert. In dem Verfahren ging es um die unrechtmäßige Verarbeitung von Daten zu intimen Gesprächen. Behörden hatten hier offenbar Gespräche im Zusammenhang mit einer Straftat ausgewertet. Dabei wurden intime Details unrechtmäßig verarbeitet. Der EuGH sprach hier einen Schadensersatz von 2.000 EUR zu.
Das Urteil ist damit zwar im Bereich immaterieller Schadensersatz nicht die Klärung aller Fragen. Aber wenn wir uns das Verhältnis von Sensibilität der Daten und Höhe des Schadensersatzes anschauen, will zumindest ich eine neue Richtung erkennen. Deutsche Gerichte (jedenfalls die Arbeitsgerichte) tendierten bislang dazu, durchaus empfindliche Höhen festzulegen. Denken wir nur an 10.000 EUR für eine verspätete Auskunft. Der EuGH setzt mit seinem Urteil einen neuen Anker. Es dürfte schwer sein am EuGH vorbei 2.000 EUR Schadensersatz für eine verspätete Auskunft zuzusprechen, wenn der EuGH diesen Betrag auch bei sehr intimen Informationen als ausreichend sieht.
Hol dir jetzt unseren Newsletter!
Du willst beim Thema Datenschutz und Informationssicherheit auf dem Laufenden bleiben? Dann melde dich jetzt zu meinem Update Datenschutz an. Das Update kommt ca. 1 mal im Monat und informiert über neue Trends, Urteile, Entscheidungen und von mir veröffentlichte Ratgeber und Muster zum Datenschutz. Außerdem gibt es Updates zu meiner Arbeitsweise und meinen Produkten.