Nichts ist so beständig wie der Wandel – oder die datenschutzrechtliche Diskussion über Microsoft 365. Nachdem wir bereits im Oktober 2020 sowie im November und Dezember 2022 den jeweiligen Standpunkt der Datenschutz-Aufsichtsbehörden sowie mögliche Herangehensweisen darstellten, wandte sich nun der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) im November 2025 mit einer – zu Teilen sicher unerwarteten – Pressemitteilung an die Öffentlichkeit: „Microsoft 365 kann datenschutzkonform genutzt werden“ heißt es in der Überschrift. Zu den Hintergründen des vermeintlichen Sinneswandels.

Was bisher geschah

Ende November 2022 hieß es von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („Datenschutzkonferenz“, kurz: DSK) zuletzt: „Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. […] Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ Hauptkritikpunkt war demnach im Wesentlichen die vertragliche Grundlage zur Auftragsverarbeitung und daran anknüpfende Aspekte der Transparenz. Microsoft hatte diese Auffassung – wenig überraschend – nicht geteilt und eine entsprechende Stellungnahme veröffentlicht.

Nachdem die Handlungsempfehlungen der Datenschutz-Aufsichtsbehörden zum damaligen Zeitpunkt insbesondere individuelle Vertragsanpassungen vorsahen, die seitens der Verantwortlichen gegenüber Microsoft durchgesetzt werden sollten, vermeldete das Niedersächsische Ministerium für Inneres und Sport im Mai 2024 erstmals die datenschutzkonforme Nutzung von Microsoft Teams auf Basis individuell vereinbarter datenschutzrechtlicher Vereinbarungen – nach Ansicht des LfD Niedersachen zum damaligen Zeitpunkt immerhin ein „akzeptables“ Ergebnis.

Auch der Europäische Datenschutzbeauftragte (EDSB) bestätigte im Juli 2025 den datenschutzkonformen Einsatz von Microsoft 365 bei der EU-Kommission. Nachdem dieser im Frühjahr 2024 einige datenschutzrechtliche Mängel feststellte und konkrete Abhilfemaßnahmen auferlegte, konnte die EU-Kommission die Umsetzung der Maßnahmen letzten Endes nachweisen. Auch hierbei handelte es sich neben der Umsetzung ergänzender technischer und organisatorischer Maßnahmen ebenfalls um die Etablierung zusätzlicher vertraglicher Regelungen.

Zum Ergebnis des HBDI

Im Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft 365 werden auf 137 Seiten ausführlich die rechtlichen Erwägungen des HBDI sowie daraus erwachsende Handlungsempfehlungen für Organisationen dargelegt. Im Rahmen der Pressemitteilung fasst die hessische Datenschutz-Aufsichtsbehörde das Ergebnis wie folgt zusammen:

„In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Zum einen haben sich rechtliche Vorgaben verändert wie z. B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat [Microsoft] seine Datenverarbeitung an europäische Anforderungen angepasst wie z. B. durch die EU-Datengrenze, durch die [Microsoft] fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.

Drittens hat [Microsoft] Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass [Microsoft] das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt [Microsoft] zusätzliche Informationen bereit wie z. B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt. Das positive Ergebnis beruht auch auf der Erwartung, dass [Microsoft] und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können.“

Mitunter ausschlaggebend waren eben auch hier vertragliche Anpassungen. Deutlich wird dabei auch, dass seitens des HBDI hauptsächlich vertragliche und dokumentarische Aspekte, nicht jedoch die durch die jeweiligen Anwendungen tatsächlich stattfindenden Verarbeitungen personenbezogener Daten überprüft wurden. Es bedarf also neben gegebenenfalls erforderlichen vertraglichen Ergänzungen weiterhin auch einer fundierten Auseinandersetzung mit der technischen Konfiguration der Microsoft 365-Instanz mitsamt aller Anwendungen und Prozesse.

Fazit

Die Überschrift der Pressemitteilung des HBDI „Microsoft 365 kann datenschutzkonform genutzt werden“ darf nicht missverstanden werden. Zwar konnte Microsoft im Rahmen der Prüfung durch die hessische Datenschutz-Aufsichtsbehörde vermeintliche Mängel ausräumen, die Implementierung und Nutzung von Microsoft 365 setzt durch die jeweiligen Organisationen jedoch weiterhin eine konkrete Betrachtung der genutzten Anwendungen, potenzieller Risiken und vorhandener Einstellungsmöglichkeiten voraus. Ein datenschutzkonformer Betrieb von Microsoft 365 ist damit nicht ausgeschlossen; er kann jedoch nicht pauschal unterstellt werden und entbindet nicht von einer einzelfallbezogenen datenschutzrechtlichen Prüfung und fortlaufenden Steuerung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits im Juni hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) eine Reihe von Orientierungshilfen, Entschließungen und Positionspapieren veröffentlicht. In unserem Beitrag geben wir einen kurzen Überblick über die wesentlichen Inhalte.

Künstliche Intelligenz

Confidential Cloud Computing

Die DSK weist in ihrer Entschließung „Confidential Cloud Computing“ darauf hin, dass der Begriff „Confidential Computing“ uneinheitlich verwendet wird und je nach Anbieter unterschiedliche Technologien umfasst. Werbeaussagen, wonach Daten im Rahmen von „Confidential Cloud Computing“ vollständig vor dem Cloud-Betreiber geschützt seien, werden von der DSK als oftmals verkürzt und nicht der tatsächlichen technischen Komplexität entsprechend bewertet.

Ursprünglich dienten diese Technologien dem Schutz vor anderen Nutzenden derselben Infrastruktur. Sollen Daten jedoch auch vor dem Betreiber selbst geschützt werden, sind deutlich stärkere Annahmen notwendig, da dieser physischen Zugang zur Hardware hat und so die eingesetzte Soft- und Hardware manipulieren kann. Die DSK stellt klar, dass Maßnahmen wie interne Zugriffsbeschränkungen zwar sicherheitsförderlich sind, jedoch nicht im engeren Sinne zum „Confidential Computing“ zählen. Auch das Schlüsselmanagement spielt eine zentrale Rolle: Tatsächliche Geheimhaltung gegenüber dem Cloud-Betreiber ist nur dann gewährleistet, wenn dieser keinen Zugang zu den Entschlüsselungsschlüsseln hat und Manipulationen an Schlüsseln ausgeschlossen sind. Zudem sind die Übergänge zwischen verschiedenen Verschlüsselungszuständen, wie etwa von „data-at-rest“ zu „data-in-use“, besonders kritisch zu betrachten, da hier kurzzeitige Entschlüsselungen erfolgen können.

Insgesamt könne „Confidential Cloud Computing“ das Sicherheitsniveau erhöhen und Schutz gegenüber anderen Nutzenden sowie einzelnen Innentätern bieten. Absolute Vertraulichkeit sei jedoch nicht gegeben, da der Cloud-Betreiber grundsätzlich Zugriffsmöglichkeiten habe. Die der Technologie zugeschriebenen Eigenschaften seien daher kritisch zu bewerten, und etwaige Maßnahmen seien aus Gründen der Nachweis- und Rechenschaftspflicht nachvollziehbar zu dokumentieren.

Sicherheitsgesetze

Aus der Entschließung „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ der DSK geht deutlich hervor, dass Datenschutz ein zentraler Bestandteil des Rechtsstaats ist und untrennbar mit Freiheit und Sicherheit verbunden ist. Grundrechte wie das Recht auf informationelle Selbstbestimmung bilden die Grundlage für die freie Entfaltung der Persönlichkeit und die Teilhabe am demokratischen Gemeinwesen. Ein Leben in Freiheit setzt Sicherheit voraus, zugleich ist Sicherheit nur dann gewährleistet, wenn sich der Staat an verfassungskonforme Gesetze und gegebene Garantien hält.

Die DSK warnt davor, Datenschutz und Sicherheit gegeneinander auszuspielen. Sie erkennt ein Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und dem Grundrecht auf Datenschutz an, hält dieses jedoch durch verhältnismäßige Maßnahmen für lösbar. Datenschutz diene nicht dem Schutz von Straftäterinnen oder Gefährdern, sondern dem Schutz aller Bürgerinnen und Bürger vor ungerechtfertigten Eingriffen in ihre Freiheitsrechte. Er stellt ein rechtsstaatliches Korrektiv dar, insbesondere bei staatlicher Datenverarbeitung.

Die DSK hebt hervor, dass Datenschutz der Weiterentwicklung polizeilicher Datenverarbeitung nicht entgegensteht. Entscheidend sei, zunächst den fachlichen Bedarf zu ermitteln und verhältnismäßige Lösungen zu erarbeiten, anstatt reflexartig mit Grundrechtseinschränkungen auf sicherheitspolitische Herausforderungen zu reagieren. Die DSK spricht sich dafür aus, bestehende Befugnisse der Sicherheitsbehörden hinsichtlich ihrer Anwendung und Wirksamkeit systematisch zu evaluieren, bevor neue gesetzgeberische Maßnahmen ergriffen werden. In diesem Zusammenhang verweist sie auf einschlägige wissenschaftliche Studien. Abschließend erklärt die DSK, dass sie künftige Gesetzesnovellierungen im Sicherheitsbereich eng begleiten und sich dafür einsetzen wird, dass neue Befugnisse den verfassungsrechtlichen Maßstäben genügen.

Terminverwaltung durch Heilberufspraxe

Mit dem Dokument „Datenschutz bei der Terminverwaltung durch Heilberufspraxen – Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement“ reagiert die DSK auf die zunehmende Nutzung internetbasierter Terminvergabesysteme durch Heilberufspraxen, bei denen Dienstleister personenbezogene Patientendaten im Auftrag der Praxis verarbeiten. Die Einbindung solcher Dienstleister kann grundsätzlich im Rahmen einer Auftragsverarbeitung erfolgen und erfordert auch keine Einwilligung der Patientinnen und Patienten. Allerdings sind diese über die Datenverarbeitung zu informieren und auch die weiteren datenschutzrechtlichen Anforderungen sind zwingend einzuhalten.

Für die Datenverarbeitung zur Terminvergabe gilt insbesondere, dass nur solche Patientendaten verarbeitet werden dürfen, die zur Wahrnehmung eines konkreten Termins erforderlich sind. Terminerinnerungen beispielsweise stellen nach Ansicht der DSK ein zusätzliches Serviceangebot dar und bedürfen einer informierten, ausdrücklichen Einwilligung der betroffenen Personen. Ferner sind Eintragungen im Terminkalender nach Ablauf des Termins zeitnah zu löschen, sofern keine dokumentationspflichtigen Inhalte betroffen sind. Zudem müssen Heilberufspraxen geeignete technische und organisatorische Maßnahmen treffen, um die Einhaltung der Sicherheit der Verarbeitung sicherzustellen. Erfolgt eine Datenverarbeitung in einem Drittland, sind die Anforderungen der Art. 44 ff. DS-GVO zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im ersten Teil des Jahresrückblicks haben wir bereits einen Blick auf die hervorzuhebenden Themen in den Monaten Januar bis Juni werfen können. Im Rahmen unseres heutigen Blog-Beitrages widmen wir uns den Monaten Juli bis Dezember und damit einigen richtungsweisenden Entscheidungen sowie Entwicklungen im Datenschutzrecht.

Juli

Darf eine nationale Wettbewerbsbehörde auch Datenschutzrecht prüfen? Ja, meint der Europäische Gerichtshof (EuGH) in seinem Urteil vom 4. Juli 2023 (C-252/21). Laut Ansicht des EuGH sind Wettbewerbsbehörden für den Erlass von Entscheidungen zuständig, mit denen Marktmachtmissbrauch seitens marktbeherrschender Unternehmen festgestellt wird. Der Wettbewerb innerhalb des europäischen Binnenmarktes ist ferner vor etwaigen Verfälschungen zu schützen. Aus diesem Grund müssen Wettbewerbsbehörden beim Erlass derartiger Entscheidungen beurteilen können, ob und in welchem Grad das jeweilige Unternehmen den Wettbewerb behindert. Zur Feststellung eines Marktmachtmissbrauchs, so der EuGH, kann es somit für die Kartellbehörden notwendig sein zu prüfen, ob das in Frage stehende Verhalten des Unternehmens gegen die DS-GVO verstößt.

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten.

Kritik an dem neuen Angemessenheitsbeschluss äußerte bereits Max Schrems sowie die von ihm gegründete NGO „noyb“. Nachdem Schrems vor dem Europäischen Gerichtshof bereits das Kippen der beiden vorhergehenden Angemessenheitsbeschlüsse („Safe Harbor“, „Privacy Shield“) erreichte, scheint es nur eine Frage der Zeit zu sein, bevor der Europäische Gerichtshof auch über das EU-U.S. Data Privacy Framework entscheiden müssen wird.

August

Bereits seit längerer Zeit wird in der Datenschutzwelt darüber diskutiert, ob und wie ein datenschutzkonformer Einsatz von Microsoft 365 gelingen kann. Zuletzt vermeldete die Datenschutzkonferenz im November 2022, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“ Mit Stand 24. August 2023 veröffentlichte der Landesbeauftrage für den Datenschutz Niedersachsen eine Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung für den Einsatz von Microsoft 365. Im Wesentlichen wird darin eine individuelle Anpassung des von Microsoft bereitgestellten Vertrages empfohlen. Dass sich Microsoft jedoch auf derartige Einzelabsprachen einlässt, darf angezweifelt werden.

Fortschritt durch Datennutzung – Strategie für mehr und bessere Daten für neue, effektive und zukunftsweisende Datennutzung.  Das ist der Titel der am 30. August 2023 veröffentlichten neuen nationalen Datenstrategie der Bundesregierung. Die neue Datenstrategie soll das Leitbild der künftigen Datenpolitik sein. „Hierfür richtet die Bundesregierung den Fokus auf die Bereitstellung von mehr und besseren Daten und setzt auf eine neue Kultur der Datennutzung und des Datenteilens.“, heißt es in einer Mitteilung des Bundesministeriums des Inneren und für Heimat (BMI). Hiervon umfasst sind ebenfalls Aspekte des Datenschutzrechts, so zum Beispiel die Stärkung der Datenschutzkonferenz, dem Gremium unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder.

September

Wirbel sorgte im September die Neubesetzung der obersten Stelle der Datenschutz-Aufsichtsbehörde in Niedersachsen. Die frühere Landesbeauftragte für den Datenschutz hatte im Rahmen einer einstweiligen Anordnung versucht, die Ernennung des vom niedersächsischen Landtag gewählten Nachfolger zu verhindern. Hintergrund waren Zweifel an der Transparenz des Auswahlverfahrens sowie an der Geeignetheit der Person. Die einstweilige Anordnung wurde durch das Verwaltungsgericht Hannover jedoch abgelehnt und die Beschwerde gegen diese Entscheidung am 14. September 2023 durch das niedersächsische Oberverwaltungsgericht (Az. 5 ME 55/23) zurückgewiesen.

Es vergeht kaum eine Woche, die kein Urteil zum Thema Auskunftsanspruch nach Art. 15 DS-GVO bereithält. Einen interessanten Aspekt bietet die Entscheidung des Bundesgerichtshofs (BGH) vom 27. September 2023 (Az. IV ZR 177/22). Im Rahmen einer Prämienanpassung einer privaten Krankenversicherung verlangte der Kläger unter anderem Auskunft über alle Beitragserhöhungen sowie um Vorlage aller in diesem Zusammenhang stehenden Unterlagen. Das Gericht sah einen solchen Auskunftsanspruch nicht auf Grundlage von Art. 15 Abs. 1, 3 DS-GVO gegeben. Weder bei den Anschreiben selbst noch bei den beigefügten Anlagen handele es sich jeweils in ihrer Gesamtheit um personenbezogene Daten.

Mit Verweis auf die Rechtsprechung des EuGH vom 4. Mai 2023 (Rs. C-487/21) bestehe ein Recht auf Kopie i.S.d. Art. 15 Abs. 3 DS-GVO ausschließlich für Informationen, die nach Art. 15 Abs. 1 DS-GVO zu beauskunften sind und nicht hinsichtlich beliebiger Dokumente.

Oktober

Ein Dauerbrenner in der datenschutzrechtlichen Beratung stellt das Thema Videoüberwachung dar. Umso weniger erstaunt es, dass auch regelmäßig Urteile zu dieser Thematik veröffentlicht werden. Für die Praxis sind derartige Urteile von besonderer Relevanz, da sie anschaulich darstellen, welche Argumentationen durch die Gerichte hinsichtlich der Erforderlichkeit und Zulässigkeit von Videoüberwachungen angeführt werden. So auch in einem Urteil des Verwaltungsgerichts Hannover vom 10. Oktober 2023 (Az. 10 A 3472/20).

Vorliegend waren die in Frage stehenden Kameras nach Auffassung des Gerichts zur Wahrnehmung der Interessen der Klägerin nicht notwendig. Für das Gericht war nicht erkennbar, dass die Videoüberwachung dazu geeignet sei, die angeführten Straftaten zu verhindern oder aufzuklären. Verantwortliche, die eine Videoüberwachung planen oder bereits durchführen sollten auf Grundlage dieses Urteils die Erforderlichkeit und Geeignetheit einer Videoüberwachung gründlich prüfen.

November

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat wie in jedem Jahr zu Anfang November seinen Bericht zur Lage der IT-Sicherheit veröffentlicht. Mit dem Bericht gibt das BSI einen umfassenden Bericht über die aktuelle Bedrohungslage. Für den zurückliegenden Berichtszeitraum zieht das BSI das vernichtende Fazit: „Die Bedrohung im Cyberraum ist so hoch wie nie.“ Zu den Gründen gehören die gestiegene Anzahl der Sicherheitslücken, Missbrauchsmöglichkeiten von KI-Tools oder aber Datendiebstahl bei Verbraucherinnen und Verbrauchern. Zudem zeichnen sich die Cyberangriffe durch eine steigende Professionalisierung aus. Sehr häufig wird von einem Konzept Cybercrime-as-a-Service gesprochen. Das BSI seinerseits spricht sogar von einem wachsenden Dienstleistungscharakter und einem gezielten Anbieten und Ausspielen von Services im Bereich der Cyberangriffe.

Dezember

Der letzte Monat des Jahres hielt eine ganze Palette relevanter Rechtsprechung des EuGH zum Datenschutzrecht bereit. Hierzu gehören insbesondere die Urteile vom 5. Dezember 2023 (Rs. C-683/21, C-807/21) zur Verhängung von Geldbußen gegen Unternehmen, das Urteil vom 7. Dezember 2023 (Rs. C-643/21, C-26/22 und C-64/22) zu den Datenverarbeitungspraktiken von Wirtschaftsauskunfteien, deren Inhalte auch für den Einsatz von KI-Anwendungen relevant sein dürften sowie das Urteil vom 14. Dezember 2023 (Rs. C-340/21) bezüglich der Geltendmachung von Schadensersatz bei unzureichenden Maßnahmen zur Gewährleistung der Sicherheit der Daten.

In diesem Sinne beenden wir unseren kleinen Jahresrückblick für das Jahr 2023 und sind ganz besonders auf die kommenden Entwicklungen im neuen Jahr gespannt. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leser:innen unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

Wir wünschen Ihnen ein besinnliches Weihnachtsfest im Kreise Ihrer Liebsten sowie einen guten und gesunden Start in das Jahr 2024!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Nutzung von künstlicher Intelligenz (KI) im privaten und dienstlichen Kontext hat in den letzten Monaten stark zugenommen. Das mag insbesondere an der medialen Aufmerksamkeit im Zusammenhang mit dem Chatbot ChatGPT liegen, jedoch gibt es auch darüber hinaus eine Reihe nützlicher Anwendungen, die sich KI zunutze machen. Auch nationale und lokale Unternehmen haben die Chancen erkannt, so beispielsweise die DeepL SE (Köln) mit ihrer Anwendung DeepL Write oder die SpeechMind GmbH (Dresden) mit ihrer KI-Anwendung zur Meetingdokumentation. Doch manchmal scheinen sich die Nutzung von KI und die Einhaltung datenschutzrechtlicher Anforderungen zu widersprechen, wie beispielsweise das temporäre Verbot von ChatGPT in Italien gezeigt hat. Dies wirft für Verantwortliche die grundsätzliche Frage auf: Ist KI überhaupt datenschutzkonform einsetzbar?

Zulässigkeit & Rechtsgrundlagen

Sobald durch die Nutzung von KI-Anwendungen personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO außerhalb der persönlichen oder familiären Sphäre verarbeitet werden, sind die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen. Bereits hieraus ergibt sich die grundsätzliche Empfehlung – wo sinnvoll umsetzbar – im Zusammenhang mit KI ausschließlich vollständig anonymisierte Daten zu nutzen. Lässt sich ein Personenbezug nicht vermeiden, bedarf es einer belastbaren Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO. So können Datenverarbeitungen insbesondere auf eine transparente und freiwillige Einwilligung, auf eine vertragliche Beziehung – soweit die Nutzung von KI zur Erbringung der vertraglichen Leistungen zwingend erforderlich ist – und auf das berechtigte Interesse des Verantwortlichen gestützt werden, sofern dieser nachweisen kann, dass die berechtigten Interessen die Grundrechte und -freiheiten des Einzelnen überwiegen.

Besondere Anforderungen können sich zusätzlich im Gesundheitsbereich mit besonders schützenswerten personenbezogenen Daten (Art. 9 DS-GVO) oder im Beschäftigtendatenschutz (§ 26 BDSG [Bundesdatenschutzgesetz]) ergeben. Im Ober-Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer ist oftmals die Freiwilligkeit einer Einwilligung anzuzweifeln. Im Zusammenhang mit der Aufnahme und Verarbeitung des gesprochenen Wortes ist zudem die Norm des § 201 StGB (Strafgesetzbuch) zwingend zu beachten!

Auftragsverarbeitung & Gemeinsame Verantwortlichkeit

In der Regel werden bei der Nutzung von KI-Anwendungen personenbezogene Daten (z.B. IP-Adressen) im Auftrag des Verantwortlichen durch den Anbieter der jeweiligen Anwendung verarbeitet. In diesem Fall ist zwischen Auftraggeber (Verantwortlicher) und Auftragnehmer (Anbieter) ein Vertrag zur Auftragsverarbeitung entsprechend des Art. 28 DS-GVO abzuschließen. Dabei hat der Verantwortliche gemäß Art. 28 Abs. 1 DS-GVO sicherzustellen, dass „dieser nur mit Auftragsverarbeitern [zusammenarbeitet], die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Der Vertrag zur Auftragsverarbeitung muss zwingend die Inhalte aus Art. 28 Abs. 3 DS-GVO abbilden.

Eine Besonderheit gilt darüber hinaus, wenn der Anbieter einer KI-Anwendung die personenbezogenen Daten des Verantwortlichen nicht ausschließlich weisungsgebunden, sondern ebenfalls zu eigenen Zwecken, beispielsweise zur Verbesserung der KI-Anwendung nutzt. In einem solchen Fall liegt in der Regel eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO vor. Auch diesbezüglich ist ein spezieller datenschutzrechtlicher Vertrag zu schließen, wobei die wesentlichen Inhalte für die von der Verarbeitung betroffenen Person zur Verfügung gestellt werden müssen (Art. 26 Abs. 2 Satz 2 DS-GVO).

Grundsätze der Datenverarbeitung

Weiterhin sind im Rahmen der Nutzung der KI-Anwendung die Grundsätze der Verarbeitung gemäß Art. 5 Abs. 1 DS-GVO einzuhalten. Hierzu zählen beispielsweise der Grundsatz der Datenminimierung oder der Grundsatz der Speicherbegrenzung. Diese Grundsätze hat der Anbieter der KI-Anwendung im besten Fall bereits unter Berücksichtigung des Art. 25 DS-GVO – „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ – im Rahmen der Entwicklung hinreichend berücksichtigt, sodass durch den Verantwortlichen entsprechende datenschutzfreundliche Konfigurationen vorgenommen werden können. Datenverarbeitungen sind so zu gestalten, dass sie zum Erreichen des jeweiligen Verarbeitungszwecks stets zwingend erforderlich sind.

Besonderer Bedeutung kommt der Transparenz der Datenverarbeitung zu. Michael Will (Bayerisches Landesamt für Datenschutz) formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbieter von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Nur wenn der Anbieter entsprechende Informationen transparent zur Verfügung stellt, kann auch der Verantwortliche seinen Verpflichtungen aus Art. 13 DS-GVO zur Bereitstellung einer Datenschutzinformation („Datenschutzerklärung“) umfänglich nachkommen.

Betroffenenrechte

Jeder von einer Datenverarbeitung betroffenen Person stehen die Betroffenenrechte nach Kapitel III der DS-GVO zu. Hierunter zählen beispielsweise das Recht auf Auskunft (Art. 15 DS-GVO) sowie das Recht auf Löschung (Art. 17 DS-GVO). Bei der Auswahl einer KI-Anwendung sollte – wie bei der Anschaffung regulärer Software auch – darauf geachtet werden, dass die Gewährleistung der Betroffenenrechte zu jeder Zeit problemlos möglich ist. Schwierigkeiten können sich ergeben, sofern der Anbieter der KI-Anwendung die personenbezogenen Daten zu eigenen Zwecken nutzt und sich die betroffene Person zur Ausübung ihrer Rechte an mehrere Stellen zu wenden hätte.

Internationale Datenübermittlungen

Besondere datenschutzrechtliche Anforderungen gelten im Fall der Übermittlung personenbezogener Daten in Länder und an Organisationen außerhalb der Europäischen Union (EU) beziehungsweise außerhalb des Europäischen Wirtschaftsraums (EWR), also beispielsweise in die USA oder Australien. So dürfen Übermittlungen nur dann vorgenommen werden, wenn die Anforderungen der Art. 44 ff. DS-GVO eingehalten werden, also beispielsweise ein Angemessenheitsbeschluss für das jeweilige Empfängerland vorliegt oder Standardvertragsklauseln abgeschlossen und eine Transferfolgenabschätzung durchgeführt wurde. Auch wenn seit dem 10. Juli 2023 Datenübermittlungen in die USA auf das EU-U.S. Data Privacy Framework gestützt werden können, ist bereits jetzt abzusehen, dass dieses voraussichtlich nur für einen begrenzten Zeitraum eine belastbare Übermittlungsgrundlage darstellen wird. Insofern gilt auch zukünftig, dass derartige Datenübermittlung auf ein Minimum reduziert oder durch technische Maßnahmen (z.B. durch eine hinreichende Ende-zu-Ende-Verschlüsselung) geschützt werden. Es sollte zudem geprüft werden, inwiefern der Einsatz der jeweiligen KI-Anwendung im Einklang mit der eigenen Cloud-Strategie steht.

Datenschutz-Folgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, hat der Verantwortliche gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Insbesondere im Gesundheitsbereich und bei der Verarbeitung von Beschäftigtendaten wird bei der Nutzung von KI-Anwendungen von einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen auszugehen sein. Die Regelung des Art. 35 Abs. 7 DS-GVO gibt dabei die zu berücksichtigenden Inhalte wieder. Auch hier können den Anbieter einer KI-Anwendung Unterstützungspflichten treffen, sodass der Verantwortliche in die Lage versetzt wird, eine rechtskonforme Datenschutz-Folgenabschätzung durchführen zu können. Einige Anbieter haben diese Anforderung erkannt und unterstützen ihre Kunden bereits mit ausführlichen technischen und rechtlichen Dokumentationen zur Überwindung dieser Hürde.

Weitere regulatorische Ansätze

Ergänzend ist darauf hinzuweisen, dass (in Zukunft) auch andere rechtliche Anforderungen im Zusammenhang mit KI gelten können. So soll in der Europäischen Union 2025 der AI Act in Kraft treten. Das Europäische Parlament hat in diesem Zusammenhang zuletzt im Juni dieses Jahres aktuelle Informationen veröffentlicht. Insofern werden zukünftig auch die Anbieter von KI-Anwendungen stärker in die Pflicht genommen. Das Verbot von KI ist hingegen ausdrücklich kein Ziel der Europäischen Union.

Fazit

Bei der Betrachtung der obigen Ausführungen wird deutlich: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden jedoch einige Spielregeln aufgestellt, an die es sich zu halten gilt. Mit potenziellen Datenübermittlungen an Empfänger außerhalb der EU sowie des EWR und der Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung müssen Verantwortliche das große Einmaleins des Datenschutzes beherrschen. Ein weiterer wesentlicher Faktor ist zudem die Transparenz der Datenverarbeitungen. Die Umsetzung der verschiedenen Anforderungen stellt zweifellos eine Herausforderung für Verantwortliche, aber auch für Anbieter von KI-Anwendungen dar. Welche Themen zudem bei der Verarbeitung von Sprachdaten zu berücksichtigen sind, erfahren Sie im Blog der SpeechMind GmbH…

Über den Autor: Max JusMax Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss nach dem EU-U.S. Data Privacy Framework angenommen. Damit wird den USA ein im Vergleich zur Europäischen Union vergleichbares Datenschutzniveau attestiert. Für Verantwortliche ergeben sich hierdurch erhebliche Erleichterungen im Rahmen des Einsatzes US-amerikanischer Dienstleister. Doch an dem neuen Angemessenheitsbeschluss gibt es auch Kritik. Alle wichtigen Informationen erhalten Sie in diesem Beitrag.

Was ist ein Angmessenheitsbeschluss?

Die Europäische Kommission kann auf Grundlage des Art. 45 DS-GVO einen Beschluss treffen, nach welchem für ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau festgestellt wird. Gemäß Art. 45 Abs. 2 DS-GVO hat die Kommission hierbei folgende Kriterien zu berücksichtigen:

• Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

•  Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

• Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Sofern die Kommission unter Berücksichtigung der aufgeführten Kriterien eine Angemessenheit des Datenschutzniveaus feststellt, übernimmt diese die Aufgabe der regelmäßigen Überwachung, im Rahmen derer stets die aktuellen Entwicklungen innerhalb des Drittlandes oder der internationalen Organisation berücksichtigt werden.

Bisher verfügten folgende Länder und Gebiete über einen Angemessenheitsbeschluss der Europäischen Kommission: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Kanada (beschränkt auf Datenübermittlungen an „commercial organisations“), Neuseeland, Schweiz, Südkorea, Uruguay und das Vereinigte Königreich. Nun sind auch die USA in diesem Zusammenhang mit aufzuführen.

In die zuvor genannten Länder kann eine Übermittlung personenbezogener Daten auf Grundlage des Angemessenheitsbeschlusses erfolgen. Es bedarf sodann – neben der Beachtung der sonstigen datenschutzrechtlichen Vorschriften – keiner weiteren besonderen Vorkehrungen, wie beispielsweise des Abschlusses von Standardvertragsklauseln und der Durchführung einer Transferfolgenabschätzung.

Was ist das EU-U.S. Data Privacy Framework?

Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-U.S. Data Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework (wir berichteten).

Das EU-U.S. Data Privacy Framework räumt Bürgern der Europäischen Union gegenüber US-amerikanischen Unternehmen neue Rechte ein (z.B. das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung unrichtiger oder unrechtmäßig verarbeiteter personenbezogener Daten). Weiterhin bestehen verschiedene Rechtsbehelfe sowie unabhängige Streitbeilegungsmechanismen und ein Schlichtungsgremium. Die US-amerikanischen Unternehmen können ihre Teilnahme am EU-U.S. Data Privacy Framework zertifizieren lassen, indem diese sich verpflichten, verschiedene datenschutzrechtliche Anforderungen (z.B. Zweckbindung, Datenminimierung) einzuhalten. Die Zertifizierungsanträge werden durch das US-Handelsministerium bearbeitet. Dieses überwacht ebenfalls, ob die teilnehmenden Unternehmen die Zertifizierungsanforderungen weiterhin erfüllen.

Welche Beschränkungen gelten nun hinsichtlich US-amerikanischer Ermittlungsbehörden?

Bezugnehmend  auf die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086) führt die Europäische Kommission im Rahmen ihrer Presseerklärung folgende Punkte an:

• Verbindliche Garantien, die den Zugriff auf Daten durch US-Nachrichtendienste auf das beschränken, was zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist;

• eine verstärkte Aufsicht über die Aktivitäten der US-Geheimdienste, um die Einhaltung der Beschränkungen von Überwachungsmaßnahmen zu gewährleisten; und

• die Einrichtung eines unabhängigen und unparteiischen Rechtsbehelfsmechanismus, zu dem auch ein neues Datenschutzprüfungsgericht gehört, das Beschwerden über den Zugriff der nationalen Sicherheitsbehörden der USA auf ihre Daten untersucht und entscheidet.

Für welchen Zeitraum gilt der Angemessenheitsbeschluss?

Der Angemessenheitsbeschluss trat mit seiner Annahme am 10. Juli 2023 in Kraft und gilt zunächst unbefristet. Zu beachten ist jedoch, dass es zunächst einer Zertifizierung teilnehmender Unternehmen unter dem EU-U.S. Data Privacy Framework bedarf, bevor Datenübermittlungen auf Grundlage des Angemessenheitsbeschlusses rechtssicher erfolgen können.

Kritik an dem neuen Angemessenheitsbeschluss äußerte bereits Max Schrems sowie die von ihm gegründete NGO „noyb“. Nachdem Schrems vor dem Europäischen Gerichtshof bereits das Kippen der beiden vorhergehenden Angemessenheitsbeschlüsse („Safe Harbor„, „Privacy Shield„) erreichte, scheint es nur eine Frage der Zeit zu sein, bevor der Europäische Gerichtshof auch über das EU-U.S. Data Privacy Framework entscheiden müssen wird.

Update 13. Juli 2023:

Die International Trade Administration (ITA), eine Behörde des Handelsministeriums der Vereinigten Staaten, weist auf ihrer Internetseite darauf hin, dass die Unternehmen, welche bereits unter dem EU-U.S.-Privacy Shield zertifiziert waren, keine gesonderte Zertifizierung nach dem EU-U.S. Data Privacy Framework benötigen. Konkret heißt es:

„The EU-U.S. DPF Principles entered into effect as of the same date. U.S. based organizations that self-certified their commitment to comply with the EU-U.S. Privacy Shield Framework Principles must comply with the EU-U.S. DPF Principles, including by updating their privacy policies by October 10, 2023. Those organizations do not need to make a separate, initial self-certification submission to participate in the EU-U.S. DPF and may begin relying immediately on the EU-U.S. DPF adequacy decision to receive personal data transfers from the European Union / European Economic Area.“

Weiterhin wird durch die ITA am 17. Juli 2023 die offizielle Internetseite zum Data Privacy Framework veröffentlicht.

UPDATE 17. JUli 2023:

Die offizielle Internetseite zum Data Privacy Framework wurde heute veröffentlicht. Von nun an können Datenübermittlungen in die USA auf Grundlage des Angemessenheitsbeschlusses gestützt werden, sofern der Empfänger nachprüfbar unter dem Data Privacy Framework zertifziert ist. Die bestehenden Zertifizierungen können auf der Internetseite unter dem Menüpunkt „Data Privacy Framework List“ eingesehen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Zum 25. Mai 2023 feiert die Datenschutz-Grundverordnung (DS-GVO) ihren fünften Geburtstag der Anwendbarkeit. Wie bereits in den letzten Jahren, nehmen wir uns den Geburtstag zum Anlass, einen kritischen Blick auf die Datenschutz-Welt zu werfen, über Herausforderungen und Grenzen zu sprechen sowie absehbare Entwicklungen darzustellen.

Berechtigte Angst vor Abmahnungen?

Die Anfangszeit der DS-GVO war auf Seiten der Unternehmen und Behörden geprägt von Überforderung, Unsicherheit und Angst. Angst, dass es aufgrund datenschutzrechtlicher Verstöße vermehrt zu Massenabmahnungen kommen könne. Nachdem es für lange Zeit danach aussah, dass diese Angst vollkommen unbegründet zu sein scheint, kam im fünften Jahr der DS-GVO Bewegung in die Sache – und wurde im Keim erstickt:

Nachdem das LG München I bereits im Januar 2022 entschied, dass die dynamische Einbindung von Google Fonts nicht auf das berechtigte Interesse eines Verantwortlichen gestützt werden könne, kam es in der zweiten Jahreshälfte 2022 flächendeckend zu Abmahnungen durch mehrere Anwaltskanzleien. Das offensichtliche Ziel, hieraus ein für die Abmahnenden nachhaltiges Geschäftsmodell zu etablieren, scheiterte kläglich. Im Dezember 2022 folgten bei den betreffenden Anwälten Hausdurchsuchungen, zudem wurden teils Ermittlungen wegen gewerbsmäßiger Erpressung und schwerem gewerbsmäßigem Betrug aufgenommen. Abmahnungen wegen datenschutzrechtlicher Verstöße sind zwar auch zukünftig grundsätzlich möglich, es werden jedoch regelmäßig tatsächliche Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung nachzuweisen sein.

Drittlandübermittlung als Dauerbrenner

Bereits im vergangenen Jahr berichteten wir mehrmals über die Herausforderungen im Zusammenhang mit der Übermittlung personenbezogener Daten in datenschutzrechtliche Drittländer. Nachdem im März 2022 bekannt wurde, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten, erfolgte im Oktober 2022 der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-US Privacy Framework“ geschaffen. Auf Grundlage der Executive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework. Hierdurch soll der neue Rechtsrahmen für Datenübermittlungen zwischen der EU und den USA geschaffen werden.

Die Resonanz hierüber fällt unterschiedlich aus: Während der Europäische Datenschutzausschuss die Verbesserungen begrüßt, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit deutliche Fortschritte erkennt und auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sich positiv zu den Entwicklungen äußert, zeigen sich andere Aufsichtsbehörden unbeeindruckt und zweifeln die Belastbarkeit eines bevorstehenden Angemessenheitsbeschlusses bereits im Vorfeld an. Hierbei wird deutlich, dass selbst wenn ein solcher Angemessenheitsbeschluss im Sommer dieses Jahres kommen sollte, in diesem Zusammenhang noch lange nicht das letzte Wort gesprochen ist. Die Drittlandübermittlung ist und bleibt eine Großbaustelle in der Datenschutz-Welt.

War die DS-GVO so nicht gemeint?

Der unterschiedliche Umgang mit datenschutzrechtlichen Sachverhalten, wie beispielsweise der Drittlandübermittlung, durch Unternehmen, Behörden, Aufsichtsbehörden und Gerichte zeigt sowohl die zum Teil bestehenden rechtlichen Unsicherheiten als auch die deutlich voneinander abweichenden Sichtweisen auf. Weiterhin ist nach Ansicht der Rechtsanwendenden deutlich erkennbar, dass die Auslegung der datenschutzrechtlichen Normen hierzulande zu restriktiv erfolgt und Datenschutz schließlich sogar die Digitalisierung verhindere. Hervorzuheben ist hierbei, dass gemäß Art. 1 Abs. 3 DS-GVO sowie Erwägungsgrund 4 zur DS-GVO der freie Verkehr personenbezogener Daten in der Europäischen Union aus Gründen des Datenschutzes weder eingeschränkt noch verboten werden dürfe, die Verarbeitung personenbezogener Daten jedoch auch im Dienste der Menschheit stehen solle. „Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden.“

Inwiefern diese Grundsätze in der Rechtspraxis tatsächlich Anwendung finden, darf an der einen oder anderen Stelle angezweifelt werden. Es zeigt jedoch auch deutlich auf, dass Datenschutzrecht nicht als Recht zur Verhinderung jeglicher Fortentwicklung konzipiert wurde. Datenschutzrecht soll auch der Menschheit dienen. Es bedarf einer verhältnismäßigen Verknüpfung von technischer Fortentwicklung, Datenschutz und IT-Sicherheit – auf Seiten der Anwendenden und Überwachenden. Eben an dieser (und an einigen anderen Stellen) wird in Zukunft ein Umdenken erforderlich sein.

Künstliche Intelligenz und Datenschutz

Die Nutzung künstlicher Intelligenz stellt auch die Welt des Datenschutzes vor neue Herausforderungen. Befeuert durch das temporäre Verbot von ChatGPT in Italien, wird die Frage aufgeworfen, welche datenschutzrechtlichen Anforderungen an eine rechtskonforme Nutzung von künstlicher Intelligenz zu stellen sind. An erster Stelle ist hierbei das Transparenzgebot zu nennen. Michael Will, Datenschutzbeauftragter beim bayerischen Landesamt für Datenschutz, formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbietende von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Diese Anforderungen ergeben sich – unabhängig von der Nutzung künstlicher Intelligenz – aus Art. 13 DS-GVO, wobei deren vollumfängliche Umsetzung im Zusammenhang mit KI deutlicher schwerer sein dürfte.

Es bleibt abzuwarten, welche weiteren regulatorischen Anforderungen aufgrund des europäischen AI Acts in Zukunft gelten und wie sich die Regelungen der DS-GVO in das neue Normgefüge einordnen werden. Auch hier gilt jedoch: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden lediglich Spielregeln aufgestellt, an die es sich zu halten gilt.

Ist mit einer Überarbeitung der DS-GVO zu rechnen?

Im Zusammenhang mit Kritik an der DS-GVO wird oftmals eine Überarbeitung dieser gefordert – zurecht? Gemäß Art. 97 Abs. 1 DS-GVO hat die Europäische Kommission dem Europäischen Parlament und dem Rat regelmäßig einen Bericht über die Bewertung und Überprüfung der DS-GVO vorzulegen. Nachdem ein solcher erstmalig bereits im Jahr 2020 vorgelegt wurde und keinen Änderungsbedarf dargelegt hat, steht die erneute Bewertung und Überprüfung für 2024 aus.

Auch wenn unterschiedlichsten Parteien die Möglichkeit zur Stellungnahme gegeben sein wird, ist voraussichtlich nicht mit wesentlichen Änderungen an der DS-GVO zu rechnen. Insbesondere unter Berücksichtigung des langwierigen Entstehungsprozesses der DS-GVO, wird diese wohl noch einige Jahre im Status quo verweilen. In diesem Zusammenhang ist jedoch darauf hinzuweisen, dass sich aufgrund der zunehmenden Anzahl an Gerichtsentscheidungen hinsichtlich einiger Rechtsfragen vermehrt Anwendungssicherheit einstellt. Mit einer wesentlichen Überarbeitung der datenschutzrechtlichen Normen, ginge diese unter Umständen zu großen Teilen wieder verloren.

Fazit

Die DS-GVO ist das, als was man sie sehen möchte. Vertritt man die Ansicht, Datenschutz verhindere Fortschritt und Digitalisierung, so wird man hierfür die entsprechenden Argumente und Beispiele in der Praxis finden. Sieht man die DS-GVO hingegen als Chance für einen angemessenen Schutz der Rechte und Freiheiten natürlicher Personen im digitalen Wandel, ergeben sich auch hierfür entsprechende Nachweise. Von zentraler Bedeutung wird sein, welche Position die DS-GVO im Hinblick auf kommende regulatorische Anforderungen (z.B. Digital Markets Act, Digital Services Act, AI Act) einnehmen wird und mit welchem (Selbst-)Verständnis die Normen des Datenschutzes angewandt werden.

Anlässlich des 5. Jahrestages der Geltung der DS-GVO laden der Europäische Datenschutzbeauftragte, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und der Bayerische Landesbeauftragte für den Datenschutz ein zur Veranstaltung: Fünf Jahre DS-GVO: Immer noch ein Maßstab in der digitalen Landschaft der EU?

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zum Entwurf des Angemessenheitsbeschlusses („EU-US Data Privacy Framework“) der Europäischen Kommission für Datenübermittlung in die USA verabschiedet. Die wesentlichen Inhalte der Stellungnahme und die nunmehr aktualisierte Rechtslage zur Datenübermittlung zwischen der EU und den USA sollen im nachfolgenden Beitrag näher beleuchtet werden.

Was bisher Geschah

Im Juli 2020 kippte der Europäische Gerichtshof (EuGH) in seinem viel besprochenen Schrems-II-Urteil (Rechtssache Az.: C-311/18) den früheren Angemessenheitsbeschluss (EU-US-Privacy Shield) und stellte die Datenübermittlung zwischen der Europäischen Union und den USA „auf den Kopf“. Die Europäische Kommission kann grundsätzlich im Rahmen eines solchen Angemessenheitsbeschlusses feststellen, dass das Datenschutzniveau in einem Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren dessen innerhalb der Europäischen Union/dem Europäischen Wirtschaftsraum entsprechen. Liegt ein solcher Angemessenheitsbeschluss vor, können personenbezogene Daten auf dieser Grundlage an ein Drittland übermittelt werden.

Seit dem „Fall“ des EU-US-Privacy-Shield bilden die Standardvertragsklauseln den wesentlichen Baustein für die Übermittlung personenbezogener Daten in die USA. Am 4. Juni 2021 verabschiedete die Europäische Kommission die überarbeiteten Standardvertragsklauseln. Sowohl für die verantwortliche Stelle als auch für den Datenempfänger im betroffenen datenschutzrechtlichen Drittstaat ergeben sich hierdurch eine Reihe von Pflichten. Im Rahmen seines des „Schrems II“-Urteils konstatierte der EuGH jedoch, dass ein angemessenes Datenschutzniveau nicht allein durch ein Abkommen oder vertragliche Regelungen erreicht werden könne. Es bedarf insoweit weiterer geeigneter Garantien, welche die weitreichenden Zugriffsmöglichkeiten von Ermittlungsbehörden oder anderer staatlicher Einrichtungen einschränken. Hierunter zählt u.a., dass vor Vertragsschluss mit dem potenziellen Datenimporteuer eine Dokumentation („Transferfolgenabschätzung“ / „Transfer Impact Assessment“) vorzunehmen ist. Im März 2022 wurde anschließend bekannt, dass die EU und die USA an einem Nachfolgeabkommen zum EU-US-Privacy Shield arbeiten.

Im Oktober 2022 spielte die US-Regierung den Ball zurück: Es folgte der Erlass einer Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten (Executive Order (EO) 14086). Hierdurch wurde die Grundlage für die Umsetzung des „EU-US Privacy Framework“ geschaffen, da eine Änderung der Rechtslage in den USA die Folge ist. Die Rechtsform der Executive Order ist ein Regelungsinstrument in den USA für extraterritoriale Anordnungen. Durch den Erlass versprach man sich die Lösung der größten Kritikpunkte aus dem Schrems-II-Urteil: Mangelnde Verhältnismäßigkeit sowie fehelende Rechtsbehelfe für die betroffenen Personen in den USA bezogen auf die Überwachungsmaßnahmen.

Die Executive Order schafft u.a. besagte Garantien für europäische Betroffene gegenüber den amerikanischen Geheimdiensten durch bspw. die Einrichtung des Data Protection Review Court. Durch diese Institution können u.a. Datenlöschungen und Verarbeitungseinschränkungen angeordnet werden. Werden im Rechtsschutzverfahren rechtswidrige Verarbeitungen ermittelt, verpflichtet die Executive Order ebenfalls, diese zu beseitigen. Erstmals wurden zudem geheimdienstliche Aktivitäten unter einen Verhältnismäßigkeitsvorbehalt gestellt. Darüber hinaus wird ein Kontrollmechanismus durch das Privacy and Civil Liberties Oversight Board (PCLOB) neu eingeführt. Der EDSA sieht seinerseits in diesen Punkten erhebliche Verbesserungen durch die Executive Order.

Auf Grundlage der Ececutive Order folgte am 13. Dezember 2022 der Beschlussentwurf der Europäischen Kommission über die Angemessenheit des Schutzniveaus personenbezogener Daten nach dem EU-U.S. Data Privacy Framework. Hierdurch soll der neue Rechtsrahmen für Datenübermittlungen zwischen der EU und den USA geschaffen werden. Der Entwurf des Angemessenheitsbeschlusses kommt zu dem Schluss, dass die Vereinigten Staaten ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die aus der EU in die USA übermittelt werden.

Was sagt der EDSA?

Im Wesentlichen begrüßt der EDSA einige Verbesserungen, die durch das Data Privacy Framework erreicht werden wie z.B. die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung und den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der Europäischen Union. Allerdings werden seitens des EDSA auch Bedenken geäußert. Diese betreffen insbesondere den Bereich der Rechte der von der Datenübermittlung betroffenen Person, die Weiterübermittlung personenbezogener Daten, den Umfang von Ausnahmen sowie die Erhebung von Massendaten im Rahmen der Executive Order 12333 und  das Fehlen einer systematischen unabhängigen nachträglichen Überprüfung durch ein Gericht oder eine gleichwertige unabhängige Stelle.

Und die nationalen Datenschutzaufsichtsbehörden?

Positive Kritik folgte zudem seitens der nationalen Datenschutzaufsichtsbehörden. So äußerte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI): „Wir sehen den Willen, ein angemessenes Schutzniveau für Betroffene, deren personenbezogenen Daten an Unternehmen in die USA übermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access für Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewährleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.“ Aus Sicht des BfDI wird zudem ein wichtiger Beitrag für sichere und vertrauenswürdige Datenübermittlungen im internationalen Kontext geschaffen: „Die erzielten Fortschritte im transatlantischen Kontext sind wichtige Voraussetzungen, an die wir beim diesjährigen Treffen der G7-Datenschutzaufsichtsbehörden im Juni in Japan anknüpfen können.“

Ebenfalls „positiv“ äußert sich der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der nun zu erwartende Erlass der Angemessenheitsentscheidung schafft dringend benötigte Rechtssicherheit und ist trotz einiger verbesserungswürdiger Punkte ein Erfolg für den Datenschutz. Im Zuge der Verhandlungen haben die USA bisher nicht dagewesene Zugeständnisse gemacht und ihr nationales Sicherheitsrecht an europäische Grundrechtsmaßstäbe angepasst. Der Beschluss kann jedoch kein Freibrief sein. Ob und inwiefern tatsächlich Geheimdienstaktivitäten auf ein verhältnismäßiges Maß reduziert werden, und wirksamer Rechtsschutz gewährleistet ist, kann nur die Umsetzung in der Praxis zeigen. Die Wahrheit ist auf dem Platz, um es im Fußballjargon zu sagen. Es wird Aufgabe der Datenschutzbehörden und der Kommission sein, dabei sehr genau hinzuschauen, und Aufgabe der US-Administration, tiefgreifende Prüfungen auch zu ermöglichen. Die Forderung des EDSA, in Anbetracht der noch offenen Umsetzung in den USA den Überprüfungsrhythmus zu verkürzen, ist deshalb absolut richtig.“

Fazit

In seiner Stellungnahme hebt der EDSA einige positive und negative Kritikpunkte hervor. Als erfreulich für die Datenschutzpraxis kann jedoch bewertet werden, dass sich aber nicht gegen eine Annahme des Beschlusses durch die EU-Kommission ausgesprochen wird. Dies kann insoweit als Fingerzeig gedeutet werden, dass durch das Data Privacy Framework eine wirkliche Verbesserung der Rechtslage in Sachen Datenschutz in den USA erreicht wurde. Ein weiterer wichtiger Schritt zur Verabschiedung eines neuen Angemessenheitsbeschlusses ist somit getan. Tritt der Angemessenheitsbeschluss in Kraft tritt, können zukünftig personenbezogene Daten auch ohne einen Rückgriff auf weitere geeignete Garantien – wie z.B. durch Abschluss der Standardvertragsklauseln und Durchführung einer Transferfolgenabschätzung – in die USA übermitteln. Dies würde gleichwohl für mehr Rechtssicherheit in der Praxis sorgen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat das Bundespresseamt (BPA) mit Bescheid vom 17. Februar 2023 angewiesen, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen. Begründet wurde dies mit den fahrlässigen Verstößen gegen die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, gegen die Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie gegen § 25 Abs. 1 TTDSG. Prof. Ulrich Kelber betont in diesem Zusammenhang: „Alle Behörden stehen in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Dies ist nach dem Ergebnis meiner Prüfungen beim Betrieb einer Fanpage wegen der umfassenden Verarbeitung personenbezogener Daten der Nutzenden aktuell unmöglich.“ Die Hintergründe.

Die Problematik mit Facebook-Fanpages

Auch wenn die Mitteilung über die Untersagungsverfügung für den einen oder anderen vielleicht überraschend kam, so war die Entscheidung des BfDI abzusehen: Bereits mit Urteil vom 5. Juni 2018 (Az.: C-201/16) hat der Europäische Gerichtshof (EuGH) den Stein in Sachen Facebook-Fanpages ins Rollen gebracht. Der EuGH entschied in diesem Urteil, dass Betreiber von sogenannten Facebook-Fanpages (mit)verantwortlich für die Verarbeitung der Nutzerdaten sind, mithin eine gemeinsame Verantwortlichkeit zwischen den Betreiberinnen und Betreibern der Facebook Fanpages und Meta besteht.

Dem Urteil des EuGH folgte am 6. Juni 2018 die Veröffentlichung einer Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) unter dem Titel „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“, in welcher die Datenschutzaufsichtsbehörden zu erkennen gaben, dass sie sich durch das Urteil in ihrer bisherigen Rechtsauffassung bestätigt fühlten. Hierauf bezugnehmend veröffentlicht Facebook am 11. September 2019 die sogenannten „Seiten-Insights-Ergänzung“, um den von der DSK aufgestellten Anforderungen gerecht zu werden und insbesondere eine Vereinbarung zur Gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO zur Verfügung zu stellen. Diese Ergänzung erfüllte nach Ansicht der Datenschutzaufsichtsbehörden jedoch nicht die Anforderungen an eine Vereinbarung nach Art. 26 DS-GVO.

Am 20. Mai 2019 richtete sich der BfDI in einem Rundschreiben an alle Ministerien, Behörden und öffentlichen Stellen und bestärkte diese Position noch einmal. In einem zweiten Rundschreiben vom 16. Juni 2021 griff der BfDI die Thematik nochmals auf und hob insbesondere die Problematik bei der Datenübermittlung an Drittländer hervor. Die genauen rechtlichen Probleme bei Betrieb einer Facebook-Fanpage hatte die DSK erneut in einem Kurzgutachten vom 18. März 2022 dargestellt. Worauf ebenfalls ein entsprechender Beschluss der DSK zur Task Force Facebook-Fanpages ergangenen ist. Daraufhin ging der BfDI noch weiter und versendete entsprechende Anhörungen zu Facebook-Fanpages.

Zur Begründung des Bescheids

Auf den insgesamt 44 Seiten des Bescheids lassen sich zur Begründung die bereits mehrfach aufgeführten Rechtsauffassungen der Datenschutzbehörden sowie Zitationen bisherig in dieser Sache ergangener Urteile wiederfinden.

Nicht überraschend, aber dennoch besonders erwähnenswert und für die Beratungspraxis besonders relevant sind darüber hinaus die Ausführungen des BfDI zur datenschutzrechtlichen Verantwortlichkeit bei Deaktivierung der Insights-Funktionen: „Eine gemeinsame Verantwortlichkeit besteht auch dann, wenn die Statistiken für das BPA deaktiviert werden. Durch die Deaktivierung verändert sich nämlich die relevante Datenverarbeitung beim Betrieb einer Fanpage kaum. Den Betreibern werden lediglich aus den – nach wie vor – verarbeiteten Nutzungsdaten keine Statistiken mehr ausgespielt. Das BPA hat auch bei abgeschalteter Insight-Funktion zumindest für die nachgelagerte Datenverarbeitung auf Basis des Setzens und Auslesens von Cookies eine gemeinsame Verantwortlichkeit mit Meta inne.“

Im Ergebnis führt der BfDI an: „Das BPA hat entgegen Artikel 26 Absatz 1 Satz 2 DSGVO keinen hinreichenden Vertrag über die gemeinsame Verantwortlichkeit mit Meta geschlossen. […] Ferner hat das BPA fahrlässig gegen § 25 Absatz 1 Satz 1 TTDSG verstoßen, da für die bei Besuch einer Fanpage ausgelöste Speicherung von Informationen in den Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, durch das c_user-, das datr- und das fr-Cookie keine wirksame Einwilligung eingeholt wird, obwohl dies erforderlich ist. […] Darüber hinaus hat das BPA fahrlässig gegen Artikel 5 Absatz 1 littera a in Verbindung mit Artikel 6 Absatz 1 DSGVO verstoßen, da es an einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei Betrieb der Fanpage durch das BPA mangelt.“

Zur Fahrlässigkeit des BPA nimmt der BfDI Bezug auf die einschlägigen Urteile, die Stellungnahmen der DSK sowie die Anschreiben des BfDI selbst und führt aus: „Indem das BPA die Facebook-Fanpage der Bundesregierung trotz all der genannten Informationen weiterhin betrieben hat, hat es zumindest fahrlässig, das heißt ohne die im Verkehr erforderliche Sorgfalt, und damit schuldhaft gegen seine Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO verstoßen.“

Das BPA hat die Möglichkeit innerhalb eines Monats gegen den Bescheid des BfDI vor dem Verwaltungsgericht Köln Klage einzureichen.

Bedeutung des Bescheids für andere Verantwortliche

Der Bescheid des BfDI wirft nun die Frage auf, welche Auswirkungen dieser auf den Betrieb von Facebook-Fanpages anderer Verantwortlicher hat. Zunächst ist anzumerken, dass der Bescheid noch keinerlei Rechtskraft entfaltet. Dass das BPA gegen den Bescheid beim Verwaltungsgericht Köln Klage einreichen wird, gilt als nicht unwahrscheinlich.

Weiterhin ist abzusehen, dass sich die Aufsichtsbehörden aufgrund der Vorbildfunktion von Behörden und anderen öffentlichen Stellen, zunächst auf den Betrieb der Facebook-Fanpages dieser Stellen fokussieren werden. Ein zum Bescheid des BfDI vergleichbarer Sachverhalt deutet sich bereits in Bezug auf die sächsische Landesregierung an.

Festzuhalten ist jedoch, dass ein rechtskonformer Betrieb von Facebook-Fanpages durch keinen Verantwortlichen möglich sein wird. Insoweit ergeben sich auch unabhängig von etwaigen aufsichtsbehördlichen Verfahren für sämtliche Verantwortliche datenschutzrechtliche Risiken. Insoweit gilt: Wer auf Nummer sicher gehen möchte, sollte sich zeitnah nach rechtskonformen Alternativen umsehen – Instagram, Twitter und Telegram zählen da übrigens ausdrücklich nicht dazu.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Anwendung „ChatGPT“ ist derzeit wohl eines der Top-Gesprächsthemen, sowohl im privaten als auch im betrieblichen Umfeld. Kein Wunder, denn die KI kann vieles, wie beispielsweise Ratschläge geben, Fragen beantworten und sogar Hausarbeiten formulieren – was in Zukunft sogar den Einsatz in der Wissenschaft bedeuten könnte. Dabei liefert die KI ihre Antworten in einer nahezu fehlerfreien Sprache. Zum Leidwesen des Lehrpersonals, denn ChatGPT ist bei der Erstellung von Hausarbeiten teilweise so gut, dass die Nutzung kaum nachweisbar ist. Dieser Beitrag widmet sich der neuen und viel diskutierten KI. Insbesondere soll die Frage gestellt werden, ob ChatGPT zu datenschutztechnischen Problemen führen kann. Wir haben uns in diesem Zusammenhang gefragt, wo genau mögliche datenschutzrechtliche Stolperfallen bei der Nutzung liegen könnten.

Datenschutzrechtliche Risiken bei einem Einsatz von ChatGPT

Die Nutzung von ChatGPT, wie auch bei jeder anderen Plattform birgt potenzielle Risiken für den Schutz personenbezogener Daten. Als auf künstlicher Intelligenz basierende Sprachmodell-Plattform sammelt und verarbeitet ChatGPT Informationen von Nutzerinnen und Nutzern, um bessere und personalisierte Dienstleistungen bereitzustellen. Die Risiken hängen von verschiedenen Faktoren ab, einschließlich der Art der gesammelten Informationen, der Art der Verarbeitung, Dauer der Speicherung und der Sicherheitsvorkehrungen.

Eines der größten Risiken ist die Möglichkeit, dass Dritte unbefugten Zugriff auf personenbezogene Daten erhalten. Obwohl ChatGPT Sicherheitsvorkehrungen getroffen hat, um den Zugriff auf personenbezogene Daten zu beschränken, kann keine Plattform vollständig vor Datendiebstahl oder Hacks geschützt werden. Wenn die Daten in die Hände von Hackern geraten, können diese für verschiedene Zwecke missbraucht werden, wie zum Beispiel Identitätsdiebstahl, Betrug oder Erpressung. Ein weiteres Risiko ist die Möglichkeit, dass personenbezogene Daten für kommerzielle Zwecke missbraucht werden. In einigen Fällen können Dritte personenbezogene Daten für Marketingzwecke oder zum Verkauf an andere Unternehmen verwenden. Obwohl ChatGPT versichert, dass personenbezogene Daten nicht an Dritte weitergegeben werden, gibt es keine Garantie, dass diese Informationen nicht dennoch in die falschen Hände geraten.

Ein weiteres Risiko ist die Möglichkeit, dass die Verarbeitung von personenbezogenen Daten zu Fehlern oder Vorurteilen führt. ChatGPT kann aufgrund der Verarbeitung von Informationen Vorurteile oder Diskriminierungen begehen, was dazu führen kann, dass bestimmte Nutzergruppen benachteiligt werden. Schließlich besteht das Risiko, dass personenbezogene Daten gelöscht oder verändert werden. Ein technischer Fehler kann dazu führen, dass personenbezogene Daten versehentlich gelöscht oder verändert werden, was zu erheblichen Problemen führen kann.

Es ist wichtig, dass Nutzerinnen und Nutzer von ChatGPT sich dieser Risiken bewusst sind und die notwendigen Schritte unternehmen, um ihre personenbezogenen Daten zu schützen. Dazu gehört das Lesen der Datenschutzrichtlinien von ChatGPT und das Verständnis, welche Arten von Informationen gesammelt werden. Nutzerinnen und Nutzer sollten auch sicherstellen, dass ihre Passwörter sicher sind und ihre Konten nicht von unbefugten Dritten verwendet werden. Insgesamt ist die Nutzung von ChatGPT relativ sicher, solange Nutzerinnen und Nutzer die notwendigen Vorsichtsmaßnahmen treffen.

Haben Sie es bemerkt?

Vielleicht ist es Ihnen aufgefallen: Der oben dargestellte Text wurde mit sehr kleinen Änderungen von ChatGPT erstellt. Bei der Frage nach der Datenschutzkonformität dachten wir uns, dass wenn die KI wirklich so intelligent ist, ist sie vielleicht die beste Ansprechpartnerin, um dieser Frage auf den Grund zu gehen. Warum fragen wir sie also nicht einfach selbst?

Auch wenn wir dies nicht direkt nachweisen können: Die KI ist vermutlich sehr schlau, denn wenn wir sie in verschiedenen Formulierungen gefragt haben, ob sie nun wirklich DS-GVO-konform ist, hat sie zwar Risiken wie Hacking der Datenbanken und die damit verbundenen potenziellen Konsequenzen aufgezeigt, klang jedoch genau wie fast alle US-amerikanischen Anbieter, die ihr vermeintlich datenschutzkonformen Dienstleistungen in Europa anbieten möchten. Sie betonte stark die von ihr eingesetzten Maßnahmen zur Einhaltung des Datenschutzrechts, indem sie auf die technischen und organisatorischen Maßnahmen hinwies. Dabei hat sie Dinge erwähnt wie: „Wir teilen personenbezogene Daten nur mit Drittanbietern, die sich zur Einhaltung der DS-GVO verpflichtet haben.“ oder „Wir verwenden Technologien wie Verschlüsselung, Zugriffskontrolle und sichere Übertragungsprotokolle, […].“ etc. Allerdings hat ChatGPT so direkt nicht erwähnt, dass personenbezogene Daten auf Servern gespeichert werden, die sich in den USA befinden, sodass US-Behörden jederzeit das Recht haben, auf diese Daten zuzugreifen. Fairerweise müssen wir erwähnen, dass wir diese Informationen auch nicht direkt erfragt haben.

Hinweise für datenschutzkonforme Nutzung bekamen wir im Ansatz dann doch: „ChatGPT sammelt nur personenbezogene Daten, wenn Nutzerinnen und Nutzer diese explizit zur Verfügung stellen.“ Letztendlich kommt es zu großen Teilen auf die Nutzerinnen und Nutzer an, ob und wie die KI datenschutzkonform eingesetzt werden kann. Wenn also personenbezogene Daten von ChatGPT gespeichert werden, könnte dies in erster Linie daran liegen, dass Nutzerinnen und Nutzer Informationen selbst preisgeben.

Weiterhin heißt es: „Wir verwenden Cookies, um Nutzererfahrungen zu verfolgen und zu personalisieren, sammeln jedoch keine personenbezogenen Daten wie Namen, E-Mail-Adressen oder Standortdaten.“ (Ich musste bei der Anmeldung meinen Namen, E-Mail-Adresse und Handynummer eingeben).

Personenbezug minimieren

Da ChatGPT auf dem Vormarsch ist und der Einsatz in naher Zukunft wahrscheinlich ist, haben wir uns Gedanken gemacht, wie man die KI möglichst datenschutzkonform einsetzen kann. ChatGPT funktioniert, indem sie massenhaft Daten und Informationen sammelt, so wie nahezu jede andere KI. Wir schließen uns dem Hinweis von ChatGPT an. Vermeiden Sie bei der Nutzung unbedingt die Nennung jeglicher personenbezogener Daten. Dies gilt für die private und betriebliche Nutzung gleichermaßen.

P.S.: Als ich ChatGPT fragte wer Andreas Nanos ist, hat mir die KI zwar mitgeteilt, dass ihr keine Informationen über diese Person vorliegen, hat mir jedoch angeboten zu versuchen, mehr Informationen zu liefern, wenn ich mehr Details über die betreffende Person geben kann…

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Erst vor kurzem haben wir über den aktuellen Stand in Sachen Microsoft vs. Datenschutz berichtet. Seitdem hat sich wieder einiges getan. Den Stein brachte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) mit neuen Veröffentlichungen ins Rollen. Ein Update zur aktuellen Rechtslage soll der nachstehende Beitrag liefern.

Die DSK äußert sich wiederholt zu Microsoft 365

Auslöser des erneuten Gesprächsstoffs war die Veröffentlichung einer Festlegung der DSK in Sachen Microsoft 365 samt Zusammenfassung des der Festlegung zugrundeliegenden Berichtes der Arbeitsgruppe „Microsoft-Onlinedienste“ am 25. November 2022. In dieser Festlegung hält die DSK zunächst in Ziff. 1 fest, dass sie den vorbezeichneten Bericht und dessen Zusammenfassung zur Kenntnis genommen hat. Darüber hinaus folgt in Ziff. 2 unter datenschutzrechtlichen Gesichtspunkten der direkte Hammer:

„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“ Und weiter: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Dies bedeutet für datenschutzrechtlich Verantwortliche, da insbesondere aus Transparenzgründen der Nachweis eines datenschutzkonformen Einsatzes von Microsoft 365 den Verantwortlichen nach Ansicht der DSK, anhand der seitens Microsoft aktuell zur Verfügung gestellten vertraglichen Dokumenten nicht gelingt, verstoßen diese zumindest gegen ihre Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. Einen Blick in Art. 83 DS-GVO sparen wir uns an dieser Stelle. Der Vollständigkeit halber sei noch erwähnt, dass in Ziff. 3 der Festlegung die DSK festhält, dass eine Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung gestellt wird. Mittlerweile ist am 7. Dezember 2022 eine Veröffentlichung des Abschlussberichtes der Arbeitsgruppe erfolgt, der der Positionierung der DSK zu Grunde liegt. Sicherlich wäre hier mit Blick auf den Prüfungsumfang mehr drin gewesen, aber nüchtern betrachtet ist es nicht Aufgabe der DSK, Produkte auf deren Datenschutzkonformität zu überprüfen. Die Hauptkritikpunkte treten aber deutlich hervor: Transparenz, Transparenz und nochmals Transparenz.

Wie reagiert Microsoft?

Microsoft Deutschland hat auf die oben dargestellten Dokumente der DSK seinerseits umgehend reagiert und eine „Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK“ veröffentlicht. Hierin heißt es zunächst:

„Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“ Dem nicht genug: „Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen.“

Das sollte man erst einmal auf sich wirken lassen. Microsoft lässt hier zunächst durchblicken, dass sie der Meinung sind, die DSK – respektive die zuständige Arbeitsgruppe – habe die Funktionsweise der Microsoft-Onlinedienste nicht angemessen berücksichtigt oder einfacher ausgedrückt, nicht verstanden. Nichts desto trotz geht Microsoft auf die DSK und deren Forderung nach mehr Transparenz ein: „Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen. Während unsere Transparenzstandards schon jetzt die der meisten anderen Anbieter in unserem Sektor übertreffen, verpflichten wir uns, noch besser zu werden. Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.“

Siehe da, nicht nur bekommen noch die Konkurrenten einen Seitenhieb ab, obwohl man Microsoft wohl zugutehalten kann und wohl auch muss, dass für sie im Vergleich zu anderen US-Techgiganten Datenschutz nicht nur für eine Phrase halten. Auch die DSK wird nochmals adressiert: „Microsoft hat vollumfänglich mit der DSK kooperiert, und obwohl wir mit der Bewertung der DSK nicht einverstanden sind, möchten wir verbleibende Bedenken ausräumen.“

Und sonst?

Neben der DSK haben sich auch andere aktive und ehemalige Landesdatenschutzbeauftragte zu Wort gemeldet. So ist in einem Interview mit Dr. Stefan Brink (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – LfDI) zu lesen, dass die Arbeitsgruppe Microsoft im Rahmen von Anhörungen aktiv einbezogen und daher sehr häufig mit Microsoft geredet wurde und sogar die Untersuchungsergebnisse Microsoft auch vorab zur Verfügung gestellt wurden. Und weiter führt Dr. Brink aus: „Die Ergebnisse der Arbeitsgruppe waren dann auch aus meiner Sicht nicht überraschend. Es war absehbar, dass es Probleme insbesondere mit der Transparenz und der Nachvollziehbarkeit der Datenverarbeitungen geben würde.“

Im Ergebnis sieht der LfDI dann ähnlich wie die DSK die nunmehr bestehende Hauptprüfungspflicht – zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO bei den datenschutzrechtlichen Verantwortlichen, also von Behörden, Unternehmen über Vereinen bis hin zum Blumenhändler um die Ecke jeden, der Microsoft 365 im Einsatz hat oder einsetze möchte. Allerdings lässt der LfDI auch Hoffnung am Horizont aufkommen: „[…]wenn es in absehbarer Zeit aus Perspektive des Verantwortlichen gelingt, den Dienstleister Microsoft und sein Angebot weiter zu verbessern. Und da gibt es immer auch positive Entwicklungen zu verzeichnen. Microsoft hat sich wiederholt beschwert, dass aus den DSK-Beschlüssen nicht hinreichend ersichtlich würde, dass sie erhebliche Verbesserungen vorgenommen haben. Und das stimmt auch: Das Angebot von Microsoft ist inzwischen besser als vor zwei Jahren. Aber es reicht gemessen an den Maßstäben der DSK halt noch nicht.“

Ebenfalls hat sich der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse zu Wort gemeldet, wie einem aktuellen Beitrag zu entnehmen ist. Der TLfDI will mit den Verantwortlichen über die Umsetzung des Beschlusses der Datenschutzkonferenz zur Office-Software Microsoft sprechen: „Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann.“

Aber auch Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht a. D) .äußert sich gemeinsam mit Kristin Benedikt und Prof. Dr. Rolf Schwartmann in einem Beitrag. Dabei erfolgt zuweilen eine sehr kritische Auseinandersetzung mit der Thematik: „Nach dem Willen der Aufsicht soll hierzulande die Nutzung von Microsoftprodukten also faktisch eingestellt werden. Nehmen Deutschlands Unternehmen, Schulen, Städte und Gemeinden, Gerichte und Gesetzgebungseinrichtungen die Empfehlung zu diesem „digitalen Lockdown“ ernst, dann steht hier faktisch alles still, denn es gibt keine alternative Software, die in der Fläche einsetzbar wäre.“ Dem ist aus Sicht der Praxis nichts hinzuzufügen. Verantwortliche werden durch die Datenschutzaufsicht derzeit vor schier unlösbare Aufgaben gestellt.

Fazit

Wer bei der rasanten Entwicklung und der fortwährenden Streitigkeit zwischen Microsoft und der DSK den Überblick verloren hat oder ihn gar nicht erst behalten wollten, für diejenigen stellen die Kollegen Steffan Hessel und Christina Kiefer eine Gegenüberstellung der wesentlichen Aussagen der Datenschutzkonferenz und von Microsoft bereit. Festzuhalten bleibt, dass die Rechtslage in Bezug auf den Einsatz von Microsoft 365 alles andere als rechtssicher bezeichnet werden darf. Datenschutzrechtlich Verantwortliche sollten sich bei dem Einsatz intensiv mit den datenschutzrechtlichen Verpflichtungen auseinandersetzen. Verantwortliche, die auf externe Unterstützung zurückgreifen sollten spätestens dann hellhörig werden, wenn mit dem datenschutzkonformen Einsatz von Microsoft 365 geworben wird. Daneben bleibt für die Anwender zu hoffen, dass es entweder seitens Microsoft weitere Anpassungen erfolgen oder dass letztendlich eine gerichtliche Entscheidung für Rechtssicherheit sorgt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.