DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

Interessenabwägung im Datenschutz
KI mit dem richtigen Mindset betrachten
Aktuelles aus dem Datenschutz

1. Interessenabwägung im Datenschutz

Das berechtigte betriebliche Interesse steht immer wieder im Fokus von Datenverarbeitung. Die Auslegungen sind dabei sehr unterschiedlich und nicht selten abenteuerlich. Für eine Betrachtung nehme ich einmal das Beispiel einer Parkplatzüberwachung. Inzwischen haben sich Firmen auf solche Servicedienste spezialisiert. Dieses inzwischen nicht nur mit der Überwachung der Parkscheiben in den Autos durch Mitarbeiter*innen, sondern auch durch digitale Methoden. So werden Kennzeichen bei Auffahrt auf einen Parkplatz digital erfasst und bei Ausfahrt ein weiteres mal. Überschreitet man die zulässige Parkzeit, wird eine Vertragsstrafe fällig. Klingt einfach und ist es technisch auch. Beliebt ist es bei Autofahren scheinbar weniger, denn so gut wie jeder so überwachte Parkplatz landet regelmäßig vor einer Aufsichtsbehörde. Besonderes Glück hat hier die Datenschutzaufsicht in NRW, denn einer der größten Anbieter einer solchen Serviceleistung sitzt in ihrem Bundesland.

Ich betrachte hier nur Datenschutzaspekte. Ob ein Vertrag, der bei einem Verstoß auch eine Vertragsstrafe beinhaltet, rechtmäßig zustande gekommen ist, muss man immer im Einzelfall prüfen. Aus Sicht des Datenschutzes kann eine vertragliche Grundlage jedenfalls nicht überzeugen und somit eine Verarbeitung nach Art. 6 Abs. 2 lit. b) DS-GVO nicht herangezogen werden. Als Beispiel dient der Burger King Parkplatz in Hamburg Bramfeld. Es gibt ein Schild bei Auffahrt. Kein Autofahrer kann dieses Schild bei Auffahrt von der Hauptstraße auf den Parkplatz wissentlich zur Kenntnis nehmen, geschweige denn auch alles Kleingeschriebene lesen. Die Kenntnis wird erst bei Einparken durch weitere Beschilderung über die Parkbedingungen erlangt. Hier ist bereits das Kennzeichen erfasst, so dass vollendete Tatsachen geschaffen sind. Dieses auch dann, wenn sich jemand entschließ den Vertrag nicht anzunehmen, nicht zu parken und mit seinem Auto wieder abfährt. Ferner wird auch die Durchfahrt zum Drive-In mit überwacht, da es technisch-räumlich keine Alternativen gibt. Somit kann nur das berechtigte Interesse des Parkplatzbetreibers nach Art. 6 Abs. 1 lit. f) DS-GVO herangezogen werden.

Man muss nun die unternehmerischen Freiheiten des Parkplatzbetreibers und die Rechte und Freiheiten betroffener Personen abwägen. Hierbei muss auch untersucht werden, ob ein milderes Mittel zur Zielerreichung vorhanden wäre und dieses zumutbar angewandt werden kann. Das mildere Mittel ist recht einfach: Parkende legen Parkscheiben in das Auto und ein Mitarbeiter des Burger King oder des Servicedienstleisters kontrolliert diese regelmäßig. Die Aufsichtsbehörde schreibt hierzu folgendes: " Der Einsatz von Überwachungspersonal ist sehr kostenintensiv und keine sinnvolle und zumutbare Alternative." Diess ist insofern erstaunlich, weil Aufsichtsbehörden regelmäßig ebenso schreiben: "Personalkosten oder die Betrachtung der Wirtschaftlichkeit können nur bei außerordentlicher Unverhältnismäßigkeit eine Erforderlichkeit rechtfertigen." Was gilt jetzt und wann? - Ein Juristenbuch von einem Professor aus dem Beck Verlag sagt dazu folgendes: "Erforderlich ist eine Datenverarbeitung dann, wenn es keine sinnvollen oder zumutbaren Alternativen gibt, um das jeweils verfolgte Ziel zu erreichen. Es reicht nicht, wenn die Datenverarbeitung zur Zielerreichung irgendwie dienlich oder förderlich ist." Damit sind wir dann auch nicht klüger.

In der Abwägung steht zuerst das Interesse des Parkplatzinhabers und sein Hausrecht Parkzeitüberschreitung überwachen zu dürfen. Dieses kann nicht bestritten werden. Lediglich die Umsetzung ist hier Thema. Auf Seiten des Parkplatzbetreibers besteht das Interesse, die Umsetzung möglichst effizient und kostengünstig zu tätigen. Demgegenüber sind die Rechte und Interessen betroffener Personen zu stellen. Hier stellt sich zuerst die Frage nach Art. 22 Abs. 1 DS-GVO. Hiernach haben betroffene Personen das Recht einer nicht ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Dieses ist im vorliegenden Beispiel höchst fraglich. Die Erfassung erfolgt durch Kameras, wird automatisiert ausgewertet, und, ist das Ergebnis eine Parkzeitüberschreitung, auch automatisiert erkannt sowie weiterverarbeitet. Das ist der Effizienzansatz in der Digitalisierung. Die Aufsichtsbehörde schreibt dazu, dass laut Systembetreiber ein Mensch am Ende nochmal prüft, die Vertragsstrafe ausdruckt, verpackt und versendet. An der Stelle habe ich lachen müssen. Diese Argumentation ändert natürlich nichts an der Tatsache, dass die Entscheidungsfindung selbst maßgeblich und allein durch ein automatisiertes Verfahren herbeigeführt wird.

Die betroffenen Personen haben dass Interesse, dass, solange kein Verstoß vorliegt, keine ihrer Daten verarbeitet werden. Hierneben haben Sie ein Interesse, dass ein angemessener Schutz gegen fehlerhafte Verarbeitung und Speicherung ihrer Daten besteht. Dieses muss man nun miteinander abwägen. Eine Grundrechte-Folgenabschätzung, wie im AI Act vorgesehen, wird erst in 2025 kommen. Ob diese Technik hierbei als KI qualifiziert, steht nicht fest. Hinzu kommt noch die Tatsache, dass man aus der Sicht des Burger King denken muss: Burger King könnte ein Unternehmen beauftragen, welches die gleiche Dienstleistung, aber mit Menschen als Kontrolleure von Parkscheiben, durchführt. In der Wirtschaftlichkeit für Burger King täte dieses keinen Unterschied machen. Somit wäre das mildere Mittel möglich und eine zumutbare Alternative.

Fazit: Man kommt bei solchen Abwägungen der Interessen immer zu dem Ergebnis, zu dem man kommen will. Bevor man nicht zu Gericht zieht, wird wohlwollend dahin argumentiert, wo man hin entscheiden will. Im vorliegenden Fall will die Aufsichtsbehörde, dass das Geschäft einer digitalen Parkplatzüberwachung legal ist. Dieses ist eine politische Entscheidung, keine juristische. Im politischen Sinne mag die Entscheidung auch richtig sein, im juristischen ist sie es nicht. Und hier ist das Dilemma: Aufsichtsbehörden sind eigentlich nicht für politische Entscheidungen da. Sie sind nur zur Umsetzung von Recht und Gesetz vorgesehen. Politische Entscheidungen obliegen dem Gesetzgeber, der dann die Rahmenbedingungen anpassen muss, wenn die Regulierung nicht zum politisch gewünschten Ergebnis führt.

2. KI mit dem richtigen Mindset betrachten

Das Thema KI ist weiter das Thema des Jahres. Viele meiner Kunden stellen sich inzwischen die Frage, wie KI zukünftig die Arbeitswelt und unser Leben verändern wird. Nicht wenige haben Angst vor der Veränderung. KI wird sicher unsere Welt verändern, wie jeder technische Fortschritt. Ich möchte ein paar Gedanken formulieren, die zeigen, dass KI uns nicht alles schöne wegnehmen und eine kalte, herzlose und asoziale Welt schaffen wird. Hierfür greife ich wieder einmal auf Prof. Dr. Yasmin Weiß zurück.

Zitat Fr. Prof. Weiß: "214 Mal pro Tag an 365 Tagen im Jahr greift der Durchschnittsnutzer zu seinem Smartphone. Das sind 214 verpasste Chancen, anderen Menschen direkt in die Augen zu blicken oder sich selbst Aufmerksamkeit zu schenken." Und genau damit hat sie recht. Die besten Momente im Leben passieren immer noch Offline. Wir müssen nicht online konferieren etc., nur des Digital wegen, weil wir uns dann modern fühlen. Es ist nichts falsch sich persönlich zu einem Meeting oder einer Schulung zu treffen, wenn dieses möglich ist.

Zitat Fr. Prof. Weiß: „Die letzten Arbeitsmarktrevolutionen haben uns produktiver, aber nicht glücklicher gemacht. Wie stellen wir sicher, dass es bei der KI-Revolution anders wird?“ Das ist sicher eine der Schlüsselfragen. Die Antwort dazu liefert Fr. Prof. Weiß ebenso: "Lasst uns lästige Tätigkeiten (dumb & dull) an KI delegieren und nicht jeden Zeitgewinn in mehr Output, sondern in mehr Sinn und mehr Menschlichkeit investieren." Auch da kann ich nur zustimmen. Wir sollten uns die Aufgaben, die uns keine Freude bereiten, von KI abnehmen lassen. Die damit gewonnen Zeit und bessere Stimmung sollten wir nicht 1:1 in andere Aufgaben stecken, sondern zum Teil in "Quality Time" für unser eigenes Leben investieren.

Zitat Fr. Prof. Weiß: "Ich kenne kein Unternehmen außer Google, das es bislang geschafft hat, aus dem Namen ein geläufiges Verb in unserer Alltagssprache zu machen." Mit KI gelangt auch die Informationssuche auf eine neue Ebene. "Googeln" wird demnächst vermutlich eine alte Methodik der Informationsgewinnung sein. Unsere Kinder und Enkel werden es bald mit einer vergangenen Zeit verbinden, wie die Suche in einem Telefonbuch. Neue Ansätze generativer KI gehen auf neue Kundenbedürfnisse ein: "Nicht tippen, nicht suchen, nicht warten und fertige Lösungen bekommen." Das ist die Zukunft. Die KI-Anbieter wünschen sich dabei vermutlich auch nicht denken und nicht selbst verstehen, aber das möchte ich mir dann doch weiter vorbehalten. Wir müssen nicht alle Kompetenzen an KI abgeben.

Ebenso Zusammengefasst aus Fr. Prof Weiß: Man muss sich auf die Lösung konzentrieren, nicht auf das Problem. Die Fähigkeit, den konstruktiven Gedanken bewusst den Vorrang zu geben und das Nicht-Konstruktive im Kopf beiseite zu schieben, ist ein ganz wesentliches Merkmal von emotionaler Intelligenz. Krise und Transformation werden unsere (Arbeits-)Welt auch in Zukunft prägen. Emotionale Intelligenz und damit die Fähigkeit, klug mit uns selbst und anderen umzugehen und unsere Emotionen klug zu regulieren, ist in diesen Zeiten eine der zentralen Futureskills. Unsere emotionale Intelligenz ist eine der wichtigsten Ressourcen, die wir im Umgang mit künstlicher Intelligenz einbringen können. - Dem ist nichts hinzuzufügen.

Zitat Fr. Prof Weiß: "Wenn ein Mensch ein ganzes Leben lang nichts anderes machen würde, als 24 Stunden pro Tag Bücher zu lesen, würde man am Ende eines Lebens 8 Milliarden Wörter gelesen haben. Die leistungsfähigsten KI-Systeme werden derzeit mit 8 Billionen Wörtern pro Monat trainiert." -Dieses führt zu der Frage, ob Lesen so gesehen noch Sinn macht. Und natürlich tut es das! Auch hierzu Fr. Prof Weiß: "Warum es sich dennoch lohnt, Bücher zu lesen:
👉 Weil es die Phantasie anregt
👉 Weil es hilft, neugierige Fragen zu stellen
👉 Weil es den Horizont erweitert
👉 Weil es die sprachliche Finesse fördert
👉 Weil es zum Träumen anregt
Die Zusammenarbeit mit KI bedeutet, die jeweiligen Stärken von Mensch und Maschine wirkungsvoll zusammenzuführen. Und wenn Maschinen immer besser darin werden, kluge Maschinen zu sein, sollten wir Menschen immer besser darin werden, kluge (und gute!) Menschen zu sein."

Damit genug von Fr. Prof Weiß und wir lernen alle, dass KI und die Weiterentwicklung der Digitalisierung vor allem auch eine Frage des richtigen Mindsets und der richtigen Philosophie damit umzugehen sind. Das wirklich wichtige im Leben passiert weiterhin in unserem Kopf. Wir müssen es nur wollen und zulassen. Und dieses wird auch der Grundstein sein, in der Zukunft keinen Jobverlust (durch KI) zu erleiden. Weiterhin und noch viel mehr als bisher wird "Upskilling" der Schlüssel zu einem sicheren Arbeitsplatz sein: Besitze ich die richtigen Kompetenzen am Zahn der Zeit, muss ich mir um meinen Arbeitsplatz keine Sorgen machen!

3. Aktuelles aus dem Datenschutz

Im Bereich der Auftragsverarbeitungsverträge (AVVs) möchte ich den Hinweis eines Kollegen aufgreifen, der leider berechtigt ist. Viel zu oft stehen Unmengen an Subunternehmen in diesen Verträgen, die mit der Datenverarbeitung für den Auftraggeber gar nichts mehr zu tun haben. Das geht von irgendwelchen CMD Betreibern in Webseiten bis zu Steuerberatern. So entstehen lange Listen, die gar nicht in die AVVs reingehören. Die Auftragnehmer tun das, weil sie nichts falsch machen wollen und sich mit dem Datenschutz gar nicht so detailliert auskennen. Hier ist weniger Angst und mehr Kompetenz gefragt. Das erleichtert auch die Arbeit und verringert die Rückfragen.

Da die Ampelkoalition unter Druck ist und vor allem die FDP das Land entbürokratisieren möchte, ist im neuen Gesetzentwurf für die Reform des BDSG vorgesehen, dass Datenschutzbeauftragte nur noch ab 50 Mitarbeiter*innen (derzeit 20) bestellt werden müssen. Das betrifft nur die Unternehmen, die aus der Art Ihrer Tätigkeit heraus nicht sowieso einen DSB bestellen müssen. Was hilft das in der Praxis? Ehrlich gesagt nichts. Alle Datenschutzpflichten sind in der DS-GVO verankert und bleiben unverändert bestehen. Man muss sie weiter erfüllen und in den Unternehmen muss sich jemand darum kümmern. Wenn sich dann keiner mehr damit auskennt, weil man den DSB gekündigt hat, muss man spätestens bei der nächsten Datenschutzbeschwerde den DSB wieder einstellen. Entbürokratisierung ist absolut zu befürworten, aber dieser Ansatz hilft niemanden.

Ich bekomme immer mehr Anfragen zu Microsoft Copilot. Soll man die Anwendung nutzen und ist es Datenschutzkonform. Ich würde das mit zwei Mal "klares Nein" beantworten. Wenn diese Anwendung der "Copilot" ist, nehmen wir das Wort mal buchstäblich, dann sollte der Chef-Pilot besser nicht ausfallen. Mit dem was "MS Copilot" derzeit leistet, stürzt das Flugzeug mit Sicherheit böse ab, so meine Meinung. Lassen Sie die Anwendung weg. Sie hilft meiner Meinung nach für Nichts und der Datenschutz ist auch sehr fraglich.

Ich muss mich zum AI Act der EU korrigieren: Die Verordnung der EU 1689/2024, die Regulierung künstlicher Intelligenz, ist mit dem 1. August 2024 in Kraft getreten und die ersten Bestimmungen aus dieser Verordnung werden bereits im Februar 2025 verpflichtend. Es besteht hier nur eine sechsmonatige Vorbereitungszeit. Ich werde prüfen, ob einzelne meiner Kunden hiervon betroffen sind und diese dann informieren. Der BfDI begrüßt die Verordnung und befürwortet insbesondere die Regelungen zu Scoring und Gesichts-erkennung. Verbraucher haben so mehr Rechte bzw. mehr Schutz ihrer Daten.

Der Landesbeauftrage für den Datenschutz und die Informationsfreiheit in Niedersachsen hat in einer Presseerklärung mitgeteilt, dass er jetzt eine Social Media Präsenz auf dem Portal Mastodon besitzt. Wollen wir das wissen?

Das Thema des Monats war vermutlich die Geschichte mit weltweiten IT-Ausfällen wegen eines fehlerhaften Updates bei Crowdstrike. Persönlich habe ich nichts davon mitbekommen. Meiner persönlichen Meinung nach ist die Thematik auch keine neue Erkenntnis. Die Sachlage ist bekannt. Fallen Dienste wie Crowdstrike aus oder funktionieren fehlerhaft, kann es im Nachrang zu Ausfällen und Störungen bei den Unternehmen kommen, die auf diese Dienste zugreifen. Das ist in etwa so, als wenn die Signalanlagen an einer Bahnstrecke eine Störung haben. Dann fahren auch die Züge der Betreiber nicht mehr, die selbst gar nichts mit den Signalanlagen zu tun haben. Alle müssen warten, bis der Fehler behoben ist. In der IT-Welt ist das nicht anders. Ob es anders sein könnte und sollte, steht auf einem anderen Blatt.

Taylor Swift war ist in Deutschland, die "Eras" Tour. Auch das ruft Cyberkriminelle auf den Plan. Im Darknet wurden 560 Millionen Ticket-Master-Nutzende von der Hackergruppe ShinyHunters veröffentlicht und zum Kauf angeboten. Bei Eventim, unser größter Anbieter für Konzerttickets, wurden im Mai hunderte Konten gehackt, um auf Ticketdaten zuzugreifen. Taylor Swift ist auch im kriminellen Cyberraum ein Millionengeschäft.

Das Phishing wird immer raffinierter und unseriöse E-Mail immer schwieriger zu erkennen. Oftmals geht es darum Kreditkartendaten zu erbeuten und Beträge abzubuchen. Ich rate jedem dazu, seine Kreditkarten für Onlinekäufe auf Zwei-Faktor-Authentisierung einzurichten. Diese Maßnahme hilft aber auch nur bedingt. Ich werde dieses Thema einmal in einem kommenden Newsletter näher betrachten.

Eine juristische Frage, die wenig Beachtung findet, aber gar nicht unwichtig ist, wird derzeit weiter ausgefochten: Gibt es eine Eigentumsfähigkeit von Daten? Das ist im Gesetz so nicht vorgesehen und bisher auch von der Rechtsprechung verneint. Es gibt aber durchaus gute Gründe pro Eigentumsfähigkeit von Daten zu argumentieren.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Für den nächsten Newsletter habe ich einen interessanten Fall zu Inkassounternehmen und alten Forderungen. Auch hier kann Datenschutz eine Rolle spielen und Fragen aufwerfen.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

IMPRESSUM:

Tobias Lange - Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de