1. Die KI-VO ist in Kraft getreten - was ist zu beachten?
von Tim Sauerhammer
Die KI-VO ist im August 2024 in Kraft getreten. Die darin enthaltenen Regeln gelten allerdings nicht sofort, sondern werden nach Regelungsbereichen sukzessive eingeführt. Wichtig: Bereits ab Februar 2025 sind bestimmte Praktiken im KI-Bereich verboten. Ab August 2025 kommen Vorgaben für KI-Modelle mit allgemeinem Verwendungszweck hinzu und ab August 2026 gelten Regelungen zu Hochrisiko-KI-Systemen. Weitere Informationen zu den Zeitpunkten, ab denen wesentliche Vorschriften gelten, finden Sie hier.
Fazit: Spätestens jetzt sollten Verantwortlichkeiten im Unternehmen geklärt und eine übergreifende KI-Governance-Struktur aufgebaut werden.
2. Aus „TTDSG“ wird „TDDDG“ und aus „TMG“ wird „DMG“
von Florian Schwind
Zum 14. Mai 2024 wurde das Telekommunikations-Telemedien-Datenschutzgesetzes (TTDSG) durch das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) und das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) abgelöst. Der insbesondere für Cookies relevante § 25 TTDSG (jetzt: TDDDG) hat sich inhaltlich nicht geändert.
Fazit: Unternehmen müssen auf ihren Webseiten die Gesetzesbezeichnungen in Datenschutzhinweisen, Cookietexten und im Impressum aktualisieren.
3. Änderung des BDSG geplant
von Christian Leuthner
Neben der DSGVO regelt das Bundesdatenschutzgesetz (BDSG) das deutsche Datenschutzrecht, wo die DSGVO nicht gilt oder nationale Regelungen durch Öffnungsklauseln zulässt, insbesondere Zuständigkeiten und die Zusammenarbeit der Aufsichtsbehörden, die Befugnisse der Datenschutzkonferenz, das Verhängen und die Durchsetzung von Bußgeldern sowie Einschränkungen oder Ausnahmen von der Erfüllung der Betroffenenrechte.
Im Mai 2024 beriet der deutsche Bundestag über einen Gesetzesentwurf zu Änderungen im BDSG. Ziel der Änderungen soll unter anderem die Instititutionalisierung der Datenschutzkonferenz, sowie die Zusammenarbeit und Zuständigkeit bei gemeinsamen Standpunkten und im Rahmen der Aufsicht von gemeinsam verantwortlichen Unternehmen erreichen, um eine einheitliche Rechtsauslegung und –durchsetzung zu gewährleisten. Daneben sollen Scoring sowie der stärkere Schutz von Betriebs- und Geschäftsgeheinissen ins BDSG aufgenommen werden.
Fazit: Der Bundestag hat den Entwurf nun in die Ausschüsse zur Beratung überwiesen, wo die Beratung nach der Sommerpause des Bundestags weitergehen wird.
4. BGH: Anforderungen an durchschnittliche Sternebewertungen
von Johannes Berchtold
Der BGH hat mit Urteil vom 25. Juli 2024 (Az. I ZR 143/23) entschieden, dass bei der Werbung mit einer durchschnittlichen Sternebewertung die Aufschlüsselung nach einzelnen Sterneklassen nicht notwendig ist, wenn die Gesamtzahl und der Zeitraum der Bewertungen angegeben ist. Das Gericht geht gerade davon aus, dass ein durchschnittlicher Verbraucher weiß, dass durchschnittlichen Sternebewertungen in aller Regel unterschiedlich gute und schlechte Bewertungen zugrunde liegen. Der genauen Verteilung der Einzelbewertungen auf die Sterneklassen kommt insofern kein erhebliches Gewicht zu.
Fazit: Der BGH konkretisiert die Anforderungen an die Gestaltung von werbenden (Online-) Sternebewertungen. Unternehmen sollten daher prüfen, ob ihre Werbepraxis die Anforderungen des BGH erfüllt.
5. EuGH: Rechtsprechungsupdate zum Schadensbegriff nach Art. 82 DSGVO
von Dr. Hannah von Wickede
Im Juni 2024 hat der EuGH gleich zweimal zum Schadensersatz nach Art. 82 DSGVO entschieden und damit seine bisherige Rechtsprechungslinie fortgesetzt. Befürchtungen des Datenmissbrauchs (Az. C‑590/22) oder geringfügige Schäden (Az. C‑182/22 und C‑189/22) seien grundsätzlich, so der EuGH, ausreichend, um einen Schaden nach Art. 82 DSGVO darzustellen. Allerdings betont der EuGH in beiden Entscheidungen gleichzeitig, dass der Betroffene auch nachweisen müsse, dass die Befürchtungen tatsächlich negative Folgen für ihn gehabt hätten bzw. dass er tatsächlich einen Schaden erlitten habe. Allein die Behauptung einer Befürchtung oder eines Schadens genügten hingegen nicht.
Fazit: Die Anforderungen, die der EuGH an das Vorliegen eines Schadens nach Art. 82 DSGVO stellt, werden in der Rechtspraxis vielfach dahingehend missverstanden, dass allein die Behauptung irgendeines Schadens ausreichend wäre. Erfreulich ist daher, dass der EuGH nun betont hat, dass nicht die Behauptung eines niedrigschwelligen Schadens, sondern die Frage, ob ein solcher Schaden von den Betroffenen auch tatsächlich nachgewiesen werden kann, sachentscheidend ist.
6. BayLfD: Neue Orientierungshilfe zum Konzept der gemeinsamen Verantwortlichkeit
von Dr. Alexander Hardinghaus, LL.M.
Im Juni 2024 veröffentlichte der BayLfD eine umfassende Orientierungshilfe zum Konzept der gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO. Die Orientierungshilfe behandelt die gesetzlichen Tatbestandsmerkmale (unter Nennung praxisrelevanter Beispiele) sowie die Rechtsfolgen gemeinsamer Verantwortlichkeit. Darüber hinaus gibt die Orientierungshilfe Hilfestellung bei der Abgrenzung zur Auftragsverarbeitung und anderen Konstellationen, wie etwa Exzessen durch Mitarbeiter.
Fazit: Die Zuständigkeit des BayLfD beschränkt sich auf den öffentlichen Bereich. Die Orientierungshilfe kann jedoch auch von Unternehmen herangezogen werden, zumal die Anforderungen aus Art. 26 DS-GVO den öffentlichen wie nicht-öffentlichen Bereich gleichermaßen treffen.
7. BGH: Anspruch eines Kunden gegen Finanzberater auf Überlassung von Kopien personenbezogener Daten
von Dr. Thomas Fischl
In einem Urteil vom 15. März 2024 (Az. VI ZR 330/21) beschäftigte sich der BGH mit der Frage, was mit dem Begriff der Kopie der personenbezogenen Daten gemeint ist. Die Klage betraf einen Auskunftsanspruch gemäß Art. 15 Abs. 3 DSGVO. Bezüglich der Definition von personenbezogenen Daten verweist das Gericht zunächst auf die Rechtsprechung des EuGH, wonach der Begriff personenbezogene Daten weit zu verstehen ist. Der BGH stellt jedoch auch fest, dass es sich bei Schreiben und E-Mails der Beklagten, Telefonnotizen, Aktenvermerken oder Gesprächsprotokollen der Beklagten und Zeichnungsunterlagen für Kapitalanlagen nicht zwangsläufig in ihrer Gesamtheit um personenbezogene Daten der Klägerin handelt, auch wenn sie Informationen über die Klägerin enthalten.
Fazit: Interessant ist die Unterscheidung der Daten, die der BGH in diesem Urteil vorgenommen hat. Zumindest enthält das Urteil eine gewisse Eingrenzung mit Blick auf die bisher recht weite Rechtsprechung des EuGH.
8. Mit DMARC-Funktionalität vor Spam-Emails schützen
von Sven Schonhofen, LL.M.
Spam-Emails füllen Email-Postfächer immer mehr. Diese Emails können Werbung, aber auch Schadsoftware enthalten. Die Datenschutzbehörden (z.B. die Datenschutzbehörde Sachsen-Anhalt) regen an, sich gegen Spam-Emails zu schützen, z.B. mithilfe der Domain-based Message Authentication, Reporting and Conformance Funktionalität, kurz DMARC. Durch die DMARC-Funktionalität werden Spam-Emails vorzeitig herausgefiltert und die Sicherheit im Email-Verkehr erhöht.
Fazit: Die Datenschutzbehörden sehen die DMARC-Funktionalität also grundsätzlich als zulässig an. Beim Einsatz der DMARC-Funktionalität muss jedoch geprüft werden, dass hinsichtlich der Berichte zu Spam-Emails der Grundsatz der Datensparsamkeit berücksichtigt wird und diese Berichte z.B. nicht den Inhalt der Spam-Emails enthalten.
9. LG Hamburg: Online-Marktplatz trifft keine Pflicht zur Bereitstellung eines Gastzugangs
von Joana Becker
Das LG Hamburg entschied mit seinem Urteil vom 22. Februar 2024 (Az. 327 O 250/22), dass ein Online-Marktplatz nicht zwingend einen Gastzugang für seine Webseite anbieten muss. Er kann vielmehr eine Registrierung der Nutzer verlangen, wenn u.a. gewichtige unternehmenseigene Erfordernisse des Marktplatzbetreibers (z.B. effiziente, zentrale Bearbeitung von Händlerbestellungen) für die Registrierungspflicht vorliegen. Das LG Hamburg weicht in seiner Entscheidung damit von dem Beschluss der Datenschutzkonferenz vom 24. März 2022 ab, der grundsätzlich die Bereitstellung eines Gastzugangs verlangt.
Fazit: Die Verpflichtung zur Einrichtung eines Kundenkontos kann gerechtfertigt sein, wenn der Onlineshop-Betreiber darlegen kann, dass dieses erforderlich ist, um eine effektiven Kundenkommunikation sicherzustellen und die Durchsetzung von Käuferrechten zu erleichtern. Zu beachten sind ferner jedoch auch die Einhaltung technischer und organisatorischer Maßnahmen zum Schutz der Vertraulichkeit des Kundenkontos, ein datenschutzkonformes Löschkonzept für das Kundenkonto sowie die Beachtung des Grundsatzes der Datenminimierung.
10. BGH: Einheitlicher Bestellbutton für mehrere Online-Bestellungen möglich
von Dr. Carsten Dobler
Mit Urteil vom 4. Juni 2024 (Az. X ZR 81/23) hat der BGH entschieden, dass ein Bestellbutton (§ 312j Abs. 3 BGB) ausreichen kann, wenn mehrere separate Verträge über zahlungspflichtige Leistungsgegenstände abgeschlossen werden. Dabei müsse jedoch erkennbar sein, dass mit dem Betätigen der Bestell-Schaltfläche eine auf Abschluss aller dieser Verträge gerichtete Erklärung abgegeben werde. Zugleich hat der BGH klargestellt, dass die Beschriftung der Bestell-Schaltfläche mit dem Text „jetzt kaufen“ zulässig sei, selbst wenn rechtlich kein Kaufvertrag vorliege, da diese Bezeichnung hinreichend eindeutig sei.
Fazit: Bei Verträgen im elektronischen Geschäftsverkehr können Unternehmen in der Bildschirmmaske mit der Bestell-Schaltfläche mehre Leistungsgegenstände kombinieren, sofern ausreichende Transparenz gewahrt ist.
11. BAG: Verarbeitung von Gesundheitsdaten eines Arbeitnehmers durch einen Medizinischen Dienst als Arbeitgeber ist zulässig
von Elisa Saier
Das BAG hat mit Urteil vom 20. Juni 2024 (Az. 8 AZR 253//20) entschieden, dass die Verarbeitung von Gesundheitsdaten durch einen Medizinischen Dienst nach Art. 9 Abs.2 lit.) h DSGVO für die Erstellung einer beauftragten gutachtlichen Stellungnahme erforderlich und damit zulässig ist, soweit dies zur Klärung der Arbeitsunfähigkeit erforderlich ist. Der Medizinische Dienst war von der gesetzlichen Krankenkasse mit der Erstellung einer gutachtlichen Stellungnahme zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit eines Versicherten beauftragt worden. Einer Zulässigkeit der Verarbeitung von Gesundheitsdaten steht auch nicht entgegen, dass der Medizinische Dienst gleichzeitig Arbeitgeber des betroffenen Versicherten ist. Das Unionsrecht enthält keine Vorgaben, wonach sichergestellt werden müsse, dass ein anderer Medizinischer Dienst als der Arbeitgeber des Versicherten mit der Gutachtenerstellung beauftragt werden hätte müssen.
Fazit: Ein Verstoß gegen die DSGVO ist nicht gegeben, wenn ein Arbeitgeber als Medizinischer Dienst Gesundheitsdaten eines eigenen Arbeitnehmers verarbeitet, solange die gesetzlichen Bedingungen für eine rechtmäßige Verarbeitung besonders geschützter Datenkategorien nach Art. 9 DSGVO erfüllt sind, insbesondere wenn die Verarbeitung der Gesundheitsdaten zur Klärung der Arbeitsunfähigkeit erforderlich ist.
12. Hamburgischer Datenschutzbeauftragter: Positionspapier zum Umgang mit aktuellen Entwicklungen im Bewerber- und Beschäftigtendatenschutz aus Sicht einer Aufsichtsbehörde
von Elisa Saier
Das Positionspapier vom 6. Juni 2024 des Hamburgischen Datenschutzbeauftragten „Bewerberdatenschutz und Recruiting im Fokus“ beleuchtet diverse Themen im Bewerber- und Beschäftigtendatenschutz, insbesondere aktuelle Entwicklungen in der Rechtsprechung des EuGHs zum Beschäftigtendatenschutz, wichtige Begriffe und typische Phasen im Bewerbungsprozess sowie der Zulässigkeit der Aufnahme in Talentpools nur mit Einwilligung. Thematisiert werden außerdem Fragen im Zusammenhang mit Background-Checks und von KI-Anwendungen. Anlass für die Veröffentlichung des Positionspapiers war der zunehmende Einsatz von KI-Tools im Bewerbungsprozess.
Fazit: Das Positionspapier ist eine (wenn auch im Detail nicht sehr vertiefte) Auseinandersetzung mit dem Thema Beschäftigtendatenschutz unter Berücksichtigung aktueller und in der Praxis zunehmend bedeutsamer technischen Möglichkeiten aus der Sicht einer Aufsichtsbehörde, die als erste Orientierung hilfreich sein kann typische rechtliche Fragen in der Praxis zu klären.
Lesehinweise zum IT- und Datenschutzrecht
von Sven Schonhofen, LL.M.
- Empfehlungen zu Künstlicher Intelligenz
- Datenschutzkonferenz:
- EDSA: Standardisierter Messenger Audit
- Datenschutzbehörde Baden-Württemberg: Weltweite Prüfung zu täuschenden Designs
EU-Datenstrategie: Bleiben Sie auf dem Laufenden zu Data Act, AI Act, Digital Services Act, NIS2, Cyberresilliance Act, European Health Space mit unserer Blogreihe.
Freuen Sie sich außerdem auf unsere neue wöchentliche Blogreihe "Litigation Lunchbreak", in der wir jeden Mittwoch spannende Einblicke und Analysen zu aktuellen Themen der Plattform- und Datenschutz - Litigation präsentieren.
Hören Sie sich den Reed Smith Podcast, Tech Law Talks, an. In unserem Podcast besprechen unsere Tech und Data Anwälte regelmäßig aktuelle Themen aus den Bereichen Datenschutz, Datensicherheit, Risikomanagement, IP, Social Media und mehr.
AI Explained ist unsere neue Reihe von Videos und Podcasts zum Thema künstliche Intelligenz, die Perspektiven zum Einsatz von KI in vielen Sektoren/Branchen und Rechtsordnungen bieten. Wir befassen uns mit den wichtigsten Herausforderungen, Chancen, Risiken und Vorschriften in den verschiedenen Sektoren.
Um immer aktuelle Informationen zu bekommen, besuchen Sie unseren Blog Technology Law Dispatch.