Am 15.07.2024 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Diskussionspapier zum Verhältnis der DSGVO auf Large Language Models (LLMs) veröffentlicht. Auf der Webseite des HmbBfDI heißt es: „Zweck des Diskussionspapiers ist es, einen Debattenimpuls zu setzen und Unternehmen und Behörden bei der Bewältigung datenschutzrechtlicher Fragestellungen im Zusammenhang mit LLM-Technologien zu unterstützen. Das Papier beinhaltet eine eingehende Erläuterung der technischen Aspekte von LLMs sowie deren Bewertung im Licht der einschlägigen Rechtsprechung des Europäischen Gerichtshofs zum Begriff des personenbezogenen Datums nach der DSGVO. Dabei unterscheidet der HmbBfDI entsprechend der am 2. August 2024 in Kraft tretenden KI-Verordnung zwischen einem LLM als KI-Modell (etwa GPT-4o) sowie als Bestandteil eines KI-Systems (zum Beispiel ChatGPT)."
Die europäische Verordnung über künstliche Intelligenz, kurz: KI-Verordnung wurde am 12.07.2024 im EU-Amtsblatt veröffentlicht. Damit ist der AI-Act - weltweit das erste Regelwerk für den Einsatz von künstlicher Intelligenz - am 01.08.2024 in Kraft getreten. Ziel der KI-Verordnung ist es, einheitliche Vorgaben für die Entwicklung und Nutzung von künstlicher Intelligenz in der Europäischen Union festzulegen. Hierbei soll ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umweltschutz sichergestellt, schädliche Auswirkungen von KI-Systemen vermieden und gleichzeitig die technische Innovation unterstützt werden. Die KI-Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme ausgehend von ihrem Risiko für die Sicherheit, Gesundheit und Grundrechte von Menschen bewertet. Die Intensität der Compliance-Anforderungen richtet sich nach der jeweiligen Risikostufe.
Im Sommer 2021 wandte sich ein Beschwerdeführer an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Gegenstand der Beschwerde war das Pur-Abo-Modell des Medienhauses Der Spiegel. Nun zieht der Beschwerdeführer vor Gericht. Der Vorwurf gegen den HmbBfDI wiegt schwer. Zum Hintergrund: Unter einem Pur-Abo-Modell ist ein erweitertes Cookie-Banner zu verstehen, welches den Nutzenden die Wahlmöglichkeit zwischen dem Besuch der Webseite mit Tracking oder dem kostenpflichtigen Besuch der Webseite ohne Tracking eröffnet. Ein solches verwendete auch Der Spiegel auf seiner Webseite. Hiergegen wandte sich der Beschwerdeführer.
Das Digitale-Dienste-Gesetz (DDG) ist am 14.05.2024 in Kraft getreten. Mit dem DDG sollen die Voraussetzungen zur Umsetzung des EU-Digital-Services-Act (DSA) in Deutschland geschaffen werden. Welche Änderungen das DDG mit sich bringt und welche Anpassungen jetzt insbesondere für Webseitenbetreibende erforderlich sind, erläutern wir in diesem Beitrag. Der DSA ist am 16.11.2022 in Kraft getreten und gilt im Wesentlichen seit dem 17.02.2024. Der DSA schafft einheitliche Regelungen für Anbieter digitaler Dienste in der Europäischen Union. Zusammen mit dem Digital-Markets-Act (DMA) soll ein besserer Schutz der Grundrechte von Verbraucher:innen und insbesondere Kindern im Internet erreicht werden. Der Schwerpunkt liegt auf der Verhinderung von illegalen Online-Aktivitäten sowie der Verbreitung von Falschinformationen.
Der Europäische Datenschutzausschuss (EDSA) hat am 17.04.2024 eine Stellungnahme zu "Consent or Pay" auf großen Onlineplattformen wie Instagram und Facebook veröffentlicht. Unter „Consent or Pay“ sind Modelle zu verstehen, bei denen die für die Verarbeitung verantwortliche Stelle den betroffenen Personen die Wahl lässt zwischen mindestens zwei Optionen, um Zugang zu einem Online-Dienst zu erhalten. Die betroffene Person kann entweder in die Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck einwilligen. Alternativ kann sie entscheiden, eine Gebühr zu zahlen, um Zugang zu dem Online-Dienst zu erhalten, ohne dass ihre personenbezogenen Daten für diesen Zweck vearbeitet werden. Die Stellungnahme des EDSA bezieht sich dabei auf Modelle, bei denen die Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der verhaltensbezogenen Werbung erteilt wird.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 13.11.2023 eine hilfreiche Checkliste zum Einsatz von KI-Chatbots vorgelegt. Diese kann auf der Website der Aufsichtsbehörde eingesehen und heruntergeladen werden. Unternehmen und Behörden sollen mit diesem Papier bei ihren ersten Gehversuchen bzw. dem Einsatz der neuen Technik im Hinblick auf den Datenschutz begleitet werden.
Der Europäische Gerichtshof (EuGH) konkretisiert mit zwei weiteren wichtigen Entscheidungen im Dezember die Voraussetzungen für Schadensersatz nach Art. 82 DSGVO. So fallen auch subjektive, immaterielle Schäden unter den Schadensbegriff der DSGVO. Den Schaden beweisen muss die betroffene Person. In seiner ersten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑340/21) führt der EuGH zum Schadensbegriff aus, dass bereits die Befürchtung missbräuchlicher Datenverarbeitung einen immateriellen Schaden darstellen kann. In seiner zweiten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑456/22) stellt der EuGH klar, dass der Schadensbegriff der DSGVO auch rein subjektive Schäden erfasse.
Am 05. Dezember hat der Europäische Gerichtshof (EuGH) gleich zwei wegweisende Urteile verkündet. Im ersten Urteil entschied der EuGH im Fall „Deutsche Wohnen“. Diese stritt mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit über die langfristige Speicherung von Mieter:innendaten (z.B. Personalausweiskopien, Bonitätsbelege, Gehaltsbescheinigungen) in ihren Archivsystemen. Die Datenschützer:innen rügten einen Datenschutzverstoß, welchem die Deutsche Wohnen jedoch keine Abhilfe leistete. Daraufhin verhängte die Berliner Behörde ein Bußgeld in Höhe von 14,385 Mio. EUR wegen eines vorsätzlichen Datenschutzverstoßes. Die Deutsche Wohnen zog vor Gericht. Das Berliner Landgericht stellte das Verfahren gegen die Deutsche Wohnen zunächst ein.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit wird von der Bundesregierung vorgeschlagen und vom Deutschen Bundestag gewählt. Seine Amtszeit beträgt fünf Jahre. Nachdem die Bundesregierung es versäumt hatte, fristgerecht einen neuen Vorschlag für den oder die nächsten Bundesdatenschutzbeauftragten (BfDI) vorzulegen, bewirbt sich der Prof. Ulrich Kelber um eine zweite Amtszeit. Eine Wiederwahl ist einmalig möglich. Auf der Webseite des BfDI teilt Kelber mit: "Ich selbst bewerbe mich um eine zweite Amtszeit, um meine begonnene Arbeit fortzusetzen. In den letzten fünf Jahren habe ich erreicht, dass der BfDI die Beratung für die beaufsichtigten Bundesbehörden, Unternehmen und sonstigen Institutionen deutlich intensiviert hat."
Die irische Datenschutzkommission DPC, die im Namen der EU handelt, hat gegen den Videodienst TikTok ein Bußgeld in Millionenhöhe ausgesprochen. TikTok wehrt sich. Hintergrund ist eine Untersuchung zum Umgang mit Nutzendendaten Minderjähriger von Ende Juli bis Ende Dezember 2020, wie die DPC vergangene Woche mitteilte. Die DPC wirft dem bei Jugendlichen sehr beliebten Dienst TikTok vor, beim Umgang mit Daten Minderjähriger gegen die EU-Datenschutzgrundverordnung (DSGVO) verstoßen zu haben. Im Fokus standen einige Einstellungen der Plattform sowie die Altersüberprüfung bei der Anmeldung. Die Voreinstellung führte dazu, dass Beiträge und Videos von Nutzenden im Alter zwischen 13 und 17 Jahren standardmäßig für alle sichtbar veröffentlicht werden konnten. Auch sei die Kommentierfunktion in den Profilen als Voreinstellung für alle anderen Nutzenden zugänglich gewesen.