Seit dem 2. Februar 2025 haben Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO sicherzustellen, dass Personen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Über die konkreten Anforderungen wurde in der Praxis bislang meist gemutmaßt, wobei einige Veröffentlichungen, wie beispielsweise die der Denkfabrik Digitale Arbeitsgesellschaft, bereits eine gute Orientierung boten. Nun hat die Bundesnetzagentur ein entsprechendes Hinweispapier veröffentlicht. Dieser Blog-Beitrag stellt einige wichtige Inhalte vor.

Was ist KI-Kompetenz?

Die Bundesnetzagentur fasst in ihrem Hinweispapier die KI-Kompetenz gemäß Art. 3 Nr. 56 KI-VO als Fähigkeiten, Kenntnisse und das Verständnis zusammen, um KI-Systeme sachkundig, verantwortungsvoll und sicher einzusetzen sowie sich der Chancen und Risiken, unter anderem in ethischer, rechtlicher und gesellschaftlicher Ausprägung, von Künstlicher Intelligenz bewusst zu sein. Im Fokus stehen dabei insbesondere die Minimierung von Risiken und die Förderung von Innovationen. Der Aufbau von KI-Kompetenz läge somit auch im Eigeninteresse der jeweiligen Organisationen.

Vor diesem Hintergrund sollten Organisationen „ein allgemeines Verständnis von KI sicherstellen, die Rolle der eigenen Organisation als Anbieter oder Betreiber beachten, die Risiken des spezifischen KI-Systems im konkreten Kontext berücksichtigen, aktuelle Entwicklung und Neuerungen einbeziehen.“ Hingegen ausdrücklich durch Art. 4 KI-VO nicht gefordert sind die Benennung eines KI-Beauftragten sowie „formalisierte oder standardisierte Trainingsmaßnahmen, (externe) Zertifizierungen der durchgeführten Maßnahmen, […] regelmäßige Vorabüberprüfungen der Maßnahmen zur Sicherstellung der KI-Kompetenz durch Aufsichtsbehörden.“

Die Bundesnetzagentur weist jedoch darauf hin, dass die Durchführung von Maßnahmen zur Sicherstellung von KI-Kompetenz dokumentiert werden sollte. So kann insbesondere im Schadensfall nachgewiesen werden, dass kein Mangel an KI-Kompetenz und demnach auch keine Verletzung der Sorgfaltspflichten vorlag.

Wie baut man KI-Kompetenzen auf?

Die Maßnahmen zum Aufbau von KI-Kompetenz sollten stets an den Kontext und die Bedarfe der jeweiligen Organisation angepasst werden. Einen sogenannten „one-fits-all“-Ansatz lehnt die Bundesnetzagentur hingegen ab. Im Rahmen des Hinweispapiers werden als Orientierung vier Grundsteine beim Aufbau der KI-Kompetent dargestellt:

• Ermittlung des individuellen Bedarfs in Bezug auf Nutzende, KI-Systeme, Nutzungszwecke und potenzielle Risiken.

• Ausgestaltung von Maßnahmen, insbesondere unter Berücksichtigung des Ausbildungs-, Erfahrungs- und Wissensstandes der Nutzenden sowie des Nutzungskontexts des KI-Systems und der Rolle der eigenen Organisation in der KI-Wertschöpfungskette.

• Regelmäßige Auffrischung unter besonderer Berücksichtigung des Begriffs der KI-Kompetenz im jeweils aktuellen zeitlichen Kontext sowie der technologischen Entwicklung.

• Ausreichende Dokumentation der durchgeführten Maßnahmen, mindestens unter Angabe der Art der Maßnahmen, des inhaltlichen und zeitlichen Umfangs sowie der teilnehmenden Personen.

Die Bundesnetzagentur weist ergänzend darauf hin, dass durch die KI-Verordnung keine bestimmten Formate vorgeschrieben werden. Insofern können sowohl Selbstlernprogramme und Schulungen als auch Workshops und mehrstufige Fortbildungsprogramme geeignet sein. Inhaltlich sollten jedoch sowohl technische, rechtliche und ethische Aspekte thematisiert werden. Als mögliche Inhalte werden durch das Hinweispapier drei mögliche inhaltliche Stufen dargestellt: (1) Schaffung eines grundlegenden Verständnisses von Daten und KI in der Organisation (z. B. Überblick über KI-Technologien sowie allgemeine Chancen und Risiken), (2) Aufbau fortgeschrittener KI-Kompetenzen (z. B. technische Aspekte der angewendeten KI sowie spezifische Chancen und Risiken) und (3) rollenspezifische Trainings mit individuellen Schwerpunkten (z. B. Technik, Recht, Ethik).

Wo finde ich Unterstützung?

Abschließend weist die Bundesnetzagentur auch auf zahlreiche Möglichkeiten zur Unterstützung durch europäische und internationale Maßnahmen sowie private Initiativen und Branchenverbände hin. Zu Bennen ist hierbei beispielsweise das Europäische KI-Büro (AI Office) mit einschlägigen FAQ und einem Webinar oder das Online-Angebot des KI-Campus mit zahlreichen unentgeltlichen Online-Angeboten.

Auch das Dresdner Institut für Datenschutz unterstützt Sie bei der Etablierung von KI-Kompetenz in Ihrer Organisation. Unser Schulungsangebot vermittelt praxisrelevante Kompetenzen im Umgang mit Künstlicher Intelligenz unter besonderer Berücksichtigung der rechtlichen und technischen Rahmenbedingungen. Im Fokus stehen dabei Grundzüge und Auswirkungen der europäischen KI-Verordnung auf Organisationen, datenschutzrechtliche Anforderungen nach der Datenschutz-Grundverordnung sowie Aspekte der Informationssicherheit beim Einsatz von KI-Systemen. Abgerundet wird unsere KI-Kompetenz-Schulung durch eine Reihe von Praxisbeispielen und Handlungsempfehlungen. Kommen Sie für ein unverbindliches Angebot gern auf uns zu!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ende November 2024 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK), eine Orientierungshilfe für Anbieter:innen von digitalen Diensten veröffentlicht. Tatsächlich handelt es sich hierbei – mit geringfügig geänderten Namen – lediglich um die Aktualisierung einer bereits im Jahr 2021 veröffentlichten Orientierungshilfe. Was es hiermit auf sich hat und welche wesentlichen Änderungen sich aus der Orientierungshilfe ergeben, erfahren Sie im nachfolgenden Beitrag.

Telemedien werden zu digitalen Diensten

Vor etwas mehr als drei Jahren – am 20. Dezember 2021 – veröffentlichte die Datenschutzkonferenz die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (wir berichteten). Hintergrund hierfür war insbesondere die geänderte Rechtslage durch das Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) sowie durch Änderungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG). Wesentliche Auswirkungen hatte dies zum damaligen Zeitpunkt insbesondere auf den Einsatz von Cookies und vergleichbaren Technologien. Die Orientierungshilfe thematisierte den rechtskonformen Einsatz, den Grundsatz der Einwilligungsbedürftigkeit sowie die diversen Anforderungen an Einwilligungen und die Gestaltung sogenannter Cookie-Banner.

Zwischenzeitlich ergaben sich aufgrund des europäischen Digital Services Act (DSA) im Mai 2024 wiederum Änderungen am TTDSG sowie am TMG – die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz wurde so das Digitale-Dienste-Gesetz (DDG) und aus dem Telekommunikation-Telemedien-Datenschutzgesetz das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Insofern überrascht es nicht, dass auch die Datenschutzkonferenz die Notwendigkeit sah, die bisherige Orientierungshilfe an die neuen Begrifflichkeiten anzupassen. Doch bei einer rein sprachlichen Anpassung blieb es nicht…

Weitere Anpassungen an die aktuelle Rechtslage

Auch weitere Entwicklungen der Rechtslage fanden in die jüngst überarbeitete Orientierungshilfe Eingang: So wird das seit Juli 2023 bestehende EU-U.S. Data Privacy Framework für Übermittlungen personenbezogener Daten in die USA nun zumindest in einer Fußnote berücksichtigt.

Weiterhin wurden die Ausführungen der Orientierungshilfe an die Guidelines 2/2023 des Europäischen Datenschutzausschusses (EDSA) zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie angelehnt. Änderungen ergeben sich hierdurch hauptsächlich im strengeren Verständnis des Begriffs Zugriff auf Endeinrichtungen. So liegt demnach ein Zugriff bereits dann vor, wenn bei der Nutzung eines digitalen Dienstes Informationen übermittelt werden, die Aufschluss über technische Konfigurationen liefern, sogenanntes Browser-Fingerprinting: „Auch ist es als Zugriff von Informationen auf Endeinrichtungen der Endnutzer:innen zu werten, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.“

Einige inhaltliche Ergänzungen

Ergänzungen sieht die überarbeitete Orientierungshilfe hinsichtlich der Gestaltung von Einwilligungsbannern („Cookie-Bannern“) vor. So heißt es beispielsweise nun: „Eine Ablehnfunktion auf erster Ebene ist aus Sicht der Aufsichtsbehörden nicht generell erforderlich, sondern nur dann, wenn Nutzer:innen mit dem Einwilligungsbanner interagieren müssen, um den Besuch der Webseite fortzusetzen.“

Auch zum Nudging führt die Datenschutzkonferenz nun differenzierter aus: „Eine Verhaltenssteuerung durch die Gestaltung, die allgemein als Nudging bezeichnet wird, ist daher nicht generell unzulässig. […] Zur Erfüllung des Merkmals der Freiwilligkeit ist es erforderlich, dass eine Wahlmöglichkeit deutlich erkennbar und auch tatsächlich möglich ist. Allein eine unterschiedliche Farbwahl muss nicht zwangsläufig dazu führen, dass die Freiwilligkeit abzulehnen ist.“ Jedoch: „Die Möglichkeit keine Einwilligung zu erteilen, muss eindeutig als gleichwertige Alternative zur Option „Einwilligung erteilen“ dargestellt werden. Dies ist anzunehmen, wenn sich z. B. neben einem Button „Einwilligung erteilen“ ein insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbarer Button „Weiter ohne Einwilligung“ finden lässt.“

Weiterhin führt die Orientierungshilfe nun ergänzend zu Informationspflichten und einigen Betroffenenrechten aus. In Bezug auf das Auskunftsrecht stellt die Datenschutzkonferenz beispielsweise dar, dass es Betreibern von Internetseiten oftmals nicht möglich ist, den Namen eines Betroffenen weiteren Daten zuzuordnen. In diesen Fällen sei es mit Verweis auf Art. 11 Abs. 2 Satz 2 DS-GVO möglich, weitere Identifikationsmerkmale anzufordern. Diese Vorschrift berechtige jedoch ausdrücklich nicht zu einer routinemäßigen Identitätsprüfung. Hinsichtlich des Rechts auf Löschung weist die Datenschutzkonferenz darauf hin, dass Cookies standardmäßig mit Laufzeiten zu versehen sind, die sich am Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e) DS-GVO zu orientieren haben. Eine automatisierte Löschung von Cookies muss demnach in jedem Fall gegeben sein.

Über die umrissenen Ergänzungen hinaus, blieben die wesentlichen Aussagen der bisherigen Orientierungshilfe jedoch von Änderungen verschont.

Fazit

Betreiber von digitalen Diensten sollten die überarbeiteten Ausführungen der Datenschutzkonferenz unbedingt bei der Ausgestaltung von Einwilligungsbannern und dem Einsatz von Cookies berücksichtigen, hilft diese doch rechtliche Unsicherheiten zu minimieren. Nichtsdestotrotz macht die Orientierungshilfe an einigen Stellen deutlich, dass es stets einer fundierten Einzelfallbetrachtung bedarf. Hierbei kann der Datenschutzbeauftragte eine entscheidende Rolle spielen – wir unterstützen Sie gern!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Bereits im vergangenen Jahr haben wir im Rahmen eines Blog-Beitrags überblicksartig die grundsätzlichen datenschutzrechtlichen Anforderungen im Zusammenhang mit künstlicher Intelligenz (KI) beleuchtet. Seither hat sich einiges getan: Neben dem Inkrafttreten der KI-Verordnung zum 1. August 2024 haben sich mittlerweile auch einige Datenschutz-Aufsichtsbehörden der Thematik angenommen und einschlägige Dokumente sowie Checklisten veröffentlicht. Dieser Beitrag gibt einen Überblick über die zunehmende Anzahl relevanter Regelungen und Empfehlungen.

KI-Verordnung in Kraft

Am 1. August 2024 ist die weltweit erste umfassende Verordnung über KI in Kraft getreten. Ziel dieser ist insbesondere die Gewährleistung eines Einsatzes vertrauenswürdiger und die Grundrechte der Menschen wahrenden KI. Bei der sogenannten KI-Verordnung (KI-VO, engl. AI Act) handelt es sich damit um keine Verordnung datenschutzrechtlichen Ursprungs, sondern um eine Regulation aus Sicht des Produktsicherheitsrechts. Gemäß Art. 2 Abs. 7 KI-VO gelten die Regelungen der KI-VO neben denen der Datenschutz-Grundverordnung, das heißt ergänzend zu dieser.

Die spezifischen Anforderungen der Verordnung werden gemäß Art. 113 KI-VO in Abstufungen anwendbar:

• Anwendbarkeit ab dem 2. Februar 2025: Regelungen zum Gegenstand und Anwendungsbereich sowie zu den Begriffsbestimmungen der KI-VO und zu den verbotenen Praktiken im Bereich der künstlichen Intelligenz. Darüber hinaus werden Anbieter und Betreiber von KI-Systemen gemäß Art. 4 KI-VO zur Gewährleistung von KI-Kompetenz verpflichtet.

• Anwendbarkeit ab dem 2. August 2025: Regelungen bezüglich zuständiger Behörden sowie für KI-Modelle mit allgemeinem Verwendungszweck (z.B. Large Language Models [LLM]). Weiterhin werden ab diesem Zeitpunkt die ersten Sanktionsregelungen wirksam.

• Anwendbarkeit ab dem 2. August 2026: Ab diesem Zeitpunkt werden grundsätzlich alle Anforderungen der KI-VO anwendbar, welche nicht ausdrücklich für einen anderen Zeitpunkt vorgesehen sind. Ab August 2026 greifen beispielswiese die Pflichten für Betreiber von Hochrisiko-KI, unter anderem in Form von Transparenz- und Berichtspflichten.

• Anwendbarkeit ab dem 2. August 2027: Regelung zur Einstufung bestimmter Hochrisiko-KI entsprechend des Art. 6 Abs. 1 KI-VO sowie der hieraus resultierenden Verpflichtungen.

Unter Berücksichtigung der vielfältigen Anforderungen an Anbieter und Betreiber von KI-Systemen, sollten sich diese möglichst frühzeitig mit den entsprechenden Normen und Pflichten auseinandersetzen.

Positionierung datenschutzrechtlicher Aufsichtsbehörden

Um Anbietern und Betreibern von KI-Systemen im datenschutzrechtlichen Kontext Unterstützung bieten zu können, haben zwischenzeitlich eine Reihe datenschutzrechtlicher Aufsichtsbehörden unterschiedlichste Arbeits- und Diskussionspapiere veröffentlicht:

• Bereits im August 2022 stellte die französische Datenschutz-Aufsichtsbehörde CNIL ein „self-assessment guide for artificial intelligence“ bestehend aus unterschiedlichen Fact Sheets zur datenschutzkonformen Einführung und Nutzung von KI-Systemen zur Verfügung. Gegenstand dieser sind insbesondere die Gewährleistung des Datenschutzes in der Phase des Trainings von KI-Systemen, die Gewährleistung der Sicherheit der Verarbeitung sowie die Umsetzung von Betroffenenrechten.

• Am 7. November 2023 wurde ein Diskussionspapier zu Rechtsgrundlagen im Datenschutz bei Einsatz von künstlicher Intelligenz durch den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg veröffentlicht. Bis zum 1. Februar 2024 konnten Interessierte das Diskussionspapier kommentieren und mitdiskutieren.

• Kurz darauf folgte am 13. November 2023 eine Checkliste des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz LLM-basierter Chatbots. Die Checkliste sieht beispielsweise die Etablierung verbindlicher Compliance-Regelungen sowie die Vermeidung der Ein- und Ausgabe personenbezogener Daten vor.

• Zu Beginn dieses Jahres stellte dann das Bayerische Landesamt für Datenschutzaufsicht am 24. Januar 2024 das Dokument „Datenschutzkonforme künstliche Intelligenz: Checkliste mit Prüfkriterien nach DS-GVO“ zur Verfügung. Enthalten ist darin beispielsweise auch eine explizite Empfehlung zur Bewertung von Risiken bei einem Einsatz von KI-Systemen.

• Am 6. Mai 2024 erblickte die viel diskutierte Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) mit dem Titel „Künstliche Intelligenz und Datenschutz“ das Licht der Welt. Die Orientierungshilfe greift einige Punkte der Checkliste der Hamburger Aufsichtsbehörde auf, legt jedoch einen besonderen Schwerpunkt auf die Ein- und Ausgabe von personenbezogenen Daten einschließlich solcher im Sinne des Art. 9 Abs. 1 DS-GVO.

• Am 2. Juli 2024 veröffentlichte die französische Aufsichtsbehörde CNIL aktualisierte datenschutzrechtliche Anleitungen für die Entwicklung von KI-Systemen. Die zur Verfügung gestellten How-to Sheets bilden einen aktuellen Diskussionsstand ab und sind bis einschließlich 1. September 2024 Gegenstand einer öffentlichen Konsultation.

• Eine weitere Veröffentlichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erfolgt am 15. Juli 2024 mit dem Diskussionspapier: Large Language Models und personenbezogene Daten. Insbesondere die These, dass die bloße Speicherung eines Large Language Models keine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO darstelle, wird in Fachkreisen kontrovers diskutiert.

• Weiterhin ist in Kürze mit einer weiteren Veröffentlichung des Bayerischen Landesamt für Datenschutzaufsicht zu rechnen: Auf der Internetseite kündigt die Aufsichtsbehörde eine Handreichung zum Thema KI und Datenschutz-Folgenabschätzung an.

Sichere Nutzung von KI gewährleisten

Darüber hinaus gibt es natürlich eine Reihe weiterer nützlicher Veröffentlichungen, die an dieser Stelle nicht abschließend aufgelistet werden können. Neben den oft diskutierten Anforderungen in Bezug auf die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, der Umsetzung von Transparenzpflichten (Transparenz von KI-Systemen, Bundesamt für Sicherheit in der Informationstechnik) sowie der Gewährleistung von Betroffenenrechten sollte jedoch auch die Sicherheit der Verarbeitung (Art. 32 DS-GVO) vermehrt in den Fokus genommen werden.

In diesem Kontext kann beispielweise auf die Veröffentlichung OWASP Top 10 for LLM Applications vom 16. Oktober 2023 verwiesen werden. Das 35-seitige Dokument beschreibt im Kontext von Large Language Models hochkritische Sicherheitsprobleme und richtet sich dabei insbesondere an Entwickler, Datenwissenschaftler und Sicherheitsexperten.

Sämtlichen Veröffentlichungen ist gemein, dass Datenschutz und KI sich nicht widersprechen müssen, es allerdings eine Vielzahl unterschiedlichster Anforderungen zu berücksichtigen gilt. Dementsprechend sollten Anbieter und Betreiber von KI-Systemen den Datenschutzbeauftragten möglichst früh in Entwicklungs- und Implementierungsprozesse einbinden sowie bis Februar 2025 eine entsprechende KI-Kompetenz sicherstellen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Als sich das Jahr 2021 so langsam dem Ende neigte und der ein oder andere Datenschutzbeauftragte sich mit Sicherheit gedanklich schon in den Weihnachtsferien wähnte, machte die datenschutzrechtlichen Aufsichtsbehörden noch einmal von sich Reden: Am 20. Dezember 2021 veröffentliche die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) eine Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021. Hintergrund ist das Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie die unter anderem damit verbundene Umsetzung des Art. 5 Abs. 3 RL 2002/58/EG durch den § 25 TTDSG, genau genommen letztlich die Reaktion des deutschen Gesetzgebers auf die Entscheidungen des Europäischen Gerichtshof in der Rechtssache Planet 49 sowie des Bundesgerichtshof im sogenannten „Cookie-II-Urteil“. Im nachfolgenden Beitrag werden einige wesentliche Inhalte des Dokumentes dargestellt.  

WORUM GEHT ES?

Die Orientierungshilfe (OH)  beschäftigt sich im Kern mit der Daten- und Informationsverarbeitung durch Technologien wie beispielsweise Cookies bei dem Betrieb von Telemedien durch Anbieter:innen von Telemediendiensten gemäß § 2 Abs. 2 Nr. 1 TTDSG. Hierbei stellen die Aufsichtsbehörden heraus, dass der Adressatenkreis des TTDSG von dem des Diensteanbieters gemäß § 2 Nr. 1 Telemediengesetz (TMG) abweicht und dies die Gefahr neuer Rechtsunsicherheiten mit sich bringen könnte. Fast beiläufig in diesem Zusammenhang wird erwähnt, dass dem Europarecht eine Differenzierung zwischen Telekommunikations- und Telemediendiensten fremd ist.

Bezugnehmend auf den Betrieb von Telemedien (die durch die Orientierungshilfe dargestellten Anforderungen beschränken sich dabei nicht auf den Betrieb von Internetseiten und Apps, wohlgleich diese die häufigsten Anwendungsfäll darstellen) wird – zutreffender Weise – herausgearbeitet, dass trotz der typischen Wahrnehmung als einheitlicher Lebenssachverhalt rechtlich grundlegend zwei verschiedene Teilbereiche zu unterscheiden sind. Zum einen erfolgt die Speicherung von und der Zugriff auf Informationen in der Endeinrichtung – unabhängig davon, ob es sich hierbei um personenbezogene Daten handelt – und zum anderen die Verarbeitung personenbezogener Daten durch Cookies oder ähnliche Technologien. Der erste Teilbereich betrifft im Anwendungsbereich unter anderem die Integrität der Endeinrichtung und unterfällt mithin dem Regelungsbereich der Richtlinie 2002/58/EG in Ergänzung durch die Richtlinie/136/EG (sogenannte ePrivacy-RL), die sich daran möglicherweise anknüpfenden Verarbeitungen personenbezogener Daten unterfallen der Datenschutz-Grundverordnung (DS-GVO) – diesem Teil widmet sich die OH auf den Seiten 27 ff. und soll hier im Folgenden nicht weiter eingegangen werden.

Zum Verhältnis der DS-GVO und der ePrivacy-RL gilt: „Die ePrivacy-RL – und damit auch die nationale Umsetzung im TTDSG – zielt gemäß Art. 1 Abs. 1 und 2 u. a. auf einen gleichwertigen Schutz des Rechts auf Privatsphäre und Vertraulichkeit ab und bezweckt eine „Detaillierung und Ergänzung“ der Bestimmungen der DS-GVO in Bezug auf die Verarbeitung personenbezogener Daten im Bereich der elektronischen Kommunikation.“ Nach der Kollisionsregel in Art. 95 DS-GVO werden den betroffenen Stellen keine über die Anforderungen der ePrivacy-RL zusätzlichen Pflichten auferlegt. Dies gilt insoweit auch für die Umsetzungsnormen der ePrivacy-RL im TTDSG, bspw. § 25 TTDSG. Dieser gilt „[…] vorrangig vor den Bestimmungen der DS-GVO, soweit beim Speichern und Auslesen von Informationen in Endeinrichtungen personenbezogene Daten verarbeitet werden. Für die nachfolgenden Verarbeitungen personenbezogener Daten, die erst durch das Auslesen dieser Daten vom Endgerät ermöglicht und die von keiner Spezialregelung erfasst werden, sind wiederum die allgemeinen Vorgaben der DS-GVO zu beachten.“

WAS REGELT § 25 ABS. 1 TTDSG?

Durch § 25 Abs. 1 Satz 1 TTDSG wird normiert, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Anknüpfungspunkt ist mithin eine Endeinrichtung des Endnutzers – vgl. § 2 Abs. 2 Nr. 6 TTDSG – und nicht ein Telekommunikations- oder Telemediendienst. Ferner begründet der § 25 Abs. 1 TTDSG das Einwilligungserfordernis unabhängig davon, ob die Informationen einen Personenbezug aufweisen. Der Begriff der Endeinrichtung wird durch die Aufsichtsbehörden hierbei weit verstanden und betrifft Laptops, Tablets und Mobiltelefone sowie den IoT-Bereich, z.B. Smarthome-Anwendungen wie Küchengeräte, Heizkörperthermostate oder Alarmsystem, sowie Smart-TVs und vernetzte Fahrzeuge, wenn und soweit diese über die entsprechenden Kommunikationsfunktionen verfügen.

Die Speicherung von oder der Zugriff auf Informationen umfasst weitaus mehr als die im üblichen Sprachgebrauch verwendete Bezeichnung Verwendung von „Cookies“. „Eine Speicherung von Informationen im Sinne der Vorschrift erfolgt im Webseitenkontext darüber hinaus z. B. auch durch Web-Storage-Objekte (Local- und Session-Storage-Objekte).“ Darüber hinaus sehen die Aufsichtsbehörden auch automatische Updatefunktionen von Hard- oder Software erfasst, sofern diese zu einer Speicherung oder zu einem Auslesen von Informationen auf den Endgeräten führen. Weiterhin bei mobilen Endgeräten Zugriff auf Hardware-Gerätekennungen, Werbe-Identifikationsnummern, Telefonnummern, Seriennummern der SIM-Karten (IMSI), Kontakte, Anruflisten, Bluetooth-Beacons oder die SMS-Kommunikation sowie das sogenannte Browser-Fingerprinting.

WELCHE ANFORDERUNGEN WERDEN AN DIE EINWILLIGUNGEN GESTELLT?

Zur Feststellung der Anforderungen an die Einwilligung stellen die Aufsichtsbehörden zu Recht dar, dass § 25 Abs. 1 Satz 2 TTDSG sowohl für die Informationspflichten als auch für die formalen und materiellen Anforderungen an die Einwilligung der Endnutzer:innen auf die DS-GVO verweist. Maßgeblich sind insoweit die Art. 4 Nr. 11, Art. 7 und Art. 8 DS-GVO.

Erforderlich ist insbesondere, dass die Einwilligung in informierter Weise einzuholen ist: „Das Merkmal der „Informiertheit“ setzt mindestens voraus, dass jegliche Speicher- und Ausleseaktivitäten transparent und nachvollziehbar sein müssen. Dies bedeutet im Kontext des § 25 Abs. 1 TTDSG, dass Nutzende
u. a. Kenntnis darüber erhalten müssen, wer auf die jeweilige Endeinrichtung zugreift, in welcher Form und zu welchem Zweck, welche Funktionsdauer die Cookies haben und ob Dritte Zugriff darauf erlangen können. Hierzu ist es auch erforderlich, dass bereits beim Zugriff auf die Endeinrichtung hinreichend darüber informiert wird, ob und ggf. inwieweit der Zugriff weiteren Datenverarbeitungsprozessen dient, die den Anforderungen der DS-GVO unterfallen, wobei die konkreten Zwecke der Folgeverarbeitung präzise zu beschreiben sind.“ Die Aufsichtsbehörden kritisieren in diesem Zusammenhang insbesondere, dass Banner zur Einholung von Einwilligungen oftmals derart gestaltet sind, dass die Zwecke des Zugriffs auf ein Endgerät und die beteiligten Akteure nicht ausreichend erkennbar sind, beispielsweise ist unklar mit welcher Schaltfläche welcher Effekt erreicht werden kann und wie oder mit welchem Aufwand eine Ablehnung von einwilligungsbedürftigen Prozessen möglich ist.

Vorausgesetzt wird zudem eine unmissverständliche und eindeutige Handlung. Es bedarf eines aktiven Handelns der Endnutzer:innen. Dies kann durch Anklicken von Schaltflächen, Auswahl technischer Einstellungen oder andere aktive Verhaltensweisen erfolgen. Nicht geeignet sind Opt-Out-Verfahren wie bereits angekreuzte Kästchen oder sonstige Untätigkeit der Nutzer:innen. Außerdem ist die „reine weitere Nutzung einer Webseite oder App, z. B. durch Handlungen wie das Herunterscrollen, das Surfen durch Webseiteninhalte, das Anklicken von Inhalten oder ähnliche Aktionen […] ebenfalls keine wirksame Einwilligung […]. Diese Handlungen können keinesfalls den Einsatz von einwilligungsbedürftigen Cookies oder ähnlichen Technologien legitimieren – selbst wenn mittels eines Banners über die Prozesse informiert wird“. Weiterhin führen die Aufsichtsbehörden aus: „Wenn in Telemedienangeboten Einwilligungsbanner angezeigt werden, die lediglich eine „Okay“-Schaltfläche enthalten, stellt das Anklicken der Schaltfläche keine unmissverständliche Erklärung dar. Auch die Bezeichnungen „Zustimmen“, „Ich willige ein“ oder „Akzeptieren“ können im Einzelfall nicht ausreichend sein, wenn aus dem begleitenden Informationstext nicht eindeutig hervorgeht, wozu konkret die Einwilligung erteilt werden soll.“ Und weiter: „Eine wirksame Einwilligung liegt zudem regelmäßig nicht vor, wenn Nutzenden nur zwei Handlungsmöglichkeiten zur Auswahl gestellt werden, die nicht gleich schnell zu dem Ziel führen, den Telemediendienst nutzen zu können. Hierbei wird ihnen einerseits eine Schaltfläche zum „Alles Akzeptieren“ angezeigt, andererseits eine Schaltfläche mit Bezeichnungen wie „Einstellungen“, „Weitere Informationen“ oder „Details“. Mit der anderen Schaltfläche können die Nutzenden weder ablehnen noch eine sonstige Willenserklärung abgeben, sondern lediglich weitere Handlungsschritte einleiten […]“ Letztlich kommen die Aufsichtsbehörden zu dem Ergebnis, dass die datenverarbeitenden Stelle nachweisen können muss, dass Endnutzer:innen eine unmissverständliche und eindeutig bestätigende Handlung abgegeben haben und diesen mindestens zwei Auswahloptionen angeboten wurde, deren Kommunikationseffekt gleichwertig ist. Insbesondere bei „Alles Akzeptieren“-Schaltflächen wird nicht ermöglicht, den gegenteiligen Willen mit einem gleichwertigen Aufwand zu äußern.

Insbesondere diese Auffassungen dürften für die Praxis und die damit einhergehende Gestaltung entsprechender Banner noch einigen Diskussionsbedarf liefern.

WELCHE AUSNAHMEN GIBT ES VON DER EINWILLIGUNGSBEDÜRFTIGKEIT?

Vom Grundsatz der Eiwilligungsbedürftigkeit sieht § 25 Abs. 2 TTDSG Ausnahmen vor. Relevanz für die breite Praxis entfaltet hier die Ausnahme für die unbedingt erforderliche Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen, um einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen. Es bedarf mithin des Vorliegens zweier kumulativer Tatbestandmerkmale.

Die Aufsichtsbehörden stufen insbesondere die sogenannten Basisdienste der Telemediendienste (z.B. Basisdienst eines Webshops ist der Verkauf von Produkten) als von Nutzer:innen ausdrücklich gewünschte Telemediendienste ein. Dies gilt wiederrum nicht für sämtliche Zusatzdienste. Im Beispiel des Webshops dürfte beispielsweise die Warenkorbfunktion zum Basisdienst zu zählen sein, nicht zwingend jedoch die integrierte Zahlfunktion (letzte u.U. erst, wenn tatsächlich ein Produkt in den Warenkorb gelegt wurde). Welcher Funktionsumfang gewünscht wird, ist im Einzelfall aus der Perspektive durchschnittlich verständiger Nutzerin:innen zu beurteilen. So müssen Zusatzdienste und -funktionen, die unabhängig vom Basisdienst individuell in Anspruch genommen werden können, wie z. B. ein Kontaktformular, ein Chat oder ein Kartendienst, als nicht durch Nutzer:innen automatisch mit dem ersten Aufruf der Webseite oder App gewünscht eingestuft werden. Verschärfend fordern die Aufsichtsbehörden für die unbedingte Erforderlichkeit eines Dienstes das Vorliegen eines technischen Interesses. Ein wirtschaftliches Interesse dürfte demnach nicht genügen.

FAZIT

Vergleichbar zu früheren durch die Aufsichtsbehörden veröffentlichten Dokumenten lässt sich durchaus die Frage aufwerfen, ob es sich bei dem Dokument um eine Orientierung oder eine Hilfe seitens der Aufsichtsbehörden handelt. Insbesondere einige Aufstellungen zum Einwilligungserfordernis und die an die Einwilligung zu knüpfenden Voraussetzungen dürfte in der Praxis zu einigen Streitfragen führen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

HILFREICH UND LESENSWERT – ABER:

Auf 25 Seiten (!) werden oft allgemeine Datenschutzgrundsätze wiederholt, statt sie auf das Thema anzuwenden. Man muss (bestenfalls) schmunzeln, wenn mittendrin (Seite 13 unten und Seite 14 oben, unter Ziff. 3.5.1) von den Verantwortlichen etwas verlangt wird, das die Datenschutzkonferenz nicht schafft: Informationen, die „für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind“. „Übermäßig komplexe Formulierungen und technische oder juristische Fachbegriffe sollten vermieden werden“. In dieser Hinsicht gut gelungen ist die anfängliche Unterscheidung zwischen möglichen Betriebsmodellen (On-Premise, externer IT-Dienstleister, Online-Dienst). Aber: Zwischen den beiden letztgenannten Fällen besteht datenschutzrechtlich kein nennenswerter Unterschied. Ausreichend wäre die Differenzierung: Auftragsverarbeiter beteiligt – ja oder nein.

Nicht überraschend, trotzdem ärgerlich ist, dass die DSK ganz schwierige aktuelle Themen (nämlich gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO und Drittstaatstransfer, insbesondere in die USA) anspricht, ohne brauchbare Aussagen zu treffen:

Beim Thema gemeinsamer Verantwortlichkeit (in der Orientierungshilfe unter Ziff. 3.3) dürfte für Videokonferenzsysteme richtig sein, dem Dienstleister eine Datenverarbeitung zu eigenen Zwecken schlicht zu untersagen. Die nach der EuGH-Rechtsprechung schwierige Frage der Abgrenzung zwischen separaten Verarbeitungen verschiedener Verantwortlicher und der Verarbeitung in gemeinsamer Verantwortlichkeit stellt sich dann nicht.

Hinsichtlich des Drittstaat-Transfers (insbesondere in die USA): Fast alle Anbieter von Videokonferenzsystemen sind entweder selbst in den USA tätig oder haben dort ansässige Sub-Auftragsverarbeiter eingeschaltet. Die Ausführungen des EuGH im Urteil Schrems II (16.07.2020, Rechtssache C-311/18) laufen darauf hinaus, dass DS-GVO-Verantwortliche für ein angemessenes Datenschutzniveau bei Datenempfängern in den USA den Zugriff dortiger Geheimdienste insbesondere nach FISA 702 ausschließen müssen. Dies ist (natürlich) unmöglich. Weder die Datenschutzkonferenz, noch der Europäische Datenschutzausschuss können dafür Wege aufzeigen. Sie behelfen sich mit (richtigen, aber völlig inhaltsleeren) Formulierungen: Die Verantwortlichen müssten im Einzelfall sorgfältig prüfen, angemessene Maßnahmen ergreifen, Datenschutz-Grundsätze beachten – und so weiter und so fort (in der Orientierungshilfe S. 16-18 unter 3.5.6). Sehr viel konkreter und konsequenter ist die Empfehlung, soweit irgend möglich auf Drittstaats-Transfers zu verzichten, also EU-Dienstleister zu bevorzugen (z.B. LfDI Baden-Württemberg). Aber ist eine „Daten-Insel EU“ lebensnah? Die Orientierungshilfe Videokonferenzsysteme geht insoweit immerhin an die Grenzen offizieller Äußerungen, wenn sie schreibt: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob […] personenbezogene Daten in die USA […] übermittelt werden können“ (Ziff. 2.3, Seite 7 unten). Eine „eingehende Analyse“ der EuGH-Entscheidung war bei Entstehung der Orientierungshilfe, drei Monate nach dem EuGH-Urteil, natürlich längst abgeschlossen. Sie führt eben zu dem unerträglichen, praktisch nicht umsetzbaren Ergebnis, dass mit den Anforderungen des EuGH keine Übermittlung personenbezogener Daten in die USA (und viele Staaten dieser Welt) möglich ist.

ORIENTIERUNGSHILFE IN TEILEN MISSVERSTÄNDLICH

In einer kurzen und übersichtlichen Orientierungshilfe hätten zwei typische Datenschutz-Gefahren bei Videokonferenzsystemen mehr Beachtung verdient:

Teilnehmer an Videokonferenzen sind meist über die Funktionen der Software nicht ausreichend informiert, also höchst unsicher in deren Handhabung. Nutzer werden ganz ohne Vorbereitung oder mit Einweisung unter hohem Zeitdruck „allein gelassen“. Oft genug müssen sie „im Selbstversuch“ herausfinden, wie die Software funktioniert, wie z.B. Video- und Audiofunktionen aktiviert / deaktiviert werden. Eine kurze Unterweisung des Nutzers vor Einsatz der Software ist deshalb (auch) unter Datenschutz-Aspekten obligatorisch.

Der heimliche „Mitschnitt“ von Ton (und Bild) wird von vielen Nutzern nicht als strafbar (§ 201 StGB) erkannt. Die Mitschnittmöglichkeit nehmen viele Nutzer als zusätzlichen Vorteil der Videokonferenzsysteme (im Vergleich mit traditionellen persönlichen Treffen) wahr, von der man (spielerisch oder „vorsorglich“) Gebrauch macht. Darin liegt eines der größten Datenschutz-Risiken beim Einsatz von Videokonferenzsystemen. In der Orientierungshilfe wird es unter Ziff. 3.4.8 (Seite 13) nur sehr versteckt erwähnt.

Zuletzt zwei Punkte, bei denen die Orientierungshilfe in die Irre führt:

(1) Entgegen Ziff. 4.2.4 (dort dritter Spiegelstrich) sind Gastzugänge bei Videokonferenzsystemen nicht nur zulässig, wenn alle Teilnehmer „untereinander bekannt sind“. Vielmehr dürfen Systeme auch mit völlig offenem Teilnehmerkreis betrieben werden. Notwendig ist dafür nur, dass die offene Teilnahme bekannt ist (Beispiel: Online-Besprechung einer Bürgerinitiative).

(2) In Ziff. 4.8 verlangt die Orientierungshilfe, dass Teilnehmende die technische Möglichkeit haben müssten, „Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio- und Videoübertragung vorzusehen sind“. Eine solche „Abschaltmöglichkeit“ ist datenschutzrechtlich nirgends generell vorgeschrieben. Es gibt im Gegenteil sogar Anwendungsfälle (z.B.: Bild- und Tonübertragung bei Hauptversammlungen von Aktiengesellschaften), bei denen die lückenlose Übertragung der versammlungsleitenden Personen rechtlich gefordert wird.

FAZIT

Dank an die DSK für die Stellungnahme zu einem Thema, das in Corona-Zeiten naturgemäß jeden Datenschutzbeauftragten beschäftigt. Bitte an die DSK: Orientierungshilfen noch kürzer, klarer, konkreter.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht.