„Alle Jahre wieder…“ – So beginnt eines der wohl schönsten und bekanntesten Kinderweihnachtslieder. Außerdem ist es mittlerweile auch gute Tradition geworden, dass wir im Dezember einen kurzen Rückblick auf das vergangene Jahr werfen, also eben auch alle Jahre wieder. Im ersten Teil unseres Jahresrückblick 2025 wollen wir uns den Monaten Januar bis Juni 2025 widmen. Neben unseren Einzelbeiträgen spazieren wir natürlich über das gesamte Jahr hinweg durch die Datenschutz-Grundverordnung.

Januar

In den ersten Januartagen des Jahres sorgten allem vorab zwei Urteile für Aufsehen. In seinem Urteil vom 8. Januar 2025 hat das Gericht der Europäischen Union (EuG) die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt (Rs. T-354/22). Zudem beschäftigte sich der Europäische Gerichtshof (EuGH) in seinem Urteil vom 9. Januar 2025 (Rs. C-394/23) mit dem berechtigten Interesse nach Abwägung (Art. 6 Abs. 1 UAbs. 1 lit f) DS-GVO) sowie mit den Anschlussfragen, in welchem Umfang über die Interessenabwägung informiert werden muss und welche Auswirkungen eine fehlende Information auf die Datenverarbeitung hat. Mit dem zweiten Urteil haben wir uns hier auseinandergesetzt.

Während die Evaluierung der Datenschutz-Grundverordnung noch auf sich warten lässt, gab es bereits eine Reform des Datenschutzes der evangelischen Kirche, über die wir berichtet haben. Allerdings sei noch erwähnt, dass die EKD-Synode bereits im November 2024 beschlossen und mit Wirkung zum 1. Mai 2025 ihre Wirkung entfaltet hat.

Abseits von den inhaltlichen Themen war im Januar dieses Jahres für die Datenschutzwelt vor allem das Ableben von Jürgen Taeger ein zentrales und trauriges Thema. Wir haben in unserem Block ebenfalls einen Nachruf verfasst.

Februar

Im Februar gab es mal wieder Anlass sich mit den Fragen rund um Datentransfers in die USA und konkret mit dem EU-U.S. Data Privacy Framework hier und hier zu beschäftigten. Daneben spielte auch der Evergreen, die E-Mail-Verschlüsselung eine Rolle.  Schuld ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az. 12 U 9/24). Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Alles zum Nachlesen in unserem Beitrag.

März

Wie derzeit die Politik, beschäftigen auch wir uns mit der Rolle des Datenschutzbeauftragten (DSB). In unserem ersten Beitrag widmen wir uns der Vertraulichkeit des DSB. Hintergrund: Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Doch was bedeutet das konkret? Die Antwort gibt es hier. Anschließend gehen auch wir der Frage nach: Was wird aus der Pflicht zur Benennung eines Datenschutzbeauftragten? Die Frage ist für die Umsetzung des Datenschutzrechtes in den verantwortlichen Stellen äußert praxisrelevant.  

Die Informationssicherheit kommt bei uns keines Falles zu kurz. Wir befassen uns mit den Anforderungen der Informationssicherheit auf Auslandsreisen und setzen uns mit dem Fakt auseinander, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) nunmehr als Zertifizierungsstelle nach dem (Rechtsakt zur Cybersicherheit), auch „Cybersecurity Act“ (CSA) fungiert.

In einem weiteren Beitrag betrachten wir eine Schnittstelle zwischen IT-Sicherheit und Datenschutz, konkret welche Erlaubnisnorm trägt, wenn die Umsetzung technischer und organisatorischer Maßnahmen – z. B. nach der NIS-2-Richtlinie – die Verarbeitung personenbezogener Daten fordert. Außerdem hat auch die Sächsische Datenschutz-Aufsichtsbehörde ihren Tätigkeitsbericht für das Jahr 2024 im März veröffentlicht, welchen wir natürlich auch in einem Beitrag betrachtet haben.

April

Im April knüpfen wir an das Thema der Verarbeitung personenbezogener Daten zur Sicherstellung von IT-Sicherheit bzw. Datensicherheit an. Dieses Mal richten wir mit unserem Beitrag den Blick auf Art. 32 DS-GVO.

Wie eingangs bereits angeteasert steht auch eine Reform der Datenschutz-Grundverordnung in Rede. Mit Blick auf die lange Entstehungsgeschichte, wurde in Fachkreisen immer wieder spekuliert, die Europäische Kommission habe in Bezug auf die DS-GVO Angst, die Büchse der Pandora zu öffnen. Doch zwischenzeitlich scheint die Europäische Kommission erkannt zu haben, dass die fortschreitende Digitalregulierung in der Europäischen Union sich zu einem Standortproblem entwickeln könnte. Dass die DS-GVO in den kommenden Jahren eine Anpassung erfährt, wird demnach immer wahrscheinlicher.

Mai

In Fortsetzung der Beiträge aus März und April befassen wir uns auch im Mai mit dem Thema der Sicherheitsanforderungen als Rechtspflicht, der Beitrag befasst sich mit weitergehenden Fragen rund um Art. 32 DS-GVO. Ebenso schauen wir bei Art. 6 Abs. 1 DS-GVO schauen wir einmal genauer hin und fragen uns: Was steht eigentlich in Art. 6 Abs. 1 UAbs. 2 DS-GVO? Diese Norm kann ebenfalls Auswirkungen im Bereich IT- und Cybersicherheit für öffentliche Stellen bzw. Behörden haben.

Juni

Ein anderes datenschutzrechtlich sehr bedeutsames und für die Praxis relevantes Thema adressieren wir im Juni: Anforderungen bei dem Einsatz von KI-Systemen – in einem ersten Beitrag „Datenschutzrechtliche Transparenzanforderungen bei Nutzung von KI“. Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung.

Eine weitere für die Praxis bedeutende Norm ist Art. 82 DS-GVO. Hier wird der datenschutzrechtliche Schadenersatzanspruch normiert. So kann es möglicherweise Schadenersatz wegen verspäteter Auskunftserteilung geben.

Last but not least widmet sich ein Beitrag einem Urteil zu Cookie-Banner und Google Tag Manager des Verwaltungsgerichtes Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22). In dem Urteil trifft das Gericht konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager.

… und in der kommenden Woche geht es weiter mit unserem Jahresrückblick mit den Monaten Juli bis Dezember 2025!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie bereits in den vergangenen Jahren möchten wir uns auch 2025 in den grauen Novembertagen dem Lagebericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) widmen. Der aktuelle Bericht des BSI für den Zeitraum 1. Juli 2024 bis 30. Juni 2025 ist hier abrufbar. Der heutige Beitrag soll einige der Themen aus dem aktuellen Berichtszeitraum aufzeigen.

Die Lage bleibt angespannt

Laut BSI hat sich die Lage zur IT-Sicherheit zwar grundlegend stabilisiert, verbleibt aber auf einem hohen angespannten Niveau. Zudem wurden im aktuellen Berichtszeitraum neue Angriffsinfrastrukturen bekannt. Im Trend bleibt zudem das Phishing, wobei es hier immer attraktiver wird, maliziöse Webseiten zu verwenden. Maliziöse URL sind Webadressen, auf denen Angreifer Schadprogramme zum Download bereithalten und diese zum Beispiel über Spam‑Mail‑ oder Phishing‑Kampagnen verbreiten. Die Seiten sind sehr oft authentisch gestaltet und leiten die Nutzenden aber beim Anklicken auf bösartige Webseiten um, laden schädliche Software herunter oder verleiten Nutzende zur Preisgabe vertraulicher Informationen. Die Anzahl maliziöser Seiten wächst seit Jahren kontinuierlich. Die durchschnittliche Lebensdauer einer solchen Webseite lag im Berichtszeitraum bei ca. 1,77 Stunden, mit Schwankungen.

Das BSI führt hierzu weiter aus: „Gängige Methoden im aktuellen Berichtszeitraum waren etwa Typo‑Squatting, bei dem die URLs Tippfehlervarianten einer bekannten Marke oder Webseite enthalten (z. B. „facebok.com“ anstelle von „facebook.com“), oder Brand‑Jacking, bei dem der Name einer bekannten Marke oder eines Unternehmens in die URL eingesetzt wird, um Nutzende zu täuschen und auf Phishing‑Seiten zu leiten.“

Angriffe aus dem Web und Schwachstellenhoch

Mit Blick auf die Angriffsflächen zeigt sich, dass diese durch die fortschreitende Digitalisierung eindeutig im Wachstum sind. Von wachsender Bedeutung sind insbesondere Web-Flächen mit zuweilen einsehbaren sensiblen Informationen. Darüber hinaus können Schwachstellen in jeglicher Form von IT-Produkten auftreten.

Laut BSI bieten auch digitale Kommunikationswege wie E-Mail-Adressen, Social-Media-Accounts, Messenger-Accounts und SMS-fähige Telefonnummern weiterhin große, schwer zu schützende Angriffsflächen. Diese Dienste stellen eine essenzielle Grundlage für den Informationsaustausch dar, bieten gleichwohl große Angriffsflächen, um Schadsoftware oder Links zu maliziösen Webseiten und Schadcode‑behafteten Webservern zu verteilen, Daten zu stehlen, Systeme zu infiltrieren oder Nutzende zu täuschen. Wissenswerte Informationen dazu finden sich hier.

Ein weiteres Thema sind KI-Schwachstellen. Große Sprachmodelle (Large Language Models, LLMs) wie GPT, Gemini, Claude oder LLaMA werden bereits von großen Bevölkerungsteilen im Alltag verwendet. Hiermit gehen Gefahren wie verringerte menschliche Kontrolle, Unschärfen, Halluzinationen usw. einher. Werbeinteressen sowie zufällig oder durch Cyberangriffe manipulierte, bösartige Trainingsdaten können Entscheidungen zudem verzerren. Angreifer manipulieren bereits LLMs, um bestimmte Narrative zu verstärken, Produktwahl oder Preise zu verändern. Innentäter oder in interne Systeme eingedrungene Angreifer haben durch Komplexität und Unschärfe größere Chancen, in einem internen Netzwerk unentdeckt zu bleiben.

Exploits und Datenleaks rücken vermehrt in den Vordergrund

Ein gefährlicher Trend zeichnet sich zudem dadurch ab, dass im aktuellen Berichtszeitraum mehr Schwachstellen-Exploits und mehr Datenleaks aufgetreten sind. Zwar bleibt die Zahl der Ransomware-Angriffe weitgehend unverändert, die Angriffe führten aber in zahlreichen Fällen zu Datenleaks.

Problematisch ist hierbei, dass im Vergleich zu Angriffen mit dem Ziel die Datenbestände der Opfer zu verschlüsseln, bei Datenleaks die Backupstrategien der Organisationen nicht helfen. Außerdem erpressen Angreifer häufiger mit Daten, die sie aus unzureichend gesicherten Datenbanken oder aus schwachstellenbehafteten Systemen im Internet exfiltrieren. Hinsichtlich der Angriffsvektoren zeigte sich, dass die Ausnutzung von Schwachstellen in Web-Angriffsflächen mittels Exploitation weiter an Bedeutung gewann, wohingegen Angriffe per E-Mail spürbar zurückgegangen sind, was wiederrum auf eine voranschreitende Durchdringung der digitalen Kommunikation durch Kanäle wie etwa Social Media oder Messenger zurückzuführen ist.

Das Zauberwörtchen heißt Resilienz

Das BSI ruft seit Jahren zu mehr Resilienz auf. Dies bleibt zwar unverändert, jedoch stellt das BSI insbesondere unter den Verbraucherinnen und Verbrauchen eine rückläufige Anwendung fest. Das betraf insbesondere die Verwendung und das Management von sicheren Passwörtern. Um dem Trend zur Verwendung unsicherer Passwörter entgegenzuwirken, bieten sich Passkeys an. Insbesondere mit Blick auf die oben genannten zunehmenden Exploits und Datenleaks kommt es künftig vermehrt auf präventive Maßnahmen und ein entsprechendes Angriffsflächenmanagement an. Ziel muss es sein, sich durch möglichst gut geschützte Angriffsflächen unattraktiv für Cyberkriminelle zu machen. Weitere Übersichten hält das BSI hier bereit.

Fazit

Wie schon in den vergangenen Jahren stagniert die Lage zur IT-Sicherheit auf einem besorgniserregenden und angespannten hohen Niveau. Ein wesentlicher Faktor dafür sind weiterhin die unzureichend geschützten Angriffsflächen. Dies muss ein Weckruf für alle Organisationen sein, sich künftig – unabhängig von bestehenden oder kommenden Digitalregulierungen – intensiver mit dem Management von Informationssicherheit und im speziellen IT-Sicherheit zu befassen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Spaziergang betrifft automatisierte Entscheidungen im Einzelfall einschließlich Profiling, also einen Bereich im Datenschutz, der sich – anders als üblich – nicht in erster Linie damit befasst, dass möglichst wenige Daten in möglichst sicherer Weise verarbeitet werden. Der rechtspolitische Hintergrund für Artikel 22 DS-GVO ist vielmehr die Befürchtung, dass menschliches Leben durch Maschinen verwaltet und gestaltet wird. Diese Dystopie hat angesichts der KI-Entwicklung derzeit wieder an Aktualität gewonnen.

Artikel 22 beginnt in Absatz 1 radikal mit einem Verbot vollautomatisierter Verarbeitungen, wenn sie Menschen erheblich beeinträchtigen. Das wird dann in Absatz 2 und Absatz 3 durch weitgehende Ausnahmen eingeschränkt. Absatz 4 bringt Rück-Ausnahmen und Rück-Rück-Ausnahmen.

Absatz 1

Das radikale Verbot bezieht sich auf automatisierte Verarbeitung einschließlich Profiling. Für Profiling findet sich eine gesetzliche Definition in Art. 4 Nr. 4 DS-GVO: automatisierte Verarbeitung personenbezogener Daten zur Bewertung „bestimmter persönlicher Aspekte“. Die Verarbeitung ist in Art. 4 Nr. 2 DS-GVO sehr allgemein definiert und automatisierte Verarbeitung dürfte dann alle Fälle betreffen, in denen die Prozesse ohne menschliches Zutun ablaufen. Diese Verfahrensabschnitte können natürlich mehr oder weniger lang und umfangreich sein. Sie beginnen nach dem letzten menschlichen Zutun, z. B. manuelle Dateneingabe, und enden wiederum vor der ersten menschlichen Aktion, z. B. manuelle Durchsicht der Verarbeitungsergebnisse.

Wichtig und richtig ist in Absatz 1 zunächst die Grundentscheidung: Automatisierte Verarbeitungen sind nicht immer (ihrer Natur nach) für Betroffene problematisch. Zum Beispiel wird bei einer vollständig automatisierten Kreditantrags-Prüfung mit positivem Ergebnis (Kreditbewilligung) der Betroffene zufrieden sein. Den Wortlaut von Absatz 1 muss und darf man deshalb wohl etwas „zurechtstutzen“. Dort heißt es nämlich, die Entscheidung dürfe schon dann nicht automatisiert erfolgen, wenn sie Betroffenen gegenüber „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Dabei ist übersehen, dass „rechtliche Wirkung“ nicht immer „erhebliche Beeinträchtigung“ bedeutet. Bei vorteilhafter rechtlicher Wirkung greift Absatz 1 nicht ein. Verbesserungsvorschlag für den Gesetzestext: „[…] unterworfen zu werden, die sie erheblich beeinträchtigt“.

Absätze 2 und 3

Die Absätze 2 und 3 klären, wann vollautomatisierte Entscheidungen doch erlaubt sind: a) bei Erforderlichkeit vor Abschluss oder Erfüllung eines Vertrags, b) bei gesetzlicher Grundlage oder c) bei Einwilligung. In allen drei Ausnahmefällen müssen die Betroffenenrechte natürlich gewährleistet sein.

Bei Buchstaben b) wird das gleich im Absatz 2 geklärt. Für die Buchstaben a) und c) regelt es der Gesetzgeber – damit das Gesetz nicht zu leicht lesbar wird – gesondert in Absatz 3. Mindestens nötig ist nach Absatz 3 – das wird man auch auf Abs. 2 lit. b) übertragen können –, dass Betroffene sich über die automatisierte Entscheidung beschweren, ihren eigenen Standpunkt darlegen können und dann auf Seiten des Verantwortlichen ein Mensch eingreift – also die Entscheidung noch einmal prüft. Fast immer wird bei automatisierten Entscheidungen eine Datenschutz-Folgenabschätzung erforderlich sein. Am besten führt man sie bei „vollautomatisierten“ Verfahren immer durch.

Absatz 4

Der letzte Absatz klingt beim Überfliegen logisch und richtig: Besondere Kategorien personenbezogener Daten bekommen natürlich besonderen Schutz. Aber näher betrachtet ist Absatz 4 wahrscheinlich völlig überflüssig. Der besondere Schutz für solche Daten ist durch Art. 9 DS-GVO bereits gewährleistet. Wenn die dortigen Voraussetzungen eingehalten sind, ist gar nicht verständlich, weshalb bei automatisierten Entscheidungen nochmals spezielle Regeln gelten sollen.

Nach Art. 22 Abs. 4 DS-GVO wäre z. B. verboten, dass ein elektronisches Schließsystem automatisch Beschäftigten, die wegen Krankheit arbeitsunfähig sind oder wegen Schwangerschaft einem Beschäftigungsverbot unterliegen, den Zugang verweigert (Transponder, Schlüsselkarten etc. deaktiviert). Nötig und sinnvoll scheint das nicht. Außerdem sind die Rück-Rück-Ausnahmen in Absatz 4 – bezogen auf Art. 9 Abs. 2 Buchstaben a) und g) –praktisch deckungsgleich mit Art. 22 Abs. 2 lit. b) und c) DS-GVO. Die Rück-Ausnahme in Absatz 4 betrifft also letztlich nur die Ausnahme nach Absatz 2 lit. a). Einmal mehr gilt: Mit der DSGVO können wir Datenschützer niemandem erklären, wie klare und verständliche Texte aussehen.

Mitmach-Aufgaben zum Schluss der Etappe: Ein Anwendungsbeispiel für Art. 22 Abs. 2 lit. a) DS-GVO ist wahrscheinlich der Bargeld-Automat, wenn er kein Geld herausrückt. Fallen Ihnen noch andere ein?

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 24. Juli 2025 ein Whitepaper zu Bias in der künstlichen Intelligenz (KI) veröffentlicht. In dem Whitepaper werden neben grundlegenden Informationen zu Bias im Kontext künstlicher Intelligenz auch mögliche Maßnahmen zur Identifizierung und Reduzierung derartiger Verzerrungen dargestellt. Bei tiefergehender Auseinandersetzung mit dieser Thematik wird deutlich, dass auch die möglichen Auswirkungen auf die Themenbereiche Datenschutz und Informationssicherheit nicht zu vernachlässigen sind.

Bias im Kontext künstlicher Intelligenz

Der Begriff Bias beschreibt eine systematische Verzerrung, die zu einer ungleichen Behandlung verschiedener Gruppen durch ein KI-System führen kann. Diese Verzerrung kann bereits in den ursprünglichen Daten enthalten sein oder durch algorithmische Entscheidungen und Nutzungsumgebungen entstehen. Die Auswirkungen von Bias können sich insbesondere in Diskriminierungen niederschlagen, beispielsweise weil Nutzenden Zugang zu Ressourcen oder Gelegenheiten verwehrt wird. In Bezug auf Geschäftsprozesse können für Organisationen hieraus auch sicherheitskritische Störungen (z. B. durch eine fehlerhafte Zugangskontrolle) oder gar schadenersatzpflichtige Sachverhalte entstehen.

Die Ursachen und Arten von Bias sind vielschichtig und können beispielsweise wie folgt unterschieden werden:

• Historischer Bias: Im Rahmen der Konzeption und des Trainierens einer künstlichen Intelligenz werden Daten verwendet, die vergangenheitsbezogene Ungleichheiten oder Vorurteile beinhalten. Ein auch datenschutzrelevantes Beispiel wäre hier eine automatisierte Auswahl von Bewerberinnen und Bewerbern auf Grundlage früherer Personalentscheidungen, die jedoch eine Geschlechterverzerrung aufweisen.

• Repräsentationsbias: Hierbei kann eine fehlende oder unzureichende Vertretung von bestimmten Gruppen in Trainingsdaten dazu führen, dass diese sich ebenfalls auf mögliche Entscheidungen oder Ergebnisse überträgt. In der Praxis kann dies beispielsweise im Rahmen von Umfragen dazu führen, dass Darstellungen aus urbanen Regionen überrepräsentiert werden, da mehr als 70% der deutschen Bevölkerung in Großstadtregionen leben.

• Evaluationsbias: Auswirkungen ergeben sich hier aufgrund der Art der Evaluation eines KI-Modells oder auch Designentscheidungen hinsichtlich der Evaluationsmethodik. So erwies sich in der Vergangenheit beispielsweise bereits eine Bilddatenbank für Gesichtserkennungssysteme als unangemessen und unverhältnismäßig, da sich diese aus weit überwiegend hellhäutigen Gesichtern zusammensetzte. Mit dieser Bilddatenbank evaluierte KI-Modelle weisen sodann einen Bias gegenüber Menschen mit dunkler Hautfarbe auf.

• Interaktionsbias: Verzerrungen, die bei einem Einsatz eines KI-Systems durch die Interaktionen mit den Nutzenden entstehen, werden als Interaktionsbias bezeichnet. Hier kann zwischen der Übertragung von Bias der Nutzenden auf das System (z. B. Training eines KI-gestützten Chatbots auf Grundlage von Anfragen mit geschlechtsstereotypischen Aussagen) und Bias aufgrund des Designs der Interaktionsschnittstellen (z. B. weniger allgemein nachgefragte Produkte eines Online-Shops werden auch einer bestimmten Zielgruppe mit hoher Nachfrage nicht angezeigt, sodass auch in Bezug auf diese Zielgruppe das Ranking sinkt) unterschieden werden.

Auswirkungen auf die Schutzziele

Derartige Ungleichbehandlungen und Verzerrungen können ebenfalls Auswirkungen auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit haben und dementsprechend auch Relevanz für Informations- und Datensicherheit entfalten.

• Verfügbarkeit: Bias kann die Anfälligkeit eines KI-Systems für sogenannte Membership Inference Attacks erhöhen. Dabei nutzen Angreifer die Verzerrung gezielt aus, um Rückschlüsse auf Trainingsdaten zu ziehen. Auch bei Model Inversion- oder Model Extraction-Attacken kann Bias als Einfallstor dienen, um sensible Informationen oder gar das gesamte Modell zu extrahieren.

• Integrität: Ein durch Bias fehlkalibriertes KI-System kann Fehlentscheidungen treffen. So kann etwa ein biometrisches Zugangssystem Personen bestimmter ethnischer Gruppen schlechter erkennen – mit potenziell sicherheitskritischen Folgen. Auch bei Intrusion-Detection-Systemen können geografisch verzerrte Trainingsdaten die Erkennungsleistung mindern.

• Verfügbarkeit: Zwar liegen hier laut BSI bislang keine belastbaren Studien vor, dennoch wird eine mögliche Beeinträchtigung der Verfügbarkeit durch koordinierte Poisoning-Angriffe nicht ausgeschlossen. Ziel solcher Angriffe ist es, das KI-System gezielt zu destabilisieren oder unbrauchbar zu machen.

Empfehlungen des BSI

Das Whitepaper enthält eine Reihe verschiedener Maßnahmen zur Reduktion von Bias-Risiken, die hier keinesfalls abschließend dargestellt werden können. Ein zentrales Element ist die frühzeitige Analyse der Daten. Das BSI empfiehlt, sich bereits vor dem Training eines KI-Systems intensiv mit der Qualität und Zusammensetzung der verwendeten Datensätze auseinanderzusetzen. Dabei sollen sowohl qualitative Merkmale wie Herkunft, Alter und Repräsentativität der Daten berücksichtigt werden als auch quantitative Auswertungen, etwa zur Verteilung und Streuung einzelner Merkmale oder zur Erkennung von einseitigen Mustern. Ziel ist es, mögliche Verzerrungen so früh wie möglich zu identifizieren und zu begrenzen. Zur gezielten Reduktion von Bias stellt das BSI drei Gruppen technischer Maßnahmen vor, die je nach Phase im Lebenszyklus eines KI-Systems eingesetzt werden können:

In der sogenannten Präprozessierung werden die Trainingsdaten vorab angepasst – etwa durch Ausgleich von Ungleichgewichten oder durch gezielte Ergänzung fehlender Informationen. In der Inprozessierung wird bereits während des Trainings des KI-Modells darauf geachtet, dass Verzerrungen nicht übernommen oder verstärkt werden. Dies kann durch spezielle Trainingsverfahren oder zusätzliche Vorgaben im Lernprozess erreicht werden. Die dritte Gruppe, die Postprozessierung, greift erst nach dem Training. Dabei werden entweder die Eingabedaten, das Modell selbst oder die Ausgaben gezielt verändert, um erkannte Verzerrungen auszugleichen.

Das BSI betont, dass keine dieser Maßnahmen für sich allein eine vollständige Lösung bieten kann. Stattdessen müssen Systeme kontinuierlich überprüft und gegebenenfalls nachjustiert werden. Die Auseinandersetzung mit Bias ist keine einmalige Aufgabe, sondern ein fortlaufender Bestandteil eines sicheren und verantwortungsvollen KI-Einsatzes. Unter Berücksichtigung der einschlägigen KI-Verordnung werden diese Maßnahmen hauptsächlich durch den Anbieter eines KI-Systems umzusetzen und zu belegen, durch den Betreiber jedoch zumindest hinsichtlich der Plausibilität zu prüfen sein.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits im Juni hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) eine Reihe von Orientierungshilfen, Entschließungen und Positionspapieren veröffentlicht. In unserem Beitrag geben wir einen kurzen Überblick über die wesentlichen Inhalte.

Künstliche Intelligenz

Confidential Cloud Computing

Die DSK weist in ihrer Entschließung „Confidential Cloud Computing“ darauf hin, dass der Begriff „Confidential Computing“ uneinheitlich verwendet wird und je nach Anbieter unterschiedliche Technologien umfasst. Werbeaussagen, wonach Daten im Rahmen von „Confidential Cloud Computing“ vollständig vor dem Cloud-Betreiber geschützt seien, werden von der DSK als oftmals verkürzt und nicht der tatsächlichen technischen Komplexität entsprechend bewertet.

Ursprünglich dienten diese Technologien dem Schutz vor anderen Nutzenden derselben Infrastruktur. Sollen Daten jedoch auch vor dem Betreiber selbst geschützt werden, sind deutlich stärkere Annahmen notwendig, da dieser physischen Zugang zur Hardware hat und so die eingesetzte Soft- und Hardware manipulieren kann. Die DSK stellt klar, dass Maßnahmen wie interne Zugriffsbeschränkungen zwar sicherheitsförderlich sind, jedoch nicht im engeren Sinne zum „Confidential Computing“ zählen. Auch das Schlüsselmanagement spielt eine zentrale Rolle: Tatsächliche Geheimhaltung gegenüber dem Cloud-Betreiber ist nur dann gewährleistet, wenn dieser keinen Zugang zu den Entschlüsselungsschlüsseln hat und Manipulationen an Schlüsseln ausgeschlossen sind. Zudem sind die Übergänge zwischen verschiedenen Verschlüsselungszuständen, wie etwa von „data-at-rest“ zu „data-in-use“, besonders kritisch zu betrachten, da hier kurzzeitige Entschlüsselungen erfolgen können.

Insgesamt könne „Confidential Cloud Computing“ das Sicherheitsniveau erhöhen und Schutz gegenüber anderen Nutzenden sowie einzelnen Innentätern bieten. Absolute Vertraulichkeit sei jedoch nicht gegeben, da der Cloud-Betreiber grundsätzlich Zugriffsmöglichkeiten habe. Die der Technologie zugeschriebenen Eigenschaften seien daher kritisch zu bewerten, und etwaige Maßnahmen seien aus Gründen der Nachweis- und Rechenschaftspflicht nachvollziehbar zu dokumentieren.

Sicherheitsgesetze

Aus der Entschließung „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ der DSK geht deutlich hervor, dass Datenschutz ein zentraler Bestandteil des Rechtsstaats ist und untrennbar mit Freiheit und Sicherheit verbunden ist. Grundrechte wie das Recht auf informationelle Selbstbestimmung bilden die Grundlage für die freie Entfaltung der Persönlichkeit und die Teilhabe am demokratischen Gemeinwesen. Ein Leben in Freiheit setzt Sicherheit voraus, zugleich ist Sicherheit nur dann gewährleistet, wenn sich der Staat an verfassungskonforme Gesetze und gegebene Garantien hält.

Die DSK warnt davor, Datenschutz und Sicherheit gegeneinander auszuspielen. Sie erkennt ein Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und dem Grundrecht auf Datenschutz an, hält dieses jedoch durch verhältnismäßige Maßnahmen für lösbar. Datenschutz diene nicht dem Schutz von Straftäterinnen oder Gefährdern, sondern dem Schutz aller Bürgerinnen und Bürger vor ungerechtfertigten Eingriffen in ihre Freiheitsrechte. Er stellt ein rechtsstaatliches Korrektiv dar, insbesondere bei staatlicher Datenverarbeitung.

Die DSK hebt hervor, dass Datenschutz der Weiterentwicklung polizeilicher Datenverarbeitung nicht entgegensteht. Entscheidend sei, zunächst den fachlichen Bedarf zu ermitteln und verhältnismäßige Lösungen zu erarbeiten, anstatt reflexartig mit Grundrechtseinschränkungen auf sicherheitspolitische Herausforderungen zu reagieren. Die DSK spricht sich dafür aus, bestehende Befugnisse der Sicherheitsbehörden hinsichtlich ihrer Anwendung und Wirksamkeit systematisch zu evaluieren, bevor neue gesetzgeberische Maßnahmen ergriffen werden. In diesem Zusammenhang verweist sie auf einschlägige wissenschaftliche Studien. Abschließend erklärt die DSK, dass sie künftige Gesetzesnovellierungen im Sicherheitsbereich eng begleiten und sich dafür einsetzen wird, dass neue Befugnisse den verfassungsrechtlichen Maßstäben genügen.

Terminverwaltung durch Heilberufspraxe

Mit dem Dokument „Datenschutz bei der Terminverwaltung durch Heilberufspraxen – Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement“ reagiert die DSK auf die zunehmende Nutzung internetbasierter Terminvergabesysteme durch Heilberufspraxen, bei denen Dienstleister personenbezogene Patientendaten im Auftrag der Praxis verarbeiten. Die Einbindung solcher Dienstleister kann grundsätzlich im Rahmen einer Auftragsverarbeitung erfolgen und erfordert auch keine Einwilligung der Patientinnen und Patienten. Allerdings sind diese über die Datenverarbeitung zu informieren und auch die weiteren datenschutzrechtlichen Anforderungen sind zwingend einzuhalten.

Für die Datenverarbeitung zur Terminvergabe gilt insbesondere, dass nur solche Patientendaten verarbeitet werden dürfen, die zur Wahrnehmung eines konkreten Termins erforderlich sind. Terminerinnerungen beispielsweise stellen nach Ansicht der DSK ein zusätzliches Serviceangebot dar und bedürfen einer informierten, ausdrücklichen Einwilligung der betroffenen Personen. Ferner sind Eintragungen im Terminkalender nach Ablauf des Termins zeitnah zu löschen, sofern keine dokumentationspflichtigen Inhalte betroffen sind. Zudem müssen Heilberufspraxen geeignete technische und organisatorische Maßnahmen treffen, um die Einhaltung der Sicherheit der Verarbeitung sicherzustellen. Erfolgt eine Datenverarbeitung in einem Drittland, sind die Anforderungen der Art. 44 ff. DS-GVO zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Seit dem 2. Februar 2025 haben Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO sicherzustellen, dass Personen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Über die konkreten Anforderungen wurde in der Praxis bislang meist gemutmaßt, wobei einige Veröffentlichungen, wie beispielsweise die der Denkfabrik Digitale Arbeitsgesellschaft, bereits eine gute Orientierung boten. Nun hat die Bundesnetzagentur ein entsprechendes Hinweispapier veröffentlicht. Dieser Blog-Beitrag stellt einige wichtige Inhalte vor.

Was ist KI-Kompetenz?

Die Bundesnetzagentur fasst in ihrem Hinweispapier die KI-Kompetenz gemäß Art. 3 Nr. 56 KI-VO als Fähigkeiten, Kenntnisse und das Verständnis zusammen, um KI-Systeme sachkundig, verantwortungsvoll und sicher einzusetzen sowie sich der Chancen und Risiken, unter anderem in ethischer, rechtlicher und gesellschaftlicher Ausprägung, von Künstlicher Intelligenz bewusst zu sein. Im Fokus stehen dabei insbesondere die Minimierung von Risiken und die Förderung von Innovationen. Der Aufbau von KI-Kompetenz läge somit auch im Eigeninteresse der jeweiligen Organisationen.

Vor diesem Hintergrund sollten Organisationen „ein allgemeines Verständnis von KI sicherstellen, die Rolle der eigenen Organisation als Anbieter oder Betreiber beachten, die Risiken des spezifischen KI-Systems im konkreten Kontext berücksichtigen, aktuelle Entwicklung und Neuerungen einbeziehen.“ Hingegen ausdrücklich durch Art. 4 KI-VO nicht gefordert sind die Benennung eines KI-Beauftragten sowie „formalisierte oder standardisierte Trainingsmaßnahmen, (externe) Zertifizierungen der durchgeführten Maßnahmen, […] regelmäßige Vorabüberprüfungen der Maßnahmen zur Sicherstellung der KI-Kompetenz durch Aufsichtsbehörden.“

Die Bundesnetzagentur weist jedoch darauf hin, dass die Durchführung von Maßnahmen zur Sicherstellung von KI-Kompetenz dokumentiert werden sollte. So kann insbesondere im Schadensfall nachgewiesen werden, dass kein Mangel an KI-Kompetenz und demnach auch keine Verletzung der Sorgfaltspflichten vorlag.

Wie baut man KI-Kompetenzen auf?

Die Maßnahmen zum Aufbau von KI-Kompetenz sollten stets an den Kontext und die Bedarfe der jeweiligen Organisation angepasst werden. Einen sogenannten „one-fits-all“-Ansatz lehnt die Bundesnetzagentur hingegen ab. Im Rahmen des Hinweispapiers werden als Orientierung vier Grundsteine beim Aufbau der KI-Kompetent dargestellt:

• Ermittlung des individuellen Bedarfs in Bezug auf Nutzende, KI-Systeme, Nutzungszwecke und potenzielle Risiken.

• Ausgestaltung von Maßnahmen, insbesondere unter Berücksichtigung des Ausbildungs-, Erfahrungs- und Wissensstandes der Nutzenden sowie des Nutzungskontexts des KI-Systems und der Rolle der eigenen Organisation in der KI-Wertschöpfungskette.

• Regelmäßige Auffrischung unter besonderer Berücksichtigung des Begriffs der KI-Kompetenz im jeweils aktuellen zeitlichen Kontext sowie der technologischen Entwicklung.

• Ausreichende Dokumentation der durchgeführten Maßnahmen, mindestens unter Angabe der Art der Maßnahmen, des inhaltlichen und zeitlichen Umfangs sowie der teilnehmenden Personen.

Die Bundesnetzagentur weist ergänzend darauf hin, dass durch die KI-Verordnung keine bestimmten Formate vorgeschrieben werden. Insofern können sowohl Selbstlernprogramme und Schulungen als auch Workshops und mehrstufige Fortbildungsprogramme geeignet sein. Inhaltlich sollten jedoch sowohl technische, rechtliche und ethische Aspekte thematisiert werden. Als mögliche Inhalte werden durch das Hinweispapier drei mögliche inhaltliche Stufen dargestellt: (1) Schaffung eines grundlegenden Verständnisses von Daten und KI in der Organisation (z. B. Überblick über KI-Technologien sowie allgemeine Chancen und Risiken), (2) Aufbau fortgeschrittener KI-Kompetenzen (z. B. technische Aspekte der angewendeten KI sowie spezifische Chancen und Risiken) und (3) rollenspezifische Trainings mit individuellen Schwerpunkten (z. B. Technik, Recht, Ethik).

Wo finde ich Unterstützung?

Abschließend weist die Bundesnetzagentur auch auf zahlreiche Möglichkeiten zur Unterstützung durch europäische und internationale Maßnahmen sowie private Initiativen und Branchenverbände hin. Zu Bennen ist hierbei beispielsweise das Europäische KI-Büro (AI Office) mit einschlägigen FAQ und einem Webinar oder das Online-Angebot des KI-Campus mit zahlreichen unentgeltlichen Online-Angeboten.

Auch das Dresdner Institut für Datenschutz unterstützt Sie bei der Etablierung von KI-Kompetenz in Ihrer Organisation. Unser Schulungsangebot vermittelt praxisrelevante Kompetenzen im Umgang mit Künstlicher Intelligenz unter besonderer Berücksichtigung der rechtlichen und technischen Rahmenbedingungen. Im Fokus stehen dabei Grundzüge und Auswirkungen der europäischen KI-Verordnung auf Organisationen, datenschutzrechtliche Anforderungen nach der Datenschutz-Grundverordnung sowie Aspekte der Informationssicherheit beim Einsatz von KI-Systemen. Abgerundet wird unsere KI-Kompetenz-Schulung durch eine Reihe von Praxisbeispielen und Handlungsempfehlungen. Kommen Sie für ein unverbindliches Angebot gern auf uns zu!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung. Eine solche kann grundsätzlich im Zusammenhang mit einem Einsatz von Künstlicher Intelligenz stattfinden. Doch was bedeutet das konkret? Ein Überblick.

Zum Begriff der automatisierten Entscheidungsfindung

Der Begriff der automatisierten Entscheidungsfindung ist innerhalb der DS-GVO nicht näher definiert. Im Rahmen von Art. 22 Abs. 1 DS-GVO wird lediglich ausgeführt, dass die betroffene Person „das Recht [hat], nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Aus der Regelung kann entnommen werden, dass es sich bei einem Profiling um eine Sonderform einer automatisierten Entscheidungsfindung handelt, wobei Profiling gemäß Art. 4 Nr. 4 DS-GVO als automatisierten Verarbeitung personenbezogener Daten zu verstehen ist, „die darin besteht, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […].“

Hieraus folgend kann eine „allgemeine“ automatisierte Entscheidungsfindung als eine ohne die Beteiligung einer Person vorgenommene Entscheidung verstanden werden, deren Ziel nicht in der Bewertung persönlicher Aspekte, sondern in der Vornahme einer konkreten Auswahl zwischen verschiedenen Möglichkeiten liegt. Entsprechend können die einschlägigen Regelungen im Kontext Künstlicher Intelligenz neue Relevanz entfalten. Das gilt insbesondere dann, wenn mithilfe von KI-Anwendungen Auswahlentscheidungen, beispielsweise im Rahmen des Bewerbungs- oder Personalmanagements, getroffen werden – auch unabhängig von der Bewertung des Risikos nach der KI-Verordnung.

Transparenzanforderungen nach DS-GVO

Liegt eine solche automatisierte Entscheidungsfindung bzw. Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO vor, greifen neben den allgemein bekannten und üblichen Anforderungen des Artikels 13 DS-GVO, zum Beispiel Angaben zum Zweck, zur Rechtsgrundlage und zur Speicherdauer, auch die spezifischen Anforderungen gemäß Art. 13 Abs. 2 lit. f) DS-GVO. In diesen Fällen hat der Verantwortliche ergänzend „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitzustellen.

In der Praxis werden diese Anforderungen oftmals falsch hinsichtlich einer Darlegung konkreter Algorithmen missverstanden und damit einer Offenlegung von Geschäftsgeheimnissen gleichgesetzt. Dieser Ansicht erteilt der Europäische Gerichtshof (EuGH) im Rahmen eines in diesem Jahr ergangenen Urteils (EuGH, Urt. v. 27. Februar 2025, Rs. C-203/22) jedoch eine deutliche Absage.

In dem betreffenden Urteil heißt es zu den bestehenden Transparentanforderungen: „Weder die bloße Übermittlung einer komplexen mathematischen Formel […], noch die detaillierte Beschreibung jedes Schrittseiner automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.“ Konkret: „Die „aussagekräftigen Informationen über die involvierte Logik“ […] müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität […] den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.“ Dazu gehört nach Ansicht des EuGH auch eine Darstellung, „in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnisgeführt hätte.“

Letztgenannter Punkt ist auch in Bezug auf „die Tragweite und die angestrebten Auswirkungen“ im Sinne des Art. 13 Abs. 2 lit. f) DS-GVO essenziell. Hiernach dürfte es ebenfalls erforderlich sein, der betroffenen Person transparent darzustellen, welche Entscheidungsmöglichkeiten grundsätzlich bestehen und welche Ergebnisse der Verarbeitung personenbezogener Daten zu welchen Entscheidungen führen oder potenziell führen können.

Fazit

Das aktuelle Urteil des EuGH macht deutlich, dass Transparenzpflichten und Geheimhaltungsinteressen einander nicht ausschließen müssen.Die Offenlegung konkreter Algorithmen ist nach Ansicht des Gerichts durch Artikel 13 DS-GVO nicht gefordert, das vollständige Verwehren jeglicher Darstellungen aufgrund von Geschäftsgeheimnissen jedoch ebenso nicht zulässig.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das berechtigte Interesse nach Abwägung, von vielen nur als berechtigtes Interesse bezeichnet, nach Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO stellt zugleich eine der spannendsten und herausforderndsten Rechtsgrundlagen des Art. 6 Abs. 1 DS-GVO dar. Mit den Anforderungen an das berechtigte Interesse und die Abwägungsfragen im Rahmen der Interessenabwägung haben wir uns hier bereits früher beschäftigt.

Im Blickpunkt des heutigen Blog-Beitrags soll aber nicht der Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO stehen, sondern Art. 6 Abs. 1 UAbs. 2 DS-GVO. Wer sich jetzt an dieser Stelle bereits fragt, was in dieser Norm geregelt ist beziehungsweise welcher Zusammenhang zum berechtigten Interesse nach Abwägung besteht, der steht vermutlich nicht allein da. Die potenziellen (praktischen) Herausforderungen bei der Anwendung von Art. 6 Abs. 1 UAbs. 2 DS-GVO haben wir bereits im Zusammenhang mit den Anforderungen an Art. 32 DS-GVO als Rechtsgrundlage dargestellt. Diese sollen heute ebenfalls noch einmal vertieft werden. Doch der Reihe nach.

Art. 6 Abs. 1 UAbs. 2 DS-GVO

So umfangreich stellt sich die Norm eigentlich nicht dar. Vielmehr heißt es kurz und prägnant: „Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“ Zum besseren Verständnis kann Erwägungsgrund (ErwG) 47 Satz 5 DS-GVO – welche die Anwendung von Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO konkretisieren soll – noch herangezogen werden: „Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.“

Nimmt man den Gesetzestext nunmehr wortwörtlich, dann wäre ein Rückgriff für Behörden (nicht öffentliche Stellen) auf das berechtigte Interesse nach Abwägung ausgeschlossen. Die Schwierigkeiten beginnen aber nun in der tatsächlichen Anwendung des Art. 6 Abs. 1 UAbs. 2 DS-GVO.

Der Rückgriff für Behörden im Bereich der IT- und Cybersicherheit

Richtet man nun den Blick auf Datenverarbeitungen im Bereich der IT- beziehungsweise Cybersicherheit so trifft man über kurz oder lang auch auf ErwG 49 DS-GVO, welcher das berechtigte Interesse im Rahmen von Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO konkretisieren soll. Dieser nennt nun ausdrücklich Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT, beziehungsweise Computer Security Incident Response Teams – CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten als verantwortliche Stellen, welche sich auf die die Gewährleistung der Netz- und Informationssicherheit als berechtigtes Interesse berufen können. Besteht hier nun ein Widerspruch?

Bezüglich der Erwägungsgründe ist zu wissen, dass diese keine Verbindlichkeit beanspruchen, sodass weder Rechte noch Pflichten aus ihnen abzuleiten sind.  Sie sind grundsätzlich geeignete, wichtige Orientierungshilfen zur Auslegung, haben einen starken Charakter und sind Teil einer Verordnung, jedoch im Falle eines Widerspruchs zwischen Erwägungsgrund und Artikel, ist dem Artikeltext unmittelbar Vorrang einzuräumen.

Für die Konstellation des Art. 6 Abs. 1 UAbs. 2 DS-GVO und ErwG 49 DS-GVO bedeutet dies, dass die für die vom ErwG 49 DS-GVO explizit genannten und im öffentlichen Bereich angesiedelt Stellen, der Gesetzgeber für die notwendigen Datenverarbeitungen personenbezogener Daten auch die erforderlichen gesetzlichen Ermächtigungen schaffen muss.

IT-Sicherheit, eine originäre Aufgabe?

Die sich anschließende Frage, die in diesem Kontext aufgeworfen werden kann, ist, ob die Herstellung von IT- beziehungsweise Cybersicherheit als solche Verarbeitung überhaupt zu den originären Aufgaben einer öffentlichen Stelle zu zählen ist. Ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO könnte nur insoweit verwehrt sein, als dass die Datenverarbeitung in Erfüllung der öffentlichen Aufgaben vorgenommen wird.

Das Ergreifen entsprechender Sicherheitsmaßnahmen und die damit einhergehenden erforderlichen Verarbeitungen personenbezogener Daten könnten wiederrum als Verarbeitung im Interesse einer ordnungsgemäßen Verwaltung und des reibungslosen Funktionierens einer Behörde verstanden werden.  Dies würde letztendlich bedeuten, dass sich Behörden auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO insoweit stützen können, als sie sich mit dem Betroffenen in keinem spezifisch staatlichen Verhältnis befinden. Die sogenannte Eingriffs- und Leistungsverwaltung liegt im Bereich der IT-Sicherheit bzw. Cybersicherheit gerade nicht vor. Die Behörden befinden sich beim Ergreifen möglicher Sicherheitsmaßahmen zu Herstellung und Aufrechterhaltung der IT-Sicherheit bzw. Cybersicherheit weder in einem spezifischen staatlichen Verhältnis noch dient dies der Erfüllung originärer Aufgaben.

Folgt man dieser Einschätzung, wäre für Behörden im Bereich der IT-Sicherheit bzw. Cybersicherheit ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO nicht durch Art. 6 Abs. 1 UAbs. 2 DS-GVO gesperrt.

Wie sehen Aufsichtsbehörden die Rechtslage?

Zugegeben, die hier vertreten Ansicht wird nicht von allen gleichermaßen geteilt. Im seinem aktuellen Tätigkeitsbericht äußert sich beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) wie folgt:

„Ob die Gewährleistung der IT-Sicherheit zu den originären Aufgaben einer öffentlichen Stelle gehört, ist umstritten […]. Art. 6 Abs. 1 Buchst. e) DS-GVO erlaubt Datenverarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die den Verantwortlichen übertragen wurde. Erwägungsgrund 49 DS-GVO bezeichnet die Verarbeitung von personenbezogenen Daten, die für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, auch durch Behörden, als berechtigtes Interesse der Verantwortlichen. Die Aufgabe zur Gewährleistung von IT-Sicherheit wurde öffentlichen Stellen des Landes Baden-Württemberg durch mehrere Normen übertragen.“ Der LfDI lässt die Frage letztendlich offen und stützt sich bei seinen weiteren Ausführungen auf die jeweiligen Einzelnormen.

Die Sächsische Datenschutz- und Transparenzbeauftragte äußert sich in Ihrem aktuellen Tätigkeitsbericht zu einem entfernt vergleichbaren Thema – dem Einsatz von KI-Systemen wie folgt: „Die Datenschutz-Grundverordnung (DSGVO) setzt hierbei für öffentliche Stellen auch teilweise andere Voraussetzungen voraus als im nichtöffentlichen Bereich, insbesondere ist eine Verarbeitung auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 Buchstabe f DSGVO) nicht möglich.“

Fazit

Es wird sichtbar, dass die Anwendung des Art. 6 Abs. 1 UAbs. 2 DS-GVO nicht zu klar ist, wie sie beim ersten Lesen zunächst schient. Ein vermittelnder Ansatz könnte sich aus der Gesamtschau der Tatbestände des Art. 6 Abs. 1 DS-GVO ergeben: Ein Rückgriff auf Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO ist nicht generell über Art. 6 UAbs. 2 DS-GVO ausgeschlossen wird, jedoch nur dann möglich ist, wenn die Datenverarbeitung weder zur Erfüllung einer rechtlichen Verpflichtung (lit. c)) erforderlich ist noch der hoheitlichen Aufgabenerfüllung dient (lit. e)) oder im Zusammenhang mit einer Vertragserfüllung (lit.b)) steht.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im ersten Teil des Jahresrückblick 2024 haben wir bereits einen Blick auf die hervorzuhebenden Themen in den Monaten Januar bis Juni werfen können. Im Rahmen unseres heutigen Blog-Beitrages widmen wir uns nun den Monaten Juli bis Dezember.

Juli

Für eine kleine Überraschung sorgte im Juli der Tätigkeitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Hinsichtlich der privaten Nutzung von dienstlichen E-Mail-Postfächern und Internetzugängen wurde bislang zu großen Teilen vertreten, dass es sich hierbei seitens des Arbeitgebers um ein Anbieten von ganz oder teilweise geschäftsmäßig angebotenen Telekommunikationsdiensten handelt und somit das Fernmeldegeheimnis einschlägig ist. Die LDI NRW verkündete im Rahmen des Tätigkeitsberichtes eine Abkehr von der bisherigen Rechtsauffassung: „Nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) gehen deutsche Aufsichtsbehörden (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, LDI NRW sowie weitere Landesdatenschutzbehörden) davon aus, dass sich eine rechtliche Bewertung geändert hat […].“ Mit den Hintergründen haben wir uns im Rahmen eines Blog-Beitrages auseinandergesetzt.

Darüber hinaus sorgte der Crowdstrike-Vorfall – der vermeintlich größte IT-Ausfall aller Zeiten –  für Aufsehen. Ursache für den Ausfall war ein fehlerhaftes Update des Herstellers Crowdstrike im Produkt Crowdstrike Falcon, einer weit verbreitete Enterprise Detection und Response (EDR) Schutzsoftware für Endgeräte. Betroffen waren Organisationen in zahlreichen Branchen, darunter auch Betreiber Kritischer Infrastrukturen, das heißt Flughäfen, Krankenhäuser, Behörden und eine Vielzahl weiterer Organisationen. Medial viral gingen Bilder von sogenannten Bluescreens. Als Folge des Vorfalls wurden zwischenzeitlich viele Fragen rund um eine mögliche Haftung von Crowdstrike diskutiert. Eine Auseinandersetzung mit dieser Thematik erfolgte in unserem Blog-Beitrag „Der Crowdstrike-Vorfall und die Frage nach Verantwortung“.

Weniger überraschend hingegen fiel der zweite Bericht der Europäischen Kommission zur Evaluierung der Datenschutz-Grundverordnung (DS-GVO) aus: „Zwischen den Interessenträgern, den Datenschutzbehörden und den Mitgliedstaaten besteht weitgehend Einigkeit darüber, dass die DS-GVO trotz einiger Herausforderungen wichtige Ergebnisse für Einzelpersonen und Unternehmen gebracht hat. […] In den kommenden Jahren sollte der Schwerpunkt insbesondere darauf liegen, die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen.“ Wir dürfen gespannt sein, ob in den kommenden Jahren eine solche Vereinheitlichung gelingen wird.

August

Im August 2024 ist die weltweit erste umfassende Verordnung über Künstliche Intelligenz (KI) in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser. Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar. Welche Regelungen bereits ab Anfang 2025 gelten und wie sich die deutschen und europäischen Datenschutz-Aufsichtsbehörden bislang zum Thema KI positionieren, haben wir hier zusammengefasst.

Im Rahmen einer Pressemitteilung machte die Sächsische Datenschutz- und Transparenzbeauftragte auf das datenschutzkonforme Schwärzen von Dokumenten aufmerksam. Was zunächst trivial klingen mag, kann in der Praxis ernsthafte rechtliche Konsequenzen nach sich ziehen: „Wie die Aufsichtspraxis der Sächsischen Datenschutz- und Transparenzbeauftragten zeigt, unterlaufen Verantwortlichen beim Schwärzen gelegentlich Fehler. Dadurch können die Persönlichkeitsrechte der Betroffenen verletzt werden. Zudem ist der Verantwortliche in der Pflicht – sofern schützenswerte personenbezogene Daten offenbart werden – die Datenpanne gemäß Artikel 33 Datenschutz-Grundverordnung der zuständigen Aufsichtsbehörde zu melden.“ In unserem zugehörigen Blog-Beitrag geben wir einen entsprechenden Überblick.

September

Ende September stärkte der Europäische Gerichtshof (EuGH) mit einem Urteil die Rolle der Datenschutz-Aufsichtsbehörden bei der Durchsetzung der Datenschutz-Grundverordnung und gewährt insbesondere mehr Ermessensspielraum für das Tätigwerden dieser. Somit besteht seitens betroffener Personen grundsätzlich kein Anspruch auf das Tätigwerden oder gar auf das Ergreifen konkreter Maßnahmen. Ausgangspunkt des Verfahrens war eine Klage gegen den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI).

Oktober

Im Laufe des Oktobers legte der EuGH mit einer Reihe weiterer datenschutzrelevanter Entscheidungen nach. Wenig überraschend stärkt dieser mit seinen Entscheidungen die Position betroffener Personen und schafft für die rechtskonforme Verarbeitung personenbezogener Daten weitere konkrete Rahmenbedingungen: Im Rahmen der Rechtssache C-446/21 betonte der EuGH einerseits die Pflicht zur zeitlichen Beschränkung von Datenverarbeitungen  und andererseits die enge Zweckbindung bei der Verarbeitung besonderer Kategorien personenbezogener Daten – jeweils im Kontext personalisierter Werbung.

In einem weiteren Verfahren (Rs. C-621/22) setzte sich der EuGH mit dem sogenannten berechtigten Interesse auseinander. Konkret ging es im vorliegenden Fall um die Weitergabe personenbezogener Daten von Mitgliedern eines Sportverbandes zu Werbezwecken an Sponsoren. Mit Verweis auf vorangegangene Urteile betonte der EuGH erneut, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen. Weiterhin müsse die Datenverarbeitung das mildeste Mittel zur Zweckerreichung darstellen und objektiv erforderlich sein. Kurze Zeit darauf veröffentliche auch der Europäische Datenschutzausschuss (EDSA) im Rahmen eines öffentlichen Konsultationsverfahrens entsprechende Leitlinien zur Anwendung des berechtigten Interesses.

Abschließend ist in dieser Reihe noch das Urteil des EuGH zur Rechtssache C-21/23 „Lindenapotheke“ anzuführen. Einerseits stellte der EuGH klar, dass die Regelungen der DS-GVO keine nationalen Rechtsvorschriften ausschließe, welche es Wettbewerbern ermögliche, gegen Datenschutzverletzungen von Dritten vorzugehen, selbst wenn sie selbst weder Betroffener, Verantwortlicher oder Auftragsverarbeiter sind. Andererseits entschied der EuGH, dass bei einem Kauf nicht verschreibungspflichtiger Arzneimittel über einen Online-Shop auch die Kundendaten in Form von Namen, Lieferadresse und Produktinformationen als Gesundheitsdaten gelten können. Insofern ist für die Praxis stets ein sehr weites Verständnis für besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Nr. 1 DS-GVO anzunehmen.

Aber auch das Oberlandesgericht (OLG) Dresden konnte im Oktober ein äußerst praxisrelevantes Urteil (Az. 4 U 940/24) präsentieren. Das OLG entschied unter anderem, dass dem datenschutzrechtlich Verantwortlichen gegenüber dem Auftragsverarbeiter mit Beendigung des Verarbeitungsvertrages eine Kontrollpflicht über die Löschung der beim Verarbeiter angefallenen personenbezogenen Daten obliegt und, dass sich der Verantwortliche nicht auf einen Exzess des Auftragsverarbeiters (vgl. Art. 28 Abs. 10 DS-GVO) berufen kann, wenn er dieser Kontrollpflicht nicht nachgekommen ist. Die Einzelheiten des Urteils und eine rechtliche Einordnung haben wir im Rahmen unseres Blog-Beitrages vorgenommen.

Ebenfalls im Oktober tauchte der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten und für mehr Rechtssicherheit für Arbeitgeber und Beschäftigte in der digitalen Arbeitswelt – Beschäftigtendatengesetz (BeschDG) auf. Mit Blick auf die Auflösung des Bundestages und die bevorstehenden Neuwahlen im Februar 2025 ist jedoch in naher Zukunft nicht mit einer Verabschiedung des Gesetzes zu rechnen. Auch unter Berücksichtigung inhaltlicher Aspekte ist bereits abzusehen, dass der vorliegende Gesetzesentwurf in dieser Form nicht verabschiedet werden wird.

November

Jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland. Der Bericht 2024 erschien Mitte November und bietet einen Überblick über die aktuellen Bedrohungen im Cyberraum sowie die aktuellen Trends der Cyberkriminalität bezogen auf Deutschland. Das Ergebnis in der Kürze dürfte wohl niemanden überraschen: „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend.“ Unser Blog-Beitrag stellt einige ausgewählte Themen aus dem aktuellen Bericht dar.

Der Bundesgerichtshof (BGH) hat ebenfalls Mitte November (Az. VI ZR 10/24) über Ansprüche von betroffenen Personen im Zusammenhang mit sogenanntem „scraping“ (deutsch: „abschürfen“) entschieden. Nachdem im Rahmen von unterinstanzlichen Urteilen die Schadensersatzansprüche in der Regel verneint wurden, hat der BGH im Wege eines Leitentscheidungsverfahrens hiervon abweichend geurteilt. Die höchstrichterliche Entscheidung hat nun Einfluss auf unzählig ähnlich gelagerte Klagen, die derzeit an Landes- und Oberlandesgerichten in Deutschland anhängig sind. Auch wenn im konkreten Fall lediglich ein Schadensersatz in Höhe von 100 Euro als angemessen angesehen wurde, sollten die Auswirkungen dieser Entscheidung für die Praxis nicht unterschätzt werden, wie unserem Blog-Beitrag zu entnehmen ist.

Dezember

Nachdem der Cyber Resilience Act (CRA) bereits im Oktober 2024 verabschiedet wurde, ist dieser am 11. Dezember 2024 in Kraft getreten. Bei dem CRA handelt es sich um die erste europäische Verordnung, welche ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte vorschreibt, welche auf dem europäischen Markt erhältlich sind. Hierdurch soll die Cybersicherheit innerhalb der Europäischen Union nachhaltig gestärkt werden. Die wesentlichen Inhalte des CRA gelten jedoch erst im Laufe der Jahre 2026 und 2027 – die Zeit bis dahin sollte jedoch zur Umsetzung der gesetzlichen Anforderungen genutzt werden.

In der weihnachtlichen Vorfreude fast unbeachtet blieb zunächst das Urteil des EuGH zu Art. 88 DS-GVO (Rs. C-65/23). Dem Urteil zu entnehmen ist, dass die nationalen Vorschriften im Rahmen des Art. 88 DS-GVO zusätzlich zu den dort geregelten Anforderungen ebenfalls die allgemeinen Anforderungen der DS-GVO, insbesondere aus Art. 5, 6 und 9 DS-GVO berücksichtigen müssen. Weiterhin stellte der EuGH klar, dass Kollektivvereinbarungen, welche die Verarbeitungen personenbezogener Daten regeln, einer vollen gerichtlichen Kontrolle, insbesondere im Hinblick auf die Erforderlichkeit, unterfallen können.

Damit beenden wir unseren kleinen Jahresrückblick für das Jahr 2024 und sind auf die kommenden Entwicklungen im neuen Jahr gespannt. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als treue Leser:innen unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

In diesem Sinne wünschen wir Ihnen nun einen guten und gesunden Start in das Jahr 2025!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Braucht es über das Schwärzen von digitalen Dokumenten einen eigenen Blog-Beitrag? Die Erfahrung zeigt: Ja! Und auch die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) berichtet in einem Ende August veröffentlichten Beitrag aus ihrer Aufsichtspraxis, dass Unternehmen und Behörden bei einem Schwärzen von Dokumenten gelegentlich Fehler unterlaufen. Dabei kann ein fehlerhaftes Schwärzen nicht nur eine negative Außenwirkung erzeugen, sondern auch eine meldepflichtige Datenschutzverletzung gemäß Art. 33 Abs. 1 DS-GVO darstellen. Aus diesem Grund werden einige wichtige Aspekte hierbei im nachfolgenden Beitrag zusammengefasst.

Wann sollten Dokumente geschwärzt werden?

Ein Schwärzen einzelner Bestandteile von Dokumenten ist insbesondere dann sinnvoll, wenn zwar grundsätzlich ein Dokument an einen Empfänger übermittelt werden, dieser jedoch nicht alle darin enthaltenen personenbezogenen Daten oder sonstig schutzwürdige Informationen einsehen können soll. Auch durch die Regelungen der DS-GVO selbst kann ein Schwärzen von Dokumentbestandteilen erforderlich werden. So sieht beispielsweise Art. 15 Abs. 4 DS-GVO vor, dass das Recht auf Erhalt einer Kopie der eigenen durch den Verantwortlichen verarbeiteten personenbezogenen Daten nicht die Rechte und Freiheiten anderer Personen beeinträchtigen darf. Die Kopie darf also grundsätzlich nicht die personenbezogenen Daten Dritter umfassen. Dies lässt sich regelmäßig nur durch eine korrekte Schwärzung einzelner Dokumentenbestandteile erreichen.

Bei einem Schwärzen einzelner Passagen sollte jedoch zwingend auch darauf geachtet werden, dass sich ein Personenbezug beispielsweise nicht nur durch Namen, Identifikationsnummern oder andere eindeutige Attribute ergeben kann, sondern ein solcher auch über den Kontext herstellbar ist. Das bedeutet, dass es regelmäßig eben nicht ausreicht, nur einzelne Namen dritter Personen zu schwärzen. Es ist eine objektive Würdigung des gesamten Dokuments erforderlich.

Optische Schwärzung ist nicht ausreichend

Die Praxiserfahrungen zeigen, dass das Nutzen einfacher grafischer Elemente, wie zum Beispiel ein schwarzer Balken über einem Text, nicht nur inhaltlich, sondern auch technisch unzureichend sind. Nicht selten können derartige grafische Elemente durch den Empfänger mit wenigen Klicks entfernt werden. Auch die Textmarker-Funktion wird zum Schwärzen einzelner Passagen gern „missbraucht“. Hierbei ist zwar das Entfernen der Schwärzung nicht unbedingt möglich, wird der geschwärzte Text durch den Empfänger jedoch markiert, kopiert und beispielsweise in einem anderen Text-Dokument eingefügt, so erscheint dort der originale Text ohne Schwärzung. All diesen Vorgehensweisen ist gemein, dass die Sicherheit der Verarbeitung (Art. 32 DS-GVO) hier nur unzureichend Rechnung getragen wird.

Somit sollte zwingend darauf geachtet werden, dass bei der Nutzung von Text-Editoren und PDF-Programmen vom Hersteller konkret bereitgestellte Funktionen zum Schwärzen verwendet werden. Auch wenn diese Funktionen regelmäßig kostenpflichtig sind, gewährleisten – insbesondere unter Berücksichtigung der Fehleranfälligkeit alternativer Methoden – nur diese eine hinreichende Schwärzung von digitalen Dokumenten. Korrekt eingesetzt, ist hierdurch in aller Regel sogar eine Maschinenlesbarkeit der geschwärzten Passagen ausgeschlossen, das wiederrum für die Nutzung geschwärzter Dokumente im Rahmen von KI-Anwendungen oftmals essenziell sein dürfte.

Metadaten nicht vergessen!

Aber nicht nur die Inhaltsdaten eines Dokumentes können Informationen mit Personenbezug aufweisen. Auch der Dokumentenname und weitere Metadaten, das heißt Informationen zum Autor, zum Datum der Erstellung, bei digitalen Foto- und Videoaufnahmen oftmals auch Informationen zu den GPS-Koordinaten, können personenbezogene Daten darstellen. Auch hierbei liefern die Anbieter diverser Anwendungen in der Regel standardmäßig Werkzeuge mit, die ein Entfernen solcher Informationen mit nur wenigen Klicks ermöglichen.

Ein gängiger Anbieter für die Erstellung, Bearbeitung und Darstellung von PDF-Dokumenten stellt der Acrobat Reader dar. Für die Umsetzung der Schwärzung digitaler Dokumente und das Entfernen weiterer personenbezogener Daten aus PDF-Dokumenten, stellt der Anbieter auf seiner Internetseite eine umfassende Schritt-für-Schritt-Anleitung bereit.

Fazit

Das Schwärzen digitaler Dokumente hält einige Fallstricke bereit. Anwender und Anwenderinnen sollten stets sicherstellen, dass die geschwärzten Informationen nicht nur optisch, sondern auch tatsächlich geschwärzt worden und durch den Empfänger nicht mehr lesbar zu machen sind. Wird die Schwärzung nur unzureichend umgesetzt, wird hierbei in der Regel eine Datenschutzverletzung vorliegen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.