Zuerst eine gute Nachricht: Die irische Datenschutzbehörde hat Meta vorerst untersagt, Daten von Instagram und Facebook für das Training seiner Künstlichen Intelligenz einzusetzen. Zuerst wollte sie das Vorhaben, das am 26. Juni starten sollte, wohl absegnen. Nach Protesten – u.a. natürlich von Max Schrems und seiner Organisation noyb – sieht die Behörde doch noch weiteren Gesprächsbedarf. Meta zeigte sich enttäuscht, da die Behörden bereits im März informiert worden seien. KI-Entwickler stehen offenbar bereits tatsächlich vor dem Problem, dass die Trainingsdaten für ihre riesigen Modelle inzwischen knapp werden! Daher werden verzweifelt neue Datenquellen gesucht.

Möglichst noch vor der nächsten Europawahl plant die EU, die CSAM-Verordnung (Child Sexual Abuse Material) an den Start zu bringen. Der populäre Name „Chatkontrolle“ trifft gleich den Nagel auf den Kopf. Denn eigentlich will die EU Anbieter von Messenger-Diensten bis hin zu E-Mails zu verpflichten, Fotos, Videos und andere Inhalte, die darin verschickt oder hochgeladen werden, automatisch auf Darstellungen von Kindesmissbrauch zu durchsuchen und mögliche strafbare Fälle an die Ermittlungsbehörden zu melden. In der Theorie ohne Frage ein Ziel, gegen das man nichts sagen kann.

Hoffentlich haben Sie jetzt nicht nur Bahnhof verstanden. In den letzten Wochen ist wieder einiges im Bereich Datenschutz passiert – hier die Highlights Schritt für Schritt:

„Consent or Pay“ – das kennt man in Bezug auf Datenschutz hauptsächlich von Webseiten von Zeitungen sowie seit einer Weile auch von diversen Social-Media-Plattformen, allen voran denen aus dem Hause Meta. Anstatt des klassischen Cookie-Banners (entweder zustimmen oder nur notwendigen Cookies zustimmen) hat man dort die Wahl zwischen Zustimmung oder einem kostenpflichtigen Abo. Nur mit diesem kann man der Verarbeitung seiner personenbezogenen Daten für verhaltensbezogene Werbezwecke entgehen. Die Idee ging von Zeitungsverlagen aus, die dadurch fehlende Werbeeinnahmen kompensieren wollten. Vermutlich in der Hoffnung, der gebeutelten freien Presse damit unter die Arme zu greifen, haben die Datenschutzbehörden dieses Vorgehen toleriert. Inzwischen verwenden in Deutschland aber schon 30 % der Top-100-Webseiten das „Consent or Pay“-Modell.

Nach dem Schufa-Urteil des EuGH vom Dezember 2023 will die Bundesregierung das Bundesdatenschutzgesetz (BDSG) ändern und stärker beschränken, welche Faktoren Auskunfteien für die Berechnung ihrer Scores heranziehen dürfen. So sollen u.a. die Wohnadresse bzw. Postleitzahl („Geo-Scoring“) und wie oft man umzieht, der Name und die (ggf. vermutete) ethnische Herkunft, personenbezogene Daten aus der Nutzung sozialer Netzwerke, Gesundheitsdaten und Informationen über Ein- und Ausgänge von Zahlungen auf und von Bankkonten nicht mehr genutzt werden dürfen. Letzteres wäre eine Möglichkeit gewesen, die der EuGH in seinem Urteil noch offen gelassen hatte. Weiterhin sollen laut Gesetzesentwurf Auskunfteien wie die Schufa verpflichtet werden, auf Antrag der Verbraucher in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ unter anderem mitzuteilen, welche personenbezogenen Daten sie genutzt haben, wie diese gewichtet wurden und welche den Score am stärksten beeinflusst haben.

Derzeit wird auf den letzten Metern am AI Act, der KI-Verordnung der EU, gearbeitet, um die Verabschiedung noch vor der Europawahl im Juni 2024 möglich zu machen. Er soll das weltweit erste Gesetz werden, das Künstliche Intelligenz umfassend reguliert. Der Entwurf kommt aktuell  auf rund 900 Seiten – hier als Mensch den Überblick zu behalten, ist schon eine Herausforderung. Grundsätzlich soll der AI Act einen risikobasierten Regulierungsansatz verfolgen. Bestimmte Hochrisiko-Anwendungen von KI sollen demnach ganz verboten werden; und je unbedenklicher ein KI-System wird, desto weniger streng soll es reguliert werden.

Seit 14.12.2023 ist Threads, die Twitter-Alternative aus dem Hause Meta, auch in der EU verfügbar. Die bedenkliche Verknüpfung mit Instagram besteht weiterhin – eine sehr eingeschränkte Nutzung (nur für den Konsum, ohne Posten und Interagieren) ist jetzt aber auch ohne möglich – dank der DSGVO wurde diese Möglichkeit extra für EU-Nutzer geschaffen. Aber wem das nicht ausreicht, der muss personalisierter Werbung über Threads und Instagram hinweg zustimmen. Außerdem kann man sein Threads- oder Instagram-Konto nun doch jeweils separat löschen.

Gehören Sie auch zu den Unternehmen, die Fotos ihrer Mitarbeiter auf ihrer Firmenwebsite veröffentlichen? Klar, es wirkt authentischer, wenn dort die eigenen Leute zu sehen sind. Aber dabei gibt es, einiges zu beachten, ansonsten drohe hohe Schadensersatzforderungen! In dem Bereich konkurrieren DSGVO, Kunsturhebergesetz (KUG) und die Rechtsprechung des Bundesarbeitsgerichts. Um auf der sicheren Seite zu sein, sollte man alle drei beachten: Fotos sind personenbezogene Daten und dürfen grundsätzlich nur mit schriftlicher, informierter, freiwilliger, vorheriger Einwilligung der Abgebildeten verbreitet werden (siehe u.a. DSGVO Art. 6 und Art. 26 und §22/23 KUG).

Die Bundesregierung setzt derzeit den Digital Service Act, eine Verordnung der EU, in nationales Recht um, und arbeitet am Digitale-Dienste-Gesetz (DDG). Dieses soll ab 17. Februar 2024 das Telemediengesetz (TMG) und das Netzwerkdurchsetzungsgesetz (NetzDG) ersetzen. Im TMG steht seit 2017, dass Anbieter öffentlicher WLANs „nicht wegen einer rechtswidrigen Handlung eines Nutzers auf Schadensersatz oder Beseitigung oder Unterlassung einer Rechtsverletzung in Anspruch genommen werden [können]; dasselbe gilt hinsichtlich aller Kosten für die Geltendmachung und Durchsetzung dieser Ansprüche“.

Der Europäische Gerichtshof hat Anfang Dezember 2023 ein lang erwartetes Datenschutz-Urteil zur Schufa gefällt: Nach Artikel 22 der DSGVO darf man nicht ohne Eingreifen eines Menschen einer automatisiert getroffenen Entscheidung unterworfen werden, die rechtliche Wirkung entfaltet oder einen in ähnlicher Weise erheblich beeinträchtigt. Dies zielt auf automatisiertes Profiling ab und soll vor Diskriminierung und ungerechten Auswirkungen von automatisierten Entscheidungsfindungen schützen. Und dies gilt auch für die Schufa bzw. deren Kunden wie Banken und Mobilfunkunternehmen, die sich maßgeblich auf den Schufa-Score stützen.

Die EU-Kommission macht sich auf zum Endspurt der aktuellen Legislaturperiode: Möglichst noch vor der Europawahl 2024 soll die 2. Verordnung zur europäischen digitalen ID (eIDAS 2.0 – Verordnung, d.h. „Electronic Identification, Authentication and Trust Services“) stehen – das Update zur aktuellen Verordnung von 2014. Die finale Verabschiedung auf EU-Ebene wird bis Ende 2023 erwartet. Ende Juni 2023 haben sich die Mitgliedstaaten und das Europaparlament auf die Kernelemente der Vorgaben für die geplante europaweite elektronische Identität geeinigt: