Weihnachten und Black Friday nahen! Von daher lohnt jetzt erst recht ein Blick in die Kampagne des Datenschutzbeauftragten von Rheinland-Pfalz, der u.a. darauf hinweist, dass Online-Shops gemäß den Artikeln 5 und 6 der DSGVO Gast-Zugänge anbieten müssen. Bei einer Stichprobe von über 100 Unternehmen hatte seine Behörde bei (nur) 13 Webseiten Mängel festgestellt; diese wurden sodann angeschrieben, um die Verantwortlichen für das Prinzip der Datensparsamkeit zu sensibilisieren. Denn Kunden müssen frei entscheiden können, ob sie ihre Daten beim Online-Shop in einem Kundenkonto hinterlegen möchten oder nicht. Die Option, als Gast zu bestellen, muss beim Online-Shopping daher immer als eine gleichwertige Alternative angeboten werden.

Elon Musk kommt wohl ungeschoren davon: X hatte ja vor einigen Wochen über Nacht und ohne Ankündigung damit begonnen, Beiträge von Nutzern zum Training seiner KI namens „Grok“ zu benutzen. Die Zustimmung war einfach plötzlich voreingestellt und konnte zunächst auch nur im Webbrowser verändert werden, aber nicht in der App. „X“ will nun auf die Verarbeitung bestimmter Daten von Anwendern aus der EU verzichten, die irische Datenschutzbehörde hat im Gegenzug ihre Klage wegen unrechtmäßiger Nutzung von Anwenderdaten für das Training einer Künstlichen Intelligenz fallen gelassen. Dabei werden die Daten, die bereits für „Grok“ unrechtmäßig erlangt wurden, nicht gelöscht, und X bietet das Produkt auch weiterhin auf der Grundlage dieser Daten an. Max Schrems‘ NGO „noyb“ (none of your business) hält seine DSGVO-„Dringlichkeitsverfahren“ deswegen aufrecht, wie die Organisation hier ausführlich erläutert.

Seit dem 1. August 2024 ist die KI-Verordnung der EU in Kraft. Schrittweise beginnen nun die einzelnen Kapitel zu gelten – die ersten im Februar 2025, die letzten im August 2027 – mit dem Ziel, menschenzentrierte und vertrauenswürdige Künstliche Intelligenz zu fördern und ein hohes Schutzniveau hinsichtlich Gesundheit, Sicherheit, Demokratie, Rechtsstaatlichkeit und Umweltschutz sicherzustellen, schädliche Auswirkungen von KI-Systemen zu vermeiden und gleichzeitig technische Innovationen zu unterstützen.

In loser Folge geht es hier immer wieder um den Beschäftigtendatenschutz – ein weites Feld, das sich auch stetig weiterentwickelt. Heute wollen wir uns mit den Themen Personalakte, Datenschutz im Bewerberverfahren und Beschäftigtendatenschutz in den Sozialen Medien und entsprechende Einwilligungen beschäftigen.

Ab wie vielen Beschäftigten braucht ein Unternehmen einen Datenschutzbeauftragten? Eigentlich war die CDU-Initiative, §38 Bundesdatenschutzgesetz abzuschaffen, im April 2024 im Sande verlaufen – so dachte man. Der Paragraph regelt unter anderem, dass ein Datenschutzbeauftragter benannt werden muss, soweit ein Unternehmen „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.“

Zuerst eine gute Nachricht: Die irische Datenschutzbehörde hat Meta vorerst untersagt, Daten von Instagram und Facebook für das Training seiner Künstlichen Intelligenz einzusetzen. Zuerst wollte sie das Vorhaben, das am 26. Juni starten sollte, wohl absegnen. Nach Protesten – u.a. natürlich von Max Schrems und seiner Organisation noyb – sieht die Behörde doch noch weiteren Gesprächsbedarf. Meta zeigte sich enttäuscht, da die Behörden bereits im März informiert worden seien. KI-Entwickler stehen offenbar bereits tatsächlich vor dem Problem, dass die Trainingsdaten für ihre riesigen Modelle inzwischen knapp werden! Daher werden verzweifelt neue Datenquellen gesucht.

Möglichst noch vor der nächsten Europawahl plant die EU, die CSAM-Verordnung (Child Sexual Abuse Material) an den Start zu bringen. Der populäre Name „Chatkontrolle“ trifft gleich den Nagel auf den Kopf. Denn eigentlich will die EU Anbieter von Messenger-Diensten bis hin zu E-Mails zu verpflichten, Fotos, Videos und andere Inhalte, die darin verschickt oder hochgeladen werden, automatisch auf Darstellungen von Kindesmissbrauch zu durchsuchen und mögliche strafbare Fälle an die Ermittlungsbehörden zu melden. In der Theorie ohne Frage ein Ziel, gegen das man nichts sagen kann.

Hoffentlich haben Sie jetzt nicht nur Bahnhof verstanden. In den letzten Wochen ist wieder einiges im Bereich Datenschutz passiert – hier die Highlights Schritt für Schritt:

„Consent or Pay“ – das kennt man in Bezug auf Datenschutz hauptsächlich von Webseiten von Zeitungen sowie seit einer Weile auch von diversen Social-Media-Plattformen, allen voran denen aus dem Hause Meta. Anstatt des klassischen Cookie-Banners (entweder zustimmen oder nur notwendigen Cookies zustimmen) hat man dort die Wahl zwischen Zustimmung oder einem kostenpflichtigen Abo. Nur mit diesem kann man der Verarbeitung seiner personenbezogenen Daten für verhaltensbezogene Werbezwecke entgehen. Die Idee ging von Zeitungsverlagen aus, die dadurch fehlende Werbeeinnahmen kompensieren wollten. Vermutlich in der Hoffnung, der gebeutelten freien Presse damit unter die Arme zu greifen, haben die Datenschutzbehörden dieses Vorgehen toleriert. Inzwischen verwenden in Deutschland aber schon 30 % der Top-100-Webseiten das „Consent or Pay“-Modell.

Nach dem Schufa-Urteil des EuGH vom Dezember 2023 will die Bundesregierung das Bundesdatenschutzgesetz (BDSG) ändern und stärker beschränken, welche Faktoren Auskunfteien für die Berechnung ihrer Scores heranziehen dürfen. So sollen u.a. die Wohnadresse bzw. Postleitzahl („Geo-Scoring“) und wie oft man umzieht, der Name und die (ggf. vermutete) ethnische Herkunft, personenbezogene Daten aus der Nutzung sozialer Netzwerke, Gesundheitsdaten und Informationen über Ein- und Ausgänge von Zahlungen auf und von Bankkonten nicht mehr genutzt werden dürfen. Letzteres wäre eine Möglichkeit gewesen, die der EuGH in seinem Urteil noch offen gelassen hatte. Weiterhin sollen laut Gesetzesentwurf Auskunfteien wie die Schufa verpflichtet werden, auf Antrag der Verbraucher in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ unter anderem mitzuteilen, welche personenbezogenen Daten sie genutzt haben, wie diese gewichtet wurden und welche den Score am stärksten beeinflusst haben.

Derzeit wird auf den letzten Metern am AI Act, der KI-Verordnung der EU, gearbeitet, um die Verabschiedung noch vor der Europawahl im Juni 2024 möglich zu machen. Er soll das weltweit erste Gesetz werden, das Künstliche Intelligenz umfassend reguliert. Der Entwurf kommt aktuell  auf rund 900 Seiten – hier als Mensch den Überblick zu behalten, ist schon eine Herausforderung. Grundsätzlich soll der AI Act einen risikobasierten Regulierungsansatz verfolgen. Bestimmte Hochrisiko-Anwendungen von KI sollen demnach ganz verboten werden; und je unbedenklicher ein KI-System wird, desto weniger streng soll es reguliert werden.