Bereits im Juni hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) eine Reihe von Orientierungshilfen, Entschließungen und Positionspapieren veröffentlicht. In unserem Beitrag geben wir einen kurzen Überblick über die wesentlichen Inhalte.

Künstliche Intelligenz

Confidential Cloud Computing

Die DSK weist in ihrer Entschließung „Confidential Cloud Computing“ darauf hin, dass der Begriff „Confidential Computing“ uneinheitlich verwendet wird und je nach Anbieter unterschiedliche Technologien umfasst. Werbeaussagen, wonach Daten im Rahmen von „Confidential Cloud Computing“ vollständig vor dem Cloud-Betreiber geschützt seien, werden von der DSK als oftmals verkürzt und nicht der tatsächlichen technischen Komplexität entsprechend bewertet.

Ursprünglich dienten diese Technologien dem Schutz vor anderen Nutzenden derselben Infrastruktur. Sollen Daten jedoch auch vor dem Betreiber selbst geschützt werden, sind deutlich stärkere Annahmen notwendig, da dieser physischen Zugang zur Hardware hat und so die eingesetzte Soft- und Hardware manipulieren kann. Die DSK stellt klar, dass Maßnahmen wie interne Zugriffsbeschränkungen zwar sicherheitsförderlich sind, jedoch nicht im engeren Sinne zum „Confidential Computing“ zählen. Auch das Schlüsselmanagement spielt eine zentrale Rolle: Tatsächliche Geheimhaltung gegenüber dem Cloud-Betreiber ist nur dann gewährleistet, wenn dieser keinen Zugang zu den Entschlüsselungsschlüsseln hat und Manipulationen an Schlüsseln ausgeschlossen sind. Zudem sind die Übergänge zwischen verschiedenen Verschlüsselungszuständen, wie etwa von „data-at-rest“ zu „data-in-use“, besonders kritisch zu betrachten, da hier kurzzeitige Entschlüsselungen erfolgen können.

Insgesamt könne „Confidential Cloud Computing“ das Sicherheitsniveau erhöhen und Schutz gegenüber anderen Nutzenden sowie einzelnen Innentätern bieten. Absolute Vertraulichkeit sei jedoch nicht gegeben, da der Cloud-Betreiber grundsätzlich Zugriffsmöglichkeiten habe. Die der Technologie zugeschriebenen Eigenschaften seien daher kritisch zu bewerten, und etwaige Maßnahmen seien aus Gründen der Nachweis- und Rechenschaftspflicht nachvollziehbar zu dokumentieren.

Sicherheitsgesetze

Aus der Entschließung „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ der DSK geht deutlich hervor, dass Datenschutz ein zentraler Bestandteil des Rechtsstaats ist und untrennbar mit Freiheit und Sicherheit verbunden ist. Grundrechte wie das Recht auf informationelle Selbstbestimmung bilden die Grundlage für die freie Entfaltung der Persönlichkeit und die Teilhabe am demokratischen Gemeinwesen. Ein Leben in Freiheit setzt Sicherheit voraus, zugleich ist Sicherheit nur dann gewährleistet, wenn sich der Staat an verfassungskonforme Gesetze und gegebene Garantien hält.

Die DSK warnt davor, Datenschutz und Sicherheit gegeneinander auszuspielen. Sie erkennt ein Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und dem Grundrecht auf Datenschutz an, hält dieses jedoch durch verhältnismäßige Maßnahmen für lösbar. Datenschutz diene nicht dem Schutz von Straftäterinnen oder Gefährdern, sondern dem Schutz aller Bürgerinnen und Bürger vor ungerechtfertigten Eingriffen in ihre Freiheitsrechte. Er stellt ein rechtsstaatliches Korrektiv dar, insbesondere bei staatlicher Datenverarbeitung.

Die DSK hebt hervor, dass Datenschutz der Weiterentwicklung polizeilicher Datenverarbeitung nicht entgegensteht. Entscheidend sei, zunächst den fachlichen Bedarf zu ermitteln und verhältnismäßige Lösungen zu erarbeiten, anstatt reflexartig mit Grundrechtseinschränkungen auf sicherheitspolitische Herausforderungen zu reagieren. Die DSK spricht sich dafür aus, bestehende Befugnisse der Sicherheitsbehörden hinsichtlich ihrer Anwendung und Wirksamkeit systematisch zu evaluieren, bevor neue gesetzgeberische Maßnahmen ergriffen werden. In diesem Zusammenhang verweist sie auf einschlägige wissenschaftliche Studien. Abschließend erklärt die DSK, dass sie künftige Gesetzesnovellierungen im Sicherheitsbereich eng begleiten und sich dafür einsetzen wird, dass neue Befugnisse den verfassungsrechtlichen Maßstäben genügen.

Terminverwaltung durch Heilberufspraxe

Mit dem Dokument „Datenschutz bei der Terminverwaltung durch Heilberufspraxen – Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement“ reagiert die DSK auf die zunehmende Nutzung internetbasierter Terminvergabesysteme durch Heilberufspraxen, bei denen Dienstleister personenbezogene Patientendaten im Auftrag der Praxis verarbeiten. Die Einbindung solcher Dienstleister kann grundsätzlich im Rahmen einer Auftragsverarbeitung erfolgen und erfordert auch keine Einwilligung der Patientinnen und Patienten. Allerdings sind diese über die Datenverarbeitung zu informieren und auch die weiteren datenschutzrechtlichen Anforderungen sind zwingend einzuhalten.

Für die Datenverarbeitung zur Terminvergabe gilt insbesondere, dass nur solche Patientendaten verarbeitet werden dürfen, die zur Wahrnehmung eines konkreten Termins erforderlich sind. Terminerinnerungen beispielsweise stellen nach Ansicht der DSK ein zusätzliches Serviceangebot dar und bedürfen einer informierten, ausdrücklichen Einwilligung der betroffenen Personen. Ferner sind Eintragungen im Terminkalender nach Ablauf des Termins zeitnah zu löschen, sofern keine dokumentationspflichtigen Inhalte betroffen sind. Zudem müssen Heilberufspraxen geeignete technische und organisatorische Maßnahmen treffen, um die Einhaltung der Sicherheit der Verarbeitung sicherzustellen. Erfolgt eine Datenverarbeitung in einem Drittland, sind die Anforderungen der Art. 44 ff. DS-GVO zu erfüllen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Neben den Transparenzanforderungen nach der KI-Verordnung kann auch die Datenschutz-Grundverordnung spezifische Regelungen zur Transparenz im Zusammenhang mit einem Einsatz Künstlicher Intelligenz bereithalten. Art. 13 Abs. 2 lit. f) DS-GVO normiert die Bereitstellung von aussagekräftigen Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer automatisierten Entscheidungsfindung. Eine solche kann grundsätzlich im Zusammenhang mit einem Einsatz von Künstlicher Intelligenz stattfinden. Doch was bedeutet das konkret? Ein Überblick.

Zum Begriff der automatisierten Entscheidungsfindung

Der Begriff der automatisierten Entscheidungsfindung ist innerhalb der DS-GVO nicht näher definiert. Im Rahmen von Art. 22 Abs. 1 DS-GVO wird lediglich ausgeführt, dass die betroffene Person „das Recht [hat], nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Aus der Regelung kann entnommen werden, dass es sich bei einem Profiling um eine Sonderform einer automatisierten Entscheidungsfindung handelt, wobei Profiling gemäß Art. 4 Nr. 4 DS-GVO als automatisierten Verarbeitung personenbezogener Daten zu verstehen ist, „die darin besteht, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […].“

Hieraus folgend kann eine „allgemeine“ automatisierte Entscheidungsfindung als eine ohne die Beteiligung einer Person vorgenommene Entscheidung verstanden werden, deren Ziel nicht in der Bewertung persönlicher Aspekte, sondern in der Vornahme einer konkreten Auswahl zwischen verschiedenen Möglichkeiten liegt. Entsprechend können die einschlägigen Regelungen im Kontext Künstlicher Intelligenz neue Relevanz entfalten. Das gilt insbesondere dann, wenn mithilfe von KI-Anwendungen Auswahlentscheidungen, beispielsweise im Rahmen des Bewerbungs- oder Personalmanagements, getroffen werden – auch unabhängig von der Bewertung des Risikos nach der KI-Verordnung.

Transparenzanforderungen nach DS-GVO

Liegt eine solche automatisierte Entscheidungsfindung bzw. Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO vor, greifen neben den allgemein bekannten und üblichen Anforderungen des Artikels 13 DS-GVO, zum Beispiel Angaben zum Zweck, zur Rechtsgrundlage und zur Speicherdauer, auch die spezifischen Anforderungen gemäß Art. 13 Abs. 2 lit. f) DS-GVO. In diesen Fällen hat der Verantwortliche ergänzend „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitzustellen.

In der Praxis werden diese Anforderungen oftmals falsch hinsichtlich einer Darlegung konkreter Algorithmen missverstanden und damit einer Offenlegung von Geschäftsgeheimnissen gleichgesetzt. Dieser Ansicht erteilt der Europäische Gerichtshof (EuGH) im Rahmen eines in diesem Jahr ergangenen Urteils (EuGH, Urt. v. 27. Februar 2025, Rs. C-203/22) jedoch eine deutliche Absage.

In dem betreffenden Urteil heißt es zu den bestehenden Transparentanforderungen: „Weder die bloße Übermittlung einer komplexen mathematischen Formel […], noch die detaillierte Beschreibung jedes Schrittseiner automatisierten Entscheidungsfindung genügen diesen Anforderungen, da beides keine ausreichend präzise und verständliche Erläuterung darstellt.“ Konkret: „Die „aussagekräftigen Informationen über die involvierte Logik“ […] müssen also das Verfahren und die Grundsätze, die konkret zur Anwendung kommen, so beschreiben, dass die betroffene Person nachvollziehen kann, welche ihrer personenbezogenen Daten im Rahmen der in Rede stehenden automatisierten Entscheidungsfindung auf welche Art verwendet wurden, ohne dass die Komplexität […] den Verantwortlichen von seiner Erläuterungspflicht entbinden könnte.“ Dazu gehört nach Ansicht des EuGH auch eine Darstellung, „in welchem Maße eine Abweichung bei den berücksichtigten personenbezogenen Daten zu einem anderen Ergebnisgeführt hätte.“

Letztgenannter Punkt ist auch in Bezug auf „die Tragweite und die angestrebten Auswirkungen“ im Sinne des Art. 13 Abs. 2 lit. f) DS-GVO essenziell. Hiernach dürfte es ebenfalls erforderlich sein, der betroffenen Person transparent darzustellen, welche Entscheidungsmöglichkeiten grundsätzlich bestehen und welche Ergebnisse der Verarbeitung personenbezogener Daten zu welchen Entscheidungen führen oder potenziell führen können.

Fazit

Das aktuelle Urteil des EuGH macht deutlich, dass Transparenzpflichten und Geheimhaltungsinteressen einander nicht ausschließen müssen.Die Offenlegung konkreter Algorithmen ist nach Ansicht des Gerichts durch Artikel 13 DS-GVO nicht gefordert, das vollständige Verwehren jeglicher Darstellungen aufgrund von Geschäftsgeheimnissen jedoch ebenso nicht zulässig.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das letzte Wegstück sind wir im vergangenen Dezember gegangen. Höchste Zeit also für die nächste Etappe, sonst wird der Spaziergang gar zu gemächlich – und wir benötigen für die verbliebenen Artikel etwa ein viertel Jahrhundert – wer weiß, ob die DS-GVO dann vielleicht nur noch rechtshistorisch interessiert. An Ihnen hat es nicht gelegen, also muss der Wanderleiter das Tempo erhöhen. Sind gute Vorsätze im Mai noch erlaubt?

Nachtrag

Zur Sache, zur DS-GVO und zu den noch nicht aufgelösten Weihnachtsrätseln:

• Der Unterschied zwischen den Absätzen 1 von Art. 13 und Art.  14 findet sich natürlich im jeweiligen Buchstaben d). Art. 13 Abs. 1 Buchstabe d) bildet bei Art. 14 im Abs. 2 als Buchstabe b). Warum das so ist – warum also die Interessenabwägung in den Fällen der Direkterhebung immer mitgeteilt werden muss und in den Fällen der Dritterhebung nur gelegentlich – weiß wohl niemand. Oder gibt es Vermutungen in der Wandergruppe? Noch rätselhafter wird es in der Gegenrichtung: Art. 14 Abs. 1 Buchstabe d) verlangt die Information, welche Kategorien personenbezogener Daten überhaupt verarbeitet werden. In Artikel 13 fehlt dies. Muss bei der Direkterhebung also gar nicht informiert werden, auf welche Daten sich die Information bezieht? Wohl ein Versehen des Gesetzgebers…?

• Die zweite Rätselfrage zum Unterschied zwischen Art. 13 Abs. 3 und 14 Abs. 4 betrifft ein einziges Wort: In Art. 13 werden die Daten erhoben und in Art. 14 erlangt.

Ansonsten ist der Absatz wortgleich – Respekt für die präzise Übersetzungsarbeit in Brüssel (trotz des üblichen hohen Zeitdrucks). Und selbst das eine abweichende Wort ist keine Unachtsamkeit der Übersetzer: Auch die englische Sprachfassung bietet mit collected und obtained an derselben Stelle Wortvarianten. Inhaltliche Bedeutung hat das nicht; der EU-Gesetzgeber wollte offenbar seine Übersetzer testen. Und die haben bravourös bestanden.

Absatz 1

Zu einigen Pflichtangaben in Absatz 1 – sowohl bei Art. 13, also auch bei Art. 14:

• Buchstabe a) verlangt den Namen und die Kontaktdaten des Verantwortlichen. Ausreichend sind aber schlicht Kontaktdaten, auf denen der Verantwortliche zuverlässig erreichbar ist, z. B. Postanschrift oder E-Mail-Adresse. Es müssen nicht alle Kontaktdaten sein.

• Beim in Buchstaben a) genannten Vertreter handelt es sich – anders, als in der Praxis manchmal missverstanden – nicht um den gesetzlichen Vertreter des Verantwortlichen, z. B. Geschäftsführer einer GmbH, sondern um den Vertreter nach Art. 27 DS-GVO, sofern es ihn gibt. Für die GmbH muss der aktuelle Geschäftsführer also nicht benannt werden. Das spart Aktualisierungen bei Personalwechsel.

• Buchstabe b) verlangt nur Kontaktdaten des Datenschutzbeauftragten – anders als Buchstabe a) also nicht den Namen. Dementsprechend muss eine Datenschutzinformation auch nicht den Namen des jeweiligen Datenschutzbeauftragten nennen – sie darf es natürlich, dann entsteht allerdings wieder Aktualisierungsbedarf bei Personalwechsel.

• Bei Buchstaben e) ist das EuGH-Urteil vom 12.01.2023 (Rs. C-154/21) zu Art. 15 Abs. 1 lit. c) DS-GVO wohl übertragbar: Der Verantwortliche muss konkrete Empfänger nennen, soweit ihm dies möglich ist – darf sich also nicht auf die Nennung von Empfängerkategorien zurückziehen. Nach dem Gesetzeswortlaut scheint das nicht ganz zwingend, aber Luxemburg locuta, causa finita.

• In Buchstaben f) scheint bemerkenswert, dass die Information ausdrücklich nicht nur das Vorhandensein, sondern auch das Fehlen eines Angemessenheitsbeschlusses der Kommission bei Drittstaatsübermittlungen inkludiert. Heißt: Bei beabsichtigten Datenübermittlungen nach Brasilien genügt es nicht, in der Datenschutzinformation die getroffenen (Schutz-)Maßnahmen zu nennen, sondern es muss zusätzlich verlautbart werden, dass derzeit kein Angemessenheitsbeschluss der Kommission für Brasilien existiert.

Absätze 2, 3 und 4

Absatz 2 können wir beim Wandern getrost überspringen. Er könnte insgesamt ersetzt werden durch einen Hinweis auf das Auskunftsrecht – für diejenigen Betroffenen, die wirklich weitergehende Informationen wünschen. Absatz 3 klärt den Zeitpunkt der Informationserteilung. Erwähnenswert ist insoweit eigentlich nur, dass in der Variante des Buchstaben a) nicht immer die Monatsfrist gilt, sondern – je nach Einzelfall – die angemessene Frist auch zuvor schon ablaufen kann. In Absatz 4 – Sie erinnern sich: fast wortgleich mit Art. 13 Abs. 3 – befiehlt der Gesetzgeber für den Fall einer Zweckänderung der Datenverarbeitung eine neue Information.

Absatz 5

Und Absatz 5 ist wieder – wie Art. 13 Abs. 4 – etwas für Mutige: Wer die dortigen Ausnahmefälle beweisen kann, braucht keine oder nur eine teilweise Datenschutzinformation zu erteilen.

Die Ausnahmefälle in Buchstaben b), c) und d) sind nur hier – und nicht bei Artikel 13 – geregelt. Das Rätselraten der Juristen, ob dies etwas zu bedeuten hat – und gegebenenfalls was – ist noch nicht ganz abgeschlossen. Zum Beispiel: In Art. 14 Abs. 5 Buchstabe b) verzichtet der Gesetzgeber gnädig auf Informationen, wenn sich deren „Erteilung […] als unmöglich erweist“. Art. 13 bietet diese Ausnahme nicht – müssen dort also auch unmögliche Informationen erteilt werden? Wahrscheinlich – einmal mehr – ein Fehler in der Gesetzgebung. Das scheint noch relativ eindeutig.

Aber schon gleich danach entbrennt heißer Streit: In Art. 14 findet sich an derselben Stelle auch eine Ausnahme für Informationen, deren Erteilung „einen unverhältnismäßigen Aufwand erfordern würde“. Gilt das auch bei Artikel 13 oder hat der Gesetzgeber dort bewusst geschwiegen? Und Folgefrage für Knobelfreunde: Wird aus unverhältnismäßig irgendwann unmöglich? Falls ja: Wann genau? Disclaimer vorab: Für diese Rätselfragen gibt es leider auch in der nächsten Folge keine Auflösung. – Wenn Sie eine Meinung haben möchten: Unverhältnismäßig ist bei Artikel 13 genauso wenig geschuldet, wie bei Artikel 14. Das Problem besteht im Nachweis der Unverhältnismäßigkeit – also in der Einigung, was unverhältnismäßig ist.

Damit kehren wir Artikel 14 den Rücken. Ihnen allen schöne Spaziergänge im Mai und bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die letzten Tage und Wochen sind – mal wieder möchte man meinen – von einigen Highlights in der datenschutzrechtlichen Rechtsprechung geprägt wurden. Bereits in unserem Jahresrückblick haben wir das Urteil des Europäischen Gerichtshof (EuGH) vom 19. Dezember 2024 (Rs. C-65/23) zu Art. 88 DS-GVO und Betriebsvereinbarungen erwähnt. In den letzten Tagen sorgte zudem ein Urteil des Gericht der Europäischen Union (EuG) vom 8. Januar 2025 (Rs. T-354/22) für Aufsehen, in dem die Europäische Kommission aufgrund einer rechtswidrigen Datenübermittlung in die USA (konkret an Amazon Web Services – AWS) zu einem Schadenersatz in Höhe von 400€ verurteilt wird.

In unserem heutigen Beitrag wollen wir uns jedoch dem Urteil des EuGH vom 9. Januar 2025 (Rs. C-394/23) näher zuwenden, zumindest ausschnittsweise. Im Kern adressiert das Urteil die Frage nach der Zulässigkeit der Rechtmäßigkeit der Verarbeitung hinsichtlich Anrede und Geschlechtsidentität. Wir wollen uns jedoch lediglich den Ausführungen des EuGH zum Thema des berechtigten Interesses widmen. Doch lest selbst.

Das berechtigte Interesse

… nach Abwägung müsste der Tatbestand in Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO richtigerweise genannt werden. In der Praxis hat sich jedoch weit überwiegend die Bezeichnung „berechtigtes Interesse“ durchgesetzt, wenn nicht sogar beiläufig die Bezeichnung „Auffangtatbestand“ genutzt wird. Mit den Voraussetzungen des Tatbestandes inklusiv Verweisen auf die Rechtsprechung des EuGH haben wir uns hier in der Vergangenheit bereits auseinandergesetzt. Hierbei betont der EuGH stets, dass grundsätzlich ein breites Spektrum von Interessen als berechtigt gelte, wobei derartige Interessen weder gesetzlich verankert noch bestimmt, jedoch in jedem Falle rechtmäßig sein müssen.

Gleichgültig auf welches berechtigte Interesse im Rahmen der Abwägung der Verantwortliche zurückgreift, allein mit der Festlegung ist es nicht getan. Vielmehr bedarf es auch der Information der Betroffenen über das jeweils gegenständliche Interesse. Es bedarf der Information? Genau, steht zwar nicht direkt im Tatbestand, macht aber nichts. Wie so häufig schadet es nicht, einen Blick ins Gesetz zu riskieren. In Art. 13 DS-GVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person) wird in Abs. 1 lit. d) Folgendes normiert:

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […], wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […].“

Spiegelbildlich wird in Art. 14 DS-GVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) in Abs. 2 lit. b) folgendes geregelt:

„Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: […] wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden […]“

So weit, so gut. Doch was bedeutet diese Informationspflicht für den Tatbestand und damit letztendlich auch für Anwendung des berechtigten Interesses in der Praxis?

Zurück zum Urteil

Die Frage nach der Auswirkung bei fehlender oder mangelhafter Informationspflicht in der Praxis beantwortet der EuGH nun in seinem Urteil (Rn. 46): „Was erstens die Voraussetzung der Wahrnehmung eines berechtigten Interesses betrifft, ist darauf hinzuweisen, dass es nach Art. 13 Abs. 1 Buchst. d DSGVO dem Verantwortlichen obliegt, einer betroffenen Person zu dem Zeitpunkt, zu dem personenbezogene Daten bei ihr erhoben werden, die verfolgten berechtigten Interessen mitzuteilen, wenn diese Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO beruht.“

Und weiter in Rn. 52: „Wie der Generalanwalt in Nr. 58 seiner Schlussanträge ausgeführt hat, verlangt diese Bestimmung, dass den betroffenen Personen zum Zeitpunkt der Erhebung der Daten unmittelbar das verfolgte berechtigte Interesse mitgeteilt wird, da andernfalls diese Erhebung nicht auf der Grundlage von Art. 6 Abs. 1 Unterabs. 1 Buchst. f dieser Verordnung gerechtfertigt werden kann.“

Im konkreten Verfahren lässt der EuGH eine weitere Beurteilung der Frage offen, da sich dies nicht aus den vorliegenden Akten ableiten lässt.

Fazit

Für die Praxis lassen sich diese Ausführungen des EuGH dahingehend zusammenfassen, dass die Erfüllung des Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f) DS-GVO den Verantwortlichen bei der Datenverarbeitung auf Grundlage des berechtigten Interesses nach Abwägung noch nicht in Sicherheit wiegen darf. Vielmehr müssen auch die Informationspflichten aus Art. 13 DS-GVO (und sofern anwendbar vermutlich auch Art. 14 DS-GVO) erfüllt sein, damit die gegenständliche Datenverarbeitung als rechtmäßig betrachtet werden kann. Verantwortliche sollten daher insbesondere bei der Erfüllung der Datenschutzinformationen darauf achten, dass nicht nur gebetsmühlenartig auf den Tatbestand verweisen wird, sondern das eine tatsächliche Auseinandersetzung erfolgt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Während die Evaluierungsklausel in Art. 97 DS-GVO weitgehend leerläuft – weil für inhaltliche oder auch nur redaktionelle Änderungen der DS-GVO derzeit die politische Kraft fehlt – wurde das Versprechen in § 54 Abs. 4 DSG-EKD eingehalten: Die Evangelische Kirche Deutschlands hat ihr Datenschutzrecht geprüft und weiterentwickelt. Mit Beschluss der EKD-Synode vom November 2024 und mit Wirkung ab 1. Mai 2025 wurden zahlreiche Regelungen verändert. Einen Überblick über die Änderungen geben wir im nachfolgenden Blog-Beitrag.

Zu den Zielen der Reform

Das dabei verfolgte Ziel – kommuniziert in den Beratungen und erfreulicherweise auch klar erkennbar an der Novelle selbst – war ein Doppeltes: Einerseits sollten kirchliche Bedürfnisse (noch) stärker berücksichtigt werden und andererseits war der in Art. 91 DS-GVO geforderte Einklang mit den Vorgaben der DS-GVO abzusichern. Letzteres wiederum aus zwei Gründen:

• Der Einklang mit der DS-GVO ist (teilweise) Wirksamkeitsvoraussetzung für das kirchliche Recht. Diesbezügliche Unsicherheiten und Zweifel könnten die Rechtsanwendung behindern.

• Eine Anpassung des Kirchenrechts an die DS-GVO überall dort, wo nicht aus guten Gründen – nämlich kirchlichen Bedürfnissen – Abweichungen nötig sind, dient auch der einfacheren Rechtsanwendung. In vielen Konstellationen haben verantwortliche Stellen neben dem DSG-EKD gleichzeitig die DS-GVO zu beachten oder kooperieren mit anderen verantwortlichen Stellen, für die staatliches Recht – also die DS-GVO – gilt.

Um es vorwegzunehmen: Die Fortentwicklung des DSG-EKD ist gelungen. Wer sich selbst überzeugen und auf den Rechtswechsel per 1. Mai 2025 vorbereiten möchte, findet in der Beschlussvorlage der EKD-Synode ab Seite 39 eine hilfreiche Synopse zwischen Ausgangstext und Neufassung mit zugehörigen Erläuterungen. Bei der Beschlussfassung selbst wurde lediglich in § 36 Abs. 5 noch das Wort schriftlich ersetzt durch in Textform. Die meisten Änderungen sind – im besten Sinne des Wortes – redaktioneller Art: Viele Bestimmungen wurden klarer und kürzer gefasst, Widersprüche und Fehler beseitigt.

Ein sehr bitterer Wermutstropfen ist allerdings, dass man gleichzeitig mit der Annäherung an die DS-GVO (eindeutig: mehr Bürokratie, dazu sogleich) die Mindest-Datenschutz-Ressourcen einkürzt (siehe unten zu § 38). Wie im staatlichen Bereich scheint als Bürokratie-Abbau zu gelten: „Wir regeln den Datenschutz aufwändig und setzen ihn anschließend nicht um.“

Aus „welt- und kirchenfremder“ Sicht könnte man – gerade angesichts der jedem Praktiker bekannten Missstände und erheblichen Probleme bei der Anwendung der DS-GVO – bedauern, dass der Kirchengesetzgeber seine autonomen Möglichkeiten nicht mutig genutzt hat, um das Datenschutzrecht auch gegenüber der DS-GVO fortzuentwickeln. Derartige Wünsche verkennen aber wahrscheinlich die Möglichkeiten und Ziele kirchlichen Datenschutzrechts. Verbesserungen des EU-Datenschutzrechts müssen in Brüssel und in den Mitgliedstaaten erarbeitet werden.

Einige Änderungen im Überblick

Zu einzelnen Punkten:

• In § 12 DSG-EKD betreffend die Einwilligung Minderjähriger wird die aus der DS-GVO übernommene Einschränkung auf „elektronische Angebote“ herabgestuft als Anwendungsbeispiel. An dieser Stelle ist das DSG-EKD dann doch der DS-GVO voraus.

• Betroffenenrechte müssen gemäß § 16 Abs. 3 DSG-EKD nunmehr „unverzüglich, in jedem Fall innerhalb von drei Monaten nach Eingang des Antrags“ bedient werden. Dies entspricht in Summe der Frist der DS-GVO (einmonatige Bearbeitung zuzüglich zweimonatiger Verlängerung).

• In § 17 Abs. 1 DSG-EKD beugt sich der kirchliche Gesetzgeber bei der Informationspflicht gegenüber Betroffenen nun doch der Vorgabe der DS-GVO. Bisher war im Bereich der EKD die Information Betroffener nur auf Verlangen geschuldet. Wegen der – aus Sicht des Verfassers: unbegründeten Zweifel, ob dies im Einklang mit der DS-GVO stehe, wurde die Vorschrift geändert. Damit ergibt sich auch für kirchliche Stellen erheblicher Informationsaufwand ins Blaue hinein – mit zweifelhaftem Datenschutz-Effekt.

• Für Fälle automatisierter Entscheidungsfindung ist in § 17 Abs. 2 Nr. 5 DSG-EKD jetzt der Wortlaut aus Art. 13 Abs. 2 lit. f) DS-GVO übernommen und zwar – obwohl der kirchliche Gesetzgeber offenbar vom Text der DS-GVO sprachlich wenig begeistert war – in Gänze, „um an der Auslegung der DS-GVO partizipieren zu können“ (Erläuterung in der Synopse der Beschlussvorlage). Dem entspricht dann eine Ergänzung beim Auskunftsrecht, § 19 Abs. 1 Nr. 8 der Neufassung).

• In § 19 Abs. 4 DSG-EKD wurde jetzt ergänzend zum Recht auf Auskunft auch der Anspruch auf eine „Kopie der personenbezogenen Daten“ eingefügt. Dies dient wieder dem „Einklang“ mit der DS-GVO.

• Gestrichen ist – wieder mit dem Ziel der bestmöglichen Absicherung des „Einklangs“ mit der DS-GVO – die Möglichkeit der Auskunftsverweigerung bei unverhältnismäßigem Aufwand, § 19 Abs. 4 DSG-EKD a. F.

• Nach § 19 Abs. 7 DSG-EKD bleibt die Auskunftsverweigerung wegen unverhältnismäßigen Aufwands jetzt nur noch bei Verarbeitung nach § 50 DSG-EKD, also zu Archiv-, Forschungs- und statistischen Zwecken möglich. Auch diese Anpassung „Richtung DSGVO“ wird in der Praxis Mehraufwand bedeuten.

• An verschiedenen Stellen wurde das „kirchliche Interesse“ oder „wichtige kirchliche Interesse“ als Kriterium für die Datenverarbeitung oder die Einschränkung von Betroffenenrechten gestrichen, z. B. in § 22 Abs. 2 und § 24 Abs. 2 DSG-EKD.

• Ebenfalls mehrfach im Gesetz, z. B. in § 30 Abs. 3 sowie § 36 Abs. 5 DSG-EKD, ist die Schriftform durch das Erfordernis der Textform ersetzt und damit geklärt, dass auch elektronische Texte den gesetzlichen Anforderungen genügen.

• Für die Praxis wichtig und erleichternd wird in § 30 Abs. 5 DSG-EKD gestattet, dass nicht-kirchliche Auftragsverarbeiter auch ohne Unterwerfung unter die kirchliche Datenschutzaufsicht genutzt werden können.

• § 30a DSG-EKD gestattet „zentrale Verfahren“, bei denen – wiederum die kirchliche Verwaltung deutlich erleichternd – „die Verteilung der datenschutzrechtlichen Aufgaben, Befugnisse und Verantwortlichkeiten zwischen den beteiligten verantwortlichen Stellen“ kirchenrechtlich abweichend vom DSG-EKD festgelegt werden darf.

• Der – unnötige und nur historisch tradierte – Begriff der „Betriebsbeauftragten“ neben den „örtlich Beauftragten“ wurde in § 36 DSG-EKD gestrichen und ist damit endgültig Geschichte.

• In derselben Norm folgt der Kirchengesetzgeber dem Schwellwert in § 38 BDSG: Auch in kirchlichen Stellen sind künftig örtlich Beauftragte für den Datenschutz notwendig, wenn „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ betraut – nicht: beschäftigt – sind. Beim Schwellenwert und dem Abstellen auf automatisierte Verarbeitungen folgt der Kirchengesetzgeber also dem BDSG-Vorbild für nicht-öffentliche Stellen – allerdings auch für Kirchenbehörden. Ausweislich der Begründung geht er bewusst andere Wege, indem neben Beschäftigten auch ehrenamtlich Tätige berücksichtigt (mitgezählt) werden („betraut“ anstelle „beschäftigt“).

• Der Maximalbetrag für Bußgelder der Aufsichtsbehörde wurde in § 42 Abs. 5 DSG-EKD von 500.000 Euro auf 6 Millionen Euro erhöht.

• Als § 50b DSG-EKD finden sich neue Regelungen zur Kommunikation mit den Mitgliedern, auch zur Datenverwendung innerhalb der Gemeinde (bei Amtshandlungen und Jubiläen) sowie für „das Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke“.

Fazit

Parallel zur gesetzlichen Neuregelung ergibt sich auch eine wichtige organisatorische Veränderung: Seit Jahresbeginn liegt die Datenschutzaufsicht für alle Gliedkirchen und diakonischen Werke vollständig beim Datenschutzbeauftragten der EKD. Der Internetauftritt mit zahlreichen Informationen und Arbeitshilfen zum Datenschutz der EKD findet sich unter datenschutz.ekd.de. Detaillierte und fundierte Informationen über den gesamten Gesetzgebungsprozess finden sich – wie immer bei Themen des kirchlichen Datenschutzrechts – im Datenschutz-Blog artikel91.eu.

Auf die Anwender des DSG-EKD in den verantwortlichen Stellen kommt einige Arbeit zu – bezeichnender Weise ganz überwiegend dort, wo sich das Kirchenrecht auf die DS-GVO zubewegt. Der Arbeitsschwerpunkt 2025 für örtlich Beauftragte könnte deshalb z. B. lauten: Hilfestellung geben beim Aufbau der (künftig obligatorischen) Informationstexte. Und der Appell an die verantwortlichen Stellen: Bitte nicht mit dem neuen Schwellenwert das Datenschutz-Personal abbauen. Das DS-GVO-nahe DSG-EKD verursacht mehr Arbeit als zuvor – nicht weniger. Frohes Schaffen!

Update 20. Januar 2025: Am 15. Januar 2025 wurde das gesamte EKD-Datenschutzgesetz in konsolidierter Fassung im Amtsblatt der EKD abgedruckt und ist hier abrufbar. Darüber hinaus ist die dargestellte Synopse samt Begründung vollständig – auch betreffend die letzte Änderung im Gesetzgebungsverfahren zu § 36 Abs. 5 DSG-EKD – hier veröffentlicht. Wir danken unserer Leserschaft für die eingebrachten Hinweise!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das erste Betroffenenrecht in Kapitel III der DS-GVO ist aus der Perspektive der Verantwortlichen benannt, nämlich als Informationspflicht.

Während es im alten Datenschutzrecht vor der DS-GVO – sieben Jahre vergangen, also völlig vergessen – nur ein Auskunftsrecht gab, verlangt die DS-GVO, die Betroffenen ungefragt – oder aufgedrängt? – über Datenverarbeitungen zu informieren. Die Regeln dazu wandern wir in den Artikeln 13 und 14 ab. Dazu folgende Knobelaufgabe für lange Weihnachtsabende: Finden Sie den Unterschied zwischen Art. 13 Abs. 1 und Art. 14 Abs. 1 DS-GVO? Zusatzaufgabe: Wer findet die Abweichung zwischen Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO?

Zu viel des guten?

An beiden Artikel ist vor allem erstaunlich, dass sie maßgeblich durch einen „grünen“ Politiker kreiert wurden – sie verdienen die Goldene Himbeere für die ressourcen-vergeudendste Datenschutznorm. Etliche Bäume, die wir bei unserem Spaziergang nicht (mehr) sehen konnten, wurden dem Papier für Datenschutz-Informationen geopfert und etliche Windräder, die sich da am Horizont drehen, liefern Energie für elektronische Datenschutz-Informationen im Internet. Gelesen wird weder die Print-, noch die Online-Form.

Liest man sie ausnahmsweise doch, erweisen sie sich meist als falsch oder inhaltsarm – dritte Variante: Kombination aus beidem. Das liegt gar nicht immer an der Nachlässigkeit der Verantwortlichen – natürlich: manchmal auch daran. Bei den Datenschutz-Aufsichtsbehörden betreibt man sicher besonderen Aufwand für die Datenschutz-Informationen. Trotzdem sind die Ergebnisse dürftig und lohnen die Mühe wohl nicht. Beispiel gefällig?

Die Datenschutz-Information der Bundesbeauftragten für Datenschutz und Informationsfreiheit findet sich hier. Für den nicht uninteressanten Punkt der Speicherdauer wird in Ziff. 5 verwiesen auf die Richtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien. Und hat man diese Richtlinie im Internet recherchiert, findet man dort zum Beispiel in Anlage 5 Aufbewahrungsfristen unter II. Gesichtspunkte für die Fristbemessung, Ziffer 2 Buchstabe b): „Werden Rechtsvorschriften vorbereitet und fortgeschrieben, reichen im Regelfall 20 Jahre aus. Bei Verwaltungsvorschriften kann die Frist noch verkürzt werden. Besteht nur ein Verwaltungsvollzug, genügen oft 10 Jahre.“ Und III. 2.: „[…] Dem zuständigen Bearbeiter sind die auszusondernden Akten vorzulegen, der dann die Frist schriftlich festsetzt.“ Damit alles klar?

Es wäre sicher überlegenswert, die ungefragte Information Betroffener auf solche Fälle zu begrenzen, in denen entweder die Datenverarbeitung selbst oder der zuständige Ansprechpartner (Verantwortliche) sonst nicht erkennbar sind. Für alle anderen Fälle genügt – mit Blick auf das Kosten-Nutzen-Verhältnis – wohl der Auskunftsanspruch: Interessierte Betroffene können nachfragen.

Die Norm in der Praxis

Aber zurück vom wie es sein könnte zum was derzeit ist: Soweit die Daten direkt bei den Betroffenen erhoben werden, muss der Verantwortliche nach Art. 13 Abs. 1 diverse Informationen über die Datenverarbeitung geben. Absatz 2 verlangt dann – hauptsächlich – eine Darstellung der Betroffenenrechte. Nach Absatz 3 gilt: Bei Änderung des Verarbeitungszwecks zurück auf Start, also erneute Information, sobald sich Angaben ändern – entgegen des Wortlautes von Absatz 3 nicht nur „gemäß Absatz 2“, sondern auch hinsichtlich Abatz 1. Und Absatz 4 streicht alle Pflichten aus den Absätzen 1 bis 3, „[…] soweit die betroffene Person bereits über die Informationen verfügt“. Letzteres muss der Verantwortliche im Zweifelsfall nachweisen können. Absatz 4 ist also etwas für mutige Verantwortliche.

Jahreszeitliches Praxisbeispiel – geeignet als Beipackzettel bei der Bescherung, sofern der Weihnachtsmann den Wunschzettel direkt vom Geschenke-Empfänger bekommt – sonst Artikel 14:

„Als Weihnachtsmann möchte ich im Folgenden über die Verarbeitung Ihrer personenbezogenen Daten und Ihre Betroffenenrechte informieren:

Verantwortlich für die Datenverarbeitung: Santa Claus Weihnachtsmann, Schneestraße 1 in 08289 Schneeberg. Mein Datenschutzbeauftragter ist erreichbar unter derselben Post-Anschrift, Zusatz: zu Händen des Datenschutzbeauftragten sowie außerdem per E-Mail: dsb@weihnachtsmann.de. Ihre personenbezogenen Daten werden zur Auswahl, Beschaffung und Zustellung der Weihnachtsgeschenke verarbeitet auf Grundlage von Art. 6 Abs. 1 lit. a) (Einwilligung) und lit. b) (Vorbereitung und Durchführung des Schenkungsvertrags). Eine Weitergabe der Daten an Dritte oder Drittländer oder internationale Organisationen erfolgt nicht. Die Daten werden nur bis zum Schenkungsvorgang gespeichert und anschließend gelöscht. Ausnahmsweise können längerfristige Speicherungen bis zu einem Jahr mit Ihrer Einwilligung erfolgen, insbesondere wenn Sie gute Vorsätze äußern oder Versprechen abgeben, die beim nächsten Weihnachtsfest berücksichtigt werden sollen.

Zu Ihren Gunsten besteht ein Recht auf Auskunft meinerseits über Sie betreffende personenbezogene Daten sowie gegebenenfalls auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit. Soweit die Datenverarbeitung auf Ihrer Einwilligung beruht, sind Sie berechtigt, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Sie besitzen ein Beschwerderecht bei einer Aufsichtsbehörde und können sich mit Fragen und Anliegen zum Datenschutz auch jederzeit an meinen Datenschutzbeauftragten unter oben genannter Adresse wenden.

Die Bereitstellung Ihrer Daten ist nicht gesetzlich oder vertraglich vorgeschrieben, jedoch für Abschluss und Durchführung des Schenkungsvertrages notwendig. Ohne Ihre personenbezogenen Daten kann die Bescherung nicht erfolgen. Derzeit setze ich (noch) keine Verfahren zur automatisierten Entscheidungsfindung einschließlich Profiling ein.“

Sollte Ihr Weihnachtsmann jedoch zur Familie gehören, braucht es die Datenschutz-Information natürlich nicht, Art. 2 Abs. 2 lit. c) DS-GVO. Ihnen Allen frohe und friedliche Weihnachten sowie die besten Wünsche für das neue Jahr 2025!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Wie versprochen und angedroht, marschieren wir nun deutlich bergauf – etwas anstrengender, aber bestenfalls auch lohnend – soll heißen: Artikel 12 ist nicht nur schwieriger, sondern auch wichtiger als Artikel 11.

Gibt es nicht vielleicht eine Abkürzung?

Mit acht Absätzen begleitet uns der Artikel eine ziemlich lange Wegstrecke – und wie wir gleich sehen werden, hat der Gesetzgeber selbst zwar gleich im ersten Satz vorgeschrieben, dass man immer den kürzesten und besten Weg nehmen soll, kurvt aber selbst ziemlich holprig den einen und den anderen Umweg. Aber der Reihe nach: Der ganze Artikel ist eine Gebrauchsanweisung für Kapitel III der DS-GVO. Er enthält allgemeine Vorschriften – vor die Klammer gezogen, wie Juristen gerne sagen – darüber, wie sich der Verantwortliche zu verhalten hat, wenn Betroffene Rechte nach Artikel 13 bis 22 und 34 geltend machen. Die einzelnen Rechte können Sie jetzt noch nicht kennen – da kommen wir erst später vorbei. Freuen Sie sich drauf.

In Kürze wäre Artikel 12 ungefähr:

1. Der Verantwortliche erleichtert den Betroffenen die Wahrnehmung ihrer Rechte. Insbesondere führt er die Kommunikation mit ihnen klar, präzise und leicht zugänglich.
2. Tätigkeiten des Verantwortlichen nach den Artikeln 13 bis 22 und 34 erfolgen für die Betroffenen unentgeltlich und unverzüglich, spätestens jedoch innerhalb eines Monats. Bei offensichtlich unbegründeten Anträgen Betroffener darf der Verantwortliche ein angemessenes Entgelt verlangen oder nach Absatz IV verfahren.
3. Kann die Frist nach Absatz 2 nicht eingehalten werden, informiert der Verantwortliche unverzüglich über die Gründe und die voraussichtliche Bearbeitungsdauer. Diese darf insgesamt drei Monate nicht überschreiten.
4. Sind dem Verantwortlichen geforderte Maßnahmen nach den Artikeln 13 bis 22 und 34 unmöglich, informiert er die Betroffenen unverzüglich, auch über die jeweiligen Gründe sowie über das Recht, Beschwerde bei einer Aufsichtsbehörde zu führen oder einen gerichtlichen Rechtsbehelf einzulegen.

So wäre ungefähr die Abkürzung. Aber wir gehen natürlich den offiziellen Weg:

Absatz 1

Zuerst – gleich in Absatz 1 Satz 1 – wird geregelt, wie die Verantwortlichen mit den Betroffenen zu kommunizieren haben: Präzise, transparent, verständlich, in leicht zugänglicher Form und klarer, einfacher Sprache. Witzig: Sogar in diesem Satz selbst verstößt der Gesetzgeber gleich gegen seine eigene Regel. Er sagt nicht zum Beispiel nicht kommunizieren, sondern „geeignete Maßnahmen treffen, um Informationen und Mitteilungen, die sich auf die Verarbeitung beziehen, zu übermitteln“. Gleich im nächsten Satz wird es noch witziger – oder ärgerlicher (?): „Die Übermittlung […] erfolgt schriftlich oder in anderer Form […]“. Ja – äh – wie denn sonst? Frage an Sie alle: Findet irgendjemand einen Sinn in diesem Satz?

Absatz 2

Ähnlich geht’s weiter bei Absatz 2 in Satz 2: Er regelt dasselbe wie Artikel 11 Absatz 2 – leider etwas anders. Wenn Verantwortliche Betroffene nicht identifizieren können, müssen nach Art. 11 Abs. 2 die Rechte aus Artikel 15 bis 20 nicht bedient werden. Gemäß Artikel 12 Abs. 2 Satz 2 entfallen auch noch die Artikel 21 und 22. Wie denn nun?

Absatz 3

Schnell vorbei und zu Absatz 3. Achtung hier: Man liest oft, die Verantwortlichen müssten Betroffenenrechte innerhalb eines Monats erfüllen. Das ist falsch. Wer sich so lange Zeit lässt, kann Bußgeld und Schadenersatz riskieren: Erfüllt werden muss unverzüglich – und das heißt: So schnell es geht. Man kann sich also nicht einen Monat Zeit lassen, sondern muss sich 1. beeilen und 2. in einem Monat fertig werden. Wenn das überhaupt nicht geht, darf verlängert werden; aber nicht einfach so „um weitere zwei Monate“ – das hat der Gesetzgeber ganz unpräzise, intransparent und unverständlich nur so hingeschrieben – sondern nur um die Zeit, die es wirklich braucht.

Absätze 4 und 5

Absatz 4 ist selbsterklärend und bei Absatz 5 wird uns demnächst vom EuGH erklärt, wann Betroffene sich exzessiv verhalten – zwei Verfahren sind dazu bei ihm anhängig. In der Rechtssache C-416/23 hat der Generalanwalt sich bereits geäußert – der EuGH folgt in seinen Entscheidungen häufig den Auffassungen der Generalanwaltschaft: Allein die Häufigkeit von Anfragen führt noch nicht zum Exzess. Dazu kommen muss eine missbräuchliche Absicht, also ein datenschutzfremdes Ziel. In diese Richtung gehen auch Entscheidungen der Oberlandesgerichte Brandenburg (Urt. v. 14.04.2023, Az.: 11 U 233/22) und Nürnberg (Urt. v. 14.03.2021, Az.: 8 U 2907/21).

Absatz 6

Absatz 6 ist wieder ein Verstoß gegen das Gebot der Klarheit und Kürze: Steht alles schon in Artikel 11 und außerdem kann der Verantwortliche bei „begründeten Zweifeln an der Identität“ nicht nachfragen, sondern er muss.

Absätze 7 und 8

Die Absätze 7 und 8 gehören zusammen… gestrichen. Bildsymbole darf man sowieso verwenden und bitte nicht „[…] Rechtsakte zur Bestimmung […] der Verfahren für die Bereitstellung standardisierter Bildsymbole […] erlassen“! Sonst prüfen die Datenschutzbeauftragten demnächst, ob das Kamerasymbol die richtige Farbe hat.

Fazit zum Spazierweg bei Artikel 12: Sehr schöne Ziele. Aber der Weg ist unnötig anstrengend.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Betroffene Personen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache über die Verarbeitung personenbezogener Daten zu informieren. Doch wie präzise ist präzise genug? In einer kürzlichen Veröffentlichung umriss die Berliner Beauftragte für Datenschutz und Informationsfreiheit typische Fehler in Datenschutzinformationen. Darunter auch der Hinweis, dass – obwohl interne Empfänger konkret bekannt sind – in einer Datenschutzinformation ausschließlich Kategorien interner Empfänger benannt werden. Diese Forderung zur Nennung konkreter interner Empfänger ist nicht unumstritten und zum Stand Mitte August wurde die Mitteilung der Berliner Aufsichtsbehörde nun von der Internetseite genommen. Wir fragen uns: Wie präzise muss eine Datenschutzinformation sein?

Gesetzliche Anforderungen

Neben den einleitend aufgeführten formalen Anforderungen gemäß Art. 12 Abs. 1 Satz 1 DS-GVO an eine Datenschutzinformation, muss diese ebenfalls den inhaltlichen Anforderungen der Artikel 13 und 14 DS-GVO genügen. In der Regel sind die Datenschutzinformationen den betroffenen Personen zum Zeitpunkt der Erhebung der personenbezogenen Daten bereitzustellen. Zudem sollten die Informationen in der Sprache der Zielgruppe bereitgehalten werden. Sofern beispielsweise eine Internetseite in mehreren Sprachen angeboten wird, sind in den gleichen Sprachen auch die Datenschutzinformationen zur Verfügung zu stellen.

Zweck einer Datenschutzinformation

Erwägungsgrund 60 zur DS-GVO führt aus, dass „die Grundsätze einer fairen und transparenten Verarbeitung […] es erforderlich [machen], dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird.“ Und: „Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.“

In eigenen Worten ausgedrückt bedeutet es, dass einerseits jede von einer Datenverarbeitung betroffene Person darüber in Kenntnis gesetzt werden muss, dass eine Datenverarbeitung stattfindet und andererseits sämtliche Informationen erhalten muss, die es ihr ermöglichen, den Zweck und Umfang der Datenverarbeitung zu verstehen. Dies wird insbesondere dem Ziel nach Art. 1 Abs. 2 DS-GVO gerecht, das Recht auf den Schutz personenbezogener Daten zu gewährleisten. Dies ist nur möglich, sofern die betroffene Person Interventionsmöglichkeiten in Form von Betroffenenrechten besitzt und als Voraussetzung hierfür zuallererst über das „ob“ und „wie“ einer Datenverarbeitung informiert wird.

„Präzise“ und „verständlich“

Unter Berücksichtigung der einschlägigen Kommentarliteratur kann sodann von einer präzisen Information die Rede sein, wenn diese hinreichend genau die wesentlichen Aspekte der Datenverarbeitung beschreibt. Vorausgesetzt wird demnach eine wahrheitsgetreue Abbildung der Verarbeitungsvorgänge. Eine abschließende Beschreibung einschließlich unwesentlicher Details wird jedoch zumindest dann nicht zu fordern sein, sofern hierunter die Verständlichkeit der Datenschutzinformation in ihrer Gesamtheit leidet. Schließlich kann die Verständlichkeit auch als konkrete Anforderung hinsichtlich einer klaren und einfachen Sprache zu verstehen sein.

Die Artikel 29-Gruppe beschreibt in den Leitlinien für Transparenz gemäß der DS-GVO aus April 2018, „dass die Verantwortlichen die Informationen / Mitteilungen auf eine einfache Formel gebracht und griffig formuliert vorlegen sollten, um einer Informationsermüdung vorzubeugen.“ Hieraus wird ersichtlich, dass bei der Erstellung von Datenschutzinformationen auch die Gesamtheit der Informationsfülle zu berücksichtigen ist. Ein solcher Ansatz entspricht auch der Rechtsprechung des Landgericht Frankfurt am Main (Urt. v. 10.6.2016 – 2-03 O 364/15), wonach datenschutzrelevante Darstellungen mit einem Umfang von 56 Seiten im Fließtext  nicht dazu geeignet sind, eine rechtswirksame Einwilligung einzuholen. Stattdessen sollten in einem solchen Fall Datenschutzinformationen in einer mehrschichtigen Form oder mit Unterteilung in sinnvolle Absätze bereitgestellt werden.

Leider lassen sich aus der Rechtsprechung und der Literatur keine griffigen Leitplanken für die Erstellung einer präzisen Datenschutzinformationen entnehmen. Mit einem Blick auf die Praxis der datenschutzrechtlichen Aufsichtsbehörden dürfte durchgehend von der Anforderung einer möglichst umfassenden Erläuterung der Datenschutzinformationen auszugehen sein. Als Ziel steht die möglichst umfassende Aufklärung der betroffenen Person im Vordergrund. Fraglich ist jedoch, ob dies auch tatsächlich im Sinne der betroffenen Personen ist. Entsprechend einer repräsentativen Umfrage aus dem Jahr 2019, lesen sich 73 Prozent deutscher Internetnutzer die bereitgestellten Datenschutzinformationen von Internetdiensten nicht durch, da sie es für „zwecklos“ halten.

Benennung von Empfängern

Mit Blick auf die eingangs dargestellte Auffassung der Berliner Aufsichtsbehörde, wonach auch interne Empfänger in einer Datenschutzinformation zu benennen sind, können im Sinne einer präzisen und verständlichen Datenschutzinformation sicherlich Pro- und Kontra-Argumente gefunden werden. Ausschlaggebend dürfte hierbei jedoch vielmehr die Definition des Empfängers gemäß Art. 4 Nr. 9 Satz 1 DS-GVO sein. Demnach handelt es sich bei einem Empfänger, um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“

Nach der wohl herrschenden Literaturauffassung kann es sich bei Empfängern ausschließlich um Stellen außerhalb des Verantwortlichen bzw. um Stellen mit einem gewissen Grad an Eigenständigkeit handeln. Diese Auffassung scheint insbesondere mit Blick auf die Regelung des Art. 19 DS-GVO zutreffend. Hierbei besteht für den Verantwortlichen die Pflicht, allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede seitens betroffener Personen geforderte Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen, die diese personenbezogenen Daten betreffen. Sinnfrei wäre eine gesetzliche Verpflichtung zur Mitteilung des Verantwortlichen an die eigenen Beschäftigten, obwohl dem Verantwortlichen selbst die Gewährleistung der Betroffenenrechte obliegt.

Selbst wenn die Regelung des Art. 4 Nr. 9 Satz 1 DS-GVO bzw. Art. 13 Abs. 1 lit. e) DS-GVO dahingehend zu verstehen ist, interne Empfänger im Rahmen einer Datenschutzinformation anzugeben, erscheint eine Angabe der Kategorien von Empfängern (z.B. Beschäftigte der Personalabteilung) gegenüber der Nennung konkreter Personen (z.B. Herr Müller, Frau Meier) bereits aus datenschutzrechtlichen Gesichtspunkten vorzugswürdig.

Fazit

Die Darstellungen zeigen, dass hinsichtlich der konkreten Anforderungen an eine gesetzeskonforme Datenschutzinformation eine gewisse Unschärfe besteht. Datenschutzinformationen müssen einerseits die Datenverarbeitung zutreffend beschreiben, andererseits muss jedoch auch die Gefahr der Informationsermüdung gebührend berücksichtigt werden. Dabei scheinen auch die tatsächlichen Anforderungen der betroffenen Personen und der Aufsichtsbehörden deutlich auseinander zu gehen. Anhand der Veröffentlichung der Berliner Aufsichtsbehörde wird jedoch auch deutlich, dass nicht alle Ausführungen einer Aufsichtsbehörde zwingend den zutreffenden Rechtsstand wiedergeben.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die Nutzung von künstlicher Intelligenz (KI) im privaten und dienstlichen Kontext hat in den letzten Monaten stark zugenommen. Das mag insbesondere an der medialen Aufmerksamkeit im Zusammenhang mit dem Chatbot ChatGPT liegen, jedoch gibt es auch darüber hinaus eine Reihe nützlicher Anwendungen, die sich KI zunutze machen. Auch nationale und lokale Unternehmen haben die Chancen erkannt, so beispielsweise die DeepL SE (Köln) mit ihrer Anwendung DeepL Write oder die SpeechMind GmbH (Dresden) mit ihrer KI-Anwendung zur Meetingdokumentation. Doch manchmal scheinen sich die Nutzung von KI und die Einhaltung datenschutzrechtlicher Anforderungen zu widersprechen, wie beispielsweise das temporäre Verbot von ChatGPT in Italien gezeigt hat. Dies wirft für Verantwortliche die grundsätzliche Frage auf: Ist KI überhaupt datenschutzkonform einsetzbar?

Zulässigkeit & Rechtsgrundlagen

Sobald durch die Nutzung von KI-Anwendungen personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO außerhalb der persönlichen oder familiären Sphäre verarbeitet werden, sind die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) umzusetzen. Bereits hieraus ergibt sich die grundsätzliche Empfehlung – wo sinnvoll umsetzbar – im Zusammenhang mit KI ausschließlich vollständig anonymisierte Daten zu nutzen. Lässt sich ein Personenbezug nicht vermeiden, bedarf es einer belastbaren Rechtsgrundlage nach Art. 6 Abs. 1 DS-GVO. So können Datenverarbeitungen insbesondere auf eine transparente und freiwillige Einwilligung, auf eine vertragliche Beziehung – soweit die Nutzung von KI zur Erbringung der vertraglichen Leistungen zwingend erforderlich ist – und auf das berechtigte Interesse des Verantwortlichen gestützt werden, sofern dieser nachweisen kann, dass die berechtigten Interessen die Grundrechte und -freiheiten des Einzelnen überwiegen.

Besondere Anforderungen können sich zusätzlich im Gesundheitsbereich mit besonders schützenswerten personenbezogenen Daten (Art. 9 DS-GVO) oder im Beschäftigtendatenschutz (§ 26 BDSG [Bundesdatenschutzgesetz]) ergeben. Im Ober-Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer ist oftmals die Freiwilligkeit einer Einwilligung anzuzweifeln. Im Zusammenhang mit der Aufnahme und Verarbeitung des gesprochenen Wortes ist zudem die Norm des § 201 StGB (Strafgesetzbuch) zwingend zu beachten!

Auftragsverarbeitung & Gemeinsame Verantwortlichkeit

In der Regel werden bei der Nutzung von KI-Anwendungen personenbezogene Daten (z.B. IP-Adressen) im Auftrag des Verantwortlichen durch den Anbieter der jeweiligen Anwendung verarbeitet. In diesem Fall ist zwischen Auftraggeber (Verantwortlicher) und Auftragnehmer (Anbieter) ein Vertrag zur Auftragsverarbeitung entsprechend des Art. 28 DS-GVO abzuschließen. Dabei hat der Verantwortliche gemäß Art. 28 Abs. 1 DS-GVO sicherzustellen, dass „dieser nur mit Auftragsverarbeitern [zusammenarbeitet], die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Der Vertrag zur Auftragsverarbeitung muss zwingend die Inhalte aus Art. 28 Abs. 3 DS-GVO abbilden.

Eine Besonderheit gilt darüber hinaus, wenn der Anbieter einer KI-Anwendung die personenbezogenen Daten des Verantwortlichen nicht ausschließlich weisungsgebunden, sondern ebenfalls zu eigenen Zwecken, beispielsweise zur Verbesserung der KI-Anwendung nutzt. In einem solchen Fall liegt in der Regel eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DS-GVO vor. Auch diesbezüglich ist ein spezieller datenschutzrechtlicher Vertrag zu schließen, wobei die wesentlichen Inhalte für die von der Verarbeitung betroffenen Person zur Verfügung gestellt werden müssen (Art. 26 Abs. 2 Satz 2 DS-GVO).

Grundsätze der Datenverarbeitung

Weiterhin sind im Rahmen der Nutzung der KI-Anwendung die Grundsätze der Verarbeitung gemäß Art. 5 Abs. 1 DS-GVO einzuhalten. Hierzu zählen beispielsweise der Grundsatz der Datenminimierung oder der Grundsatz der Speicherbegrenzung. Diese Grundsätze hat der Anbieter der KI-Anwendung im besten Fall bereits unter Berücksichtigung des Art. 25 DS-GVO – „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ – im Rahmen der Entwicklung hinreichend berücksichtigt, sodass durch den Verantwortlichen entsprechende datenschutzfreundliche Konfigurationen vorgenommen werden können. Datenverarbeitungen sind so zu gestalten, dass sie zum Erreichen des jeweiligen Verarbeitungszwecks stets zwingend erforderlich sind.

Besonderer Bedeutung kommt der Transparenz der Datenverarbeitung zu. Michael Will (Bayerisches Landesamt für Datenschutz) formuliert es treffend: „[…] KI darf keine Blackbox sein, wo hinter einer Wand dann alles Mögliche geschehen kann […].“ Anbieter von KI-Anwendungen müssen transparent beschreiben, inwieweit personenbezogene Daten verarbeitet, zur Verbesserung der Anwendung genutzt und gegebenenfalls an Dritte übermittelt werden. Nur wenn der Anbieter entsprechende Informationen transparent zur Verfügung stellt, kann auch der Verantwortliche seinen Verpflichtungen aus Art. 13 DS-GVO zur Bereitstellung einer Datenschutzinformation („Datenschutzerklärung“) umfänglich nachkommen.

Betroffenenrechte

Jeder von einer Datenverarbeitung betroffenen Person stehen die Betroffenenrechte nach Kapitel III der DS-GVO zu. Hierunter zählen beispielsweise das Recht auf Auskunft (Art. 15 DS-GVO) sowie das Recht auf Löschung (Art. 17 DS-GVO). Bei der Auswahl einer KI-Anwendung sollte – wie bei der Anschaffung regulärer Software auch – darauf geachtet werden, dass die Gewährleistung der Betroffenenrechte zu jeder Zeit problemlos möglich ist. Schwierigkeiten können sich ergeben, sofern der Anbieter der KI-Anwendung die personenbezogenen Daten zu eigenen Zwecken nutzt und sich die betroffene Person zur Ausübung ihrer Rechte an mehrere Stellen zu wenden hätte.

Internationale Datenübermittlungen

Besondere datenschutzrechtliche Anforderungen gelten im Fall der Übermittlung personenbezogener Daten in Länder und an Organisationen außerhalb der Europäischen Union (EU) beziehungsweise außerhalb des Europäischen Wirtschaftsraums (EWR), also beispielsweise in die USA oder Australien. So dürfen Übermittlungen nur dann vorgenommen werden, wenn die Anforderungen der Art. 44 ff. DS-GVO eingehalten werden, also beispielsweise ein Angemessenheitsbeschluss für das jeweilige Empfängerland vorliegt oder Standardvertragsklauseln abgeschlossen und eine Transferfolgenabschätzung durchgeführt wurde. Auch wenn seit dem 10. Juli 2023 Datenübermittlungen in die USA auf das EU-U.S. Data Privacy Framework gestützt werden können, ist bereits jetzt abzusehen, dass dieses voraussichtlich nur für einen begrenzten Zeitraum eine belastbare Übermittlungsgrundlage darstellen wird. Insofern gilt auch zukünftig, dass derartige Datenübermittlung auf ein Minimum reduziert oder durch technische Maßnahmen (z.B. durch eine hinreichende Ende-zu-Ende-Verschlüsselung) geschützt werden. Es sollte zudem geprüft werden, inwiefern der Einsatz der jeweiligen KI-Anwendung im Einklang mit der eigenen Cloud-Strategie steht.

Datenschutz-Folgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, hat der Verantwortliche gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Insbesondere im Gesundheitsbereich und bei der Verarbeitung von Beschäftigtendaten wird bei der Nutzung von KI-Anwendungen von einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen auszugehen sein. Die Regelung des Art. 35 Abs. 7 DS-GVO gibt dabei die zu berücksichtigenden Inhalte wieder. Auch hier können den Anbieter einer KI-Anwendung Unterstützungspflichten treffen, sodass der Verantwortliche in die Lage versetzt wird, eine rechtskonforme Datenschutz-Folgenabschätzung durchführen zu können. Einige Anbieter haben diese Anforderung erkannt und unterstützen ihre Kunden bereits mit ausführlichen technischen und rechtlichen Dokumentationen zur Überwindung dieser Hürde.

Weitere regulatorische Ansätze

Ergänzend ist darauf hinzuweisen, dass (in Zukunft) auch andere rechtliche Anforderungen im Zusammenhang mit KI gelten können. So soll in der Europäischen Union 2025 der AI Act in Kraft treten. Das Europäische Parlament hat in diesem Zusammenhang zuletzt im Juni dieses Jahres aktuelle Informationen veröffentlicht. Insofern werden zukünftig auch die Anbieter von KI-Anwendungen stärker in die Pflicht genommen. Das Verbot von KI ist hingegen ausdrücklich kein Ziel der Europäischen Union.

Fazit

Bei der Betrachtung der obigen Ausführungen wird deutlich: Datenschutz verbietet nicht grundsätzlich die Nutzung künstlicher Intelligenz. Es werden jedoch einige Spielregeln aufgestellt, an die es sich zu halten gilt. Mit potenziellen Datenübermittlungen an Empfänger außerhalb der EU sowie des EWR und der Erforderlichkeit zur Durchführung einer Datenschutz-Folgenabschätzung müssen Verantwortliche das große Einmaleins des Datenschutzes beherrschen. Ein weiterer wesentlicher Faktor ist zudem die Transparenz der Datenverarbeitungen. Die Umsetzung der verschiedenen Anforderungen stellt zweifellos eine Herausforderung für Verantwortliche, aber auch für Anbieter von KI-Anwendungen dar. Welche Themen zudem bei der Verarbeitung von Sprachdaten zu berücksichtigen sind, erfahren Sie im Blog der SpeechMind GmbH…

Über den Autor: Max JusMax Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Erst vor kurzem haben wir über den aktuellen Stand in Sachen Microsoft vs. Datenschutz berichtet. Seitdem hat sich wieder einiges getan. Den Stein brachte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) mit neuen Veröffentlichungen ins Rollen. Ein Update zur aktuellen Rechtslage soll der nachstehende Beitrag liefern.

Die DSK äußert sich wiederholt zu Microsoft 365

Auslöser des erneuten Gesprächsstoffs war die Veröffentlichung einer Festlegung der DSK in Sachen Microsoft 365 samt Zusammenfassung des der Festlegung zugrundeliegenden Berichtes der Arbeitsgruppe „Microsoft-Onlinedienste“ am 25. November 2022. In dieser Festlegung hält die DSK zunächst in Ziff. 1 fest, dass sie den vorbezeichneten Bericht und dessen Zusammenfassung zur Kenntnis genommen hat. Darüber hinaus folgt in Ziff. 2 unter datenschutzrechtlichen Gesichtspunkten der direkte Hammer:

„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“ Und weiter: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Dies bedeutet für datenschutzrechtlich Verantwortliche, da insbesondere aus Transparenzgründen der Nachweis eines datenschutzkonformen Einsatzes von Microsoft 365 den Verantwortlichen nach Ansicht der DSK, anhand der seitens Microsoft aktuell zur Verfügung gestellten vertraglichen Dokumenten nicht gelingt, verstoßen diese zumindest gegen ihre Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. Einen Blick in Art. 83 DS-GVO sparen wir uns an dieser Stelle. Der Vollständigkeit halber sei noch erwähnt, dass in Ziff. 3 der Festlegung die DSK festhält, dass eine Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung gestellt wird. Mittlerweile ist am 7. Dezember 2022 eine Veröffentlichung des Abschlussberichtes der Arbeitsgruppe erfolgt, der der Positionierung der DSK zu Grunde liegt. Sicherlich wäre hier mit Blick auf den Prüfungsumfang mehr drin gewesen, aber nüchtern betrachtet ist es nicht Aufgabe der DSK, Produkte auf deren Datenschutzkonformität zu überprüfen. Die Hauptkritikpunkte treten aber deutlich hervor: Transparenz, Transparenz und nochmals Transparenz.

Wie reagiert Microsoft?

Microsoft Deutschland hat auf die oben dargestellten Dokumente der DSK seinerseits umgehend reagiert und eine „Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK“ veröffentlicht. Hierin heißt es zunächst:

„Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“ Dem nicht genug: „Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen.“

Das sollte man erst einmal auf sich wirken lassen. Microsoft lässt hier zunächst durchblicken, dass sie der Meinung sind, die DSK – respektive die zuständige Arbeitsgruppe – habe die Funktionsweise der Microsoft-Onlinedienste nicht angemessen berücksichtigt oder einfacher ausgedrückt, nicht verstanden. Nichts desto trotz geht Microsoft auf die DSK und deren Forderung nach mehr Transparenz ein: „Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen. Während unsere Transparenzstandards schon jetzt die der meisten anderen Anbieter in unserem Sektor übertreffen, verpflichten wir uns, noch besser zu werden. Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.“

Siehe da, nicht nur bekommen noch die Konkurrenten einen Seitenhieb ab, obwohl man Microsoft wohl zugutehalten kann und wohl auch muss, dass für sie im Vergleich zu anderen US-Techgiganten Datenschutz nicht nur für eine Phrase halten. Auch die DSK wird nochmals adressiert: „Microsoft hat vollumfänglich mit der DSK kooperiert, und obwohl wir mit der Bewertung der DSK nicht einverstanden sind, möchten wir verbleibende Bedenken ausräumen.“

Und sonst?

Neben der DSK haben sich auch andere aktive und ehemalige Landesdatenschutzbeauftragte zu Wort gemeldet. So ist in einem Interview mit Dr. Stefan Brink (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – LfDI) zu lesen, dass die Arbeitsgruppe Microsoft im Rahmen von Anhörungen aktiv einbezogen und daher sehr häufig mit Microsoft geredet wurde und sogar die Untersuchungsergebnisse Microsoft auch vorab zur Verfügung gestellt wurden. Und weiter führt Dr. Brink aus: „Die Ergebnisse der Arbeitsgruppe waren dann auch aus meiner Sicht nicht überraschend. Es war absehbar, dass es Probleme insbesondere mit der Transparenz und der Nachvollziehbarkeit der Datenverarbeitungen geben würde.“

Im Ergebnis sieht der LfDI dann ähnlich wie die DSK die nunmehr bestehende Hauptprüfungspflicht – zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO bei den datenschutzrechtlichen Verantwortlichen, also von Behörden, Unternehmen über Vereinen bis hin zum Blumenhändler um die Ecke jeden, der Microsoft 365 im Einsatz hat oder einsetze möchte. Allerdings lässt der LfDI auch Hoffnung am Horizont aufkommen: „[…]wenn es in absehbarer Zeit aus Perspektive des Verantwortlichen gelingt, den Dienstleister Microsoft und sein Angebot weiter zu verbessern. Und da gibt es immer auch positive Entwicklungen zu verzeichnen. Microsoft hat sich wiederholt beschwert, dass aus den DSK-Beschlüssen nicht hinreichend ersichtlich würde, dass sie erhebliche Verbesserungen vorgenommen haben. Und das stimmt auch: Das Angebot von Microsoft ist inzwischen besser als vor zwei Jahren. Aber es reicht gemessen an den Maßstäben der DSK halt noch nicht.“

Ebenfalls hat sich der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse zu Wort gemeldet, wie einem aktuellen Beitrag zu entnehmen ist. Der TLfDI will mit den Verantwortlichen über die Umsetzung des Beschlusses der Datenschutzkonferenz zur Office-Software Microsoft sprechen: „Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann.“

Aber auch Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht a. D) .äußert sich gemeinsam mit Kristin Benedikt und Prof. Dr. Rolf Schwartmann in einem Beitrag. Dabei erfolgt zuweilen eine sehr kritische Auseinandersetzung mit der Thematik: „Nach dem Willen der Aufsicht soll hierzulande die Nutzung von Microsoftprodukten also faktisch eingestellt werden. Nehmen Deutschlands Unternehmen, Schulen, Städte und Gemeinden, Gerichte und Gesetzgebungseinrichtungen die Empfehlung zu diesem „digitalen Lockdown“ ernst, dann steht hier faktisch alles still, denn es gibt keine alternative Software, die in der Fläche einsetzbar wäre.“ Dem ist aus Sicht der Praxis nichts hinzuzufügen. Verantwortliche werden durch die Datenschutzaufsicht derzeit vor schier unlösbare Aufgaben gestellt.

Fazit

Wer bei der rasanten Entwicklung und der fortwährenden Streitigkeit zwischen Microsoft und der DSK den Überblick verloren hat oder ihn gar nicht erst behalten wollten, für diejenigen stellen die Kollegen Steffan Hessel und Christina Kiefer eine Gegenüberstellung der wesentlichen Aussagen der Datenschutzkonferenz und von Microsoft bereit. Festzuhalten bleibt, dass die Rechtslage in Bezug auf den Einsatz von Microsoft 365 alles andere als rechtssicher bezeichnet werden darf. Datenschutzrechtlich Verantwortliche sollten sich bei dem Einsatz intensiv mit den datenschutzrechtlichen Verpflichtungen auseinandersetzen. Verantwortliche, die auf externe Unterstützung zurückgreifen sollten spätestens dann hellhörig werden, wenn mit dem datenschutzkonformen Einsatz von Microsoft 365 geworben wird. Daneben bleibt für die Anwender zu hoffen, dass es entweder seitens Microsoft weitere Anpassungen erfolgen oder dass letztendlich eine gerichtliche Entscheidung für Rechtssicherheit sorgt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.