Datenschutz-News im Juni voller Abkürzungen: DDG und DSA statt TMG und NetzDG, BfDI verklagt den BND und jede Menge KI

Hoffentlich haben Sie jetzt nicht nur Bahnhof verstanden. In den letzten Wochen ist wieder einiges im Bereich Datenschutz passiert – hier die Highlights Schritt für Schritt:

Es gibt Änderungen im Nachgang zum Digital Services Act der EU: Ende April hat nach dem Bundestag auch der Bundesrat endlich das deutsche Digitale-Dienste Gesetz (DDG) verabschiedet, das Änderungen in einer ganzen Reihe bestehender Gesetze vornimmt. Es trat am 14. Mai 2024 in Kraft. Eine Änderung, die viele Unternehmen betreffen dürfte, liegt im Impressum: Denn die Pflicht zur Anbieterkennzeichnung ergab sich bisher aus §5 Telemediengesetz (TMG). Das TMG wird nun aber vollständig durch das DDG ersetzt, sodass alle Hinweise auf das TMG entfernt werden sollten. Wer möchte, kann sich nun im Impressum auf §5 DDG beziehen – oder es einfach ganz lassen: Es gibt keine Pflicht, die Norm explizit zu nennen, sondern es genügt, wenn die Überschrift der betreffenden Internetseite eindeutig hergibt, wer für die Internetseite verantwortlich ist, also wenn dort z.B. „Impressum“ oder „Anbieterkennzeichnung“ steht.

Mit dem DDG gelten übrigens auch viele Teile des Netzwerkdurchsetzungsgesetzes nicht mehr. Der Digital Service Act der EU bestimmt seit Anfang 2024 direkt, was innerhalb der EU online erlaubt und verboten sind. Als unmittelbar gültige Verordnung genießt er Anwendungsvorrang und steht über nationalem Recht. In die Entwicklung des DSA sind die Erfahrungen der Mitgliedsstaaten mit nationalen Gesetzen zur Regulierung digitaler Inhalte eingeflossen, vor allem auch mit dem deutschen NetzDG. Der DSA ist jedoch wesentlich breiter anwendbar: Während das NetzDG sich auf die Regulierung sozialer Netzwerke beschränkt hatte, knüpft der DSA an den weiteren Begriff des Vermittlungsdiensts an, wozu sowohl Host-Provider (z.B. Cloud- oder Webhosting-Services) als auch Anbieter von Onlineplattformen (z.B. App-Stores, Online-Marktplätze und Social-Media-Anbieter) zählen. Im Gegensatz zum NetzDG gilt der DSA für Unternehmen nicht erst ab einem Nutzerschwellenwert (im NetzDG waren es zwei Millionen aktive Nutzer), sondern für alle Anbieter. Und beim NetzDG war die Löschpflicht für einzelne Inhalte auf einen Katalog von 22 Strafnormen beschränkt. Der DSA kennt einen solchen beschränkten Katalog nicht – rechtswidrig ist daher nun jeder Inhalt, der nicht im Einklang mit Unionsrecht oder dem Recht eines Mitgliedsstaates steht; also nicht nur im Bereich des Strafrechts sondern auch wenn Verbraucherschutzrechte, das Wettbewerbsrecht oder auch das häufig verletzte allgemeine Persönlichkeitsrecht betroffen sind. Hier geht es zum noch ausführlicheren Vergleich von NetzDG und DSA.

Um Netzwerkdurchsuchung der anderen Art geht es dem scheidenden Bundesdatenschutzbeauftragen Ulrich Kelber: Er (bzw. seine Behörde) haben beim Bundesverwaltungsgericht eine Klage gegen den Bundesnachrichtendienst eingereicht – und damit zum ersten Mal eine Bundesbehörde verklagt. Da es um den deutschen Auslandsgeheimdienst geht, sind nicht viele Details bekannt. Aus der Arbeit des BND ergibt sich, dass potenziell personenbezogene Daten von Millionen von Menschen im Ausland betroffen sind. Kürzlich wurde auch publik, dass Geheimdienste sensible Daten mittlerweile auch in großem Umfang bei Datenhändlern einkaufen, was verfassungsrechtlich bedenklich sein könnte. Auf die Geheimniskrämerei des BND bezieht sich auch die Klage, da der BfDI sich nicht in der Lage sieht, mit den bereitgestellten Daten seine Kontrollbefugnisse und seine Kompensationsfunktion durchzusetzen. Weiter wünscht sich der BfDI das Recht, ein Fehlverhalten beim BND nicht nur beanstanden zu können, sondern auch anordnen zu dürfen, wenn eine Information herausgegeben werden soll. Hoffentlich werden hier noch ein paar mehr Details bekannt. Kelbers Nachfolgerin als BfDI wird übrigens die Bonner Professorin Louisa Specht-Riemenschneider.

Auch die deutsche Datenschutzkonferenz war nicht untätig und hat eine Orientierungshilfe mit datenschutzrechtlichen Kriterien für die Auswahl und den Einsatz von KI-Systemen veröffentlicht. Die soll als Leitfaden dienen und Verantwortliche dabei unterstützen, Künstliche Intelligenz datenschutzkonform einzusetzen. Die Orientierungshilfe beschäftigt sich vor allem mit Large Language Models (LLM) und Chatbots. Die Aufsichtsbehörden betonen, dass beim Einsatz von KI-Anwendungen häufig eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, und stellen klar: „Soweit der Verantwortliche nicht gleichzeitig Anbieter des KI‐Systems ist, ist er zur Durchführung einer Risikobewertung bzw. einer DSFA auf Informationen des Anbietenden insbesondere zur Funktionsweise des Systems angewiesen.“

Ein weiteres Positionspapier der DSK dreht sich um die Frage, welche Behörde(n) für die Kontrolle des AI Acts, der nunmehr endgültig beschlossen wurde und in Kraft getreten ist, auf nationaler Ebene zuständig ist/sind. Da Künstliche Intelligenz mit sehr vielen, auch personenbezogenen Daten arbeitet, wird – welch Überraschung! – die Ansiedlung bei den Datenschutzaufsichtsbehörden befürwortet. Derweil läuft die Überprüfung von ChatGPT durch das European Data Protection Board, dessen Task-Force hier seinen aktuellen Arbeitsbericht veröffentlicht hat. Aktuelle datenschutzrechtlichen Probleme sieht das EDPB insbesondere bei der Erhebung der Trainingsdaten, der Vorverarbeitung der Daten, das Training und der Verarbeitung der Eingaben der Nutzer (Prompts), die oft auf automatisierter Datenerhebung durch Auslesen von Daten aus dem Internet (Scraping) beruhen. Das EDPB hat erhebliche Zweifel, dass diese Verarbeitung auf ein berechtigtes Interesse gestützt werden kann. Der Abschlussbericht ist noch in Arbeit. Fertig gestellt hat das EDPB indes einen Datenschutz-Leitfaden für kleine Unternehmen auf Deutsch.

Auch Meta setzt auf mehr Künstliche Intelligenz: Vor wenigen Tagen wurden die Nutzer von Instagram und Facebook informiert, dass man sich derzeit darauf vorbereite, „KI bei Meta“ „auf deine Region“ auszuweiten. Das heißt, die KI soll künftig auch öffentliche Posts oder Fotos von Instagram, Facebook und Threads auswerten und damit trainiert werden. Indem sie sich möglichst viele (deutsche) Texte anschauen, lernen Chatbots, wie man (deutsch) spricht und schreibt. Und bildgenerierende KIs lernen, indem sie sich möglichst viele Bilder und Videos anschauen. Daher beruft sich Mark Zuckerberg wie so oft auf die Rechtsgrundlage des berechtigten Interesses, sodass die Nutzer nicht aktiv zustimmen müssen. Gnädigerweise räumt er allen Nutzern bis 25. Juni 2024 die Möglichkeit ein, der Nutzung zu widersprechen, allerdings nur über ein sehr verstecktes Formular. Neben dem Wohnort muss man dort auch noch – rechtlich fragwürdig – eine Begründung angeben, warum man widerspricht. Und in seiner unscheinbaren, verklausulierten Ankündigungs-E-Mail schreibt Meta dann auch noch großmütig: „Wird deinem Widerspruch stattgegeben, wird dieser zukünftig berücksichtigt.“ Warum das Ganze als ein „Antrag“ vermarktet wird, der auch abgelehnt werden kann, bleibt unklar und sehr fragwürdig. Aber vielleicht sollte man es schon einmal als Aufbruchsignal deuten, dass man überhaupt vorher informiert wird und die Möglichkeit hat zu widersprechen. Ab dem 26. Juni werden die Datenschutzrechtlinien dann entsprechend angepasst, sodass man vorher widersprechen sollte. Nachrichten und entsprechend auch WhatsApp sind übrigens nicht Teil des Vorhabens, dank der dortigen Ende-zu-Ende-Verschlüsselung ist das Auslesen der Nachrichten technisch auch gar nicht möglich.