Rechtliche und technische Herausforderungen des KI-Einsatzes im Fokus

[datensicherheit.de, 24.05.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung zum Thema „KI im Gesundheitswesen: Rechtliche und technische Herausforderungen“ ein. Künstliche Intelligenz (KI) im Gesundheitswesen könne die Diagnose und Behandlung von Krankheiten enorm verbessern – bei Entwicklung und Betrieb von KI-basierten Systemen in der Medizin gebe es jedoch zahlreiche Risiken und Herausforderungen zu beachten.

Abbildung: it’s.BB e.V.

Einladung zu einer Präsenz-Veranstaltung am Donnerstag, dem 30. Mai 2024

Konkreter Use Case: KI-Einsatz für ein Diagnosesystem

Anhand eines konkreten „Use Case“ (eines Diagnosesystems) soll ein Überblick gegeben werden, welche regulatorischen, rechtlichen und technischen Anforderungen zu beachten sind – „beispielsweise in Bezug auf Sicherheit, Datenschutz und Produkthaftung, und welche Risiken für Entwickler und Betreiber bestehen“.

Weiterhin werde aufgezeigt, wie diese Anforderungen in Entwicklung und Betrieb durch geeignete technische Maßnahmen, Prozesse und Vertragsgestaltung umgesetzt, und Risiken reduziert werden könnten.

KI im Gesundheitswesen: Rechtliche und technische Herausforderungen

Donnerstag, 30. Mai 2024
von 16.00 bis 18.00 Uhr (danach „Get Together“)
Dentons Office Berlin
Markgrafenstraße 33
10117 Berlin
Anmeldung erforderlich!

Agenda (ohne Gewähr)

16.30-16.35 Uhr Begrüßung

16.35-17.50 Uhr

• „KI: eine kurze Einführung“
• „Use Case: KI basierte Screening App für Laien“
• „Regulatorische und rechtliche Anforderungen und Risiken“
• „Technische Anforderungen“
• „Juristische und technische Umsetzung der Anforderungen in Entwicklung und Betrieb“
• Zusammenfassung

17.50-18.00 Fragen / Diskussion / Abschluss

Anmeldung zur Veranstaltung:

DENTONS
Einladung zur KI-Veranstaltung mit it’s.BB e.V. / KI im Gesundheitswesen: Rechtliche und technische Herausforderungen

Seit 2019 etablierte und fachlich breit anerkannte Technische und organisatorische Maßnahmen (TOM) zum Stand der Technik

[datensicherheit.de, 10.05.2023] Laut einer aktuellen Meldung des Bundesverbands IT-Sicherheit e.V. (TeleTrusT) wurde eine überarbeitete Fassung der eigenen Handreichung „Stand der Technik“ veröffentlicht:

Abbildung: TeleTrusT

Stand der Technik 2023 – Technische und Organisatorische Maßnahmen

Orientierung auch der IT-Sicherheit am Stand der Technik gefordert

Laut TeleTrusT fordern nationale und auch europäische Rechtsquellen die Orientierung auch der IT-Sicherheit am sogenannten Stand der Technik – „lassen aber in Teilen unbeantwortet, was im Detail darunter zu verstehen ist“.

In Deutschland arbeiten demnach die im TeleTrusT organisierten Fachkreise kontinuierlich an einer Handreichung, deren aktualisierte Fassung jetzt veröffentlicht wurde.

Dokument 2023 zum Stand der Technik in der IT-Sicherheit mit konkreten Hinweisen und Handlungsempfehlungen

Sowohl nationale als auch europäische Gesetzgeber enthielten sich weitgehend konkreter, detaillierter technischer Anforderungen und Bewertungskriterien: „Den Gesetzesadressaten werden auch kaum methodische Ansätze geliefert.“ Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, bleibe den Fachkreisen überlassen.

Das vom TeleTrusT veröffentlichte Dokument zum Stand der Technik in der IT-Sicherheit soll vor diesem Hintergrund „konkrete Hinweise und Handlungsempfehlungen“ geben.

Handreichung zum Stand der Technik für Unternehmen, Anbieter und Dienstleister

Diese Handreichung solle Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des Standes der Technik in der IT-Sicherheit bieten und könne als Referenz z.B. für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen. „Es ersetzt nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.“

„Die seit 2019 etablierte und fachlich breit anerkannte TeleTrusT-Handreichung wurde nach gründlicher Überarbeitung in Deutsch und Englisch neu veröffentlicht.“

Weitere Informationen zum Thema:

TeleTrusT Bundesverband IT-Sicherheit e.V.
Stand der Technik in der IT-Sicherheit

Bundesverband IT-Sicherheit e.V. TeleTrusT
IT-Sicherheitsgesetz und Datenschutz-Grundverordnung: Handreichung zum Stand der Technik / Technische und organisatorische Maßnahmen

[datensicherheit.de, 13.12.2016] Rechtliche Fragen rund um Themen wie Industrie 4.0, E-Health und „Smart Mobility“ sollen am 21. und 22. Februar 2017 bei der Konferenz „Net.Law.S“ in der NürnbergMesse diskutiert werden. Die von der von der IHK Nürnberg für Mittelfranken unterstützte „Konferenz für Recht, Gesellschaft & Industrie in der digitalen Welt“ findet von 8.00 bis 18.00 Uhr am ersten Tag und von 8.30 bis 17.00 Uhr am zweiten Tag im NCC West statt. Prof. Dr. Dr. Eric Hilgendorf und Sven Hötitzsch, Forschungsstelle RobotRecht am Lehrstuhl für Strafrecht, Strafprozessrecht, Rechtstheorie, Informationsrecht und Rechtsinformatik der Universität Würzburg geben in einer Stellungnahme vorab einen Einblick in das hochaktuelle Thema Recht in der Industrie 4.0.

Recht als Innovationshemmnis oder -schrittmacher

Aufgrund der Automatisierung stellten sich zahlreiche rechtliche Fragen zur Haftung und zum Datenschutz:
Das Recht werde durch technische Revolutionen einerseits beeinflusst und mehr oder weniger rasch verändert. Andererseits sei der rechtliche Rahmen auch für die Entwicklung und Durchsetzung von Innovationen von größter Bedeutung.
Dies gelte gerade in einem Land wie Deutschland mit seiner sehr weit entwickelten, am Rechtsstaatsprinzip ausgerichteten Legalordnung und einer sehr aktiven Rechtspolitik. Recht könne Innovation hemmen, es könne sie aber auch fördern.

Umfangreiche Haftungsfragen

Die rechtlichen Herausforderungen im Bereich der Automatisierung knüpften eng an die juristischen Fragestellungen um autonome Systeme und Robotik an, gingen jedoch zum Teil noch weit darüber hinaus.
Es stellten sich erhebliche Fragen der Haftung für Schäden an Maschinen, Produkten, sonstigen Vermögenswerten und Menschen. So müsse man fragen, wem in einem weitgehend anonymen, vernetzten System die Verantwortung zugewiesen werden kann. „Wie wirkt sich die (Teil-)Autonomie einer Maschine auf die Verantwortlichkeit ihres Herstellers, Verkäufers oder Nutzers aus? Welches Recht gilt bei grenzüberschreitenden Sachverhalten?“
Zivilrechtlich seien vor allem das Delikts- und das Produkthaftungsrecht einschlägig, relevant sei aber auch das Strafrecht. Es dürfe nicht übersehen werden, dass Geschädigte im Schadensfall schon aus Gründen der Beweissicherung den Weg über das Strafrecht oft sogar vorzögen.
Bei der zivilrechtlichen Haftung werde grundlegend zwischen solchen Haftungstatbeständen unterschieden, „die der Schädiger verschuldet hat und die er deshalb vertreten muss, und solchen, die an der Fehlerhaftigkeit eines Produktes ansetzen“. Bei der erstgenannten Haftungsform müsse die Verantwortlichkeit für einen kausalen Schaden positiv bewiesen werden, um eine Ersatzpflicht auszulösen. Dagegen reiche im Rahmen der verschuldensunabhängigen Haftung das Vorhandensein eines objektiven Produktfehlers, d.h. ein Abweichen des schädigenden Produktes von der fehlerfreien Beschaffenheit dieses Produktes, um eine Haftung anzunehmen. Es bestehe aber die Möglichkeit, diesen weitgehenden Haftungstatbestand zu beschränken und sich nachträglich zu exkulpieren. So könne der Hersteller nachweisen, dass sein Produkt dem aktuellen Stand der Technik entsprochen und er seine sonstigen Pflichten bei Konstruktion, Produktion und Instruktion des Nutzers nicht vernachlässigt habe.
Besondere Bedeutung besitze in diesem Zusammenhang die angemessene Dokumentation aller relevanten Abläufe, insbesondere auch, um im Falle eines gerichtlichen Verfahrens Nachweise über die einzelnen Arbeitsschritte und Verwendungen in den Stadien von der Produktidee bis hin zum Lebensende des Produktes vorlegen zu können.
Im Zusammenhang mit der (zivil- wie strafrechtlichen) Haftung stelle sich die Frage nach dem Verhältnis technischer Regeln zum juristischen Fahrlässigkeitsmaßstab. Angesichts des hohen Niveaus vieler technischer Regeln sei es sehr bedauerlich, dass beide Welten, die technisch-regulatorische und die juristische, bislang weitgehend unverbunden nebeneinander existierten. „Hier gilt es, Konkurrenz in Synergie zu verwandeln.“

Zunehmende Datenerhebung und Datenschutz im Spannungsfeld

Um Haftungsfälle zu vermeiden, sei es fast zwingend, automatisierte Maschinen und Geräte mit zahlreichen Sensoren auszurüsten, „welche in großem Umfang Umgebungsdaten aufnehmen, verarbeiten und geeignete Sicherungsreaktionen auslösen können“.
Wegen der Vielzahl der aufgenommenen Daten entstünden jedoch erhebliche datenschutzrechtliche Probleme. Dies gelte zunächst für den Schutz der Arbeitnehmerdaten (für die in der vernetzten Fabrik Tätigen), deren Arbeitsleben unter Umständen umfassend aufgezeichnet werde. Um dies zu legitimieren, seien besondere Vereinbarungen nötig. Außerdem träten erhebliche Probleme mit dem Umgang personenbezogener Daten Dritter auf, wenn diese, wie zu erwarten, ebenfalls aufgezeichnet würden.
Es stellten sich zudem Probleme ähnlich denen, die heute schon beim „Cloud Computing“ diskutiert würden: Daten dürften nicht beliebig outgesourct werden, vielmehr unterliege die Datenübertragung, auch wenn sie im Rahmen einer Auftragsdatenverarbeitung erfolge, engen rechtlichen Beschränkungen bis hin zur strafrechtlichen Haftung. Problematisch sei schließlich auch der Umgang mit sensiblen Unternehmensdaten, die nicht nur innerhalb einer vernetzten Fabrik an einer Vielzahl von Orten zur Verfügung stünden, sondern auch bei Vertragspartnern bereitgestellt werden müssten.

Schutzmaßnahmen: Abstimmung von Technik, Organisation und Recht

Aufgrund der weitreichenden Verteilung von z.T. sensiblen Unternehmensdaten, seien „geeignete Maßnahmen zur Absicherung der Kommunikation und zum Schutz der Dateninhalte zu treffen“:
Hierzu sei vor allem an technische Sicherungsmaßnahmen, wie Zugangskontrollen und der Einsatz einer starken Verschlüsselung, aber auch an entsprechende vertragliche Vereinbarungen (insbesondere mit Outsourcing-Partnern und Zulieferern) zu denken.
Bestimmte sensible Daten würden darüber hinaus auch durch das Urheberrecht (intellectual property rights) geschützt, welches ebenfalls in den Blick genommen werden müsse.
Bei der technisch-organisatorischen Gestaltung von „Industrie 4.0“-Applikationen sollte also stets darauf geachtet werden, den rechtlichen „Schutzschirm“ nicht zu verlassen. Besonders bedeutsam würden die rechtlichen datenbezogenen Schutzregelungen, „wenn es um die Abwehr und mögliche Aufklärung von Angriffen von außen (z. B. Betriebsspionage, Datensabotage o. Ä.) geht“.

Technikskepsis und -feindschaft in der Gesellschaft beachten!

Da das Recht hinsichtlich seiner Entstehung, seiner Anwendung und seiner Veränderung in engem Zusammenhang mit der Sozialmoral eines Landes stehe, spiele auch die gesellschaftliche und politische Akzeptanz für die Entwicklungschancen von Technologien und innovativen technisch-organisatorischen Konzepten eine herausragende Rolle:
Die deutsche Gesellschaft sei teilweise immer noch von Technikskepsis, die bisweilen bis zur Technikfeindschaft reiche, geprägt. Eine umfassende Auseinandersetzung mit den Rechtsfragen, die durch das Konzept der Industrie 4.0 und den entsprechenden Anwendungen der smarten Automatisierung aufgeworfen würden, dürfe deshalb die gesellschaftspolitische und auch ethische Dimension der Thematik nicht außer Acht lassen. Des Weiteren ließen sich diese Fragen in einer globalisierten Welt nicht mehr nur rein national betrachten. Hingegen bedürfe es einer internationalen und kulturübergreifenden Perspektive zur Lösung der kommenden Herausforderungen.
Die „Automatisierung“ werfe also eine Vielzahl von schwierigen Rechtsfragen auf. Es gelte, diese Fragen zu identifizieren, die entscheidenden juristischen Weichenstellungen herauszuarbeiten und zusammen vor allem mit Technikern und Ökonomen Lösungsmöglichkeiten anzubieten. Erforderlich sei also eine interdisziplinäre Herangehensweise. „Die Entwicklung und der Betrieb von smarten Maschinen sollten so umgesetzt werden, dass rechtliche Regelungen von vornherein beachtet und Rechtsverstöße somit vermieden werden.“

Prof. Dr. Dr. Eric Hilgendorf und Sven Hötitzsch

Prof. Dr. Dr. Eric Hilgendorf, Inhaber des Lehrstuhls für Strafrecht, Strafprozessrecht, Rechtstheorie, Informationsrecht und Rechtsinformatik an der Universität Würzburg, befasst sich vor allem mit dem Internetstrafrecht einschließlich des damit verbundenen Rechts des Datenschutzes und der Providerhaftung. 2010 wurde die von Professor Hilgendorf geleitete Forschungsstelle RobotRecht eingerichtet, die sich unter Berücksichtigung sämtlicher Rechtsgebiete mit Rechtsfragen rund um vernetzte autonome Systeme beschäftigt. Dazu gehören insbesondere die Themenfelder Autonomik, automatisiertes Fahren, Industrie 4.0, „smart home“, „smart city“ und das Verhältnis Mensch-Maschine. Reflektiert werden dabei auch die ethischen und gesellschaftspolitischen Fragestellungen, die mit den genannten Themenfeldern verbunden sind.
Sven Hötitzsch, wissenschaftlicher Mitarbeiter an der Forschungsstelle RobotRecht am Lehrstuhl für Strafrecht, Strafprozessrecht, Rechtstheorie, Informationsrecht und Rechtsinformatik an der Universität Würzburg, zählt zu seinen Hauptforschungsgebieten Haftungsfragen bei autonomen Systemen im Straßenverkehr. Daneben beschäftigt er sich mit rechtlichen Fragestellungen im Bereich von Industrie-4.0-Applikationen.

Weitere Informationen zum Thema:

Net.Law.S 2017
Konferenz für Recht, Gesellschaft & Industrie in der digitalen Welt

robotrecht
forschungsstelle

datensicherheit.de, 10.10.2016
Cluster Industrie 4.0 zu Gast bei datensicherheit.de auf der „it-sa 2016“

datensicherheit.de, 24.04.2016
Sicherheitslösungen für Industrie 4.0 auf der Hannover Messe 2016

[datensicherheit.de, 31.08.2016] In jedem Land, in welchem Land „Pokémon Go“ freigeschaltet wird, springt die App an die Spitze der Download-Charts. Seit der Markteinführung haben nach Angaben des Deutschen Instituts für Vertrauen und Sicherheit im Internet (DIVSI) fast acht Millionen Menschen in Deutschland – mithin rund zehn Prozent der Gesamtbevölkerung – diese App heruntergeladen und installiert. Das Herunterladen sei kostenfrei, dennoch werde mit dieser App Geld verdient. Die Nutzer akzeptierten vor dem ersten Spiel die Nutzungsbedingungen, meist ohne sie zuvor gelesen zu haben, und gäben dadurch ihr „Okay“, dass mit ihren Daten ein „Millionengeschäft“ gemacht werde – ohne dass sie selbst finanziell auch nur ansatzweise davon profitierten.

Daten als „Währung der Zukunft“

Das Geschäftsmodell solcher Apps liege im Sammeln, Weitergeben und zum Teil sogar Verkaufen von Daten – der „Währung der Zukunft“. Je mehr Daten über einen Nutzer gesammelt würden und je persönlicher und genauer sie seien, desto zielgerichteter könnten Unternehmen diese auswerten, sie beispielsweise für Werbezwecke verwenden, Trends analysieren oder auch gesellschaftliche Entwicklungen voraussehen.
Das DIVSI geht in einer aktuellen Stellungnahme der Frage nach, ob es nicht „einmal andersherum ginge und die Nutzer an der Verwendung ihrer eigenen Daten verdienen würden“. Der DIVSI-Direktor, Matthias Kammer, fordert deshalb eine Reform des Datenschutzrechts: „Wenn Menschen ihre privaten Daten zur Verfügung stellen, sollten diejenigen, die diese Daten nutzen und finanziell verwerten, die Kunden auch am Erlös beteiligen.“
Die Ergebnisse der durch das renommierte Lorenz-von-Stein-Institut in Kiel erstellten DIVSI-Untersuchung „Daten als Handelsware“ unterstützen demnach Kammers Aussage. So laute das Fazit der Studie, dass nicht jede Datenverarbeitung als unerwünscht betrachtet werden dürfe – in Zeiten der Digitalisierung sei eine Kommerzialisierung von Daten längst Alltag. Darauf habe aber das Datenschutzrecht keine Antwort. Auch ökonomische Interessen des einzelnen müssten künftig Berücksichtigung finden. Es müsse ihm erleichtert werden, seine ideellen Interessen zu schützen.

Faktischen Datenhandel vollständig erfassen und Nutzer-Selbstbestimmung fördern

Es hätten sich prosperierende Märkte entwickelt, „bei denen Daten der neue Rohstoff sind“, betont Bundespräsident a.D. und DIVSI-Schirmherr Prof. Dr. Roman Herzog in seinem Vorwort zu der Untersuchung. Es sei anerkannter Fakt, dass die aktuelle Daten-Wirtschaft unser derzeitiges Daten(schutz)recht vor immense Herausforderungen stelle. Fakt sei ebenfalls, dass vor allem ideelle Interessen der einzelnen Nutzer im Fokus der geltenden rechtlichen Regelungen stünden.
Das DIVSI plädiert deshalb für „praxistauglichere Mechanismen, um die Selbstbestimmung der Nutzer effektiv sicherzustellen“. Es sei an der Zeit, rechtliche und praktische Konzepte zu entwickeln, die den faktischen Datenhandel vollständig erfassten und die Nutzer-Selbstbestimmung förderten, sagt Kammer – „ Die Position derjenigen, die ihre Daten zur Verfügung stellen, könnte gestärkt werden, indem Regeln und Gesetze zum Datenschutz an das Urheberrecht angelehnt werden.“
Zudem, so Kammer, müsse in Zukunft eindeutig rechtlich geregelt sein, wer Daten nutzen und verwerten darf. Durch Einräumung von Nutzungslizenzen ließe sich ein an den Interessen aller Beteiligter orientierter und besser kontrollierbarer Datenhandel realisieren.

Datenschutzrechtliche Einwilligung in der Praxis gescheitert

Hauptproblem sei bislang, dass im Bereich der digitalen Datenwirtschaft Politik und Gesetzgeber nicht angemessen auf seit Langem bekannte Entwicklungen reagierten, erläutert die Autorin Johanna Jöns. Das Rechtsinstitut der datenschutzrechtlichen Einwilligung und Datenschutzprinzipien wie Datensparsamkeit seien in vielen Bereichen nicht geeignet, den veränderten Umgang mit personenbezogenen Daten rechtlich zu erfassen. Auch diverse Schutzmechanismen hätten sich als wirkungslos herausgestellt – allen voran das Prinzip der Freiwilligkeit und Informiertheit bei Abgabe der datenschutzrechtlichen Einwilligung. Die gesetzlichen Schutzmechanismen des Bundesdatenschutzgesetzes (BDSG) seien in vielen Fällen ineffektiv, würden umgangen oder ließen sich schlicht nicht kontrollieren, so Jöns. Die Untersuchung komme deshalb zu dem Schluss, dass das Instrument der datenschutzrechtlichen Einwilligung in der Praxis gescheitert sei und dogmatische Unzulänglichkeiten aufweise.
Jöns empfiehlt, dass neben den ideellen Interessen der Betroffenen auch der wirtschaftliche Wert von Daten im BDSG Berücksichtigung finden sollte. Bislang dienten im Zusammenhang mit der Datenverarbeitung vorwiegend ideelle Interessen der Betroffenen als Anknüpfungspunkt für rechtliche Regelungen. Dies spiegele nicht mehr die Realität wider.
Diese Studie liefert laut dem DIVSI-Direktor eine Vielzahl neuer Fakten und Anregungen, die für einen öffentlichen Disput in einem wichtigen Themenbereich dienen könnten. Letztlich gehe es darum, im Bereich des Datenhandels ein Gleichgewicht zwischen allen Beteiligten herzustellen. „Das haben wir nicht. Der Status Quo weist stattdessen ein hohes Maß an Intransparenz auf“, so Kammer.

Weitere Informationen zum Thema:

DIVSI, 12.03.2016
Daten als Handelsware

[datensicherheit.de, 05.12.2014] Andrea Voßhoff begrüßt die einheitliche Vorgehensweise durch die „Artikel-29“-Gruppe: Der Europäische Gerichtshof (EuGH) habe in seinem Urteil unmissverständlich klargestellt, dass das Grundrecht auf Schutz personenbezogener Daten uneingeschränkt auch für das Internet gilt. Wenn die Voraussetzungen für die Löschung eines Links vorliegen, verlange ein umfassender Schutz der Betroffenenrechte eine möglichst einheitliche Vorgehensweise in der Europäischen Union – und hierfür sei der Kriterienkatalog ein wichtiger Baustein.

Nicht nur EU-Domains, sondern auch „.com“-Domains betroffen

Neben dem Kriterienkatalog hat sich die „Artikel-29“-Gruppe laut Voßhoff darauf verständigt, dass die Suchmaschinenbetreiber den im festgestellten Rechtsanspruch auf Löschung von Verlinkungen weltweit umsetzen sollten. Google hingegen will demnach die Löschung auf europäische Domains wie „google.de“ oder „google.fr“ beschränken. Konkret bedeutet dies, dass nicht nur die EU-Domains, sondern auch alle relevanten „.com“-Domains einzubeziehen sind.

Klarstellung des EuGH

Erwähnenswert sei auch die Klarstellung des EuGH, dass das Recht auf Löschung in den Ergebnislisten der Suchmaschinenbetreiber nicht zu einer Löschung des Eintrages auf der Website führt und dieser Eintrag auch weiterhin über Suchmaschinen gefunden werden kann, lediglich nicht mehr über den Namen des Betroffenen.
Hintergrund des Urteils war das Begehren eines spanischen Bürgers auf Löschung eines Internetlinks, der bei Eingabe seines Namens in der Google-Suchmaschine erschien. Der EuGH stellte fest, dass in einem solchen Fall ein Löschungsanspruch auch unmittelbar gegen den Suchmaschinenbetreiber bestehen kann. Im Regelfall, so der EuGH, würden die Interessen des Betroffenen am Schutz sensibler Informationen gegenüber dem Interesse der Öffentlichkeit am Zugang zu diesen Informationen überwiegen. Je nach Rolle der betreffenden Person im öffentlichen Leben könne diese Abwägung aber auch zu einem anderen Ergebnis kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 17.10.2014
BfDI Andrea Voßhoff: „Nur eine funktionsfähige Datenschutzbehörde ist auch unabhängig“

datensicherheit.de, 07.01.2014
Andrea Voßhoff zur Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ernannt

Unternehmen sollten Mitarbeiter entsprechend schulen und sensibilisieren

Von unserem Gastautor Dr. Sami Bdeiwi

[datensicherheit.de, 06.12.2013] Bekanntlich gilt im deutschen Datenschutzrecht, gleich ob es sich um das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG) oder das Telekommunikationsgesetz (TKG) handelt, das sog. Verbot mit Erlaubnisvorbehalt. D.h., das Erheben, Verarbeiten und Nutzen personenbezogener Daten – nach der Legaldefinition des § 3 Abs. 1 BDSG sind dies „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ – ist grundsätzlich verboten, es sei denn, es ist gesetzlich erlaubt oder die jeweils betroffene Person hat dazu eingewilligt. Eine datenschutzrechtliche Einwilligungserklärung ist also nur dann erforderlich, wenn kein gesetzlicher Erlaubnistatbestand vorliegt. Da in der Praxis häufig kein Erlaubnistatbestand (bspw. Datenerhebung und -speicherung für eigene Geschäftszwecke gem. § 28 BDSG) vorliegt, ist die praxisrelevanteste Frage, ob der jeweils Betroffene gemäß § 4a Abs. 1 BDSG wirksam in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten eingewilligt hat. Im nachfolgendem Kurzbeitrag werden typische Praxisprobleme einer solchen datenschutzrechtlichen Einwilligungserklärung aus rechtlicher Sicht aufgezeigt sowie hilfreiche Praxishinweise gegeben.

I. Die datenschutzrechtliche Einwilligungserklärung

Gemäß § 4a Abs. 1 BDSG ist eine Einwilligung nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht, mithin freiwillig ist. Der Betroffene ist dabei auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Darüber hinaus bedarf die Einwilligung grds. der Schriftform – abgesehen bei Telemedien (dazu sogleich mehr) –, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

II. Typische Praxisprobleme

Typisches Praxisproblem ist eine sog. pauschale Einwilligungserklärung. Eine Einwilligungserklärung kann z.B. dann unwirksam sein, wenn sie Bereiche umfasst, die ohnehin erlaubt sind. Dies könnte im Einzelfall dann zum einen zur Wettbewerbswidrigkeit (Werbung mit Selbstverständlichkeiten) führen, zum anderen könnte eine solche (irreführende) Einwilligung mangels Transparenz nach AGB-rechtlichen Grundsätzen unwirksam sein (§ 307 Abs. 1 S. 2 BGB).
Ein weiteres Praxisproblem ist die Opt-In bzw. Opt-Out-Lösung. Zwar hat der Bundesgerichtshof zuletzt entschieden (BGH, Urteil v. 16. Juli 2008; Az.: VIII ZR 348/06 – Payback und BGH, Urteil v. 11. November 2009; Az.: VIII ZR 12/08 – Happy Digits), dass eine Opt-Out-Erklärung bei Beachtung des Hervorhebungserfordernisses des § 4 a Abs. 1 BDSG zulässig sein kann, jedoch kann eine Opt-Out-Erklärung gegen § 7 Abs. 2 Nr. 3 UWG („ausdrückliche Einwilligung“) verstoßen, mithin wettbewerbswidrig sein. Rechtsfolgen wären bereits deswegen Unterlassungs-, Auskunfts- und Schadensersatzansprüche.
Auch ist das sog. Koppelungsverbot ein typisches Praxisproblem. Bspw. nach § 28 Abs. 3 b BDSG darf generell kein Vertragsschluss davon abhängig gemacht werden, dass in die Verarbeitung oder Nutzung der Daten zu vertragsfremden Zwecken (Adresshandel oder Werbung) eingewilligt wird. Gesetzliche Koppelungsverboten finden sich auch in § 95 Abs. 5 TKG, § 41 Abs. 4 PostG und § 30 BbgDSG.
Darüber hinaus kommt in Betracht ein Verstoß wegen Verknüpfung mit einem Gewinnspiel, wenn bspw. eine pauschale Einwilligungserklärung vorliegt (so das OLG Köln, Urteil v. 29. April 2009, 6 U 218/08).

III. Einwilligung nach TMG und TKG

Sollte es sich um Telemedien, also alle elektronischen Informations- und Kommunikationsdienste (§ 1 Abs. 1 TKG) handeln, ist nach § 13 Abs. 2 TMG die datenschutzrechtliche Einwilligungserklärung entgegen § 4 a BDSG ausdrücklich elektronisch zulässig, wenn der Diensteanbieter sicherstellt, dass der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer der Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dabei muss der Dienstanbieter nach § 13 Abs. 3 TMG auf die Rechte des Nutzers nach Abs. 3 Nr. 4 (Widerrufsmöglichkeit) hinweisen und der Hinweis muss für den Nutzer jederzeit abrufbar sein (Verschärfung gegen Nr. 4 a BDSG).

Praxishinweis: Hinsichtlich des TMG darf ferner nicht übersehen werden, dass § 13 Abs. 1 TMG dem Diensteanbieter Informationspflichten auferlegt, indem er den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten hat. Dies kann bspw. in einer Datenschutzerklärung geschehen, die dann auch, sollten die Voraussetzungen des § 13 Abs. 2 TMG eingehalten werden, die datenschutzrechtliche Einwilligung darstellt.

Bei einer Einwilligung nach TKG muss nach § 94 der Dienstanbieter sicherstellen, dass der Teilnehmer oder Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, die Einwilligung protokolliert wird, der Teilnehmer oder Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Teilnehmer oder Nutzer der Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

IV. Exkurs: Rechtsfolgen von Datenschutzverstößen

Neben Imageschäden (negative Presse / shitstorm) sowie Ansprüchen einzelner betroffener Personen (Auskunft und Datenkorrektur, namentlich Berichtigung, Löschung, Sperrung und Gegendarstellung, sowie Schadensersatz) drohen bei Datenschutzverstößen – Erheben, Verarbeiten oder Nutzen personenbezogene Daten (also keine Anonymisierung und keine Pseudonymisierung), kein Erlaubnistatbestand, keine datenschutzrechtliche Einwilligungserklärung –  insbesondere auch Bußgelder bis zu 300.000,00 EUR sowie ggf. auch die Einleitung eines Strafverfahrens, ferner droht auch eine Eigenhaftung der Unternehmensleistung.

Praxishinweis: Da das Oberlandesgericht in Hamburg mit Urteil vom 27. Juni 2013 (Az.: 3 U 26/12) entschieden hat, dass Datenschutzverstöße auch wettbewerbswidrig sein können, droht auch ein wettbewerbswidriges Handeln mit der Folge zusätzlich auf Unterlassung, Auskunft und Schadensersatz in Anspruch genommen zu werden.

V. Fazit

Sind die ersten beiden Stufen einer datenschutzrechtlichen Verletzung – Erheben, Verarbeiten oder Nutzen personenbezogene Daten (also keine Anonymisierung und keine Pseudonymisierung) sowie kein Erlaubnistatbestand – gegeben, ist in der Praxis besonderes Augenmerk auf die datenschutzrechtliche Einwilligungserklärung zu legen, unabhängig davon, ob das BDSG, das TMG oder das TKG einschlägig ist. Aus anwaltlicher Sicht bleibt daher schlichtweg zu empfehlen, die verantwortlichen Mitarbeiter entsprechend zu schulen und zu sensibilisieren. Zauberwort ist insofern Compliance. Schließlich ist zumindest aus wettbewerbsrechtlicher Sicht zwingend der Opt-In-Lösung mit einer nicht angekreuzten Checkbox der Opt-In-Lösung der Vorzug zu geben.

Foto: Kanzlei volke2.0., Lünen

Rechtsanwalt Dr. Sami Bdeiwi

Der Autor:

Dr. Sami Bdeiwi ist in der Kanzlei volke2.0 in Lünen tätig. Er berät u.a. Unternehmen in Fragen des IT-Rechts (u.a. EDV-Recht, Softwarerecht), des Datenschutzrechts und des Rechts der Sozialen Medien.

Weitere Informationen zum Thema:

volke2.0®

[datensicherheit.de, 25.10.2013] Rat und Tat für die kniffligen rechtlichen Seiten des Alltags möchte der Deutsche Anwaltverein (DAV) mit seinem neuen Rechtsportal „DeutscheAnwaltauskunft“ (Anwaltauskunft.de) bieten. Interessenten und Mandanten werden umfassende, unterhaltsam aufbereitete Informationen zu allen Fragen rund ums Recht präsentiert. Am Abend des 24. Oktober 2013 wurde es im Rahmen einer kurzweiligen Feier in Berlin online gestellt. Mit dieser Website gebe es zuverlässige Informationen zu rechtlichen Fragen aus einer verlässlichen Quelle, betont Rechtsanwalt Professor Dr. Wolfgang Ewer, Präsident des DAV. Damit werde das Portal zur ersten Anlaufstelle in allen Rechtsfragen.
Mit „Anwaltauskunft.de“ wurde ein einzigartiges Rechtsportal im deutschsprachigen Internet gestartet. Andere Online-Angebote spezialisierten sich auf einzelne Bereiche wie aktuelle Nachrichten, Ratgeber, Anwaltssuche oder Blog, die „DeutscheAnwaltauskunft“ dagegen vereine alles auf einem Portal und decke sämtliche Rechtsgebiete ab – und das alles ohne Werbung. Dafür aber mit enormer Kompetenz, denn dahinter stehe der DAV mit über 67.000 Anwältinnen bzw. Anwälten als die größte Vereinigung dieser Berufsgruppe in Deutschland.
Die ursprüngliche Website ist nach DAV-Angaben jetzt völlig neu gestaltet worden. Nutzer könnten dort journalistisch aufbereitete Texte zu aktuellen rechtlichen Themen neben Kolumnen und Tipps finden, dazu Podcasts und Videos. Die neue Fassung der „Anwaltauskunft.de“ solle deutlich machen, dass Rechtsthemen weder abstrakt noch langweilig seien. Jeder könne nun Inhalte finden, die ganz konkret mit dem eigenen Leben zu tun hätten, sowie Tipps und Ratschläge zum Weiterhelfen.
Im Magazin-Teil liefert ein Team von Redakteuren aktuelle Artikel und Videos zu Rechtsthemen. Ein Ratgeber-Bereich bietet praktische Materialien aus den verschiedenen Rechtsgebieten. In der Anwaltssuche können Ratsuchende unter mehr als 67.000 Anwälten einfach und schnell den passenden Experten finden. Sie können dabei etwa nach Rechtsgebieten, Ortsnähe und Sprachkenntnissen suchen. Alle Webseiten des Portals bieten ein neu entwickeltes Design und sind auch in einer mobilen Version abrufbar. Um näher und direkt mit den Menschen in Kontakt zu treten, zeigt „Anwaltauskunft.de“ auf Social-Media-Plattformen wie facebook, twitter oder Google+ Präsenz. Dort macht die Redaktion unter dem Namen „Anwaltauskunft Magazin“ nicht nur auf die Vielfalt der Inhalte aufmerksam, sondern stellt sich auch dem Dialog.

Weitere Informationen zum Thema:

DeutscheAnwaltauskunft
Magazin

Foto: BfDI

Umfassende Nutzung und Verknüpfung personenbezogener Daten sei nicht mit den Anforderungen der EU-Datenschutzrichtlinie vereinbar

[datensicherheit.de, 28.02.2012] Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat im Auftrag der „Artikel 29-Gruppe“ der Europäischen Datenschutzbehörden untersucht, inwieweit die von Google angekündigte neue Datenschutzerklärung den Anforderungen des europäischen Datenschutzrechts genügen:
Die Untersuchung der CNIL komme zu dem Ergebnis, dass die von dem Unternehmen für den 1. März 2012 angekündigte umfassende Nutzung und Verknüpfung personenbezogener Daten nicht mit den Anforderungen der EU-Datenschutzrichtlinie vereinbar sei, so der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
Die neue Google-Datenschutzerklärung werfe viele datenschutzrechtliche Fragen auf, sagt Peter Schaar. Insbesondere die Verknüpfung personenbezogener Daten von Google-Kunden aus unterschiedlichen Diensten begegne erheblichen Bedenken. Kritisch sehe er es auch, dass die Nutzer der Neufassung der Datenschutzerklärung nicht in ausreichender Klarheit entnehmen könnten, welche Daten das Unternehmen für welche Zwecke erhebt, speichert, übermittelt und auswertet.
Schaar fordert nun Google auf, die für den 1. März 2012 angekündigte Umstellung der Datenverarbeitungsregeln des Unternehmens auszusetzen, bis alle Zweifel an der Rechtskonformität ausgeräumt sind.

Weitere Informationen zum Thema:

Google
Eine Datenschutzerklärung, viele Google-Produkte

[datensicherheit.de, 18.09.2009] Der Bundesrat wird sich mit der „Allgemeinen Verwaltungsvorschrift zum Gesetz über das Ausländerzentralregister“ (AZR) beschäftigen müssen:
Im AZR werden personenbezogene Daten von allen Ausländern erfasst, die sich länger als drei Monate in Deutschland aufhalten, darunter auch die Daten von EU-Bürgern. Derzeit umfasse das AZR mehr als 20 Millionen Datensätze.
Der „Bundesbeauftragte für den Datenschutz und die Informationsfreiheit“, Peter Schaar, hält es für ein „Armutszeugnis“, dass 17 Jahre nach Einführung der Unionsbürgerschaft immer noch die Daten der hier lebenden EU-Bürger im AZR erfasst werden. Außerdem werde die Vorschrift den Vorgaben des EU-Rechts mit Blick auf den automatisierten Abruf der Daten von EU-Bürgern durch Ausländerbehörden, Bundespolizei, Staatsanwaltschaften, Zollkriminalämter, Verfassungsschutzbehörden etc. nicht gerecht. Dies sei „nicht akzeptabel“, so Schaar.
Der Europäische Gerichtshof hätte mit Urteil vom 16. Dezember 2008 den Schutz personenbezogener Daten von EU-Bürgern ebenfalls gestärkt. Diese Daten dürften demnach nur gespeichert beziehungsweise verarbeitet werden, wenn dies im Einzelfall für die Anwendung aufenthaltsrechtlicher Vorschriften erforderlich sei.

Weitere Informationen zum Thema:

BfDI, 17.09.2009
„Neue Vorschrift zur Speicherung von Daten von EU-Bürgern entspricht nicht EU-Recht“

BfDI, 16.12.2008
Unzulässig im Ausländerzentralregister gespeicherte Daten über Unionsbürger müssen nach der EuGH-Entscheidung gelöscht werden