KI VO Aktuelles Updates

Aktuelles zur KI-VO: Logbuch zur geplanten Verordnung

Für die hinreichende Vorbereitung auf die kommende KI-VO empfiehlt es sich, aktuelles rund um die Verordnung im Blick zu behalten. Dafür werden an dieser Stelle stets die wichtigsten Entwicklungen im Gesetzgebungsprozess dargestellt. Der jeweils neueste Beitrag ist dabei an oberster Stelle zu finden.

Die Arbeiten an der kommenden KI-Verordnung (KI-VO) der EU sind in vollem Gange. Nach seinem In-Kraft-Treten wird das Gesetz die Entwicklung und Verwendung von KI in der gesamten EU regeln. Da es sich um eine Verordnung handelt, werden die Regelungen unmittelbar in den Mitgliedsstaaten wirksam sein. Eines Umsetzungsaktes in nationales Recht bedarf es nicht. Der Entwurf zur Verordnung war im April 2021 von der EU-Kommission vorgelegt worden. Vorrangig geht es darum, einen europäischen Rechtsrahmen für KI zu schaffen. Darüber hinaus soll jedoch ein weltweiter Standard für den ethischen Einsatz und die Entwicklung der Technologie entstehen.

Viele der künftigen Vorgaben werden sich voraussichtlich nicht mehr erheblich ändern. Das grundlegende Regelungsgerüst ist daher schon jetzt abzusehen und Unternehmen können sich darauf vorbereiten. Als Leitfaden kann dafür unser Whitepaper zur kommenden Verordnung genutzt werden.

Whitepaper zur KI Verordnung

Der Trilog zwischen den EU-Gesetzgebungsorganen ist abgeschlossen. EU-Parlament und EU-Ministerrat haben ihre Kompromissversionen zum KI-VO-Entwurf ausgearbeitet und sich auf die zentralen Inhalte geeinigt. Das EU-Parlament hat bereits positiv über die Verabschiedung der Verordnung abgestimmt. Feinheiten werden noch in der nächsten Zeit abgerundet und der Prozess findet seinen Abschluss mit einem formellen Abstimmungstermin beim Ministerrat. Mit dem finalen Inkrafttreten der Verordnung ist im zweiten Quartal 2024 zu rechnen. Im Anschluss wird es für Unternehmen eine Umsetzungsfrist von grundsätzlich zwei Jahren geben, wobei jedoch die ersten Verbote zu besonders wichtigen Regelungsgebieten bereits 6 Monate nach Inkrafttreten greifen.

Informieren Sie sich hier für alle News und Updates rund um die geplante KI-Verordnung

Verabschiedung im EU-Parlament, 13.3.2024

Nach langer gesetzgeberischer Reise hat die KI-VO am 13. März 2024 endlich den Meilenstein der erfolgreichen Verabschiedung im Europäischen Parlament überschritten.

Zwar steht noch eine abschließende Prüfung und förmliche Abstimmung durch den Ministerrat aus, dieser hat jedoch bereits die Billigung der Parlamentsversion zugesagt. Es erfolgt voraussichtlich lediglich ein letzter Feinschliff, die Kerninhalte stehen jedoch. Eine der auffälligsten Änderungen der Fassung des 13.3 im Vergleich zu der bis dato letzten Version der KI-VO ist eine Anpassung der Artikelnummerierung. Die zuletzt stark vertretenen Buchstaben-Artikel wurden von einer einheitlichen Zahlengliederung ersetzt, wodurch sich jedoch lediglich die Nummerierung verschoben hat. Auch wurde eine aktuelle deutsche Fassung des Verordnungstextes vom EU-Parlament veröffentlicht. Inhaltlich kam es nur zur Anpassung von Feinheiten.

Das finale Inkrafttreten der Verordnung ist für den 20. Tag nach Veröffentlichung im Amtsblatt geplant. Somit zeichnet sich Ende Mai als Zeitpunkt des Inkrafttretens ab.

Es bleibt bei der geplanten Staffelung der Umsetzungspunkte der unterschiedlichen Pflichtenregime der KI-VO. Die allgemeinen Vorschriften und verbotenen Praktiken müssen bereits 6 Monate nach Inkrafttreten umgesetzt werden. Die Einrichtung der zu schaffenden Behörden und Stellen samt der einhergehenden Governance-Regelungen soll bis 12 Monate nach Inkrafttreten der KI-VO abgeschlossen sein. Ab diesem Zeitpunkt werden auch die Regelungen zu KI-Modellen und KI-Systemen mit allgemeinem Verwendungszweck (GPAI) ihre Wirkung entfalten. In einer weiteren Etappe werden nach 24 Monaten die zentralen Pflichten für Hochrisiko-Anwendungsgruppen aus Anhang III umzusetzen sein. Den Abschluss bildet nach 36 Monaten der Umsetzungsbeginn der Harmonisierungsvorschriften aus Anhang I (vormals Anhang II), die in Kombination mit weiteren EU-Richtlinien neue Hochrisiko-Anwendungsgruppen entstehen lassen.

Zuständige Ausschüsse im EU-Parlament stimmen der KI-VO zu, 13.02.24

Am 13. Februar 2024 haben der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), die im EU-Parlament federführend für die KI-VO zuständig sind, über die finale Fassung der Verordnung abgestimmt. Dabei wurde das Gesetz mit großer Mehrheit angenommen (71 Zustimmungen, 8 Ablehnungen, 7 Enthaltungen). Die KI-VO ist damit erneut einen großen Schritt auf die Verabschiedung zugegangen. Anfang Februar 2024 hatte bereits der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) unter Vorsitz der belgischen Ratspräsidentschaft den im Dezember 2023 erreichten Kompromiss angenommen. Im April 2024 wird das EU-Parlament im Plenum über die Verordnung abstimmen. Dass es dabei zu Überraschungen kommen wird, gilt als unwahrscheinlich. Anschließend wird der EU-Ministerrat formell und final über die KI-VO abstimmen. Seitens des Rates wurde jedoch bereits zugesichert, dass die KI-VO in der Parlamentsversion gebilligt werden solle, sofern sich dieses in erster Lesung einigen könne.

Die KI-VO steht damit kurz vor dem Inkrafttreten. Wahrscheinlich noch vor den Europawahlen im Juni 2024 wird die Verordnung verabschiedet werden. Für Unternehmen bedeutet das, dass sie jetzt mit der Vorbereitung auf das Gesetz beginnen sollten.

Finale Fassung der KI-VO geleakt, 24.01.24

Der Abschluss der Trilogverhandlungen hat Früchte getragen. Am 22.1.24 wurde eine aus Kommissions-, Rats- und Parlamentsentwurf konsolidierte Fassung der KI-VO durch eine journalistische Quelle geleakt. Der Neuentwurf beinhaltet Ansätze aus allen bisherigen Fassungen, mit einem Schwerpunkt auf dem Kommissionsentwurf. Ihre Formulierungsgrundlage findet die Neufassung zu 47 % ihrer Artikel im Kommissionsentwurf, während weitere 25 % auf dem Parlamentsentwurf und die restlichen 28 % auf dem Ratsentwurf basieren. Es finden sich dennoch weitreichende Änderungen innerhalb der Formulierungen der neuen Artikel, sodass nicht lediglich ein zusammengesetztes Stückwerk entstanden ist, sondern ein gänzlich eigener Entwurf. Dieser soll in einer Abstimmung des zuständigen Gremiums am 2.2.24 als finales Vorlagedokument bestätigt werden. Im Fall einer positiven Abstimmung über das Dokument wird das Europäische Parlament im Anschluss seine schlussendliche Entscheidung treffen. Das Ende des Gesetzgebungsprozesses und das Inkrafttreten der KI-VO zeichnen sich damit schon in naher Zukunft ab. Denkbar wäre als möglicher Zeitpunkt dafür bereits im Februar.

Der neue Entwurf enthält die bereits nach dem Abschluss des Trilogs angekündigten neuen Regelungen zum Themenfeld General Purpose AI (mit oder ohne systemischem Risiko) und den zugrundeliegenden Basismodellen (GPAI Modells) innerhalb der Art. 52, 52 a) – 52 e) KI-VO-E.

Auch die heiß diskutierten Regelungen zur biometrischen Echtzeiterkennung wurden im finalen Entwurf umgesetzt. Jedoch kommt derzeit erneut Kritik auf, da eine Nutzung der biometrischen Erkennungssoftware auf zuvor angefertigten Aufnahmen (nicht in Echtzeit) in besonders gerechtfertigten Situationen sogar ohne Richtervorbehalt erfolgen kann, sofern eine Beantragung der Anordnung innerhalb von 24h nachgeholt wird. Kritisiert wird diese Regelung insbesondere, weil die ursprünglich ausgehandelten wenigen Ausnahmefälle auf diese Weise aufgeweicht werden könnten.

Durch die Mischung der Ansätze der verschiedenen Entwurfsversionen und den nachfolgenden Formulierungsanpassungen hat sich auch das Hauptregelungsgebiet der Hochrisiko-KI weiter fortentwickelt. So kam es unter anderem dazu, dass KI mit Anwendungsbereich im Feld der Risikobewertung und Bepreisung für Kranken- und Lebensversicherungen im derzeitigen Entwurf als Hochrisiko-KI erfasst werden, obwohl dies in früheren Fassungen teilweise nicht mehr der Fall war. Das Pflichtenprogramm wurde insofern angepasst und ausgeweitet.

Es bleibt abzuwarten, ob alle derzeitigen Inhalte des Verordnungsentwurfs übernommen werden. Denn vereinzelt werben Mitgliedsstaaten, wie etwa Frankreich, bereits für ein „Nein“ innerhalb der binären Vorlageentscheidung bezüglich der nun vorliegenden Entwurfsfassung, um weiter Einfluss auf die Inhalte nehmen zu können. Dies ist darin begründet, dass innerhalb der Vorentscheidung über die Vorlage gegenüber dem Parlament in diesem fortgeschrittenen Stadium keine Anpassungswünsche mehr in der Abstimmung berücksichtigt werden, sondern nur noch mit Zustimmung oder Ablehnung zur derzeitigen Version gestimmt werden kann.

Dennoch werden mit der neuen Entwurfsversion erneut wichtige Schritte auf der Zielgeraden des Gesetzgebungsprozesses gegangen.

Die EU Co-Gesetzgeber haben sich auf finale Version der KI-VO geeinigt, 11.12.23

Nach der finalen Trilogverhandlung, die am Mittwoch, dem 06.12.2023 begann, ist dem EU-Parlament, der Kommission und dem Ministerrat nun endlich eine Einigung über die kommende KI-VO gelungen. In ihrer Länge war die Verhandlung rekordverdächtig. Anfänglich nur für den Mittwoch angedacht, mussten die Gesetzgeber:innen nach 22 Stunden zäher Verhandlung eine Pause anberaumen und kamen schließlich am späten Freitagabend, dem 08.12.2023, über die finale Fassung der KI-VO überein.

Wichtiges Ziel war es dabei eine Balance zwischen Innovationsfreundlichkeit und Grundrechtsschutz zu finden. Nach Aussage der Beteiligten ist dies jetzt gelungen. In ihrer Grundstruktur ist die Verordnung ihrem ersten Entwurf treu geblieben. So gilt nach wie vor der risikobasierte Ansatz mit einem Fokus auf Hochrisiko-KI. Viele Details haben sich jedoch im Verglich zur ursprünglichen Kommissionsversion geändert. Zu den Punkten, die in der letzten Verhandlung am stärksten umstritten waren, gehörten die Regulierung von General Purpose AI und das Verbot biometrischer Echtzeitidentifizierung.

Biometrische Echtzeiterkennung wird im Ergebnis von der KI-VO grundsätzlich verboten. Dabei gelten jedoch drei Ausnahmen: die Technologie soll gestattet sein, um terroristische Angriffe zu erkennen und vorzubeugen, auf der Suche nach Opfern und bei der Verfolgung schwerer Verbrechen. Dass die Staaten diesen engen Anwendungsbereich einhalten, soll durch unabhängige Institutionen überwacht werden.

Die Regulierung von General Purpose AI (GPAI), also KI, die für eine Vielzahl von Zwecken verwendet werden kann, war schon seit geraumer Zeit ein kontrovers diskutierter Punkt der KI-VO. Zuletzt stand sogar die Möglichkeit im Raum, das Streitthema könne die Verordnung gänzlich zu Fall bringen. Dazu kam es jedoch letztendlich nicht. Final einigte man sich am Freitag auf einen zweistufigen Ansatz. Entwickler:innen aller GPAI-Modelle, also der ersten Stufe, sollen bestimmte Transparenzpflichten erfüllen. GPAI der zweiten Stufe ist solche, die besonders leistungsfähig ist und von der ein besonders hohes Risiko ausgeht. Darunter fällt z.B. die aktuelle Version des Sprachmodells ChatGPT. Für sie wird es gelten bestimmte Risiko-Assessment und Management Anforderungen zu erfüllen. Werden die Systeme im Bereich der Hochrisiko-KI eingesetzt, gelten für sie freilich zudem die entsprechenden Vorgaben.

Was die Einstufung als Hochrisiko-KI betrifft und welche Regelungen genau zu beachten sein werden, hat sich ebenfalls seit dem Ursprungsentwurf stark verändert. Grundsätzlich lässt sich sagen, dass der Anwendungsbereich sowie das Pflichtprogramm ausgeweitet wurden. Lesen Sie dazu in Kürze ausführlich in unserem aktualisierten Whitepaper.

Der finale Text der KI-VO liegt bisher noch nicht vor. Zunächst soll das Finetuning an den Formulierungen erfolgen, anschließend werden EU-Parlament und Ministerrat noch formell über die Verordnung abstimmen müssen. Änderungen soll es jedoch keine mehr geben. Das Gesetz wird anschließend voraussichtlich Anfang 2024 in Kraft treten. Die vorgesehenen Verbote greifen 6 danach. Nach einem Jahr gelten die Anforderungen für die Konformitätsbewertungsstellen sowie die Governance-Bestimmungen. Nach zwei Jahren wird die gesamte Verordnung zu beachten sein. Um sich erfolgreich darauf einzustellen, müssen Unternehmen jetzt mit der Vorbereitung beginnen.

Die Arbeit an der KI-VO befindet sich auf der Zielgeraden, 03.11.23

In den derzeitig stattfindenden Trilog-Verhandlungen rückt eine Einigung zwischen EU-Parlament, EU-Ministerrat und EU-Kommission immer näher. Der letzte Verhandlungstermin am 24.10.23 brachte die Arbeit an der Verordnung erneut wesentlich voran. So wurden Fortschritte gemacht, was die Regulierung von Basismodellen wie ChatGPT und die Klassifizierung von Hochrisiko-KI betrifft. Hinsichtlich des zweiten Punktes scheinen sich die Co-Gesetzgeber einig zu sein, dass von der Qualifizierung als Hochrisiko-KI über den Anhang III eine Ausnahme gemacht werden solle, wenn von einem System kein signifikantes Risiko für Gesundheit, Sicherheit oder Grundrechte einer natürlichen Person ausgehe. Über andere Themen besteht jedoch noch Uneinigkeit. Insbesondere welche KI-Systeme verboten werden sollen und welche Ausnahmen dabei für Strafverfolgungsbehörden gemacht werden sollen, konnte noch nicht abschließend geklärt werden. Die nächste Trilog-Verhandlung ist für den 06.12.23 anberaumt. Es gilt als wahrscheinlich, dass bei dem Termin eine politische Einigung über die finale Fassung der KI-VO erreicht wird.

EU-Parlament einigt sich auf Kompromissvorschlag und Beginn des offiziellen Trilogs, 14.06.23

Das EU-Parlament hat sich heute über seinen finalen Kompromissvorschlag zur geplanten KI-Verordnung geeinigt. Damit kann nun der offizielle Trilog zwischen EU-Parlament, Ministerrat und EU-Kommission beginnen. Im Trilog soll nun ein finaler Entwurf der KI-Verordnung ausgearbeitet werden. Die erste Verhandlung des Trilogs soll noch heute, am Mittwoch, dem 14. Juni stattfinden. Spanien, das ab nächstem Monat die EU-Ratspräsidentschaft für die zweite Jahreshälfte übernehmen wird, hat bereits angekündigt, dass die Verhandlungen zur KI-Verordnung noch unter seinem Vorsitz abgeschlossen werden sollen. Die Arbeit an der KI-Verordnung wird also an Fahrt aufnehmen und die Verordnung wird voraussichtlich noch dieses Jahr in Kraft treten.

Die Verhandlungen im EU-Parlament waren zuletzt ins Stocken geraten und die zuvor erzielte politische Einigung zwischen den Fraktionen galt als gescheitert. In der heutigen finalen Abstimmung wurden deshalb teilweise neue Anträge von Fraktionen des EU-Parlaments gestellt. Keiner dieser neuen Anträge war jedoch erfolgreich. Laut einem Parlamentarier war es vor allem auch darum gegangen zu signalisieren, dass es keine hundertprozentige Einigkeit im Parlament über die KI-Verordnung gibt. Im Ergebnis kam es heute somit nicht mehr zu Änderungen.

Ein wichtiger Aspekt, der den Kompromissvorschlag des Parlaments von der ursprünglichen Kommissionsversion unterscheidet, ist die geplante Regulierung von General Purpose AI. Diese verfolgt keinen konkreten Zweck, sondern kann als Grundlage für spezifische unterschiedlichen Zwecke genutzt werden. Hier relevant sind insbesondere sogenannte Basismodelle, große Sprachmodelle, auf denen andere KI aufgebaut werden kann. Ein prominentes Beispiel dafür ist ChatGPT. Laut dem EU-Parlament soll für solche System eine besondere Kennzeichnungspflicht für die erzeugten Inhalte und eine Offenlegungspflicht für die Trainingsdaten bestehen. Wichtig ist auch, dass das Parlament die geplante zweijährige Umsetzungspflicht für derartige KI verkürzen möchte, da sie schon jetzt nachteilige Auswirkung habe.

Weitere wichtige Änderungen des Parlaments betreffen die Definition von KI, eine Ausweitung der verbotenen Systeme und Hochrisiko-KI, eine zusätzliche Ebene für die Qualifizierung als Hochrisiko-KI und schärfere Pflichten für diese. Zudem wird die Einrichtung eines europäischen „KI-Büros“ vorgeschlagen, das bei der grenzüberschreitenden Umsetzung der KI-Verordnung helfen soll. Langfristig soll dieses Büro in eine umfassende EU-Agentur für Digitales ausgebaut werden.

Kompromissfindung bei der Regulierung künstlicher Intelligenz, 28.04.2023

Die Abgeordneten des EU-Parlaments haben letzte Woche eine Einigung über den Entwurf zur geplanten KI-Verordnung erzielt. Der Tag, der der Einigung voranging, war laut einem Parlamentsmitarbeitenden der angespannteste Verhandlungstag überhaupt. Unter anderem wurde insgesamt die Kategorie der verbotenen KI-Praktiken ausgeweitet. Zudem soll Hochrisiko-KI, zusätzlich zu den bisher geltenden Anforderungen, nur noch dann vorliegen, wenn Systeme ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte bergen. Mitte Juni soll der Parlamentsvorschlag im Plenum zur Abstimmung kommen.

EU-Parlament schlägt neue verbotene KI-Praktiken und Kategorien für Hochrisiko-KI vor, 06.02.23

Die zuständigen Berichterstatter im EU-Parlament haben einen neuen Kompromissvorschlag zur geplanten KI-VO vorgelegt. Dieser liegt dem Mediennetzwerk Euractiv vor. Der Vorschlag befasst sich mit neuen verbotenen KI-Praktiken und Kategorien für Hochrisiko-KI.

Bezüglich der bereits im Entwurf enthaltenen Verbote schlagen die Berichterstatter eine Ausweitung der verbotenen Social-Scoring-Systeme vor. Danach soll sich das Verbot nicht mehr nur auf Einzelpersonen, sondern auf ganze Gruppen erstrecken, wenn es durch das Social-Scoring zu Rückschlüssen auf persönliche Merkmale und zu Benachteiligungen kommt. Neu auf die Verbotsliste sollen solche KI gesetzt werden, die unterschwellig Techniken jenseits der Wahrnehmungsfähigkeit einer Person benutzen, es sei denn, dies geschehe zu therapeutischen Zwecken oder mit ausdrücklicher Einwilligung. Zudem soll KI verboten werden, die absichtlich manipulativ ist oder die Vulnerabilität einer Person ausnutzt, das Verhalten der Person dadurch beeinflussen und so zu erheblichem physischen oder psychischem Schaden führt.

Der Umfang der Systeme, die als hochrisikoreich klassifiziert werden soll, wird von dem Vorschlag deutlich ausgedehnt. Von den vorgeschlagenen Ausweitungen ist unter anderem der Bereich der biometrischen Identifizierung betroffen. Biometrische Live-Identifizierung in öffentlichen Räumen soll danach gänzlich verboten werden, sodass sich die Risikogruppe in diesen Bereichen nur noch auf Systeme zur nachträglichen Identifizierung beziehen soll. Von den Anwendungsfällen sollen jedoch nun auch Systeme zur Erkennung von Emotionen umfasst sein. Darüber hinaus wird vorgeschlagen für privat zugängliche Räume sowohl die Live- als auch die Ex-post-Identifizierung in die Liste aufgenommen.
Ebenfalls soll der Bereich der kritischen Infrastruktur erweitert werden. Dieser soll nach dem Vorschlag jegliche Sicherheitskomponenten für den Straßen-, Schienen- und Straßenverkehr einschließen.
Auch für die Hochrisikokategorie der Beschäftigung sieht der Vorschlag eine Ausweitung vor. So sollen solche Systeme umfasst sein, die Entscheidungen im Zusammenhang mit der Anbahnung, Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses treffen oder unterstützen, insbesondere bei der Zuweisung personalisierter Aufgaben oder der Überwachung der Einhaltung von Vorschriften am Arbeitsplatz.
Weitere Bereiche, für die Ausweitungen vorgesehen sind, sind die Bildung und der Zugang zu öffentlichen Leistungen.
Wie schon in der Ministerratsversion ist auch im Parlamentsvorschlag die Hochrisikokategorie der KI-Systeme in der Versicherungsbranche enthalten. Von dem ursprünglichen Kommissionsentwurf waren diese noch nicht umfasst.

Zudem wurden gänzliche neue Hochrisiko-Bereiche vorgeschlagen. So sollen nun Systeme umfasst sein, die von vulnerablen Gruppen genutzt werden, insbesondere solche, die die Entwicklung von Minderjährigen beeinflussen könnten. Es ist gut denkbar, dass darunter Empfehlungsalgorithmen in sozialen Netzwerken fallen würden.
Darüber hinaus sollen solche Systeme umfasst sein, die das Wahlverhalten von Personen beeinflussen könnten oder in demokratische Prozesse wie die Stimmenzählung eingebunden sind.
Schließlich sollen generative KI-Systeme in die Kategorie der Hochrisiko-KI aufgenommen werden, die etwa Texte erzeugen, die fälschlicherweise für menschengemacht gehalten werden könnten oder audiovisuelle Ergebnisse hervorbringen, die etwas aussagen, das nie stattgefunden hat. Für Texte soll dies nicht gelten, wenn sie von einem Menschen überprüft wurden oder eine Person dafür rechtlich verantwortlich ist; insofern weist der Vorschlag Ähnlichkeiten zur Regelung des Art. 22 DSGVO auf. Audiovisuelle Inhalte sollen dann ausgenommen sein, wenn es sich offensichtlich um ein Kunstwerk handelt. In die Hochrisikokategorie würden populäre Tools wie ChatGPT oder Dall-E fallen. Nach den bisherigen Entwürfen wären Chat-Bots wie ChatGPT dem Bereich der KI mit geringem Risiko zuzuordnen und unterlägen damit nur Transparenzverpflichtungen.

Laut Euractiv sind die beiden verantwortlichen Berichterstatter bestrebt, die Verhandlungen über den Parlamentsvorschlag zur KI-VO innerhalb der nächsten Tage abzuschließen.

EU-Minister segnen endgültigen Ratsvorschlag ab, 06.12.2022

Auf der Tagung des EU-Ministerrats in der für Verkehr, Telekommunikation und Energie zuständigen Formation, wurde der finale Kompromissvorschlag des Rats verabschiedet. Dem Co-Gesetzgeber gelang damit ein erster Schritt hin zum In-Kraft-Treten der KI-VO. Nun steht nur noch der Verordnungsvorschlag des EU-Parlaments aus. Anschließend können Kommission, Rat und Parlament den offiziellen Gesetzgebungs-Trilog aufnehmen. Laut dem europäischen Mediennetzwerk Euractiv wird die Version des Parlaments für März 2023 erwartet.

Der heute abgesegnete Ratsvorschlag enthält inhaltlich keine Änderungen mehr, sondern ist das Ergebnis der vorangegangenen Kompromissvorschläge des Ministerrats. Im Vergleich zum ursprünglichen Vorschlag der Kommission hat der Ministerrat einige maßgebliche Anpassungen vorgenommen. So wurden unter anderem die Definition des KI-Begriffes enger gefasst, der Vorschlag enthält Regelungen für sogenannte Allzweck-KI (General Purpose AI) und die Voraussetzungen und Verpflichtungen für Hochrisiko-KI wurden modifiziert. Welche Änderungen final in dem Verordnungstext enthalten sein werden, wird sich erst in den offiziellen Gesetzgebungsverhandlungen herausstellen. Viele der Vorschläge sind sinnvoll und es ist zu erwarten, dass sie so, oder so ähnlich, zu Gesetzeswortlaut werden.

Ministerrat legt finalen Kompromissvorschlag vor, 03.11.2022

Unter tschechischer Präsidentschaft hat der EU-Ministerrat seinen finalen Kompromissvorschlag vorgestellt. Dieser wurde am 18. November vom Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) bestätigt und soll am 6. Dezember auf der Telekommunikations-Tagung der EU-Minister endgültig verabschiedet werden. Sobald dann der Vorschlag des EU-Parlaments vorliegt, können die formellen Trilogverhandlungen aufgenommen werden.

Die Änderungen, die dabei gegenüber früheren Vorschlägen vorgenommen wurden, sind nur sehr geringfügig. Es wurde bestätigt, dass „General Purpose AI“ unter das Regime der KI-VO fallen soll und dass die konkreten Anforderungen an diese KI-Systeme durch einen separaten Implementierungsakt von der EU-Kommission festgelegt werden. Ferner wurden die Ausnahmeregelungen für Strafverfolgungsbehörden in Details angepasst. Diese dürfen unter bestimmten Voraussetzungen Hochrisiko-KI-Systeme in Betrieb nehmen, die das vorgesehene Konformitätsbewertungsverfahren nicht bestanden haben. Verweigert die zuständige Marktaufsichtsbehörde aber im Nachhinein die Ausnahmegenehmigung dafür, müssen nach dem neuen Änderungsvorschlag alle aus dem System stammenden Ergebnisse und Ausgaben gelöscht werden.

Darüber hinaus stellt Erwägungsgrund 37 nun ausdrücklich klar, dass KI-Systeme, die Ansprüche auf öffentliche Unterstützungs- und Dienstleistungen prüfen, als Hochrisiko-KI-System einzustufen sind. Diese Änderung ist lediglich deklarativer Natur, da dieses bereits in Anhang III zur Verordnung geregelt ist. Zudem wurde der Text des Erwägungsgrundes dahingehend angepasst, dass er die vorangegangene Aufnahme bestimmter Versicherungsdienstleistungen in den Anhang III widerspiegelt.
Hinsichtlich der Transparenzverpflichtungen aus dem Verordnungsentwurf bestimmt der jüngste Vorschlag in Erwägungsgrund 70, dass solche Gruppen besonders berücksichtigt werden sollen, die aufgrund ihres Alters oder wegen Behinderung schutzbedürftig sind. Wie genau dieses aussehen soll, spezifiziert der Vorschlag jedoch nicht.

EU-Ministerrat bringt vierten Kompromissvorschlag in Umlauf, 19.10.2022

Der EU-Ministerrat hat einen neuen Kompromissvorschlag zur geplanten KI-VO vorgelegt. Nachdem die Mitgliedsstaaten nun noch einmal die Möglichkeit haben, zu dem Entwurf Stellung zu beziehen, strebt die tschechische Ratspräsidentschaft eine generelle Einigung für die nächste Tagung der Minister am 6. Dezember 2022 an. Der Ministerrat ist mit seinen Verhandlungen damit fast am Ende. Sobald vom Ministerrat ein finaler Änderungsvorschlag für die KI-VO ausgearbeitet wurde, hängt der Beginn des formellen Trilogs nur noch vom EU-Parlament ab.

Eine kleine, aber sinnvolle Änderung erfuhr die Definition des KI-Begriffes in der aktuellen Ministerratsfassung. In dem Entwurf der Kommission sollten bisher KI-Systeme umfasst sein, die „mit einem gewissen Grad an Autonomie arbeiten“. Die Passage wurde in dem aktuellen Kompromissvorschlag modifiziert, sodass die Definition nunmehr solche KI-Systeme einschließt, die „mit autonomen Elementen arbeiten“. Diese Änderung ist zu begrüßen, da zuvor nicht ersichtlich war, welche Anforderungen an einen „gewissen Grad“ zu stellen sein sollten.

Weitere wichtige Änderungen betreffen unter anderem die verbotenen KI-Systeme. So sind nun wieder nur biometrische Identifizierungssysteme umfasst, die aus der Ferne verwendet werden. In einem vorherigen Kompromissvorschlag war der Begriff „Fern-“ gestrichen worden, wodurch das Verbot erheblich ausgeweitet wurde.

Einige Neuerungen wurden zudem im Bereich der Hochrisiko-KI vorgenommen. Unter anderem wurde für Anbieter derartiger KI-Systeme die Transparenzverpflichtung hinzugefügt, die erwarteten Ergebnisse für den Einsatz der KI in die KI-Gebrauchsanweisung aufzunehmen. Ferner wurde der Anhang III der KI-VO angepasst, in dem KI-Systeme aufgeführt sind, die als Hochrisiko-KI gelten sollen. So wurden beispielsweise KI-Systeme wieder aufgenommen, die für die Risikobewertung und Preisgestaltung für Versicherungsprodukte, einschließlich Lebens- und Krankenversicherung, eingesetzt werden sollen.

Weitere Aspekte des Änderungsvorschlags betreffen etwa die Transparenzverpflichtungen für KI-Systeme mit geringem Risiko oder die Sanktionen bei Verstößen gegen die Verordnung.

Die EU-Kommission stellt neue Haftungsregeln für Künstlicher Intelligenz vor, 28.09.2022

Am 28.09.2022 legte die EU-Kommission zwei Vorschläge für Richtlinien vor, mit der die Haftungsregeln für KI reformiert werden sollen. Zum einen wird beabsichtigt, die europäische Produkthaftungsrichtlinie, die schon 1985 in Kraft trat, zu reformieren. Die Richtlinie regelt die verschuldensunabhängige Haftung von Herstellern, sofern deren Produkte etwa Personen- oder Sachschäden verursachen. Durch die nun vorgeschlagene Modernisierung soll die Richtlinie derart angepasst werden, dass sie Schadensersatzansprüche für solche Schäden enthält, die entstehen, wenn eine KI Bestandteil eines Produktes ist und dieses durch die KI-Anwendung unsicher gemacht wird. Wenn Verbraucher aufgrund eines solchen Produktes zu Schaden kommen und das Produkt von einem Hersteller außerhalb der EU stammt, sollen sie den Importeur oder den EU-Vertreter des Herstellers auf Schadensersatz in Anspruch nehmen können.

Darüber hinaus soll eine Richtlinie über KI-Haftung eingeführt werden. Diese soll erstmals spezifische Vorschriften für Schäden enthalten, die von KI verursacht werden. Der Vorschlag enthält vor allem zwei wesentliche Punkte. Zum einen wird eine Kausalitätsvermutung formuliert: Wenn ein Geschädigter nachweisen kann, dass eine Verpflichtung nicht eingehalten wurde, die für den Schaden relevant ist und dass ein ursächlicher Zusammenhang mit der Leistung der KI nach vernünftigem Ermessen wahrscheinlich ist, dann soll davon auszugehen sein, dass die Nichteinhaltung der Pflicht den Schaden verursacht hat. Die haftbare Person kann diese Vermutung jedoch widerlegen, indem sie nachweist, dass der Schaden eine andere Ursache hatte.

Zum anderen soll Geschädigten der Zugang zu Beweismitteln erleichtert werden. So sollen sie bei einem Schaden, der durch Hochrisiko-KI verursacht wurde, bei Gericht die Anordnung der Offenlegung von Informationen über das KI-System beantragen können. Die Geschädigten sollen so die Personen identifizieren, die haftbar gemacht werden könnten und herausfinden, was konkret zu dem eingetretenen Schaden geführt hat. Insgesamt soll die Richtlinie für alle Schäden gelten, die durch KI verursacht werden, unabhängig davon, ob es sich dabei um Hochrisiko-KI handelt oder um KI-Systeme ohne ein hohes Risiko.

Laut der EU-Kommission soll das Paket zur KI-Haftung die geplante KI-VO flankieren, indem es einen neuen Standard für Vertrauen und Wiedergutmachung rund um KI einführt. Damit soll Rechtssicherheit geschaffen werden, die Unternehmen dazu ermutigt, in künstliche Intelligenz zu investieren.

Die tschechische EU-Ratspräsidentschaft legt den dritten Kompromissvorschlag des Ministerrats vor, 23.09.2022

Die tschechische Ratspräsidentschaft hat den nunmehr dritten vollständigen Kompromissvorschlag zur KI-VO vonseiten des EU-Ministerrats vorgestellt. In diesem wurden Vorschläge und Kommentare der Mitgliedsstaaten umgesetzt. Dabei wurden im Vergleich zum ursprünglichen Entwurf der Kommission einige wichtige Passagen geändert. Die wohl wichtigste Änderung ist die der Definition von KI-Systemen. Die Definition war schon in einem früheren Ratsvorschlag angepasst worden und ist wesentlich enger als die ursprüngliche Definition der EU-Kommission. So entspricht die Definition des Rates mehr dem klassischen Verständnis von KI. Im Gegensatz dazu würde die Kommissionsdefinition sogar einfache rechengestüzte Anwendungen wie Taschenrechner umfassen. Der Ministerrat reagierte damit auf Kritik von vielen Seiten, die die ursprüngliche Definition als zu weit und konturlos ansah. Im nun vorliegenden dritten Kompromissvorschlag wurde die Voraussetzung gestrichen, dass die Arbeitsziele von KI „menschlich definiert“ sein sollen. Laut Ministerrat sei der Verweis für die Zwecke der Definition nicht wesentlich gewesen.

Ein weiterer wichtiger Aspekt des Ratsvorschlages ist die Regulierung von sog. „General Purpose AI“. Diese Klassifizierung für KI-Systeme ist im Entwurf der Kommission nicht vorgesehen. Erstmals war sie in dem Kompromissvorschlag enthalten, den der Ministerrat im November 2021 unter slowenischer Präsidentschaft vorgelegt hat. Es handelt sich dabei um KI-Systeme, die nicht für einzelne spezifische Anwendungsfelder entwickelt werden, sondern ein breites Spektrum an Nutzungsmöglichkeiten bieten. Dadurch können sie für eine Vielzahl von Aufgaben in unterschiedlichen Bereichen eingesetzt werden. Insbesondere können derartige allgemeine Algorithmen als Grundlage für spezialisierte KI-Systeme dienen. Beispielsweise kann eine einzige „General Purpose AI“ zur allgemeinen Sprachverarbeitung für eine Fülle von speziellen Anwendungen, wie etwa Chatbots, Systeme zur Generierung von Werbeanzeigen oder für Entscheidungsprozesse genutzt werden. In vielen Fällen wissen die Entwickler der allgemeinen KI selbst noch gar nicht, wofür diese später einmal eingesetzt werden wird. Sollen derartige Algorithmen als Hochrisiko-KI oder als Bestandteil einer solchen genutzt werden, sind nach dem nun vorliegenden Ratsvorschlag auch die meisten der entsprechenden Verpflichtungen an „Anbieter“ von KI-Systemen damit verbunden. Davon ausgenommen sein sollen jedoch kleine und mittlere Unternehmen, sofern diese nicht Partner von größeren Unternehmen sind oder mit solchen verbunden sind. Welche spezifischen Anforderungen an die General-Purpose-KI-Systeme selbst gestellt werden sollen, soll nach dem Ratsvorschlag durch einen separaten Implementierungsakt durch die Kommission innerhalb von eineinhalb Jahren nach In-Kraft-Treten der KI-VO festgelegt werden.

Weitere Bereiche, in denen der Ministerrat, teilweise eher marginale, Änderungen vorgeschlagen hat, sind die Transparenzverpflichtungen, innovationsfördernde Maßnahmen, Aufsicht und Sanktionen bei Verstößen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Zukunft der Gesundheitsdatennutzung

Die Zukunft der Gesundheitsdatennutzung

2024 beginnt die Zukunft der Gesundheitsdatennutzung. Zwei deutsche Gesetze und eine geplante EU-Verordnung sollen die Nutzung sensibler Daten erheblich erleichtern: das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz), das Gesundheitsdatennutzungsgesetz (GDNG) und die geplante Verordnung über den europäischen Raum für Gesundheitsdaten (EHDS-Verordnung). In diesem Kontext bieten wir maßgeschneiderte Beratungs- und Implementierungsdienstleistungen an, um Ihr Unternehmen oder Ihre Forschungseinrichtungen dabei zu unterstützen, von den neuen Regelungen optimal zu profitieren. Unser Ziel ist es, Ihnen nicht nur bei der Einhaltung der rechtlichen Anforderungen zur Seite zu stehen, sondern auch dabei, die Chancen, die sich durch die Digitalisierung des Gesundheitswesens ergeben, voll auszuschöpfen. Dieser Beitrag wirft ein Schlaglicht auf die neuen Regelungen und bietet einen ersten Überblick über die wichtigsten Punkte.

Der aktuelle Stand digitaler Gesundheitsgesetze und -verordnungen

Digital-Gesetz, GDNG und EHDS-VO sind bereits weit gediehen: Im Dezember 2023 hat der Deutsche Bundestag das Digital-Gesetz und das GDNG beschlossen, Anfang Februar 2024 hat der Bundesrat beide Gesetze bewilligt. Sie treten – mit wenigen Ausnahmen – am Tag nach ihrer Verkündung in Kraft. Das Digital-Gesetz ist dann ab dem 15. Januar 2025, das GDNG ab dem 31. März 2024 vollständig anwendbar. Die EHDS-Verordnung befindet sich demgegenüber noch im Entwurfsstadium. Bereits im Mai 2022 hatte die EU-Kommission vorgeschlagen, einen europäischen Raum für Gesundheitsdaten zu schaffen, und einen entsprechenden Entwurf veröffentlicht. Im Dezember 2023 haben sich Ministerrat und das EU-Parlament dann auf ihre Positionen festgelegt. Seitdem wird die Verordnung ausgehandelt. Ziel dieser sogenannten Trilog-Verhandlungen ist es, den EHDS noch in dieser Legislaturperiode – also vor der Europawahl im Juni 2024 – zu verwirklichen.

Herausforderungen und Ziele bei der Gesundheitsdatennutzung in Deutschland und Europa

Alle drei Vorhaben gehen vor einer ähnlichen Problembeschreibung aus. Zwar erheben viele Stellen in Deutschland und Europa sensible Daten zur Erbringung von Versorgungsleistungen. Allerdings werden diese Daten außerhalb des konkreten Versorgungskontexts kaum einmal genutzt. Fehlende Standards, uneinheitliche Gesetze und die damit unweigerlich verbundene Rechtsunsicherheit behindern eine effektive Primärnutzung und hemmen die Sekundärnutzung – insbesondere die Forschung. Alle drei Vorhaben dienen daher einem gemeinsamen Ziel, nämlich der Digitalisierung des Gesundheitswesens. Das Digital-Gesetz soll den Behandlungsalltag für Behandler:innen und Patient:innen in Deutschland insbesondere durch die flächendeckende Einführung der elektronischen Patientenakte (ePA) vereinfachen. Das GDNG sieht beispielsweise vor, dass ePA-Daten – in anonymisierter Form – zu bestimmten Zwecken – insbesondere Forschungszwecken – verwendet werden können. Und der EHDS soll Patient:innen und Datennutzenden ermöglichen, grenzüberschreitend auf Gesundheitsdaten zuzugreifen. Im Ergebnis geht es also vor allem darum, Gesundheitsdaten besser nutzbar zu machen – und die dafür erforderliche Infrastruktur aufzubauen.

Welche Neuerungen ergeben sich aus GDNG und Co. für Unternehmen und öffentliche Stellen?

Eine wesentliche Neuerung zur Verbesserung der Datennutzung ist die geplante Einrichtung einer Datennutzungs- und Koordinierungsstelle. Sie soll einen Metadaten-Katalog über die im deutschen Gesundheitswesen vorhandenen Daten führen und als zentrale Anlauf- und Beratungsstelle für (potenzielle) Datennutzer:innen dienen. Das GDNG sieht beispielsweise vor, dass Unternehmen oder Forschungseinrichtungen beim Forschungsdatenzentrum (FDZ) einen Antrag auf Freigabe der ePA-Daten stellen können. Verfolgt die Datenverarbeitung einen privilegierten Zweck – über die Frage der Gemeinwohlorientierung wird man streiten –, so gibt das FDZ die Daten frei; das Unternehmen oder die Einrichtung kann die Daten nutzen.

Der deutsche Gesetzgeber unternimmt damit zugleich erste Schritte zur Vorbereitung auf den aktuell noch im Aufbau befindlichen EHDS. Auch die EHDS-Verordnung zielt auf bessere Datenverfügbarkeit – auch über Ländergrenzen hinweg. Die Verordnung ist jedoch deutlich ambitionierter als das GDNG und sieht einen weitgehenden Zugang zu (anonymisierten) Datenbeständen vor. Im Gegenzug  unterwirft sie insbesondere die Inhaber:innen von Gesundheitsdaten umfangreichen Pflichten. Sie müssen angeben, welche Daten sie verarbeiten und diese Daten im Ernstfall aufbereiten, anonymisieren und in einer sicheren Verarbeitungsumgebung bereitstellen.

Detaillierte Informationen zu den sonstigen Inhalten des in Abstimmung befindlichen Verordnungsentwurfs – auch den zu den institutionellen Rahmenbedingungen – finden Sie in unserem Whitepaper – Europäischer Gesundheitsdatenraum (EHDS)

Mit unserer Hilfe zur rechtssicheren Nutzung von Gesundheitsdaten 

Die anstehenden Änderungen bieten große Chancen für die Gesundheitsdatennutzung. Unternehmen und Forschungseinrichtungen werden in Zukunft neue Datenpools eröffnet, um innovative Dienste und Produkte zu entwickeln oder die medizinische Forschung voranzubringen. Sie müssen die Chancen, die sich jetzt bieten, vor allem erkennen. Dateninhaber:innen stellen die neuen Regelungen dagegen vor beträchtliche Herausforderung. Sie müssen eine Dateninventur durchführen, eine Data Governance erarbeiten und Prozesse definieren, um Gesundheitsdaten in absehbarer Zeit rechtssicher zur Verfügung stellen zu können. Eine besondere Herausforderung wird dabei die Erarbeitung technischer und organisatorischer Maßnahmen und die Umsetzung von Anonymisierungspflichten sein. Durch die Nutzung von Synergie-Effekten und der Erfahrungen aus der Umsetzung datenschutzrechtlicher Anforderungen kann der zu erwartender Aufwand jedoch erheblich reduziert werden.

Unser interdisziplinäres Team von erfahrenen Anwält:innen, Wirtschaftsjurist:innen und Informatiker:innen greift Ihrem Unternehmen oder Ihrer Behörde gerne tatkräftig unter die Arme, um Ihr Unternehmen oder Ihre Forschungsreinrichtung fit für die neuen Digitalgesetze zu machen. Ob als Datenhalter:in oder Datennutzer:in – gemeinsam mit Ihnen finden wir Wege, die Gesundheitsdatennutzung optimal auszugestalten. 

EuGH und Datenschutz

Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht

Um angemessen auf aktuelle Entwicklungen im Datenschutzrecht reagieren zu können, ist es essenziell, die relevante Rechtsprechung des Europäischen Gerichtshofs (EuGH) im Auge zu behalten. Diese bietet wichtige Einblicke und Orientierung für den Umgang mit Datenschutzfragen und entwickelt sich kontinuierlich weiter. Gerade bei der Auslegung von autonomen Begriffen nach der Datenschutz-Grundverordnung (DSGVO) betont der EuGH auch stets, dass diese in allen Mitgliedstaaten einheitlich entsprechend den Vorgaben des EuGH ausgelegt werden müssen. Der EuGH hat insoweit über die letzten Jahre bereits eine Reihe wegweisender Urteile gefällt, die die Auslegung und Anwendung der DSGVO in den Mitgliedsstaaten maßgeblich beeinflusst haben.

Im Folgenden werden die aktuell bedeutendsten aktuellen Entscheidungen des EuGH im Bereich des Datenschutzrechts vorgestellt, wobei der neueste Beitrag stets oben angeführt wird.

Diese Entscheidungen betreffen verschiedenste Aspekte des Datenschutzes, wie beispielsweise die Übermittlung personenbezogener Daten in Drittländer, die Rechte betroffener Personen und die Verantwortlichkeiten von Unternehmen im Umgang mit personenbezogenen Daten. Es ist für Unternehmen und Organisationen ratsam, über die aktuellen Entwicklungen in der EuGH-Rechtsprechung informiert zu sein, um Prozesse und Praktiken entsprechend anzupassen und mögliche rechtliche Risiken minimieren zu können.

Sie haben Fragen zu aktuellen EuGH-Entscheidungen und benötigen datenschutzrechtliche Unterstützung? Zögern Sie nicht, uns zu kontaktieren.

Aktuelle Entscheidungen des EuGH zum Datenschutzrecht im Überblick

EuGH-Urteil vom 09. November 2023 – C-319/22: Wann ist ein Datum personenbezogen? (Scania)

Die Entscheidung des EuGH betrifft vordergründig den Umfang von Bereitstellungspflichten bei der Datenüberlassung durch die Automobilindustrie. In diesem Zusammenhang setzt sich das Urteil am Rande mit dem Begriff des relativen Personenbezugs auseinander – und betrifft somit auch eine zentrale datenschutzrechtliche Fragestellung. Diese ist deshalb so praxisrelevant, da in verschiedenen Konstellationen ein Datum für eine Organisation A ein personenbezogenes Datum darstellen kann, für eine Organisation B hingegen nicht.

Der EuGH urteilte auf Vorlage des LG Köln, dass Fahrzeughersteller auch unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern (FIN) zur Verfügung stellen müssen. Das Unionsrecht verpflichtet Fahrzeughersteller unabhängigen Wirtschaftakteuren, also Akteure, die selbst keine Reparaturbetriebe sind (etwa Ersatzteilhändler), Zugang zu Reparatur- und Wartungsinformationen zu verschaffen. Das Landgericht wollte vom EuGH wissen, ob es sich bei der Übermittlung der FIN um eine rechtliche Pflicht im Sinne von Art. 6 Abs. 1 lit. c DSGVO handelt. Implizit wurde insoweit auch die Frage aufgeworfen, ob die FIN ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO darstellt, d.h. ob sie sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Im vorliegenden Fall war dabei in erster Linie entscheidend, nach welchen Kriterien die Identifizierbarkeit zu beurteilen ist. Grundsätzlich ist eine natürliche Person dann identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, identifiziert werden kann. Bei der FIN handelt es sich um einen alphanumerischen Code, den der Hersteller einem Fahrzeug zu dessen einwandfreier Identifikation zuweist. Da der Code damit zunächst nicht die Zuordnung zu einer natürlichen Person ermöglicht, ist ein möglicher Personenbezug augenscheinlich verneinbar. Die FIN ist jedoch auch Bestandteil der Zulassungsbescheinigung eines Fahrzeugs, die weitere – personenbezogene – Daten zu dem jeweiligen Fahrzeughalter enthält. Folglich kann unter Zuhilfenahme ergänzender Informationen durchaus eine natürliche Person identifiziert werden. Ob die FIN ein personenbezogenes Datum darstellt, hängt also davon ab, ob im konkreten Fall zusätzliche Informationen vorliegen, die einen solchen Rückschluss ermöglichen. Dies kann von Situation zu Situation unterschiedlich bewertet werden.

In diesem Sinne erfolgt auch die Einordnung durch den EuGH: Personenbezogene Daten liegen demnach nur dann vor, sofern derjenige, der Zugang zu den fraglichen Informationen hat, über Mittel verfügen könnte, die es ihm ermöglichen die Informationen einer natürlichen Person zuzuordnen.

Daten wie die FIN stellen zunächst keine personenbezogenen Daten dar. Sie können jedoch dann als solche betrachtet werden, wenn die diejenigen, gegenüber denen sie offengelegt werden, vernünftigerweise über die Mittel verfügen, die Daten einer natürlichen Person zuzuordnen. Dafür müssen auch Beziehungen des Verantwortlichen zu einem Dritten mit weiteren Kenntnissen berücksichtigt werden, die schlussendlich zu einem Personenbezug führen können. Der EuGH lässt insofern offen, ob es sich bei diesem Dritten um eine natürliche oder juristische Person handeln kann. Denkbar sind somit auch Konstellationen, in denen die relative Anonymität eines Datums auch innerhalb einer Unternehmensgruppe bejaht werden könnte. Dies betrifft beispielsweise Fälle, in denen nur einzelne natürliche oder juristische Personen über die zur Identifizierung notwendigen Mittel verfügen.

Die Entscheidung betrifft schließlich auch die datenschutzrechtliche Rechtmäßigkeit der Bereitstellung der FIN. Sofern diese im konkreten Fall ein personenbezogenes Datum darstellt, handelt es bei den unionsrechtlichen Bestimmungen zur Übermittlung der FIN um eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO. Die Bereitstellung der FIN gegenüber unabhängigen Wirtschaftsakteuren ist danach datenschutzrechtlich zulässig.

Wesentliche Schlussfolgerungen aus der Entscheidung: Das Urteil unterstreicht die Notwendigkeit, nicht nur den Inhalt, sondern auch die möglichen Mittel zur Identifizierung von Daten zu berücksichtigen. Bei der Prüfung sind nicht alle theoretisch denkbaren Mittel, sondern nur die bei vernünftiger Betrachtung auch wirklich verfügbaren Mittel einzubeziehen (siehe Erwägungsgrund 26 DSGVO). Dies kann zu dem Ergebnis führen, dass Daten für eine Organisation personenbezogene Daten darstellen, für eine andere Organisation jedoch gerade nicht. Die Auswirkungen des Urteils reichen somit weit über den Automobilbranche hinaus und berühren grundlegende Fragen zur Bewertung des Personenbezugs von Daten.

EuGH-Urteil vom 07. Dezember 2023 – C-634/21: Datenschutzrechtliche Zulässigkeit der Berechnung von Kredit-Scores (Schufa)

Am 7. Dezember 2023 verkündete der EuGH seine lang erwartete Entscheidung im SCHUFA-Verfahren. Das Gericht hatte sich unter anderem zur Rechtmäßigkeit des durch die deutsche Wirtschaftsauskunftei betriebenen Scorings im Hinblick auf Art. 22 DSGVO beschäftigt. Hintergrund waren mehrere Rechtssachen aus Deutschland, die dem EuGH im Vorabentscheidungsverfahren durch das Verwaltungsgericht Wiesbaden vorgelegt wurden. Im Ergebnis entschied der EuGH, dass das von der SCHUFA betriebene Scoring bereits eine Entscheidung i.S.d. Art. 22 Abs. 1 DSGVO darstelle und zudem wohl regelmäßig unzulässig sei; die ebenfalls bislang betriebene Speicherung über die Erteilung einer Restschuldbefreiung in seiner aktuellen Länge von 3 Jahren stünde zudem vollständig im Widerspruch zur DSGVO.

Ausgangsverfahren

Im ersten dem EuGH vorgelegten Fall (Rechtssache C-634/21) wurde dem Kläger die Gewährung eines Kredits verwehrt, anschließend beantragte er bei der SCHUFA die Löschung eines Eintrags sowie Zugang zu den ihn betreffenden Daten. Nachdem die SCHUFA dem Betroffenen lediglich seinen Score-Wert sowie allgemeine Informationen zu dessen Berechnung mitteilte, erhob dieser Beschwerde beim zuständigen Hessischen Beauftragten für Datenschutz und Informationsfreiheit: dieser wurde allerdings nicht tätig, da die Verfahrensweisen der SCHUFA den Voraussetzungen des § 31 BDSG, der die Zulässigkeit von Scoring unter bestimmten Voraussetzungen bestimmt, entsprächen. Der Betroffene klagte vor dem VG, dieses legte den Fall dem EuGH vor und stellte hier unter anderem die Frage, ob es sich bei der Vorgehensweise der SCHUFA um eine (unzulässige) Verarbeitung im Sinne des Art. 22 DSGVO handele.

Der zweite dem EuGH vorgelegte Fall (Rechtssachen C-26/22 und C-64/22) des Verfahrens befasste sich mit der Speicherung von Informationen über die Restschuldbefreiung nach einer Insolvenz: Insolvenzgerichte machen dies grundsätzlich öffentlich, entsprechende Informationen werden allerdings nach Ablauf von 6 Monaten gelöscht. Die SCHUFA allerdings speicherte entsprechende Daten, den Verhaltensregeln der deutschen Wirtschaftsauskunfteien folgend, für 3 Jahre.

Bereits der Generalanwalt Priit Pikamäe hatte sich in seinen Schlussanträgen gegen das Scoring der SCHUFA ausgesprochen, die Erstellung von Score-Werten für die Kreditwürdigkeit verstoße gegen die DSGVO und stelle bereits als solche eine nach Art. 22 DSGVO verbotene automatisierte Entscheidung dar. Die SCHUFA hatte bislang zugunsten des eigenen Geschäftsmodells argumentiert, die in Frage stehenden Entscheidungen würden nur von der jeweiligen Bank und nicht von der SCHUFA selbst getroffen werden. Der Generalanwalt legte zudem dar, dass die SCHUFA Daten aus Registern der Insolvenzgerichte nicht länger speichern als die Verzeichnisse selbst speichern dürfe.

Urteil

Der EuGH traf im Kern folgende Aussagen und schloss sich damit weitestgehend den Schlussanträgen des Generalanwalts an:

  • Rechtssache C-634/21
    o Rn. 46: Bereits die Zuschreibung einer Bonität („das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts“) könne vom Begriff der Entscheidung nach Art. 22 DSGVO umfasst werden
    o Rn. 48 ff.: Das von der SCHUFA betriebene Scoring sei im Ergebnis als eine von Art. 22 DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen, sofern das Scoring wie in der vorgelegten Rechtssache bei der Entscheidung z.B. über die Gewährung eines Kredits eine „maßgebliche Rolle“ spiele
    o Rn. 56: Wirtschaftsauskunfteien treffen hinsichtlich der Arbeitsweise ihres Scoring-Algorithmus Informationspflichten nach Art. 14 Abs. 2 lit. e und f DSGVO, sprich entsprechende Informationen müssen proaktiv bereitgestellt werden
    o Rn. 64: Das von der SCHUFA betriebene Scoring sei nach Art. 22 Abs. 1 DSGVO grundsätzlich verboten, wenn nicht eine der in Art. 22 Abs. 2 DSGVO genannten Ausnahmen anwendbar und die Anforderungen des Art. 22 Abs. 3, 4 DSGVO erfüllt seien
    o Rn. 71, 72: Nur § 31 BDSG könne eine solche Rechtsgrundlage i.S.d. Art. 22 Abs. 21 lit. b DSGVO und damit eine Ausnahme von Art. 22 Abs. 1 DSGVO darstellen; die entsprechende Qualifizierung sei durch das VG Wiesbaden zu prüfen, da das VG Wiesbaden „bezüglich der Vereinbarkeit des § 31 BDAG mit dem Unionsrecht […] durchgreifende Bedenken“ hege.
  • Rechtssachen C-23/22 und C-64/22
    o Rn. 91: Die Frage der Rechtmäßigkeit der zeitlich parallelen „Vorratsdatenspeicherung“ im Register und bei der SCHUFA sei durch das vorlegende Gericht zu beurteilen
    o Rn. 99: Private Auskunfteien dürfen nach der Entscheidung des EuGH Daten über eine Restschuldbefreiung allerdings nicht länger speichern als die öffentlichen Insolvenzregister, aus denen sich diese Informationen speisen; eine entsprechende Speicherung könne nicht auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden
    o Rn. 100: Auch die parallele Speicherung greife allerdings ebenso wie die Speicherung über 3 Jahre in Art. 7 und 8 der Charta der Grundrechte der Europäischen Union ein
    o Rn. 106 ff.: Art. 17 Abs. 1 lit. d DSGVO sei dahin auszulegen, dass die SCHUFA die unrechtmäßig verarbeiteten Daten unverzüglich löschen müsse; dies gelte entsprechend auch bei einem Widerspruch gegen eine nicht schutzwürdigen Gründen i.S.d. Art. 21 Abs. 1 S. 2 DSGVO unterfallende Verarbeitung

Fazit

Die Entscheidung in der Rechtssache C-634/21 schiebt der bisherigen Scoring-Praxis der SCHUFA unter Heranziehung des Art. 22 DSGVO vorläufig einen Riegel vor, für eine Großzahl der Kunden der SCHUFA wird der durch sie bereitgestellte Scoring-Wert wohl eine „maßgebliche Rolle“ (Rn. 50) bei der Entscheidung über einen Vertragsschluss mit betroffenen Personen sein.
Fraglich ist zudem, ob sich die in den Rechtssachen C-23/22 und C-64/22 getroffene Entscheidung tatsächlich nur auf Daten aus dem öffentlichen Insolvenzregister beschränkt. Private Wirtschaftsauskunfteien werden wohl prüfen müssen, ob andere durch sie gespeicherte Negativdaten wie verspätet gezahlte Rechnungen tatsächlich so lange aufbewahrt werden dürfen, wie dies bislang Praxis ist.

EuGH-Urteil vom 07. Dezember 2023 – C-340/21: Sorgen und Befürchtungen als immaterieller Schaden nach Art. 82 DSGVO

Am 14.12.2023 verkündete der EuGH sein mit Spannung erwartetes Urteil in der Rechtssache Natsionalna agentsia za prihodite (NAP). Das Urteil befasst sich mit der Beurteilung von Schadensersatzansprüchen bei Cyberattacken und ist für die datenschutzrechtliche Praxis dadurch hochrelevant. Schwerpunkte sind der Beurteilungsmaßstab für die Überprüfung geeigneter technisch-organisatorischer Maßnahmen (TOM), die Beweislastverteilung im Falle eines Cyberangriffs und die Reichweite des immateriellen Schadensbegriffs.

Ausgangsverfahren

Die NAP ist die bulgarische nationale Agentur für Einnahmen und als solche dem bulgarischen Finanzminister unterstellt. Am 15.07.2019 wurde öffentlich, dass die NAP Ziel eines Cyberangriffs war, infolgedessen personenbezogene Daten von Millionen Menschen im Internet veröffentlicht wurden. Viele der Betroffenen forderten Schadensersatz nach Art. 82 DSGVO mit Verweis auf die Befürchtung eines möglichen Missbrauchs ihrer personenbezogenen Daten. Im Ausgangsverfahren lehnte das Verwaltungsgericht der Stadt Sofia den Anspruch einer Betroffenen gegen die NAP ab. Der unbefugte Zugriff auf die personenbezogenen Daten sei zum einen auf einen von Dritten begangenen Hackerangriff zurückzuführen. Die Klägerin habe zudem nicht nachgewiesen, dass die NAP es unterlassen habe, Sicherheitsmaßnahmen zu ergreifen. Darüber hinaus sei ihr durch die genannten Befürchtungen noch kein ersatzfähiger immaterieller Schaden entstanden. Die Klägerin legte daraufhin Kassationsbeschwerde beim Obersten Verwaltungsgericht (Bulgarien) ein. Da es sich bei den aufgeworfenen datenschutzrechtlichen Aspekten um unionsrechtliche Auslegungsfragen handelt, legte das Oberste Verwaltungsgericht diese dem EuGH zur Klärung vor.

Ist die unbefugte Offenlegung von Daten ein Indiz für unzureichende Schutzmaßnahmen des Verantwortlichen?

Im Rahmen der ersten Vorlagefrage musste sich der EuGH mit der Frage beschäftigen, ob bereits die unbefugte Offenlegung bzw. der unbefugte Zugang durch Dritte ausreicht, um geeignete TOM des Verantwortlichen zu verneinen. Dies hat der EuGH verneint. Die DSGVO verlange nicht, dass durch TOM das Risiko einer Verletzung des Schutzes personenbezogener Daten komplett beseitigt werde. Die Art. 24 und 32 DSGVO legen vielmehr einen Rahmen fest, anhand dessen die Geeignetheit von TOM im Einzelfall zu messen ist. Die in Art. 24 Abs. 1 DSGVO genannten Kriterien (beispielsweise Art und Umfang der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken) setzen gerade eine individuelle Beurteilung der Geeignetheit solcher Maßnahmen voraus. Auch Art. 32 DSGVO garantiert keinen absoluten Schutz personenbezogener Daten, sondern fordert ein angesichts der spezifischen Verarbeitungsrisiken, dem Stand der Technik und der Implementierungskosten angemessenes Schutzniveau. Ob diese Maßnahmen schließlich dem gesetzlich geforderten Rahmen entsprechen, ist stets Gegenstand einer konkreten Bewertung.

Wer trägt die Beweislast für die Geeignetheit der TOM?

Die Frage nach der Beweislast bei Ansprüchen nach Art. 82 DSGVO war auch hierzulande umstritten. Nach dem Im deutschen Zivilprozessrecht geltenden Beibringungsgrundsatz, muss jede Prozesspartei die für sie günstigen Tatsachen darlegen und beweisen. Entsprechend wurde vertreten, dass die betroffene Person die Ungeeignetheit der TOM beweisen müsse. Diese Ansicht stand jedoch in einem Spannungsverhältnis zu der Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO) wonach dieser die Einhaltung zahlreicher Pflichten, wie etwa geeignete TOM, nachweisen können muss. Zudem haben betroffene Personen üblicherweise keinen Einblick in die unternehmensinterne Verarbeitung und sind insofern nicht in der Lage, Aussagen zur (Un)Geeignetheit der TOM zu tätigen. Der EuGH hat nun diese Beweislastverteilung zugunsten der betroffenen Person bestätigt. Im Rahmen einer auf Art. 82 DSGVO gestützten Klage muss der Verantwortliche gegebenenfalls beweisen, dass seine TOM geeignet im Sinne des Art. 32 DSGVO waren. Nach wie vor muss die betroffene Person zunächst einen DSGVO-Verstoß belegen. Im Falle eines Cyber-Angriffs dürfte künftig aber eine Vermutung bestehen, dass unzureichende TOM den Angriff ermöglicht haben und es sodann dem Verantwortlichen obliegen, diese Vermutung zu widerlegen.

Ist der Verantwortliche von der Haftung befreit, weil der Schaden durch „Dritte“ entstanden ist?

Der EuGH stellt dahingehend klar, dass der Verantwortliche sich nicht grundsätzlich durch den Verweis auf das rechtswidrige Dazwischentreten Dritter von der Haftung befreien kann. Art. 82 Abs. 3 DSGVO verlange dem Verantwortlichen den Nachweis ab, dass dieser in keinerlei Hinsicht den Umstand, durch den der betreffende Schaden eingetreten ist, zu verantworten hat. Der Verantwortliche muss somit beweisen, dass zwischen seiner (etwaigen) Pflichtverletzung und dem entstandenen Schaden kein Kausalzusammenhang besteht. Damit ergibt sich folgender Maßstab: Ist der Schaden der betroffenen Person die Folge eines unbefugten Zugriffs durch Dritte, muss der Verantwortliche nachweisen, dass ihm dies nicht zugerechnet werden kann. Dies kann durch den Nachweis der Einhaltung geeigneter TOM erfolgen, muss sich jedoch nicht zwangsläufig darin erschöpfen. Die Nachweispflicht bezieht sich vielmehr auf alle Umstände, die zu dem rechtswidrigen Zugriff durch die Dritten geführt haben.

Kann bereits die Sorge vor einem Missbrauch der personenbezogenen Daten einen immateriellen Schaden darstellen?

Mit Fragen des immateriellen Schadensersatzes nach Art. 82 DSGVOI hatte der EuGH sich bereits im Urteil vom 04.05.2023, Az. C‑300/21, „Österreichische Post“ beschäftigt. In einer folgerichtigen Fortsetzung seiner Rechtsprechung hat der EuGH nun entschieden, dass Sorgen und Befürchtungen für sich genommen bereits einen immateriellen Schaden im Sinne des Art. 82 DSGVO begründen können. Die Ansicht, dass eine spürbare, also über reine Besorgnis hinausgehende, Beeinträchtigung des Betroffenen erforderlich sei, lehnt der EuGH ab. Aus Sicht des EuGH bieten der Wortlaut und die Ziele der DSGVO jedoch keine Anhaltspunkte, die eine solche grundsätzliche Beschränkung rechtfertigen würden. Art. 82 Abs. 1 DSGVO schließe nicht aus, dass bereits die Befürchtung einer missbräuchlichen Verwendung als immaterieller Schaden zu qualifizieren sei. Dies entspreche auch dem gesetzgeberisch gewollten weiten Schadensbegriff. Erwägungsgrund 85 der DSGVO ergebe zudem, dass bereits der bloße Kontrollverlust über die eigenen Daten einen Schaden darstellen könne. Schließlich sei eine solche Eingrenzung auch nicht mit dem durch die DSGVO verfolgten Ziel eines unionsweit gewährleisteten hohen Datenschutzniveaus vereinbar. Der EuGH weist jedoch darauf hin, dass die betroffene Person den Schaden im Hinblick auf die konkrete Situation begründet darlegen und beweisen muss. Ein pauschaler Verweis auf mögliche Sorgen genügt somit auch zukünftig nicht für die Begründung eines Anspruchs nach Art. 82 DSGVO.

Ist ein gerichtliches Sachverständigengutachten generell notwendig zur Bewertung der Geeignetheit von TOM?

Der EuGH verweist zunächst darauf, dass die Modalitäten der Rechtsbehelfe durch die Mitgliedstaaten festgelegt werden, wobei die unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze zu beachten seien. Mit Blick auf den Effektivitätsgrundsatz verneint der EuGH die generelle Notwendigkeit eines Sachverständigengutachtens. Die Wahrung der Betroffenenrechte, insbesondere das Recht auf einen wirksamen gerichtlichen Rechtsbehelf nach Art. 79 Abs. 1 DSGVO, erfordert, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der Maßnahmen vornimmt. Ein Sachverständigengutachten kann dafür in Anbetracht weiterer Beweise überflüssig sein. Die generelle Anerkennung eines solchen Gutachten als „ausreichend“ könne außerdem dazu führen, dass die Geeignetheit von TOM ausschließlich daraus abgeleitet würde. Damit fände keine eigene gerichtliche Prüfung der TOM statt. Ein gerichtliches Sachverständigengutachten ist deshalb kein generell notwendiges oder ausreichendes Beweismittel, um die Geeignetheit von TOM zu beurteilen.

Fazit

Nach wie vor ist der unbefugte Zugriff durch Dritte per se noch keine Pflichtverletzung des Verantwortlichen. Eine derart enge Auslegung der Art. 24, 32 DSGVO war jedoch auch im Vorfeld nicht erwartet worden. Relevant sind dagegen die Ausführungen des EuGH zur Beweislastverteilung. Verantwortliche Stellen sind künftig prozessual in der Pflicht, gegebenenfalls die Einhaltung ihrer Pflichten aus Art. 32 DSGVO zu beweisen. Das Einhalten und die beweissichere Dokumentation der Grundsätze des DSGVO (Art. 5 DSGVO), insbesondere hinsichtlich geeigneter TOM, wird somit erneut deutlich wichtiger, da künftig auch der Ausgang von Schadensersatzklagen davon abhängen kann. Betreffend die Reichweite des immateriellen Schadens führt der EuGH seinen weiten Schadensbegriff erwartungsgemäß fort. Ob Sorgen und Befürchtungen im Einzelfall tatsächlich einen Schaden darstellen, bleibt jedoch weiter Gegenstand gerichtlicher Überprüfung und obliegt der Beweislast der betroffenen Person.

EuGH-Urteil vom 05. Dezember 2023 – C-807/21: Verhängung von Geldbußen gegen Unternehmen (Deutsche Wohnen)

Im Verfahren „Deutsche Wohnen“ hat der EuGH endlich Grundsatzfragen zur ordnungswidrigkeitenrechtlichen Haftung von Unternehmen bei Datenschutzverstößen geklärt. Die Luxemburger Richter haben sich größtenteils den Anträgen des Generalanwalts angeschlossen, so dass die Überraschung begrenzt bleibt.

Nach der Entscheidung können Datenschutzbehörden in Deutschland und anderen EU-Staaten in Zukunft wahrscheinlich einfacher Bußgelder gegen Unternehmen verhängen, die Datenschutzverstöße begangen haben. Die Feststellung eines Datenschutzverstoßes im Unternehmen genügt gemäß der Entscheidung des EuGH grundsätzlich für eine Bußgeldverhängung, ohne dass dies einer konkreten Person zugeschrieben werden muss. Dennoch muss die Datenschutzaufsichtsbehörde dem Unternehmen weiterhin ein Verschulden (Vorsatz oder Fahrlässigkeit) nachweisen. Es ist noch unklar, welche Anforderungen in Zukunft ausreichend sein werden, um diesen Nachweis zu erbringen, sowie weitere wichtige Detailfragen sind noch offen.
Der Hauptstreitpunkt des Verfahrens, ob Unternehmen sofortig für Datenschutzverletzungen haftbar gemacht werden sollten, wurde vom EuGH zugunsten einer Verbandshaftung des betreffenden Unternehmens entschieden. In einem Nebensatz stellt der EuGH fest, dass für Geldbußen gemäß der DSGVO der kartellrechtliche Unternehmensbegriff (Art. 101, 102 AEUV) gilt. Genau genommen bedeutet dies, dass der Datenschutzverstoß nicht unbedingt von Führungskräften oder Geschäftsführern des Unternehmens begangen werden muss, wie es im deutschen Ordnungswidrigkeitenrecht vorgesehen ist (§ 30 OWiG) oder diesem als Organisationsverschulden anzulasten ist (§ 130 OWiG). Für die Bestrafung einer juristischen Person genügt es als Grundlage, dass der Verstoß von einer Person begangen wurde, die für das Unternehmen tätig war und diesem Vorsatz oder Fahrlässigkeit vorzuwerfen ist. Dies ergibt sich aus den umfangreichen Pflichten des Verantwortlichen nach der DSGVO. Er muss nicht nur angemessene und wirksame Schutzmaßnahmen für personenbezogene Daten ergreifen, sondern auch deren Rechtmäßigkeit sowie sämtliche Verarbeitungstätigkeiten nachweisen können.
Für die Bearbeitung von Daten durch einen von einem Unternehmen beauftragten Verarbeiter kann eine Geldstrafe gegen das verantwortliche Unternehmen verhängt werden, wenn ihm die Verantwortung dafür zuzuschreiben ist. Der Europäische Gerichtshof lehnt damit das sog. Rechtsträgerprinzip klar ab. Die Verhängung von Bußgeldern gemäß der DSGVO darf auch nicht davon abhängig gemacht werden, dass der Verstoß einer identifizierten natürlichen Person nachgewiesen werden muss. Die DSGVO enthalte keine Bestimmungen, wonach ein festgestellter Verstoß einer natürlichen Person zurechenbar sein müsse. Es bedarf nach Ansicht des EuGH nicht einmal der Kenntnis durch eine Leitungsperson.

Dies wirft die Frage auf, ob Unternehmen für jeden eindeutig festgestellten Verstoß („strict liability“) haftbar gemacht werden müssen. Der Europäische Gerichtshof lehnt eine solche schuldhafte Haftung ab und bezieht dabei Art. 83 Abs. 2 und 3 der DSGVO sowie deren Schutzziele mit ein. Art. 83 macht die Schuld des Verantwortlichen oder der Auftragsverarbeiter zur Bedingung für die Verhängung von Bußgeldern. Die Notwendigkeit einer absichtlichen oder fahrlässigen Verletzung schafft auch einen Anreiz, um die DSGVO einzuhalten. Aufgrund der Kohärenz und eines einheitlichen Schutzniveaus in der gesamten Union lehnt der EuGH auch die Möglichkeit ab, von diesem Schuldprinzip abweichende Regelungen auf nationaler Ebene zu erlassen. Ein entsprechender Hinweis in § 42 Abs. 2 BDSG auf das Ordnungswidrigkeitenrecht ist daher wirkungslos.

Die praktischen Auswirkungen des Urteils sind: Der Verantwortliche muss die Rechtmäßigkeit der Datenverarbeitung – möglicherweise auch durch einen Auftragsverarbeiter – nachweisen sowie den Verstoß und das Verschulden gegenüber der Aufsichtsbehörde dokumentieren. Eine Geldstrafe kann unabhängig davon verhängt werden, wer den Verstoß begangen hat, solange die Person im Namen des Unternehmens gehandelt hat.

Diese Denkweise ist im deutschen Recht im Allgemeinen nicht üblich, da Unternehmen nicht selbst handeln, sondern durch ihre Führungskräfte handeln können. Es bleibt abzuwarten, was die deutschen Datenschutzaufsichtsbehörden in Zukunft konkret beweisen müssen, um den Beweis der Schuld zweifelsfrei zu erbringen. Im ursprünglichen Fall, der zur Entscheidung des EuGH geführt hat, muss das KG Berlin nun darüber entscheiden, ob der Staatsanwaltschaft Berlin der Nachweis der Schuld der Deutsche Wohne SE gelingt. Es ist wahrscheinlich, dass die Deutsche Wohnen SE im Falle einer schuldhaften Verletzung sprechen würde, dass sie trotz entsprechender Anweisungen durch die zuständige Datenschutzbehörde und ausreichender Zeit keine angemessene Umsetzung von Löschanforderungen gemäß DSGVO durchgeführt hat.

Ob dies ausreicht, um die Deutsche Wohnen SE zu verurteilen, bleibt abzuwarten. Die Entscheidung des EuGH wirft grundsätzliche verfassungs- und europarechtliche Folgefragen auf. Art. 49 der Charta der Grundrechte der Europäischen Union besagt beispielsweise, dass niemand für eine Handlung oder Unterlassung verurteilt werden darf, die zum Zeitpunkt ihrer Begehung nach innerstaatlichem Recht nicht strafbar war. Es ist unklar, ob und wie weit dieser Rechtsgedanke auch auf den aktuellen Fall und das Ordnungswidrigkeitenrecht angewendet werden kann, weil das Verhalten der Deutschen Wohnen SE nach § 30 OWiG nicht zurechenbar ist. Laut des EuGH soll es jedoch nicht darauf ankommen. Es bleibt abzuwarten, ob das Datenschutzrecht nach der Entscheidung sich dem Kartellrecht weiter annähern wird.

EuGH-Urteil vom 4. Juli 2023 – C-252/21: Prüfung von Datenschutzvorschriften bei Wettbewerbsuntersuchungen (Meta u. Facebook)

Der EuGH entschied in einem durch das OLG Düsseldorf angestrebten Vorabentscheidungsverfahren verschiedene Vorlagefragen, unter anderem zu den Kompetenzen nationaler Wettbewerbsbehörden in Bezug auf die Beurteilung datenschutzrechtlicher Fragestellungen. Hintergrund des Verfahrens vor dem OLG Düsseldorf war eine Abstellungsverfügung des Bundeskartellamtes gegen Meta Platforms, Meta Platforms Ireland und Facebook Deutschland, die unter Berufung auf Verstöße gegen die DSGVO die Ausnutzung einer marktbeherrschenden Stellung gem. §§ 19, 32 GWB feststellte. Grund der Verfügung war, dass Nutzer:innen zur Anmeldung auf Facebook sowohl den Nutzungsbedingungen als auch den Richtlinien zur Verwendung von Daten und Cookies zustimmen mussten. Diese wiederum sahen vor, dass Meta bzw. Facebook die Aktivitäten der Nutzer:innen sowohl innerhalb als auch außerhalb der Plattform trackte und diese „Off-Facebook-Daten“ bestehenden Konten zuordnete, um darauf basierend personalisierte Werbung auszuspielen. Facebook klagte gegen die Abstellungsverfügung vor dem OLG Düsseldorf.

Zusammenfassend hat der EuGH Folgendes entschieden:

  1. DSGVO-Prüfung durch Wettbewerbsbehörden:
    Nationale Kartellbehörden können sich im Rahmen von wettbewerbsrechtlichen Verfahren auch auf datenschutzrechtliche Verstöße stützen, so durfte das Bundeskartellamt etwa im vorliegenden Fall den durch Meta begangenen DSGVO-Verstoß als Indiz für eine marktbeherrschende Stellung im Sinne des GWB heranziehen. Die Kartellbehörden trifft hierbei allerdings eine Pflicht zur Abstimmung mit den Datenschutzaufsichtsbehörden sowie zur Loyalität, eine rechtliche Einschätzung der Aufsichtsbehörden hat für die Kartellbehörden Bindungswirkung. Die Auferlegung datenschutzrechtlicher Sanktionen und das Treffen „verbindlicher“ Entscheidungen steht ausschließlich den zuständigen Datenschutzaufsichtsbehörden zu.
  2. Verarbeitung besonderer Kategorien personenbezogener Daten:
    Auch etwa Log-Daten von Nutzer:innen beim Besuch von Websites oder Apps können wohl als Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO betrachtet werden, etwa beim Besuch von Dating- oder gesundheitsbezogenen Seiten. Konkret kann laut EuGH eine entsprechende Verarbeitung schon dann vorliegen, wenn „Daten über den Aufruf der fraglichen Websites oder Apps solche Informationen offenbaren [können], ohne dass die Nutzer dort Informationen eingeben müssten, indem sie sich registrieren oder Online-Bestellungen aufgeben“. Der bloße Besuch einer Website stellt dabei kein „offensichtliches Öffentlichmachen“ i.S.d. Art. 9 Abs. 2 lit. e DSGVO dar, damit gilt auch diese Ausnahmebestimmung des Generalverbots in Art. 9 Abs. 1 DSGVO nicht.
  3. Art. 6 Abs. 1 lit. b, f DSGVO:
    Die Verarbeitung personenbezogener Daten für personalisierte Werbung aufgrund eines berechtigten Interesses durch Meta war in der oben beschriebenen Konstellation nicht zulässig, dies gelte trotz der Finanzierung von Facebook durch ebendiese personalisierte Werbung. Trotz der aktuellen Entscheidung bleibt die Möglichkeit personalisierter Werbung auf Basis legitimer Interessen wohl grundsätzlich weiter bestehen. Dies sollte zumindest dort gelten, wo der Verantwortliche nach sorgfältig erfolgter Interessenabwägung ein berechtigtes Interesse nachweisen kann.
    Soll eine Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO erfolgen, schärft der EuGH die Voraussetzung der „Erforderlichkeit [der Verarbeitung] für die Vertragserfüllung“ dahingehend, dass eine entsprechende Verarbeitung tatsächlich „objektiv unerlässlich“ für die Erfüllung des Vertrages sein müsse. Das Gericht macht zudem klar, dass Art. 6 Abs. 1 lit. f DSGVO keine taugliche Rechtsgrundlage für die Informierung von Strafverfolgungs- und Vollstreckungsbehörden darstellt, sofern es sich bei den Verantwortlichen um „private Wirtschaftsteilnehmer“ handelt.
  4. Einwilligung gegenüber marktbeherrschenden Unternehmen:
    Eine Einwilligung kann grundsätzlich auch von marktbeherrschenden Unternehmen eingeholt werden, auch sie können Verarbeitungen also zumindest theoretisch auf Art. 6 Abs. 1 lit. a DSGVO stützen. Es sollte allerdings sorgfältig geprüft werden, ob die betroffene Person diese auch tatsächlich freiwillig abgeben konnte. Hierbei ist insbesondere zu berücksichtigen, dass Umstände wie das Innehaben einer „marktbeherrschenden Stellung“ dazu führen können, dass die “ betroffene Person nicht über eine echte Wahlfreiheit verfügt oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden“.
EuGH-Urteil vom 4. Mai 2023 – C-300/21: Klarheit bei DSGVO-Schadensersatzansprüchen

Das heutige Urteil des Gerichtshofes der Europäischen Union (EuGH) zum Vorabentscheidungsverfahren „Österreichische Post“ (Rs. C-300/21) ist mit großer Spannung erwartet worden. Von der Entscheidung der Luxemburger Richter haben sich viele Praktiker Klarheit in Bezug auf die Anspruchsvoraussetzungen eines immateriellen Schadensersatzes nach Art. 82 DSGVO (DSGVO-Schadensersatz) erhofft. Die Frage, unter welchen Bedingungen einer betroffenen Person DSGVO-Schadensersatz zusteht, wurde auch vor deutschen Gerichten bereits kontrovers diskutiert. Der EuGH hat nun klargestellt, dass ein bloßer DSGVO-Verstoß noch keinen solchen Anspruch begründet. Zugleich sei der Zuspruch einer Entschädigung jedoch nicht davon abhängig, dass der immaterielle Schaden eine gewisse Erheblichkeit überschreite. Das Urteil kann insofern durchaus als Paukenschlag gewertet werden. Welche Auswirkungen der heutige Richterspruch zudem im Detail hat, lesen Sie im Folgenden.

EuGH-Urteil: Bedeutung der Schadensersatzansprüche bei DSGVO-Verstößen ohne Datenweitergabe

Dem Vorabentscheidungsverfahren ging ein Rechtsstreit zwischen einem österreichischen Staatsbürger und der Österreichische Post AG (Österreichische Post) voraus. Die Österreichische Post hatte diesem eine Affinität zur rechten FPÖ zugeschrieben, was der Kläger als beleidigend, beschämend und kreditschädigend empfand. Das Unternehmen erhob seit 2017 ohne Einwilligung der betroffenen Personen Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Die ermittelten soziodemographischen Merkmale nutzte das Unternehmen, um Bürger im Wege algorithmische Hochrechnung bestimmten politischen Zielgruppen zu zuweisen. Auch der Kläger war von einer solchen – allerdings falschen – Zuordnung betroffen. Eine Weitergabe dieser Daten an Dritte erfolgte jedoch nicht. Da das Verhalten der Österreichischen Post bei ihm ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst habe (inneres Ungemach), machte der Kläger einen Anspruch auf DSGVO-Schadensersatz in Höhe von 1.000€ geltend.

Kein automatischer Schadensersatz: DSGVO-Verstoß und die Bedeutung des österreichischen Schadensrechts

Das Erstgericht wies die Klage ab, dies wurde vom Oberlandesgericht Wien in der Berufung bestätigt. Aus Sicht der Instanzgerichte liege infolge der fehlenden Einwilligung zwar möglicherweise ein DSGVO-Verstoß vor. Die Daten wurden jedoch nicht weitergegeben, weshalb dem Kläger kein tatsächlicher Schaden entstanden sei. Nicht jeder Verstoß gegen die DSGVO bedinge automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO. Vielmehr ergänze das österreichische Schadensrecht – vergleichbar den Anforderungen nach deutschem Recht – die DSGVO. Ersatzfähig seien nur solche Schäden, die über bloßen Ärger oder Gefühlsschaden hinausgingen und eine gewisse Erheblichkeit aufweisen würden.

EuGH beantwortet Vorlagefragen des OGH: Klärung zu DSGVO durch wegweisendes Urteil

Gegen das Urteil wurde Revision beim Obersten Gerichtshof in Österreich (OGH Österreich) eingelegt. Da – aus Sicht des OGH – entscheidungsrelevante Unklarheiten in die Auslegungskompetenz des EuGH fielen, setzte der Gerichtshof das Revisionsverfahren aus und formulierte drei Vorlagefragen. Mit seinem heutigen Urteil hat der EuGH diese wie folgt beantwortet.

Darlegung des Schadens erforderlich: EuGH präzisiert Voraussetzungen für DSGVO-Schadensersatz

Mit seiner ersten Vorlagefrage wollte der OGH klären lassen, ob ein bloßer DSGVO-Verstoß für den Zuspruch eines Schadensersatzes nach Art. 82 DSGVO ausreiche oder ein tatsächlicher Schaden eingetreten sein müsse. Der EuGH hat nun festgestellt, dass nicht jeder DSGVO-Verstoß für sich genommen einen Schadensersatzanspruch eröffnet. Der Betroffene muss einen materiellen oder immateriellen Schaden konkret darlegen können.
Die Notwendigkeit einer entsprechenden Darlegung des eingetretenen Schadens war zwar bereits bisher von einigen Instanzgerichten bejaht worden. Zum einen werde der Eintritt eines Schadens im Wortlaut von Art. 82 DSGVO ausdrücklich als Voraussetzung genannt so die Argumentation, weshalb eine gegenteilige Auslegung kaum mit dem Wortlaut der Norm in Einklang zu bringen sei. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift. Im Übrigen werde der Betroffene dank weiterer Rechtsbehelfe – beispielsweise der Beschwerde – dadurch nicht schutzlos gestellt. Es gab allerdings auch durchaus gewichtige gegenläufige Tendenzen. So hat z.B. das BAG in seinem Vorlagebeschluss an den EuGH eine gegenteilige Auffassung vertreten und argumentiert, dass bereits eine Rechtsverletzung infolge eines DSGVO-Verstoßes an sich zu einem auszugleichenden immateriellen Schaden nach Art. 82 DSGVO führen würde (BAG, Beschluss v. 22.09.2022 – 8 AZR 209/21 (A)). Entsprechenden Tendenzen in der Rechtsprechung erteilt der EuGH eine klare Absage und stellt klar, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch eröffnet.

Bemessung des Schadensersatzes: EuGH bestätigt Anwendung nationaler Vorschriften unter Berücksichtigung unionsrechtlicher Grundsätze

Die zweite Vorlagefrage des OGH war darauf gerichtet, welche Regeln bei der Bemessung der Schadensersatzhöhe Anwendung finden sollen. Die DSGVO selbst enthält dahingehend keine Bestimmungen. Der EuGH hat nunmehr festgestellt, dass die Bemessung nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz beachtet werden

Keine Bagatellgrenze für DSGVO-Schadensersatz: EuGH lehnt Erheblichkeitsschwelle ab und betont Notwendigkeit des Schadensnachweises

Mit seiner dritten Vorlagefrage wollte der OGH wissen, ob nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürfen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“). Im Ergebnis hätte dies eine Untergrenze für geringfügige Beeinträchtigungen bedeutet. Damit wäre nicht jeder immaterielle Schaden automatisch ersatzfähig, sondern müsste eine gewisse Erheblichkeitsschwelle überschreiten. Diese Auffassung war bereits im Vorfeld heiß diskutiert und von vielen Vertretern befürwortet worden. Auch der zuständige Generalanwalt Sánchez-Bordona hatte in seinem Schlussantrag im Wege einer ausführlichen Begründung für die Möglichkeit einer Erheblichkeitsschwelle durch nationale Gerichte argumentiert.
In seinem Urteil hat der EuGH dies nun im Rahmen einer weitaus weniger umfassenden Begründung verneint. Die DSGVO erwähne keine Erheblichkeitsschwelle, zudem stünde eine solche in Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffes. Zugleich gefährde eine solche Beschränkung die mit der DSGVO verfolgte Kohärenz (einheitliche Rechtsanwendung), da die graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne. Eine Regelung oder Praxis nationaler Gerichte, die eine solche Erheblichkeitsschwelle vorsehe, sei mit Art. 82 DSGVO nicht vereinbar. Die betroffene Person müsste jedoch gleichwohl dennoch den Nachweis erbringen, dass die negativen Folgen eines DSGVO-Verstoßes auch tatsächlich einen immateriellen Schaden darstellen.

Mehr Rechtssicherheit bei Schadensersatzansprüchen nach Art. 82 DSGVO: EuGH-Urteil und Möglichkeiten der Abwehr von unbegründeten Forderungen

Das Urteil verschafft den Rechtsanwendern durchaus in gewichtigen, wenn auch nicht allen offenen Fragestellungen im Zusammenhang mit Art. 82 DSGVO, erheblich mehr Rechtssicherheit. Die Feststellung, dass es eines tatsächlichen Schadens bedarf, erteilt gegenläufigen Tendenzen in der Rechtsprechung einiger Gerichte (insbesondere Arbeitsgerichte) eine Absage. Betroffene müssen einen tatsächlichen immateriellen Schaden nachweisen und können sich gegenüber dem Verantwortlichen nicht lediglich auf einen DSGVO-Verstoß berufen. Der Begriff des Schadens wird jedoch leider nicht weiter umrissen. Indem der EuGH die teils von mitgliedstaatlichen Gerichten geforderte Beeinträchtigung „von einigem Gewicht“ als mit Art. 82 DSGVO unvereinbar ansieht, droht der unionsrechtliche Schadensbegriff weiterhin konturlos zu werden. In der bisherigen nationalen Rechtsprechungspraxis wurden Schadenersatzansprüche teilweise wegen Unterschreitung einer „Bagatellschwelle“ abgelehnt. Künftig dürfen Gerichte den Zuspruch eines solchen Anspruchs jedoch nicht mehr davon abhängig machen, ob der immaterielle Schaden tatsächlich erheblich ist. Grundsätzlich können somit auch geringfügige Beeinträchtigungen zu einem Anspruch des Betroffenen führen. Allerdings müssen entsprechende Beeinträchtigungen auch nach dem EuGH-Urteil konkret dargelegt werden. Floskelartige Begründungen wie der Verweis auf ein Stör- oder Unmutsgefühl dürften nicht ohne Weiteres ausreichen. Dies im Einzelfall zu entscheiden, obliegt allerdings den Gerichten der EU-Mitgliedsstaaten. In dieser Hinsicht hat das jetzige Urteil tatsächlich nicht unbedingt zu mehr Klarheit geführt.

Erfolgreiche Abwehr von Schadensersatzansprüchen: Möglichkeiten und Argumentationsspielraum im Lichte des EuGH-Urteils

Beklagte Unternehmen sollten weiterhin Forderungen nach Schadensersatzansprüchen sehr sorgfältig überprüfen. Auch im Lichte des EuGH-Urteils bieten sich nach wie vor Möglichkeiten, unbegründete Forderungen erfolgreich abzuwehren. So können viele Kläger schon den behaupteten Verstoß und auch den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Auch im Rahmen der notwendigen Ursächlichkeit des DSGVO-Verstoßes für den Schaden besteht häufig Argumentationsspielraum.

Ausblick DSGVO-Schadensersatz: Das EuGH-Urteil als Auftakt – Weitere Rechtsfragen und anhängige Verfahren

Mit der heutigen Entscheidung des EuGH ist das letzte Wort zum DSGVO-Schadensersatz noch nicht gesprochen. Das Urteil bildet vielmehr den Auftakt zur Klärung weiterer Rechtsfragen im Zusammenhang mit Art. 82 DSGVO. Mit den Vorabentscheidungsersuchen des bulgarischen Obersten Verwaltungsgerichts (VB) (Rs. C-340/21) und des LG Saarbrücken (C-741/21) sind diesbezüglich unter anderem weitere Verfahren anhängig. Der VB möchte insbesondere klären lassen, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schaden darstellen und somit zum Schadensersatz berechtigen. Das Thema bleibt somit für Verantwortliche und Betroffene gleichermaßen spannend und aktuell.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Data Act

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Daten sind das Rückgrat des digitalen Zeitalters und spielen eine entscheidende Rolle bei der Gestaltung unseres digitalen und ökologischen Wandels. In einer Welt, in der täglich enorme Datenmengen generiert werden, bleibt das volle Potenzial dieser Ressource oft ungenutzt. Der Umgang mit diesen Daten, insbesondere die Frage der Datenrechte und eine gerechte Verteilung der Fähigkeiten für digitale Fortschritte, ist häufig unklar. Der seit dem 11.01.2024 in Kraft getretene Data Act, der umfassend ab dem 12.09.2025 Anwendung findet, zielt darauf ab, diesen Herausforderungen zu begegnen, indem er klare Richtlinien für den Zugang zu und die Nutzung von Daten vorgibt. Für Unternehmen und Verbraucher ergeben sich daraus neue Pflichten und Rechte, die wesentliche Auswirkungen auf die Praxis haben. Vor diesem Hintergrund bieten wir unseren Mandanten maßgeschneiderte Beratungsleistungen an, um die durch den Data Act entstehenden Herausforderungen und Möglichkeiten optimal zu nutzen. Wir helfen Ihnen, die Rechte und Pflichten, die sich aus dem Data Act ergeben, zu verstehen, geeignete Vertragsregelungen zu treffen und die Einhaltung der Datenschutzvorgaben sicherzustellen.

Die Vision des Data Acts: Freier Datenzugang und Innovation fördern

Der Data Act (dt. Datengesetz) ist in Form einer EU-Verordnung ausgestaltet. Europäische Verordnungen entfalten – im Gegensatz zu europäischen Richtlinien – unmittelbare Wirkung in den EU-Mitgliedstaaten, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.

Die Verordnung harmonisiert Vorschriften für den fairen Zugang zu und der Nutzung von Daten. Damit soll er als „zweite Säule“ der europäischen Datenstrategie gelten, deren Ziel es ist, durch neue Regelungen das wirtschaftliche Potential der wachsenden Datenmenge besser zu nutzen und einen wettbewerbsfähigen Datenmarkt zu fördern. Als „erste Säule“ wird der sog. Data Governance Act verstanden, welcher seit September 2023 gilt. Während der Data Governance Act Prozesse und Strukturen regelt, die den freiwilligen Datenaustausch ermöglichen, wird im Data Act klargestellt, wer aus Daten Wert schaffen kann und unter welchen Bedingungen. 

Der Data Act befasst sich im Wesentlichen damit, dass unter anderem Nutzer von vernetzten Geräten, Maschinen oder sonstigen Produkten darüber entscheiden können, wie mit den gewonnenen Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben.

Wer wird vom Data Act betroffen? Ein Überblick

Sachlicher Anwendungsbereich

Der Data Act betrifft Daten, die bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugt werden, vor allem auch von solchen Daten, die nicht personenbezogen sind, womit der Anwendungsbereich insoweit über den der DSGVO hinausgeht. 

In Art. 2 Data Act findet sich eine Reihe von Begriffsdefinitionen, die die Elemente des sachlichen Anwendungsbereiches definieren und damit auch näher abgrenzen. Unter die Verordnung fallen danach IoT- oder IIoT-Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über die Umgebung erlangen, erzeugen oder sammeln können. Nicht jedoch beispielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner. Denn bei ihnen ist ein menschlicher Beitrag zur Generierung von Daten notwendig, während dies bei den zuerst genannten Geräten vollständig automatisiert möglich ist.

Adressaten des Data Act

Der Data Act richtet sich insbesondere an Hersteller von vernetzten Produkten und Anbieter verbundener Dienste sowie an deren Nutzer, außerdem an Dateninhaber und öffentliche Stellen. Der Sitz des Unternehmens spielt keine Rolle: es gilt das Marktortprinzip. 

Unter Nutzer eines Produktes fallen juristische wie auch natürliche Personen – also zum Beispiel Unternehmen oder Verbraucher, soweit diese das Produkt gekauft, gemietet oder geleast haben. Allerdings ist für Kleinst- oder Kleinunternehmen (KMU) eine Privilegierung vorgesehen, wonach insbesondere die Pflichten des Kapitel II (Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen) diese nicht treffen.

Schöpfen Sie die Vorteile des digitalen Wandels und des Data Acts voll und rechtssicher aus – mit uns an Ihrer Seite.

Neue Spielregeln: Rechte und Pflichten für Unternehmen unter dem Data Act

Für den B2C- und B2B-Bereich hält Kapitel II des Data Act wichtige Regelungen bereit, die die Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen betreffen. 

Eine der zentralen Pflichten des Data Act ist die in Art. 3 Data Act geregelte Pflicht der Zugänglichmachung von bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugten Daten. Insbesondere Art. 3 Abs. 1 Data Act nimmt den Gedanken des Access by Design auf. 

Im direkten Anschluss, in Art. 3 Abs. 2 Data Act, findet sich eine weitere wichtige Regelung: die vorvertragliche Informationspflicht vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für ein IoT-Produkt. Die transparente Darstellung relevanter Informationen soll zur Fairness für den Nutzer beitragen. So müssen dem Nutzer u.a. Informationen wie Art, Format und geschätzter Umfang der Produktdaten sowie Informationen darüber, ob das vernetzte Produkt in der Lage ist, kontinuierlich und in Echtzeit Daten zu generieren, in verständlicher und klarer Form zur Verfügung gestellt werden. 

Eine weitere wesentliche Norm stellt Art. 4 Data Act dar. Er regelt das Recht der Nutzer und Dateninhaber auf Zugang zu den Produktdaten und verbundenen Dienstdaten sowie das Recht auf deren Nutzung. Dieses Recht zielt darauf ab, dem Nutzer transparent seine Zugänglichkeitsrechte zu eröffnen und dabei aber den fairen Wettbewerb nicht aus dem Blick zu verlieren, in dem auch Regelungen zu Geschäftsgeheimnissen oder Entwicklung von Produkten mitbedacht wurden. 

Zu beachten ist auch, dass Dateninhaber nach Art. 4 Abs. 13 Data Act ohne Weiteres verfügbare Daten, bei denen es sich nicht um personenbezogene Daten handelt, nur auf der Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verarbeiten oder nutzen dürfen. Ohne Weiteres verfügbare Daten im Sinne der Verordnung sind Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann. Die Vorschrift macht damit gegebenenfalls den Abschluss von Datenlizenzverträgen erforderlich. 

Auch Art. 5 Data Act befasst sich mit dem Datenverkehr und regelt die Herausgabe von Daten an Dritte, die auf Verlangen des Nutzers zu erfolgen hat. 

Darüber hinaus sieht die Verordnung ein Verbot missbräuchlicher Klauseln vor. Art. 13 Data Act regelt den Umgang mit missbräuchlichen Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung, die gegenüber einem Unternehmen einseitig auferlegt werden. Insoweit handelt es sich um eine wettbewerbs- bzw. kartellrechtliche Komponente des Data Act. Die vereinbarten Vertragsklauseln sollen die Fairness in der Datenwirtschaft und auf dem Markt fördern. 

Eine weitere bedeutende Regelung, um die Ziele des Data Act zu erreichen, sind die Vorschriften zur Interoperabilität (Kapitel VIII). Interoperabilität im Sinne dieser Verordnung ist – vereinfacht gesagt – die Fähigkeit verschiedener Systeme, vernetzter Produkte oder Anwendungen, Daten auszutauschen und zu nutzen, um ihre Funktion zu erfüllen. Der Data Act verlangt, dass Dienste mit offenen Standards und Schnittstellen kompatibel sein müssen, um so die Interoperabilität zwischen den Diensten zu erhöhen. Dadurch soll die Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten erreicht werden. 

In diesem Zusammenhang ist auch das Recht der Kunden zu sehen, künftig kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und alle ihre exportierbaren Daten auf einen neuen Dienst zu übertragen. Kapitel VI des Data Act, das den Wechsel zwischen Datenverarbeitungsdiensten regelt, sieht unter anderem vor, dass keine Hindernisse für den Wechsel des Anbieters bestehen dürfen. Datenverarbeitungsdienste müssen ihre Kunden beim Wechsel unterstützen, unter anderem durch angepasste Vertragsklauseln und Informationspflichten. Nach einem Wechsel gilt der Vertrag mit dem bisherigen Anbieter als beendet – die Regelungen können daher zu außerordentlichen Kündigungsrechten führen. 

Die Verpflichtungen aus dem Data Act können von den Kunden vertraglich und von den Mitgliedstaaten durch Sanktionen durchgesetzt werden. Bei Verstößen drohen Bußgelder, die auf Methoden basieren, die bereits aus der DSGVO bekannt sind. Diese können bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Data Act und DSGVO: Navigieren im Regelungsdickicht

Neben dem Data Act bleibt die DSGVO uneingeschränkt anwendbar. Werden also personenbezogene Daten erhoben, die auch in den Anwendungsbereich des Data Act fallen, sind beide Regelungen zu beachten. Insbesondere bedarf die Verarbeitung personenbezogener Daten einer gesetzlichen Grundlage. Der Data Act stellt klar, dass die Verarbeitung personenbezogener Daten im Einklang mit den Bestimmungen der DSGVO erfolgen muss, stellt aber selbst keine Rechtsgrundlage für die Datenverarbeitung dar. In der Praxis wird daher in den meisten Fällen weiterhin eine Einwilligung nach der DSGVO erforderlich sein. Insofern muss bei Auslegung und Anwendung des Data Act immer auch die DSGVO im Blick behalten werden,

Darüber hinaus sind bei der Interkation mit IoT-Daten auch die Anforderungen der KI-Verordnung zu berücksichtigen, welche voraussichtlich Mitte dieses Jahres in Kraft tritt. 

Nutzen Sie die Chancen des Data Acts: Strategien für die Zukunft

Der Data Act stellt einen Meilenstein in der europäischen Datenpolitik dar und bietet das Potential, die Nutzung von Daten im EU-Binnenmarkt signifikant zu erweitern. Mit seinen neuen Verpflichtungen richtet er sich an eine breite Palette von Akteuren, von Herstellern vernetzter Produkte bis hin zu öffentlichen Stellen. Während der Data Act vielfältige Möglichkeiten eröffnet, bringt er auch komplexe Anforderungen mit sich, die Unternehmen und Verbraucher gleichermaßen betreffen. In Anbetracht der umfassenden Informationspflichten, der Notwendigkeit von Vertragsanpassungen und der spezifischen Regelungen für nicht-personenbezogene Daten ist es essenziell, sich frühzeitig mit den Bestimmungen auseinanderzusetzen. Unsere Expertise im Bereich des Data Acts ermöglicht es uns, Sie optimal bei der Umsetzung der neuen Regelungen zu unterstützen und sicherzustellen, dass Sie die Übergangsfrist bis 2025 effektiv nutzen können. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Chancen des Data Acts zu nutzen und gleichzeitig die Compliance sicherzustellen.

KI as a Service (KIaaS) und Recht

KI-as-a-Service (KIaaS) und Recht – Herausforderungen, Lösungen, Anwendungsfälle

Künstliche Intelligenz (KI) wird zunehmend als Allzweckwerkzeug gesehen, das den Weg zu größerem unternehmerischem Erfolg ebnen kann – und das sogar nahezu autonom. Doch die breite Masse der Interessenten steht vor einem Problem. Selbst Fachleute stoßen an ihre Grenzen, wenn es um das Verständnis der KI-Technologie und die rechtskonforme technische Umsetzung geht. Wie soll das der einfache Unternehmer oder die Unternehmerin schaffen? Die Lösung des Problems könnte sich aber bereits ohne Zutun des einzelnen Unternehmers auftun: KI-as-a-Service (KIaaS).

Das Geschäftsmodell KIaaS bündelt eine Vielzahl von Dienstleistungen rund um den Vertrieb von KI, um technische Hürden für kleine und mittelständische Unternehmen abzubauen und so den Einsatz von KI für die breite Masse der Unternehmen zugänglich zu machen. KIaaS benötigt jedoch auch einen geeigneten Rechtsrahmen und bringt eigene Herausforderungen mit sich. Um diesem Ziel gerecht zu werden, bedarf es eines breiten juristischen und technischen Verständnisses und eines genauen Blicks bei der Ausgestaltung der vertraglichen Regelungen. Von urheberrechtlichen Fragen bei der Lizenzerteilung für die KI selbst und deren Output, über den Umgang mit urheberrechtlich geschütztem Material beim KI-Input, bis hin zu einer von Grund auf datenschutzkonforme Ausgestaltung des Gesamtmodells sind diverse komplexe Herausforderungen zu bewältigen.

Sie möchten mehr über KIaaS erfahren? Wir haben die Antworten auf die grundlegenden Fragen zum Thema in unserem FAQ beantwortet.

Die wichtigsten Fragen und Antworten zu KIaaS

Was ist KIaaS?

Künstliche Intelligenz as a Service (kurz KIaaS) ist die jüngste Variante des bereits weit verbreiteten Geschäftsmodells Software as a Service (SaaS). Kern des Konzepts ist die cloudbasierte Bereitstellung von KI-Software inklusive der dazugehörigen Begleitleistungen. Die ergänzenden Leistungen schaffen ein nutzerfreundliches Endprodukt, ohne dass tiefes technisches Know-how erforderlich ist.

Was unterscheidet KIaaS vom einfachen Erwerb einer KI?

KIaaS zeichnet sich durch einen anwenderfreundlichen Zugang zu KI aus. Die Kundschaft wird nicht mit einem einzelnen Produkt allein gelassen, sondern erhält Zugang zu einem bestehenden KI-Modell, das kontinuierlich weiterentwickelt und verbessert wird. Diese Hauptkomponente der Leistung wird regelmäßig durch eine Vielzahl variabler Nebenleistungen flankiert, die dem Kunden optimierte Integrationsmöglichkeiten bieten. Kennzeichnend ist, dass kein einmaliger Softwarekauf erfolgt, sondern Nutzungslizenzen für das KI-Modell im Rahmen eines Dauerschuldverhältnisses erworben werden. Vereinfacht lässt sich das Konzept als Abo-Modell für nutzerfreundliche KI beschreiben.

Welche Vorteile hat KIaaS gegenüber einem einfachen KI-Kauf oder der Entwicklung einer eigenen KI?

KIaaS hat den entscheidenden Vorteil, dass die hohen technischen Grundanforderungen der Erstellung und des Trainings einer KI durch die Vorarbeit professioneller Anbietender ausgelagert werden. Durch das kontinuierliche Training der KI auf professionellem Niveau bleibt diese auch technisch auf dem neuesten Stand. Auch die Anforderungen an den Betrieb der KI, wie die Bereitstellung ausreichender Rechenleistung und Wartungsmaßnahmen im Sinne von Updates und Support, werden durch den Anbietenden abgedeckt.

Hat KIaaS auch Nachteile?

Natürlich hat KIaaS auch Nachteile gegenüber dem herkömmlichen Kauf von KI und dem eigenen Betrieb der Software. Durch die Nutzung eines fremden KI-Modells, auf das man nur bedingt oder gar keinen Einfluss hat, begibt man sich in ein Abhängigkeitsverhältnis. Insbesondere bei Performanceproblemen oder Serverausfällen gibt es kaum Möglichkeiten, den Problemlösungsprozess zu beschleunigen. Auch Anpassungsmöglichkeiten bestehen nur im Rahmen des vom Anbieter angebotenen Leistungsspektrums. Aus diesen und weiteren Gründen ist ein sorgfältiger Auswahlprozess bei der Providerwahl entscheidend, um Risiken zu minimieren und den bestmöglichen Fit für das eigene Unternehmen zu finden.

Gibt es die Möglichkeit KI speziell für das eigene Unternehmen „maßschneidern“ zu lassen?

KI kann durch Training auf spezifischen Daten für bestimmte Zwecke individualisiert werden, um bessere Ergebnisse für bestimmte Aufgabentypen zu erzielen. Grundlage für ein solches individualisiertes Training sind sogenannte Basismodelle, die für eine Vielzahl von Anwendungsfällen trainiert wurden, um ein formbares Grundmodell für eine spätere Spezialisierung bereitzustellen.
Angebote für individualisiertes KI-Training sind zwar noch nicht im Massenmarkt angekommen, aber es gibt bereits erste Anbieter und die Prognosen für die wirtschaftliche Entwicklung lassen ein starkes Wachstum der Branche erwarten.

Welchem Vertragstypen ist KIaaS zuzuordnen?

Die aaS-Modelle im Allgemeinen kombinieren eine Vielzahl verschiedener Leistungen und werden von der Rechtsprechung daher als typengemischte Verträge eigener Art (sui generis) angesehen. Die Gewichtung der Leistungskomponenten kann je nach Ausarbeitung des Produktbündels variieren. Dies gilt gleichermaßen für KIaaS. Während bei KI-Anbietern, die lediglich die Ergebnisse aus einzelnen Berechnungen ihres KI-Modells an den Kunden herausgeben, vertragstypologisch Werk- oder Dienstverträge in Betracht kommen, sind Geschäftsmodelle, bei denen die KI als Software dem Kunden zum Gebrauch auf Zeit überlassen wird, schwerpunktmäßig als Mietverträge einzuordnen. Im Fall der Vereinbarung eines individualisierten Trainings der KI kann es innerhalb der Abwägung der Typenmischung zu einer Verlagerung zugunsten eines Werkvertrags kommen. Allgemeingültig ist, dass für die Bestimmung des einzelnen Vertragstyps die Auswertung der konkreten Umstände des Sachverhalts notwendig ist.

Was sind die wichtigsten vertraglichen Herausforderungen im KIaaS-Verhältnis?

Zwingende Voraussetzung eines guten Vertrags ist, dass der zugrundeliegende Lebenssachverhalt bzw. der zu regelnde Vertragsgegenstand möglichst treffend abgebildet wird. In KIaaS-Verträgen erfolgt eine solche Abbildung per Beschreibung der KI und der damit verbundenen Leistungen innerhalb der Leistungsbeschreibung und dem Service Level Agreement. Die Leistungsbeschreibung bezieht sich dabei auf die Qualitäten und Eigenschaften des Hauptleistungsgegenstands, also der KI selbst und sofern vereinbart ihrem Training. Das Service Level Agreement regelt die wiederkehrenden Leistungen, die zur Erfüllung der eigentlichen Hauptleistung dienen, wie beispielsweise Verfügbarkeits- bzw. Erreichbarkeitsregelungen, Support- und Wartungstätigkeiten und Reaktionszeiten bei Sicherheitsvorfällen oder Ähnlichem. Die Inhalte von Leistungsbeschreibung und SLA sind für Anbieter und auch Kunden von essenzieller Bedeutung, da sie einerseits vermitteln, ob das Produkt für den angestrebten Use Case geeignet ist, andererseits aber auch Sicherheit darüber verschaffen was für ein Leistungsniveau zu bewirken ist. Die Erarbeitung dafür tauglicher Inhalte erfordert ein sorgfältiges Vorgehen und ist entsprechend fordernd.

Besonderes Augenmerk ist darüber hinaus auf Regelungen zur Datenbereitstellung zu legen, da diese für das Training von KI einen zentralen Stellenwert einnehmen. Grundlegend ist deren Wichtigkeit darin zu sehen, dass die bereitgestellten Daten den entscheidenden Faktor dafür darstellen, ob ein individuelles Training der KI den geplanten Use Case tatsächlich abbilden kann. Aber auch wenn kein individuelles Training vereinbart ist, ist die Datenbereitstellung ein wichtiger Punkt, da durch die Produktivbetriebsdaten wertvolle Trainingsdaten für die Weiterentwicklung der KI des Anbieters gewonnen werden können. Insofern sollte diese Form der „Bezahlung“ mittels Daten innerhalb der Vertragsverhandlungen berücksichtigt werden. Zuletzt ist zu beachten, dass die bereitgestellten Daten wertvolle unternehmerische Informationen über die Prozesse des Branchensektors des Kunden enthalten können, wenn nicht sogar Geschäftsgeheimnisse. Insofern ist es von großer Bedeutung innerhalb der Datenbereitstellungsvereinbarung auf Maßnahmen zur Gewährleistung der Sicherheit der Informationen zu achten.

Ein dritter fordernder Themenkomplex ist die Lizenzgebung und der Schutz der KI und ihrem Output gegenüber Dritten. Die Problematik findet ihren Ursprung darin, dass das deutsche Urheberrecht nach dem derzeitigen herrschenden Verständnis keine passende Werktypkategorie beinhaltet unter die subsumiert werden könnte. Infolgedessen können gegenüber dem Kunden keine urheberrechtlich wirksamen Nutzungsrechte übertragen werden, wodurch lediglich die Option einer einfachrechtlichen tatsächlichen Nutzungslizenz bleibt. Zwar ermöglicht diese das wirksame Geschäftsverhältnis zwischen Anbieter und Kunde, jedoch stellt sich das Problem, dass die urheberrechtlichen Abwehrrechte gegenüber der unbefugten Nutzung Dritter für sowohl die KI selbst, als auch für den von der KI geschaffenen Output, nicht genutzt werden können. Dies stellt sowohl für Anbieter als auch für Kunden ein Problem dar, da beide ein Interesse an der Exklusivität der jeweiligen Produkte haben. Eine Lösung für dieses Bedürfnis findet sich im Geschäftsgeheimnisrecht, da dieses zum Urheberrecht vergleichbare Abwehrrechte gegenüber Dritten ermöglichen kann. Bedingung dafür ist jedoch die Ausarbeitung eines geeigneten Konzepts technischer und organisatorischer Maßnahmen begleitet von tauglichen Vertragsklauseln zur Regelung des Verhältnisses zwischen Anbieter der KI und dem Kunden.

Muss vor der Einführung von KI ins Unternehmen der Betriebsrat eingeschaltet werden?

Eine häufig auftretende Frage aus der Wirtschaftspraxis ist, ob beim Bestehen eines Betriebsrats im Unternehmen, dieser bei der Einführung der KI ins Unternehmen involviert werden muss oder ob er möglicherweise sogar ein Mitbestimmungsrecht über die Einführung hat. Grundsätzlich gilt, dass der Arbeitgeber die freie Wahl über die zu nutzenden Arbeitsmittel hat, also auch bei Softwareanwendungen. Aufgrund der potenziell disruptiven Wirkung von Künstlicher Intelligenz am Arbeitsplatz schreibt der Gesetzgeber jedoch vor, dass der Betriebsrat ausreichend über die Zwecke und Eigenschaften der einzuführenden KI informiert werden muss, um einschätzen zu können, ob weiterführende Schritte eingeleitet werden müssen. Solche weiterführenden Schritte können beispielsweise notwendig sein, wenn die KI eine objektive Eignung zur Überwachung der Mitarbeiter aufweist. In diesem Fall wäre es dem Betriebsrat sogar möglich über die Einführung der Technologie mitzubestimmen, um die Mitarbeiter:innen zu schützen. Allgemein gilt also eine Informationspflicht gegenüber dem Betriebsrat ohne dessen Mitbestimmungsberechtigung und in bestimmten Ausnahmefällen kann es zur weitergehenden Rechten des Betriebsrats kommen. Eine genaue Prüfung ist daher ratsam.

Ist die datenschutzkonforme Inanspruchnahme von KIaaS möglich?

KI im Allgemeinen stellt den Datenschutz vor eine Herausforderung. Grund dafür ist, dass die interne Funktionsweise von künstlichen Intelligenzen eine Black Box darstellt. Dies meint, dass die Arbeitsweise eines neuronalen Netzwerks sich aus einer Vielzahl nichtlinearer Zusammenhänge der genutzten Trainingsdaten ergibt und aus diesem Grund in der Regel für das menschliche Verständnis nicht nachvollziehbar ist. Durch das fehlende Verständnis der Funktionsweise stellt sich das Problem, dass eine gezielte Löschung bestimmter Informationen nicht möglich ist, sobald sie einmal in die KI eintrainiert worden ist. Diese fehlende Möglichkeit eines gezielten Löschens steht im Widerspruch zu den zu gewährleistenden Betroffenenrechten der DSGVO, da für die Verarbeitung personenbezogener Daten die Möglichkeit der Umsetzung der Betroffenenrechte strikte Voraussetzung einer rechtmäßigen Verarbeitung ist. Zwar zieht die Eingabe von Daten zu Arbeitszwecken in eine KI nicht automatisch ein Eintrainieren der Daten in die KI nach sich, jedoch sammelt sich durch den Umfang der dabei generierten Daten die Gefahr, dass personenbezogene Daten versehentlich in die Trainingsdaten gelangen. Infolgedessen muss im Vorfeld zur Einführung von KI ein sorgfältiges Datenschutzkonzept samt zugehöriger vertraglicher Verpflichtungen und technischer und organisatorischer Maßnahmen getroffen werden.

Treffen mich als Kunden von KIaaS Pflichten nach der KI-VO?

Generell sieht auch die zukünftig in Kraft tretende KI-VO in ihren Entwürfen Pflichten für Anwendende vor. Diese sind jedoch im Vergleich zur Pflichtenlage für Anbietende und Betreibende von KI-Modellen, die unter das Risikoklassifizierungssystem der KI-VO fallen, deutlich abgeschwächt. Zwar zeichnet sich ab, dass in die finale Fassung der Verordnung Ausnahmen aufgenommen werden, die auch Anwendenden weitergehende Pflichten auferlegen. Unter anderem eine Pflichtengleichheit mit dem Anbietenden, wenn Nutzer:innen eigene Änderungen am KI-Modell vornehmen. Allerdings werden KIaaS-Kund:innen solche Anpassungen regelmäßig durch ihren Anbietenden vornehmen lassen. Insofern werden KIaaS-Kund:innen den Vorteil haben, eine Verpflichtungsgleichstellung vermeiden zu können, so dass auch bei individualisierten Modifikationen der KI die einfachen Nutzungspflichten gelten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Sichere Verlinkungen in SaaS-Verträgen

Sichere Verlinkungen in SaaS-Verträgen: So navigieren Sie durch das rechtliche Minenfeld

In den Vertragstexten zu „Software-as-a-Service“ (SaaS) – Produkten finden sich häufig Links, die zu der genaueren Beschreibung eines bestimmten Vertragsteils führen. Solche Verlinkungen – etwa zur konkreten Leistungsbeschreibung oder Datenschutzrichtlinien – erleichtern es, die Verträge übersichtlich zu halten und sind dadurch für beide Vertragsparteien praktikabel. Für Anbieter:innen von SaaS-Produktes bieten solche Einbettungen von Vertragsteilen zudem die Möglichkeit, diese stets aktuell zu halten und somit beispielsweise aktuellen datenschutzrechtlichen Vorgaben zu entsprechen. 

Zugleich steht die wirksame Einbindung von Verlinkungen vor einer Reihe rechtlicher Herausforderungen. Da es sich bei den meisten SaaS-Verträgen um Allgemeine Geschäftsbedingungen (AGB) handelt, können missverständliche Verlinkungen zu Unwirksamkeiten führen. Die Expertise eines erfahrenen Rechtsteams, wie dem unseren, ist unerlässlich, um die Risiken fehlerhafter Verlinkungen zu vermeiden und die Verträge rechtssicher zu gestalten. Wir bieten umfassende Rechtsberatung und Unterstützung bei der Erstellung von SaaS-Verträgen, um sicherzustellen, dass Ihre Dokumente den rechtlichen Anforderungen entsprechen.

Wir prüfen und erstellen Ihre SaaS-Verträge.

Die Risiken fehlerhafter Verlinkungen in SaaS-Verträgen: Was steht auf dem Spiel?

Fehlerhafte Verlinkungen in Verträgen können schwerwiegende Konsequenzen für den Verwender nach sich ziehen. Gemäß § 305c Abs. 2 BGB gehen Unklarheiten bei der Auslegung von AGB zulasten des Verwenders. Übertragen auf die Verlinkung von Vertragsbestandteilen bedeutet dies, dass unklare oder missverständliche Verlinkungen möglicherweise nicht wirksam in den Vertrag einbezogen sind. Im schlimmsten Fall kann dies zur Unwirksamkeit einzelner oder mehrerer Vertragsbestandteile führen. An die Stelle unwirksamer AGB-Klauseln treten dann die gesetzlichen Regelungen. Relevant wird dies insbesondere bei Haftungsfragen. Da die vertraglichen Regeln in der Regel zugunsten des Verwenders vom gesetzlichen Haftungsmaßstab abweichen, sind Unternehmer in Fällen fehlerhafter Verlinkungen einem höheren Haftungsrisiko ausgesetzt. Speziell bei datenschutzrechtlichen Pflichttexten (etwa der Datenschutzerklärung) können fehlerhafte Verlinkungen zudem einen Verstoß gegen datenschutzrechtliche Vorgaben darstellen. Datenschutzaufsichtsbehörden können in solchen Fällen Bußgelder verhängen, was aufgrund des hohen Bußgeldrahmens der DSGVO ein schwerwiegendes finanzielles Risiko für die betroffenen Unternehmen darstellt. 

Änderung von Vertragsinhalten: Was dürfen Anbieter:innen bei verlinkten Dokumenten?

Verlinkungen bieten den praktischen Vorteil, dass bestimmte Vertragsinhalte zentral durch die Anbieter:innen zur Verfügung gestelltwerden können. Auf diesem Weg muss nicht für alle Nutzer:innen ein neuer Vertrag mit allen Anlagen aufgesetzt und individuell versendet werden. Obdurch eine Veränderung eines verlinkten Dokuments eine einseitige Vertragsänderung zulässig ist, hängt jedoch von zahlreichen rechtlichen Einzelfragen ab. 

Zunächst muss danach unterschieden werden, ob die Verlinkung auf einen Vertragsbestandteil verweist, der gelegentlich aktualisiert werden soll. Bei Verlinkungen die zu einem zu aktualisierenden Inhalt führen spricht man von dynamischen Verlinkungen. Im Gegensatz dazu verweist eine statische Verlinkung auf einen online abrufbaren Vertragsbestandteil, der nicht aktualisiert werden soll, sondern lediglich zur Praktikabilität online zur Verfügung gestellt wird. Der Unterschied sollte im Vertragstext kenntlich gemacht werden. 

Da dynamische Verlinkungen eine nachträgliche Vertragsänderung ermöglichen sollen, muss die Änderungsmöglichkeit ausdrücklich im Hauptvertrag festgehalten werden. Dabei ist bei Leistungsbeschreibungen besondere Vorsicht geboten. Die Hauptleistungspflichten der Vertragsparteien sind selbst nicht veränderlich und müssen vertraglich hinreichend konkret festgelegt werden. Dafür müssen die Grundfunktionen des SaaS-Produkts im Hauptvertrag möglichst genau beschrieben werden. Da es sich bei Leistungsbestimmungsrechten der Anbieter:innen um die Möglichkeit zur einseitigen Vertragsänderung handelt, müssen deren Rahmen so genau wie möglich abgesteckt werden. Für Nutzer:innen muss vorhersehbar sein, in welchen Grenzen die Leistungsbeschreibung abänderbar ist. So macht es beispielsweise einen großen Unterschied, ob Anbieter:innen tatsächliche Funktionsänderungen vornehmen oder den Vertrag nur an regulatorische Vorgaben anpassen dürfen. Der Anpassungsspielraum der Anbieter:innen darf die Nutzer:innen zudem nicht unangemessen benachteiligen. Eine solche unangemessene Benachteiligung läge etwa vor, wenn Anbieter:innen die fraglichen Anpassungen jederzeit und ohne die Angabe von Gründen vornehmen dürfte. Diese sind grundsätzlich nicht anlasslos möglich, sondern setzen beispielsweise unvorhersehbare Änderungen der Sach- oder Rechtslage, vertragliche Lücke oder ein Missverhältnis zwischen Leistung und Gegenleistung voraus. 

Rechtssichere Gestaltung von Verlinkungen: Best Practices

Um den AGB-rechtlichen Anforderungen zu genügen, sollte der Link zunächst zu einem klar abgrenzbaren, downloadbaren Inhalt führen. Ein Link zu einer vollständigen Webseite führt regelmäßig zu Interpretationsschwierigkeiten, die im Zweifel zulasten der Anbieter:innen gehen. Die Verlinkung eines konkreten Dokuments bietet insofern eine praktikable Lösung.
Darüber hinaus müssen die Anbieter:innen die stete Verfügbarkeit der verlinkten Inhalte gewährleisten.
Beide Parteien sollten zudem eine Archivierungshistorie der Dokumente vorhalten. Dies bedeutet, dass ursprüngliche und veränderte Vertragstexte verständlich gespeichert und abrufbar gehalten werden. Dies ermöglicht es die vertragliche Historie nachzuvollziehen und sorgt dadurch für Transparenz. 

Informationspflichten bei Vertragsänderungen: Was müssen Anbieter beachten? 

Die Änderung des Linkinhalts dynamischer Verlinkungen stellt eine Vertragsänderung dar. Anbieter:innen müssen Nutzer:innen deshalb rechtzeitig über Änderungen informieren. Die Art der Informationsbereitstellung sollte ihrerseits im Hauptvertrag beschrieben sein. Gegebenenfalls müssen auch die Konsequenzen einer solchen Änderungen bedacht und im Vertrag beschrieben werden. So sollten etwa Zeiträume für mögliche Widersprüche von Nutzer:innen gegen AGB-Änderungen mit einkalkuliert werden. 

Verlinkungen in SaaS-Verträgen: Ein Balanceakt zwischen Praktikabilität und Rechtssicherheit 

Verlinkungen in SaaS-AGB haben sich in der Praxis bewährt und ermöglichen eine klare und benutzerfreundliche Vertragsgestaltung. Durch den kontextbezogenen Abruf der Vertragsdetails wird der Hauptvertrag übersichtlicher und dadurch besser lesbar. Die Nutzer:innen des SaaS-Produkts können den Vertragsinhalt somit besser nachvollziehen. 

Da fehlerhafte Verlinkungen mit einem erhöhten Haftungsrisiko für die Anbieter:innen einhergehen, ist bei der Umsetzung juristische Sorgfalt geboten. Um den Geschäftsverkehr für Anbieter:innen und Nutzer:innen gleichermaßen zu erleichtern, sollte eine gewünschte Aktualisierbarkeit der Dokumente vertraglich festgehalten werden. Dadurch können einzelne Vertragselemente auf den neuesten Stand gebracht werden, ohne einen neuen Vertrag abschließen zu müssen. Einseitige Leistungsänderungsrechte sollten möglichst konkret beschrieben werden. Die eingebetteten Links müssen zudem jederzeit verfügbar, downloadbar und präzise sein. Am besten gelingt dies mit jeweils spezifisch verlinkten Dokumenten.

Rechtliche Beratung und Unterstützung bei der Integration von Verlinkungen in SaaS-Verträge

Die Integration von Verlinkungen in SaaS-Verträge kann ein praktikables und rechtlich sicheres Mittel sein, wenn sie richtig umgesetzt wird. Unsere Rechtsanwältinnen und -anwälte bieten nicht nur einen Überblick über die rechtssichere Gestaltung von Verlinkungen, sondern auch umfassende Unterstützung bei der Vertragserstellung und -prüfung, um das Haftungsrisiko zu minimieren und die Rechtssicherheit Ihrer SaaS-Verträge zu gewährleisten. Kontaktieren Sie uns für eine maßgeschneiderte Rechtsberatung, die Ihr Unternehmen in der digitalen Welt absichert.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Digital Services Act

Digital Services Act – Handlungsbedarf für Diensteanbieter

Die „Verordnung des europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG“ (kurz: Gesetz über die digitalen Dienste bzw. Digital Services Act) wurde am 19. Oktober 2022 verabschiedet und trat einen Monat später am 16. November 2022 in Kraft. Die Kernbestandteile der Verordnung gelten bereits seit dem Inkrafttreten, der Großteil der Verpflichtungen aber wird ab dem 17. Februar 2024 auf die betroffenen Unternehmen anwendbar sein.

Mit dem Digital Services Act (DSA) sollen die zuvor geltenden Regeln der E-Commerce-Richtlinie aus dem Jahr 2000 aktualisiert werden. Er gehört gemeinsam mit dem Digital Markets Act (DMA) zu einem Reformpaket der EU-Kommission zur Eindämmung der Marktmacht von Internetunternehmen. Die Verordnung richtet sich dabei vor allem an Internetkonzerne, Dienste- und Plattformanbieter sowie Tech-Giganten. Ziel ist zudem ein harmonisierter Wettbewerbsrahmen und eine strenge Regulierung digitaler Dienste innerhalb der Europäischen Union. Es soll ein besserer Schutz von Verbraucher:innen und ihrer Grundrechte im Internet, ein leistungsfähiger und klarer Transparenz- und Rechenschaftsrahmen für Online-Plattformen sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit am Binnenmarkt geschaffen werden.

Doch für wen gilt der DSA genau und welcher Handlungsbedarf besteht für die betroffenen Unternehmen? Unser Beitrag gibt einen ersten Überblick. Sprechen Sie uns gern jederzeit bei Fragen dazu an. Wir beraten Sie gerne.

Wer ist durch den DSA betroffen?

Die neue Verordnung soll für alle sogenannten „Vermittlungsdienste“ gelten, die für Nutzer:innen mit Niederlassungsort oder Wohnsitz in der Union erbracht werden, ungeachtet des Orts der Niederlassung der Anbieter:innen dieser Dienste, Art. 2 Abs. 1 DSA.

Relevant ist hier, dass der Begriff der Nutzer:innen nicht synonym mit Verbraucher:innen verstanden werden kann. Vielmehr können die Dienste auch für Unternehmen bzw. juristische Personen erbracht werden, also ausschließlich in einem B2B-Kontext angesiedelt sein.

Der Begriff des „Vermittlungsdienstes“ ist in Art. 3 lit. g DSA legaldefiniert. Danach ist ein Vermittlungsdienst eine Dienstleistung in Form einer „reinen Durchleitung“, einer „Caching“-Leistung oder einer „Hosting“-Leistung. Neben Internetzugangsdiensten können hier etwa Online-Plattformen (z.B. soziale Netzwerke), Suchmaschinen und Online-Handelsplattformen darunter gefasst werden.

Insbesondere dem Begriff des „Hostingdiensteanbieters“ sollte hier Aufmerksamkeit geschenkt werden, da der Anwendungsbereich mehr Dienste erfasst als ein klassisches technisches Verständnis des Begriffes nahelegen würde. Der DSA versteht unter einem „Hosting“-Dienst eine Dienstleistung der Informationsgesellschaft, die „darin besteht, von einem Nutzer bereitgestellte Informationen in dessen Auftrag zu speichern.“ Der Wortlaut legt ein weites Verständnis des Begriffes nahe, das über klassische Hosting-Dienste wie soziale Netzwerke hinausgeht. Es ist gerade nicht nötig, dass die Dienste die Daten in einer für Dritte zugänglichen Weise speichern und die Informationen auch öffentlich verbreiten.

Die Verordnung sieht daneben die Verpflichtung sogenannter „Online-Plattformen“ i.S.d. Art. 3 lit. i DSA vor. Diese sind als Unterfall eines „Hosting“-Dienstes zu verstehen. Hauptunterschied zu einem „regulären“ Hosting-Dienst ist, dass eine „Online Plattform“ Informationen im Auftrag eines Nutzers nicht nur speichert, sondern auch öffentlich verbreitet. Nochmals erweiterte Verpflichtungen bestehen zudem für sogenannte „sehr große Online-Plattformen und Suchmaschinen“, wobei entsprechende Anbieter durchschnittlich über mehr als 45 Millionen aktive monatliche Nutzer:innen in der EU verfügen müssen. Die vorstehenden Verpflichtungen treffen sie ebenso.

Haftungsprivilegierungen der Vermittlungsdienste

Für die verschiedenen „Vermittlungsdienste“ finden sich in den Art. 4-6 der Verordnung Haftungsprivilegierungen, die dem alten Regime der Plattformhaftung aus Art. 12-15 E-Commerce-Richtlinie bzw. §§ 8-10 TMG weitestgehend entsprechen.

Im Grundsatz haften die Dienste-Anbieter:innen nicht für übermittelte rechtswidrige Inhalte, es bestehen jedoch Ausnahmen. Access-Provider:innen dürfen beispielsweise die Übermittlung nicht selbst veranlasst haben, den Adressaten des Inhalts auswählen oder die übermittelten Informationen auswählen oder verändern. Caching- und Hosting-Dienste treffen darüber hinaus bestimmte Sperr- bzw. Entfernungspflichten. Hosting-Anbieter:innen haften etwa nur dann nicht, wenn sie keine tatsächliche Kenntnis von den rechtswidrigen Inhalten haben und diese nach Kenntniserlangung zügig sperren oder entfernen.

Nach Art. 7 DSA sollen freiwillige Maßnahmen von Plattformbetreiber:innen zum Auffinden und der anschließenden Beseitigung von Rechtsverletzungen nicht zu ihren Lasten gehen, sie führen somit nicht zum Entfallen der in den Art. 4-6 DSA vorgesehenen Haftungsfreistellung (sog. „Good Samaritan“ Klausel). Dies gilt etwa für Untersuchungen, die bereits vor der Notifizierung hinsichtlich eines rechtswidrigen Inhalts durchgeführt werden. Art. 8 DSA stellt zudem klar, dass es keine allgemeine oder präventive Pflicht zur Überwachung oder zur aktiven Nachforschung der Anbieter:innen hinsichtlich rechtswidriger Tätigkeiten gibt.

Download: Leitfaden zum Digital Services Act

Wie kann der Digital Services Act umgesetzt werden? Welcher konkrete Handlungsbedarf ergibt sich für Ihr Unternehmen? Das erfahren Sie in unserem praktischen Leitfaden zum DSA. Jetzt herunterladen:

Leitfaden herunterladen

Mögliche Sanktionen und Durchsetzungsmechanismen

Den „Koordinatoren für digitale Dienste“ werden zunächst Untersuchungs- und Durchsetzungsbefugnisse „im Zusammenhang mit der Anwendung und Durchsetzung dieser Verordnung“ zugewiesen, Art. 51 DSA. In Deutschland wird es sich dabei nach dem den DSA ergänzenden Digitale-Dienste-Gesetz um die Bundesnetzagentur handeln.

Anschließend sieht die Verordnung in Art. 52 DSA Sanktionsmöglichkeiten vor, wobei die eigentlichen Sanktionsvorschriften von den Mitgliedstaaten erlassen werden sollen. Der DSA definiert an dieser Stelle allerdings die Höchstbeträge der Geldbußen, die bei Nichteinhaltung einer der im DSA festgelegten Verpflichtungen gelten:

  • 6% des weltweiten Jahresumsatzes der betreffenden Anbieter:innen von Vermittlungsdiensten im vorangegangenen Geschäftsjahr
  • 1% des weltweiten Jahresumsatzes der betreffenden Anbieter:innen von Vermittlungsdiensten im vorangegangenen Geschäftsjahr bei Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, beim Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie bei der Nichtduldung einer Nachprüfung.
  • Höchstbetrag eines Zwangsgeldes: 5% des durchschnittlichen Tagesumsatzes oder der durchschnittlichen weltweiten Tageseinnahme der betreffenden Anbieter:innen von „Vermittlungsdiensten“ in dem vorangegangenen Geschäftsjahr

Wie können wir Sie beraten?

Die Umsetzung des Digital Services Acts stellt eine komplexe und anspruchsvolle Aufgabe dar, die in ihrer Umsetzung fundierte rechtliche Expertise erfordert. Die richtige Beratung ist entscheidend, um potentielle Risiken zu minimieren und Chancen optimal zu nutzen. Sprechen Sie uns an, um die vielschichtigen rechtlichen Anforderungen zu verstehen und rechtliche Stolpersteine zu vermeiden. Vertrauen Sie auf unsere Expertise und kontaktieren Sie uns noch heute.

Jetzt Download anfragen!

Ihre Einwilligung können Sie jederzeit für die Zukunft widerrufen, indem Sie uns mit der E-Mail-Adresse, mit der Sie Newsletter empfangen, eine E-Mail an marketing@srd-rechtsanwaelte.de senden.
Informationen zur Datenverarbeitung und Erfolgsmessung finden Sie in der Datenschutzerklärung.

Pharma Health Logbuch

Aktuelle Entwicklungen im digitalen Gesundheitswesen: Rechtliche Herausforderungen und News aus dem eHealth-Sektor

Die Digitalisierung des Gesundheitswesens hat seit den letzten Jahren einen enormen Einfluss auf die Art und Weise, wie medizinische Dienstleistungen genutzt und in Anspruch genommen werden. Von telemedizinischen Konsultationen über Gesundheits-Apps bis hin zu Wearables, die Vitaldaten messen – das digitale Gesundheitswesen, auch bekannt als eHealth, bietet neue und aufregende Möglichkeiten, die Gesundheit zu überwachen und zu verbessern. Angesichts des rasanten technologischen Fortschritts und der ständig wachsenden Menge an verfügbaren Daten ist es für Unternehmen aus der Gesundheitsbranche unerlässlich, aktuelle Entwicklungen und Trends zu verfolgen.

Wie jede technologische Entwicklung bringt auch das digitale Gesundheitswesen rechtliche Herausforderungen mit sich. Unternehmen in diesem Bereich sind mit einer Vielzahl von Fragen und Anforderungen in Bezug auf Datenschutz, Haftung, Regulierung und Compliance konfrontiert. Die rasante Entwicklung neuer Technologien erfordert eine ständige Anpassung der rechtlichen Rahmenbedingungen, um den Schutz von Patient:innendaten und die Sicherheit digitaler Gesundheitsanwendungen zu gewährleisten.

An dieser Stelle werden die neuesten Entwicklungen und aktuelle Nachrichten aus dem Bereich des digitalen Gesundheitswesens präsentiert – beispielsweise Updates zu relevanten Gesetzen, Entwürfen oder Entscheidungen, die das digitale Gesundheitswesen betreffen. Der jeweils neueste Beitrag steht dabei an oberster Stelle.

Informieren Sie sich hier für alle News und Updates im Gesundheitswesen

Berlin: Senat beschließt Änderung des Landeskrankenhausgesetzes (LKG), 11.12.2023

Der Senat hat am 28. November 2023 das Vierte Gesetz zur Änderung des Landeskrankenhausgesetzes beschlossen.

Die Änderung besteht darin, dass die Anzeigepflicht vor der Auftrags- bzw. Unterauftragsdatenverarbeitung bei der für
Gesundheit zuständigen Senatsverwaltung weggefallen ist. Der Senat sagt, dass die Anzeigepflicht in der Praxis nicht funktioniert hat. Es hat sich gezeigt, dass die Anzeigepflicht keine wichtigen Erkenntnisse gebracht hat und für Krankenhäuser und die Senatsverwaltung einen unwesentlichen bürokratischen Aufwand darstellt. Deshalb soll § 24 Absatz 7 Satz 2 Nummer 3 LKG ersatzlos gestrichen werden. Diese Vorlage wird nun dem Abgeordnetenhaus von Berlin zugeleitet.

Hat dies Auswirkungen auf die Praxis?

Kommt die Änderung, wird die Anzeigepflicht für die Datenverarbeitung im Auftrag oder Unterauftrag für Krankenhäuser in Berlin vollständig entfallen. Es wird eine Entlastung der Krankenhäuser und eine Reduzierung der Bürokratie angestrebt.

Wenn Sie Hilfe bei der Gestaltung Ihrer Auftragsverarbeitung benötigen, stehen wir gerne zur Verfügung. Vertrauen Sie auf unsere Expertise.

Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen, 28.11.2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) hat am 6. November 2023 ein Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen veröffentlicht. Das Positionspapier erinnert an die rechtlichen Anforderungen, die digitale Gesundheitsanwendungen im Sinne von § 33a SGB V (sogenannte DiGA) erfüllen müssen, und konkretisiert allgemeine Grundsätze für Anbieter und Hersteller sonstiger Gesundheitsanwendungen. Das Papier enthält zwar nur wenig Neues. Manche Aussagen dürften Anbieter und Hersteller von Gesundheitsanwendungen aber überraschen. Wir ordnen die Veröffentlichung der Aufsichtsbehörden ein:

Cloudbasierte Gesundheitsanwendungen müssen auch ohne Cloudfunktionen nutzbar sein

Für Anbieter und Hersteller von cloudbasierten Gesundheitsanwendungen dürften vor allem die Ausführungen zur Nutzung von Cloudfunktionen entscheidend sein. Die DSK fordert nämlich, dass die Nutzung einer cloudbasierten Gesundheitsanwendung auch ohne den Einsatz von Cloudfunktionen oder die Verknüpfung mit einem Benutzerkonto möglich sein muss. Eine Ausnahme von dieser Regel soll dann nur gelten, wenn die Cloudfunktion für die „Erreichung des therapeutischen Nutzens“ unbedingt erforderlich ist und von der betroffenen Person gewünscht wird. Anbieter sollen daher Auswahlmöglichkeiten für Nutzer schaffen. Machen sie davon Gebrauch, sollen ihre Daten allenfalls lokal gespeichert werden dürfen. Die DSK fordert also letztlich die Gesundheitsanwendung zwei Mal anzubieten: einmal mit Cloudfunktion und einmal lokal.

Keine Reichweitenanalyse oder Fehlerverfolgung

An verschiedenen Stellen geht die DSK auf die zulässige Nutzung personenbezogener Daten ein. Nach Auffassung der Behörden ist die Auswertung personenbezogener Daten zur Qualitätssicherung dort zu rechtfertigen, wo eine solche Sicherung vorgeschrieben ist – zum Beispiel bei Medizinprodukten. In anderen Fällen sei eine Auswertung des Nutzerverhaltens nicht zu rechtfertigen. Insbesondere Reichweitenanalyse oder Fehlerverfolgung sei, so die DSK, nicht mit dem Zweck einer Gesundheitsanwendung vereinbar. Damit wird nicht nur die Verbesserung des Nutzerangebots unnötig erschwert, sondern auch die Möglichkeit beschnitten, Fehler schnell zu erkennen und effektiv zu beheben.

TOM und IT-Sicherheit

Darüber hinaus enthält das Positionspapier eine exemplarische Liste technischer und organisatorischer Maßnahmen (TOM). So sollen Anbieter und Hersteller unter anderem Gebrauch von der Multi-Faktor-Authentifizierung machen, bei der Zugriffskontrolle eine „least privilege policy“ etablieren und regelmäßig Sicherheits- und Penetrationstests durchführen. Empfohlen wird außerdem, sich bei Herstellung von Anwendungen, die besondere Kategorien personenbezogener Daten verarbeiten, an der Technischen Richtlinie (TR) 03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu orientieren. Sie enthält Vorgaben sowohl für mobile als auch für Web-Anwendungen und Hintergrundsysteme – beispielsweise für die Vertraulichkeit, Integrität und Verfügbarkeit informationstechnischer Systeme. Hersteller können sich außerdem freiwillig einem Prüfverfahren unterwerfen, in dem die rechtskonforme Umsetzung ihrer Authentifikationssysteme kontrolliert wird.

Zusammenfassung

Das DSK-Papier erinnert an verschiedenen Stellen an die Einhaltung datenschutzrechtlicher Verpflichtungen. So wird beispielsweise darauf hingewiesen, dass Verantwortliche, die digitale Gesundheitsanwendungen anbieten, in aller Regel Datenschutz-Folgenabschätzungen durchführen müssen. Wollen sie personenbezogene Daten anonymisiert nutzen, sollen sie dokumentieren, dass und wie der Personenbezug tatsächlich entfernt wird. Darüber hinaus erlegt das Positionspapier vor allem Anbietern und Herstellern von cloudbasierten Gesundheitsanwendungen weitere Pflichten auf. Insbesondere der Verzicht auf Nutzerkonten, Cloudfunktionen und Analysetools werden sowohl die Herstellung als auch die laufende Verbesserung von Gesundheitsanwendungen nachhaltig erschweren.

EuGH-Entscheidung Patientenakte: Kommt das Recht auf kostenlose Kopie?, 26.10.2023

Die Entscheidung dürfte den Arbeitsalltag in Arztpraxen verändern. Am 26. Oktober 2023 entschied der Gerichtshof der Europäischen Union (EuGH), dass Patient:innen grundsätzlich das Recht haben, eine kostenlose Kopie ihrer Patientenakte zu verlangen. Nun muss der Bundesgerichtshof (BGH) entscheiden, ob die in Deutschland geltende Kostentragungspflicht bestehen bleibt.

Einsicht, Auskunft und Kopie: Im Jahr 2013 beschloss der Deutsche Bundestag das Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten. Mit dem Gesetz wurde das Recht zur Einsichtnahme in die Patientenakte im Bürgerlichen Gesetzbuch (BGB) verankert. Seitdem sind Behandler:innen gesetzlich verpflichtet, eine Patientenakte anzulegen, und zwar in unmittelbarem zeitlichen Zusammenhang mit der Behandlung, § 630f BGB. Außerdem gewährt § 630g BGB Patient:innen das Recht, auf Anfrage Einsicht in diese Akte zu erhalten. Fordern sie elektronische Kopien an, müssen sie die Kosten tragen, § 630g Abs. 2 S. 2 BGB.

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) steht diese letzte Bestimmung in einer gewissen Spannung zum Europarecht. Denn nach Art. 15 Abs. 1 und 3 DSGVO kann eine betroffene Person regelmäßig eine Kopie der personenbezogenen Daten verlangen, die Gegenstand einer Verarbeitung sind. Die verantwortliche Stelle muss die Kopie nach Art. 12 Abs. 5 S. 1 DSGVO unentgeltlich zur Verfügung stellen. Unklarheit herrschte nun vor allem bei der Frage, wie sich § 630g BGB zu Art. 12 und 15 DSGVO verhält, konkret: ob eine Patientenakte, in der personenbezogenen Daten verarbeitet werden, nach Art. 15 DSGVO herausgegeben ist, und wer in diesem Fall die Kosten für die Anfertigung der Kopie zu tragen hat.

Der Gang des Verfahrens: Hintergrund der nun ergangenen Entscheidung war der Streit, den ein deutscher Patient mit seiner Zahnärztin führte. Der Patient hatte vermutet, dass der Zahnärztin bei der Behandlung Fehler unterlaufen seien. Er forderte also eine Kopie seiner Patientenakte an, um mögliche Ansprüche zu prüfen. Die so belangte Zahnärztin wollte dem Patienten die Akte allerdings nur gegen Zahlung der Kopierkosten zur Verfügung stellen. Hiergegen klagte der Patient erfolgreich. Er gewann sowohl erstinstanzlich als auch in der Berufungsinstanz. Schließlich legte der mit der Revision befasste BGH den Fall dem EuGH vor. Der BGH wollte vom EuGH insbesondere wissen,

  1. ob ein:e Behandler:in auch dann verpflichtet sei, Patient:innen eine kostenlose Kopie der personenbezogenen Daten zur Verfügung zu stellen, wenn die Anfrage an sich legitim ist, aber datenschutzfremde Zwecke verfolgt?
  2. ob nationale Regelung Patient:innen die Kosten für eine Kopie der Patientenakte immer und unabhängig von den Umständen des Einzelfalls auferlegen können?
  3. ob vom datenschutzrechtlichen Auskunftsanspruch alle Teile der Patientenakte umfasst sind?

Betroffene:r muss Anfrage nicht begründen, verantwortliche Stelle trägt die Kosten: Im Urteil vom 26. Oktober 2023 (Rs. C 307/22) stellte der EuGH zunächst klar, dass der Anspruch auf Auskunft nicht von Motiven abhänge. Auch wenn ein:e Betroffene:r datenschutzfremde Absichten verfolge, dürfe die Auskunft nicht verweigert werden. Die betroffene Person müsse nach dem eindeutigen Wortlaut des Art. 15 DSGVO keine Begründung für die Anforderung von Auskunft und Kopie angeben. Daher könne die verarbeitende Stelle die Auskunft nicht mit dem Argument verweigern, die Anfrage verfolge datenschutzfremde Motive. Mit seiner Antwort klärt der EuGH eine kontrovers diskutierte Frage, die insbesondere im Zusammenhang mit arbeitsrechtlichen Streitigkeiten immer wieder relevant ist. Nicht beantwortet wurde jedoch die Frage, ob das Auskunftsrecht auch bei rechtsmissbräuchlichen Anfragen weiter besteht.

Anschließend wandte der EuGH sich der zweiten Vorlagefrage zu. Eine systematische Auslegung von Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO ergebe, dass es unzulässig sei, der betroffenen Person die Kosten für eine Kopie aufzuerlegen, wenn die entsprechende Regelung allein die wirtschaftlichen Interessen des Verantwortlichen schütze. Zwar seien in gewissem Umfang Beschränkungen des datenschutzrechtlichen Auskunftsanspruchs zulässig. Diese Beschränkungen seien aber nur dann gerechtfertigt, wenn sie dem Schutz von Rechten und Freiheiten Dritter dienten.

Schließlich entschied der EuGH, dass der Patient eine vollständige Kopie aller Dokumente in seiner Patientenakte verlangen dürfe. Die Kopie müsse also mitunter Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzt:innen und Angaben zuvorgenommenen Behandlungen oder Eingriffen enthalten.

Wie geht es nun weiter? Auch nach der Entscheidung des EuGH bleibt es weiter spannend. Abzuwarten bleibt insbesondere, wie der deutsche Gesetzgeber auf das Urteil reagiert und ob er die Regelung in § 630g BGB konkretisiert. Um die Kostentragungspflicht für die erste Kopie der Patientenakte weiterhin Patient:innen aufzuerlegen, müsste aus der Regelung klar hervorgehen, dass es dabei nicht nur um den Schutz wirtschaftlicher Interessen der Behandler:innen geht.

Nun ist der BGH am Zug. Er muss den weiter anhängigen Rechtstreit zwischen dem klagenden Patienten und der behandelnden Zahnärztin entscheiden. Nach der Klarstellung durch den EuGH ist allerdings eine Entscheidung zugunsten des Klägers wahrscheinlich. Arztpraxen, Krankenhäuser und medizinische Versorgungszentren müssen sich daher darauf einstellen, dass Patient:innen in Zukunft auf eine unentgeltliche Kopie der Patientenakte bestehen.

Neue Referentenentwürfe zum Gesundheitsdatennutzungsgesetz (GDNG) und zum Digital-Gesetz (DigiG), 23.06.2023

Das Bundesministerium für Gesundheit (BMG) hat Mitte Juni 2023 zwei neue Referentenentwürfe von Gesetzen veröffentlicht: den Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) sowie den Entwurf eines Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG). Beide Entwürfe sind als Reaktion auf das vieldiskutierte, ambitionierte Vorhaben auf europäischer Ebene zu werten: den European Health Data Space (EHDS). Das GDNG könnte allerdings schon deutlich früher, am 1. Januar 2024, in Kraft treten.

I. Gesundheitsdatennutzungsgesetz (GDNG)
Das GDNG soll, dem Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS-VO) entsprechend, in erster Linie dazu dienen, die Nutzung von Daten zu Forschungs- und Innovationszwecken zu vereinfachen. Hierzu soll eine Datenzugangs- und Koordinierungsstelle die Zusammenarbeit von Datenhaltern und -nutzern auf nationaler Ebene koordinieren und Anträge auf Zugang zu Gesundheitsdaten bearbeiten. Sie soll an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angegliedert werden, allerdings von diesem technisch und organisatorisch unabhängig arbeiten. Die Stelle entspricht damit in etwa der Zugangsstelle, die auch im Rahmen des EHDS für die Sekundärnutzung elektronischer Gesundheitsdaten in den einzelnen Mitgliedsstaaten vorgesehen ist. Die koordinierte Datenfreigabe über die Zugangsstelle soll dazu dienen, die aktuell noch hohen bürokratischen Hürden abzubauen, die Forschenden und anderen Datennutzungswilligen aktuell im Weg stehen.

Das bereits geschaffene Forschungsdatenzentrum soll künftig sein volles Potential entfalten und die dort gespeicherten Abrechnungsdaten der gesetzlichen Krankenkassen nutzbar machen. Geplant ist hier vor allem die Verknüpfung der Daten des Forschungsdatenzentrums und der klinischen Krebsregister. Um diese Verknüpfung datenschutzkonform zu realisieren, sollen anlassbezogen erstellte Forschungskennziffern zum Einsatz kommen. Rechtsverordnungen sollen die Einführung dieser Kennziffern noch weiter konkretisieren. Daneben sieht das GDNG vor, die Daten aus der elektronischen Patientenakte (ePA) für die Forschung bereit zu stellen. Zudem sollen die gesetzlichen Kranken- und Pflegekassen in die Lage versetzt werden, ihre eigenen Daten für die Verbesserung der Versorgung fruchtbar zu machen. „Zum individuellen Gesundheitsschutz“ sollen die Kassen datengestützte Auswertungen durchführen dürfen. Die Versicherten sollen ferner, wenn den Kassen eine konkrete Gefahr für ihre Gesundheit bekannt ist, im Zweifel auch direkt adressiert werden dürfen.

Schließlich soll der Gesundheitsdatenschutz gestärkt werden. So soll Forschenden ein Zeugnisverweigerungsrecht zustehen. Außerdem soll ein Beschlagnahmeverbot für Gesundheitsdaten eingeführt werden. Um die unzulässige Preisgabe von Gesundheitsdaten strafrechtlich verfolgen und sanktionieren zu können, soll es ein Forschungsgeheimnis geben. Der Bundesdatenschutzbeauftragte (BfDI) soll schließlich mit einem deutlich größeren Aufgabenspektrum betraut werden als bisher. Nicht nur wird ihm nach dem GDNG die Aufsicht über diverse Akteure des Gesundheitswesens zugewiesen (darunter die Kassenärztliche Bundesvereinigung (KBV), der GKV-Spitzenverband und das Zentralinstitut für die kassenärztliche Versorgung (Zi). Auch klinische Prüfungen soll der BfDI zukünftig datenschutzrechtlich beaufsichtigen.

II. Digital-Gesetz (DigiG)
Das DigiG ist ein reines Artikelgesetz, mit welchem vor allem das SGB V geändert wird, und soll da ansetzen, wo die Digitalisierung des Gesundheitswesens derzeit stockt. So soll das DigiG vor allem die elektronische Patientenakte (ePA) stärken, das E-Rezept besser nutzbar machen, den Ausbau der Digitalen Gesundheitsanwendungen (DiGA) vorantreiben, Telemedizin fördern und schließlich die Interoperabilität informationstechnischer Gesundheitssysteme und die Cybersicherheit verbessern.

Um die großen Hürden bei der Nutzung der ePA zu beseitigen und eine weite Verbreitung zu erreichen, soll die ePA als Widerspruchslösung (Opt-out-Lösung) ausgestaltet werden. Außerdem soll die Befüllung sowie der Zugriff auf die in der ePA gespeicherten Daten grundlegend vereinfacht werden. Ziel ist die vollumfängliche, weitestgehend automatisiert laufende Befüllung der ePA mit strukturierten Daten, während den Versicherten ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten eingeräumt wird. Man erhofft sich hiermit, die ePA flächendeckend in die Versorgung zu integrieren. Mittels der ePA-App soll künftig auch die E-Rezept-App nutzbar sein. Über Letztere sollen Versicherte künftig auch digitale Identitäten, NFC-fähige elektronische Gesundheitskarten (eGK) sowie dazugehörige PINs beantragen können. Die Zusammenlegung dieser Online-Anwendungen soll ihre Nutzung praxisnäher gestalten und sie so attraktiver und zugänglicher machen.

Weiter sieht das DigiG vor, den Leistungsanspruch Versicherter auf Medizinprodukte höherer Risikoklassen auszuweiten. DiGAs wären danach auch als Medizinprodukte der Risikoklasse IIb möglich. Außerdem soll Telemedizin ein fester Bestandteil der Gesundheitsversorgung werden. Videosprechstunden sollen noch breiter eingesetzt und leichter genutzt werden können. Zusätzlich soll Versicherten ein neuer Leistungsanspruch auf „assistierte Telemedizin in Apotheken“ zustehen. Um der Heterogenität der Informationssysteme im deutschen Gesundheitssystem entgegenzuwirken, sollen verbindliche Standards definiert werden. Hierdurch soll der Informationsaustausch im Gesundheitswesen verbessert, die Datenverfügbarkeit erhöht und insgesamt die Behandlungsqualität deutlich verbessert werden.

Schließlich will die Bundesregierung auch im Bereich der Cybersicherheit mit dem DigiG aktiv werden. Den Risiken des Cloud Computing will man mit der Einführung des § 390 SGB V begegnen. Die Norm verlangt die Einhaltung des „Kriterienkatalog Cloud Computing C5“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die vorliegenden Gesetzesentwürfe sind vielversprechend. Das Gesundheitsdatennutzungsgesetz (GDNG) könnte den Forschungsstandort Deutschland nachhaltig stärken. Das Digital-Gesetz (DigiG) hat das Potential, der notwendigen Digitalisierung des Gesundheitswesens den lang ersehnten Schub zu verleihen. Gleichzeitig hat die Bundesregierung aber die Absicht geäußert, in Abstimmung auf EU-Ebene, den EHDS betreffend, vorgehen zu wollen. In jedem Fall bringen beide Gesetze für die Gesundheitsbranche neue Herausforderungen, zahlreiche Fragen und Unsicherheiten mit sich. Vertrauen Sie auf unsere Expertise. Gemeinsam finden wir Lösungen und beantworten Ihre Fragen.

Hamburgisches Krebsregister: Praxisrelevante Entscheidung zu Anonymisierung und Pseudonymisierung, 09.02.2023

Auch nach einer mehrstufigen Pseudonymisierung und Löschung der korrespondierenden Klardaten kann es sich weiter um personenbezogene Daten handeln, die nach Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) zu beauskunften sind. So entschied das Verwaltungsgericht (VG) Hamburg mit Urteil vom 28.07.2022 (Az. 21 K 1802/21). Die Entscheidung ist von hoher Praxisrelevanz. Sie betrifft vor allem Forschungseinrichtungen und Unternehmen, die Gesundheitsdaten verarbeiten, sich aber darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Besonders lesenswert sind die Ausführungen des VG zur Abgrenzung von Anonymisierung und Pseudonymisierung im Gesundheitsbereich und zur Reichweite der Betroffenenrechte.

Worüber hat das Gericht entschieden?

Die nachmalige Klägerin war im Jahr 2019 an Brustkrebs erkrankt und hatte sich in medizinische Behandlung begeben. Im Rahmen dieser Behandlung wurden diverse Daten der Klägerin verarbeitet, die zum Teil Personenbezug aufwiesen: der Name und die Anschrift der Klägerin, die vergebenen Diagnosen oder die durchgeführten Operationen zum Beispiel. Diese Daten wurden von den behandelnden Ärzt:innen an das Hamburgische Krebsregister (HKR) übermittelt. In diesem epidemiologischen und klinischen Register werden Krebserkrankungen und die damit verbundenen Daten erfasst, um die Prävention und die onkologische Versorgung zu verbessern. Die Übermittlung dieser Daten ist an sich nichts Ungewöhnliches. Gemäß § 2 Abs. 1 des Hamburgischen Krebsregistergesetzes (HmbKrebsRG) sind Ärzt:innen sogar dazu verpflichtet, das Entstehen, das Auftreten, die Behandlung und den Verlauf bösartiger Neubildungen einschließlich ihrer Frühstadien sowie von gutartigen Tumoren an das HKR zu übermitteln.

Für die Verarbeitung personenbezogener Gesundheitsdaten hat das HKR bestimmte technische und organisatorische Sicherheitsvorkehrungen getroffen. Daten, die einen unmittelbaren Rückschluss auf die erkrankte Person erlauben (personenidentifizierende Klartextdaten) und die als Gesundheitsdaten im Sinne von Art. 9 Abs. 2 DSGVO besonders schützenswert sind, erhalten zunächst einen pseudonymen Kontrollnummernsatz und werden dann noch einmal verschlüsselt. So können neue Daten mit schon vorhandenen abgeglichen und dem bisherigen Kontrollnummernsatz hinzugefügt werden, ohne auf Klartextdaten zurückzugreifen – ausreichend ist der Abgleich mit den verschlüsselten Kontrollnummern. Um den Zugriff auf Klartextdaten weiter zu beschränken, ist das HKR außerdem in einen Registerbereich und einen Vertrauensbereich unterteilt. Nur die Mitarbeitenden des Vertrauensbereichs haben Zugriff auf die personenidentifizierbaren Klartextdaten. Mitarbeitende im Registerbereich können dagegen nur den verschlüsselten Kontrollnummernsatz einsehen.

Anfang 2020 wurde die Klägerin von der Universität zu Lübeck angeschrieben und gefragt, ob sie bereit sei, an einer Studie zur Versorgung von Krebspatienten teilzunehmen. Daher wollte sie wissen, welche personenbezogenen Daten das HKR von ihr verarbeitet und an die Universität zu Lübeck weitergegeben hatte. Sie machte zunächst außergerichtlich einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend. Außerdem widersprach sie der Weiterverarbeitung und Weitergabe ihrer Daten nach § 12 Abs. 3 S. 1 HmbKrebsRG. Daraufhin beauskunftete das HKR die personenbezogenen Klartextdaten der Klägerin und löschte sie anschließend aus dem Vertrauensbereich. Die Klägerin war damit allerdings nicht zufrieden. Sie begehrte weiterhin Auskunft über die nun allein vorliegenden Kontrollnummernsätze und ihre Löschung aus dem Registerbereich. Das HKR verweigerte Auskunft und Löschung mit dem Argument, dass eine Zuordnung dieser Kontrollnummernsätze zur Klägerin nach Löschung der Klartextdaten nicht mehr möglich sei. Eine Entschlüsselung sei technisch unmöglich, eine Reidentifizierung durch § 12 Abs. 2 S. 3 HmbKrebsRG gesetzlich verboten. Daher handele es sich nunmehr um anonymisierte Daten, auf deren Verarbeitung die DSGVO überhaupt keine Anwendung mehr fände.

Wogegen richtete sich die Klage?

Die Klage der Betroffenen richtete sich vor allem gegen die verweigerte Auskunft und die unterbliebene Löschung ihrer personenbezogenen Daten aus dem HKR. Die betroffene Klägerin sah in der Weigerung nicht nur einen Verstoß gegen zahlreiche datenschutzrechtliche Vorschriften, sondern auch einen Eingriff in ihr Allgemeines Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Vor allem aber machte sie geltend, dass es sich bei den Kontrollnummernsätzen nicht um anonymisierte, sondern lediglich um pseudonymisierte Daten handele, weil es dem HKR jederzeit möglich sei, die betroffene Person auch ohne die gelöschten Klartextdaten zu identifizieren.

Wie hat das Gericht entschieden?

Das VG Hamburg gab der Klägerin weitgehend Recht. Es sah in den vermeintlich anonymisierten ebenfalls pseudonymisierte Daten. Denn das gesetzliche Verbot in § 12 Abs. 3 S. 3 HmbKrebsRG, pseudonymisierte Daten nach einem Widerspruch der betroffenen Person zu reidentifizieren, könne nur bedeuten, dass dies auch nach Löschung der Klartextdaten rechtlich und tatsächlich möglich sei. Eine Reidentifizierung sei rechtlich möglich, weil § 12 Abs. 3 S. 3 HmbKrebsRG kein objektives Verbot, sondern ein disponibles Recht enthalte. Die tatsächliche Möglichkeit der Reidentifizierung ergebe sich daraus, dass sich der Personenbezog der Kontrollnummernsätze ohne größeren Aufwand wieder herstellen lasse: über die Such- und Filterfunktion in der vom Register verwendeten Software und Heranziehung bestimmter Verknüpfungsmerkmale wie der Krebsentität, dem Geburtsdatum, dem Geschlecht oder der Postleitzahl; aber auch durch eine Kooperation mit der Betroffenen, die ihre Kontrollnummer dem Datenbankadministrator zur Verfügung stelle. Allerdings gab die Kammer der Klage auch nicht vollumfänglich statt. Sie wies die geltend gemachten Ansprüche der Klägerin teilweise zurück. Insbesondere sei der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nicht in die Vergangenheit gerichtet, sondern erstrecke sich allein auf die derzeit im HKR verarbeiteten Daten. Dies folge aus dem klaren Wortlaut („verarbeitet werden“) und dem Telos der Norm. Sinn und Zweck des Art. 15 Abs. 1 DSGVO sei es nämlich gerade, eine Informationsgrundlage für einen etwaigen Löschungsanspruch zu schaffen. Die Klägerin könne daher keine Auskunft über diejenigen Daten verlangen, die zum Zeitpunkt ihres ersten Auskunftsersuchens durch die Beklagte verarbeitet worden seien.

Welche Folgen hat die Entscheidung für die Praxis?

Die Entscheidung dürfte Folgen sowohl für betroffene Personen haben, die einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend machen wollen, als auch für Verantwortliche, die einem solchen Anspruch möglicherweise entsprechen müssen: einerseits können sich Verantwortliche nur unter sehr engen Voraussetzungen darauf zurückziehen, dass sie pseudonymisierte Datensätze nur mit unverhältnismäßigem Aufwand wieder identifizieren können. Andererseits müssen sie nunmehr nur diejenigen Verarbeitungstätigkeiten beauskunften, die zum betreffenden Zeitpunkt auch tatsächlich stattfinden. Besonders relevant ist die Entscheidung für Stellen, die Gesundheitsdaten verarbeiten und sich darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Handelt es sich beispielsweise um eine seltene Erkrankung und liegen außerdem demographische Angaben oder Verknüpfungsmerkmale wie die Postleitzahl vor, kann es sich nach dem VG Hamburg bereits um ein pseudonymes Datum handeln, dass entsprechend zu beauskunften und gegebenenfalls zu löschen ist.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

KG Berlin Schadensersatz

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Das Kammergericht Berlin (KG Berlin) bestätigt mit Urteil vom 22.11.2023 in einem durch uns geführten Verfahren unter anderem erneut, dass betroffene Personen etwaige erlittene immaterielle Schäden nach Art. 82 DSGVO in konkret-individueller Weise darlegen müssen. Das Gericht hat damit die Abweisung der Klage gegen unsere Mandantin in der erstinstanzlichen Entscheidung des Landgerichts (LG Berlin) bestätigt. Geklagt hatte ein Legal Tech-Unternehmen, dessen Geschäftsmodell darin besteht, Verbrauchern ihre vermeintlich bestehenden datenschutzrechtlichen Ansprüche „abzukaufen“ und diese anschließend (gerichtlich) zu Geld zu machen. Im vorliegenden Fall verlangte das Legal Tech im Namen der von einem vermeintlichen Hackerangriff Betroffenen Auskunft (Art. 15 DSGVO) und machte aus abgetretenem Recht Schadensersatz gem. Art. 82 DSGVO geltend.

Auskunftsanspruch umfasst nicht von Hackerangriff betroffene Daten

Das KG Berlin schloss sich in der Berufungsinstanz der Begründung durch das erstinstanzliche Urteil des LG Berlin an. Das Landgericht hatte in seinem Urteil (Urt. v. 24.03.2023, Az. 38 O 221/22) insbesondere ausgeführt, dass Art. 15 DSGVO nicht ohne Weiteres solche Auskunftsverlangen umfasse, die sich auf die konkret betroffenen Daten eines Datenlecks beziehen, bei dem unautorisierte Dritte auf ebendiese Daten zugreifen. Dies sei etwa im Falle eines Hackerangriffs der Fall. Als Begründung wurde hierzu ausgeführt, dass etwaige im Rahmen eines Hackerangriffs abgegriffene Daten gerade nicht bei der Beklagten als Verantwortliche verarbeitet werden. Es gehe insofern „[…] um die Frage nach einer sich auch für die Beklagte als aufgezwungen darstellende Abschöpfung von Daten durch einen Dritten“. Auch wenn die Beklagte Ermittlungen zu den im Rahmen eines Angriffs abgeschöpften Daten angestellt haben mag, liege darin gerade keine Verarbeitung der Daten durch die Beklagte.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Auskunft nach Art. 15 DSGVO muss direkt an Betroffene verlangt werden

Das Kammergericht betont zudem, dass der Anspruch aus Art. 15 DSGVO nicht abtretbar sei; es müsse im Klageantrag stets eindeutig (direkt) Auskunft an die betroffene Person verlangt werden. Das kann so verstanden werden, dass etwa Legal Tech-Unternehmen, die Ansprüche bündeln und gegenüber Verantwortlichen geltend machen, Auskunft nach Art. 15 DSGVO lediglich direkt an die betroffene Person verlangen dürfen, nicht allerdings an sich selbst.

Auch macht das Kammergericht in Zustimmung mit der vorinstanzlichen Entscheidung des Landgerichts Berlin nochmals deutlich, dass der allgemeine Auskunftsanspruch nach § 242 BGB bei Anwendbarkeit der spezielleren Vorschriften der Art. 32 ff. DSGVO gesperrt sei.


Das könnte Sie auch interessieren:


Konkreter Schaden im Rahmen von Art. 82 DSGVO notwendig

Zuletzt führt das KG Berlin aus, dass einem durch die Klägerin geltend gemachten Schadensersatzanspruch aus Art. 82 DSGVO der fehlende Vortrag in konkret-individueller Weise von Missbrauchsversuchen aufgrund der Datenabschöpfung betroffen zu sein – oder allein durch die Veröffentlichung der abgeschöpften Daten betroffen zu sein – entgegenstehe. Art. 82 DSGVO erfordere zwar gerade keine Erheblichkeitsschwelle; gleichwohl müssten Betroffene aber individuell die für sie negativen Folgen eines DSGVO-Verstoßes nachweisen. Es bedürfe der Darlegung eines konkreten und tatsächlichen immateriellen Schadens, der über einen ohnehin eingetretenen Kontrollverlust hinausgeht.

Fazit

Das Kammergericht Berlin macht in seinem jüngsten Urteil einmal mehr deutlich, dass zur Begründung eines Schadens i.S.v. Art. 82 DSGVO mehr vorgetragen werden muss als bloße Floskeln. Betroffene müssen konkrete und fundierte Angaben zum Schaden machen, anstatt nur allgemeine Aussagen zu treffen. Genau das fällt Legal Techs, die Ansprüche massenweise geltend machen, naturgemäß schwer. Aus wirtschaftlichen Gründen können die Begründungen meist nur an der Oberfläche kratzen. Für alles weitere lohnt der Aufwand nicht. Diesen pauschalen Darlegungsversuchen erteilt das Kammergericht eine Abfuhr. Das Urteil fügt sich damit in die Tendenz der aktuellen Rechtsprechung, welche das skizzierte Geschäftsmodell noch zum Einsturz bringen könnte, bevor es richtig losgeht.

Abzuwarten bleibt in diesem Kontext das Anfang Dezember erwartete Urteil des Gerichtshofs der Europäischen Union (EuGH) zur Frage, ob Sorgen und Befürchtungen des künftigen Missbrauchs von personenbezogenen Daten als immaterieller Schaden von Betroffenen im Rahmen des Art. 82 DSGVO gewertet werden können. Der Generalanwalt Giovanni Pitruzzella machte in seinen Schlussanträgen deutlich, dass dies grundsätzlich im Rahmen von Art. 82 DSGVO der Fall sein könne. Voraussetzung dafür sei aber, dass es sich um einen realen und sicheren emotionalen Schaden handele; ein bloßes Gefühl des Unwohlseins über den aufgetretenen Datenschutzverstoßes reiche nicht aus. Die Rechtslage im Kontext des Art. 82 DSGVO bleibt also weiterhin in Bewegung und sollte durch Unternehmen und Einrichtungen beobachtet werden.

Wir helfen Ihnen dabei, sich im Falle der Inanspruchnahme optimal zu verteidigen.

Telematikinfrastruktur Pharma

Digitalisierung im Gesundheitswesen: Rechtliche Grundlagen der Telematikinfrastruktur (TI)

Kaum ein anderer Sektor kann derart von den Chancen der Digitalisierung profitieren wie der Gesundheitssektor. Neue digitale Technologien steigern die Versorgungsqualität und verbessern damit qualitativ die Behandlungsleistungen von Patient:innen, unter anderem in Krankenhäusern. Doch die Digitalisierung kommt nicht nur Patient:innen zugute – Beschäftigte im Gesundheitswesen profitieren von vereinfachten Arbeitsabläufen und geringerem administrativem Aufwand. Daneben steht auch der monetäre Aspekt, insbesondere mit Blick auf die zusehends steigenden Gesundheitsausgaben. In diesem Zusammenhang lässt die Digitalisierung im Gesundheitswesen laut einer neuen Studie von McKinsey ein Nutzungspotential von ca. 42 Mrd. € verzeichnen. Um all diese Potentiale zu realisieren, gilt derzeit die Aufmerksamkeit dem bisher größten IT-Projekt Europas: dem Aus- und Umbau der Telematikinfrastruktur (TI). Die TI gilt als Schlüssel innovativer Gesundheitsversorgung und zielt darauf ab, ein digitales Gesundheitswesen der Zukunft zu schaffen. In diesem Beitrag geben wir einen Überblick über die Chancen, Herausforderungen und Potentiale der TI für den Gesundheitssektor.

Elemente und Anwendungen der TI

Die elektronische Gesundheitskarte (eGK)

Bereits seit 2015 dient die eGK als ausschließlicher Berechtigungsnachweis für die Inanspruchnahme und Abrechnung von Leistungen der gesetzlichen Krankenversicherung. Die eGK kann neben administrativen Daten wie Name, Geburtsdatum und Anschrift, auch Notfalldaten oder Medikationspläne enthalten, auf die bei Bedarf zugegriffen werden kann. Im Zusammenspiel mit der TI sollen mittels der eGK ärztliche Verordnungen übermittelt, der Zugriff auf Notfalldaten gewährt sowie Impfinformationen, Medikationspläne und Befunde bereitgestellt werden können.

Die elektronische Patientenakte (ePA)

In der ePA können Versicherte relevante medizinische Informationen zur Verfügung stellen, um dadurch die Informationslage der an der Behandlung beteiligten Akteure zu verbessern. Die ePA ist damit eine Art zentraler digitaler Speicher aller gesundheitsrelevanten Informationen, die bisher an unterschiedlichen Orten durch Praxen oder Krankenhäuser abgelegt sind und gibt einen Überblick über die Krankengeschichte des jeweiligen Patienten. Sie ist eine patientengeführte Akte und ermöglicht damit Patient:innen selbst zu entscheiden, ob sie diese nutzen und wie sie die Akte verwalten wollen. Davon umfasst ist auch die Entscheidung darüber, welche Dokumente in der ePA abgelegt sind und wann diese gelöscht werden. Seit dem 1. Januar 2021 sind Krankenkassen verpflichtet, eine ePA auf Wunsch des Patienten zur Verfügung zu stellen. Die ePA ist aufgrund ihrer Funktion als zentraler digitaler Speicher die zentrale Anwendung der TI.

Das elektronische Rezept (e-Rezept)

Hinter dem e-Rezept steht das Konzept, ärztliche Verordnungen digital zu erstellen, zu übermitteln und einlösen zu können. Papiergebundene Prozesse sollen abgelöst werden. Die TI ermöglicht die Digitalisierung von Rezepten und einen einfachen Prozess für Patient:innen, Medikamente zu erhalten. Apotheken sollen durch einfachere Vorgänge bei Medikamentenausgaben profitieren. Ärzt:innen erstellen das Rezept mittels einer Verordnungssoftware und signieren das e-Rezept mittels einer qualifizieren elektronischen Signatur (QES). Das e-Rezept wird dann auf den e-Rezept-Server geladen, auf den durch die e-Rezept-App zugegriffen werden kann. In der Apotheke muss dann nur noch der entsprechende Code gescannt werden und die Medikationsausgabe kann erfolgen. Ohne e-Rezept-App muss das Rezept ausgedruckt werden. In Kombination mit einer Videosprechstunde entfallen durch das e-Rezept auch der Versand oder die Abholung des Rezeptes in der Praxis. Die Einführung der Anwendung des e-Rezepts erfolgt ebenfalls, wie die ePA, in Stufen. Seit dem 1. Januar 2022 müssen Ärzt:innen und Patient:innen das e-Rezept für apothekenpflichtige Arzneimittel verwenden.

Die elektronische Arbeitsunfähigkeitsbescheinigung (eAU)

Eine weitere Anwendung in der TI ist die eAU. Mit der digitalen eAU entfällt der Gang zum Arbeitgeber und zu den Krankenkassen, um über die Arbeitsunfähigkeit zu informieren. Vielmehr kann durch die TI die Übermittlung der eAU an die Adressaten bereits vom Arzt veranlasst werden. Das Praxisverwaltungssystem (PVS) unterstützt Ärzt:innen, die eAU zu versenden. Die Signatur erfolgt ebenfalls als QES. Mit dem PVS können Ärzt:innen die eAU vorbereiten und dann via TI an die Krankenkassen versenden. Letztere leiten die eAU dann an den Arbeitgeber weiter.

Das Notfalldatenmanagement (NFDM)

Das NFDM dient dem schnellen und sicheren Handeln bei einem medizinischen Notfall. Um die richtigen lebensrettenden Maßnahmen einleiten zu können, ist es für Ärzt:innen wesentlich zu wissen, wie es um den Gesundheitszustand des Patienten steht. Der schnelle Zugriff auf Notfalldaten, wie diagnostizierte Krankheiten, Allergien, Medikamenteneinnahmen etc., kann dabei lebensbedrohliche Wechselwirkungen von Arzneimitteln oder ähnliches verhindern. Notfalldaten sind auf der eGK gespeichert, um den schnellen Zugriff auf relevante medizinische Informationen für Ärzt:innen zu gewährleisten. In einer Notfallsituation sind Ärzte, Psychotherapeuten und andere Beschäftigte im Gesundheitswesen dann in der Regel auch ohne Einwilligung der betroffenen Person dazu berechtigt, den Datensatz auszulesen. Zugriffe sollten immer dokumentiert werden.

Digitale Gesundheitsanwendungen (DiGA)

DiGAs sind digitale Medizinprodukte und werden häufig als „App auf Rezept“ bezeichnet. Sie dienen der Diagnose und/oder der Therapie einer Erkrankung. Oft damit verbunden sind Telematik-Lösungen wie die Videosprechstunde. Eine DiGA kann mittels e-Rezept verordnet werden.

Der elektronische Medikationsplan (eMP)

Medikationspläne sind an sich nicht neu, denn seit 2016 haben gesetzlich Versicherte Anspruch auf einen bundeseinheitlichen Medikationsplan (BMP), soweit mindestens drei Medikamente einzunehmen sind. Neu hingegen beim eMP ist die Speicherung des Plans auf der eGK. Durch den Zugriff auf die eGK kann auch der eMP eingesehen werden und zum Zwecke der medizinischen Behandlung herangezogen werden. Die elektronische Form erlaubt eine ausführlichere Dokumentation des Medikamentenplans und kann somit auch vergangene Medikationen, medikationsrelevante Daten wie Allergien, Unverträglichkeiten oder Informationen zur Dosis und zum Einnahmegrund umfassen.

Der elektronische Heilberufsausweis (HBA)

Der Schlüssel zur TI und ihren Anwendungen ist der HBA, mit welchem unter anderem Ärzt:innen ihren Berufsstand nachweisen. Der HBA ist eine personenbezogene Chipkarte für, zum Beispiel, Ärzt:innen und Zahnärzt:innen. Mit dem HBA können beispielsweise TI-Anwendungen wie e-Rezepte, eAU, Befunde oder Arztbriefe rechtssicher elektronisch durch die QES signiert werden. Seit dem 1. Juli 2021 müssen Ärzt:innen über einen HBA verfügen, der auch in Bezug auf die ePA zur Authentifizierung zu verwenden ist.

TI-Messenger und Informationstechnische Systeme in Krankenhäusern (ISiK)

Die schnelle und unkomplizierte Kommunikation zwischen den Leistungserbringer:innen im Gesundheitswesen beispielsweise hinsichtlich der Planung von Behandlungsabläufen und Stationsauslastungen ist essenziell für die Gesundheitsversorgung und wird durch den TI-Messenger ermöglicht. Mit dem TI-Messenger kann in Echtzeit kommuniziert werden, wodurch schnelle und unkomplizierte Lösungen für Rückfragen, zum Beispiel zur Medikation, ermöglicht werden. Daneben können mit dem einheitlichen Standard für die Kommunikation im Medizinwesen (KIM) wichtige Dokumente und Nachrichten per E-Mail versendet werden.
Weiterhin ermöglicht die TI einheitliche Standards für alle TI-Systeme aller Krankenhäuser (ISiK). Dadurch wird der schnelle und sichere Datenaustausch ohne Medienbrüche und ohne Übermittlungsfehler gewährleistet.

Telemedizin-Lösungen

Zur TI treten auch Telemedizin-Lösungen hinzu, die eng mit der TI verbunden sind. Beispielsweise Online-Interaktionen, wie die Telekonsultation als Videosprechstunde. Auch die Fernüberwachung chronisch Erkrankter kann mittels Telemedizin vereinfacht werden. Das eBooking von Arztterminen auf einer Online-Plattform oder in einer App, wie Doctolib, sowie eÜberweisungen von Ärzt:innen zu speziellen Fachärzten reihen sich in die Telemedizin-Lösungen ein.

Datenschutz und IT-Sicherheit in der TI

Die TI versetzt Leistungserbringer:innen, Kostenträger:innen, Versicherte und weitere Akteur:innen in die Lage, sensible Daten schnell und sicher auszutauschen. Der Gesetzgeber stellt hohe Anforderungen an einen solchen Austausch. Für die Verarbeitung besonderer Kategorien personenbezogener Daten gilt nach Datenschutz-Grundverordnung (DSGVO) und dem Fünften Sozialgesetzbuch (SGB V) ein dem besonders hohes Schutzniveau, dem durch entsprechende technische und organisatorische Maßnahmen Rechnung zu tragen ist. Der Beitrag bietet einen Überblick über die historische Entwicklung der TI und die aktuellen Herausforderungen, die Anbieter:innen und Hersteller:innen von Komponenten, Diensten und Anwendungen meistern müssen.


Das könnte Sie auch interessieren:


Von der Datenautobahn zur Arena für digitale Medizin

Im Jahr 2003 beschloss der Deutsche Bundestag die Einführung einer elektronischen Gesundheitskarte (eGK) und die Schaffung der dafür erforderlichen Infrastruktur. Die TI wurde ursprünglich als eine Art „Datenautobahn“ konzipiert. Sie sollte vor allem die schnelle Übertragung von Daten ermöglichen, und zwar insbesondere von Versicherten an die Leistungserbringer:innen. Eine Möglichkeit zur Interaktion war zunächst nicht vorgesehen. Seitdem hat sich das technologische und kulturelle Umfeld erheblich verändert. Daher hat die Gesellschaft für Telematik (gematik), die für die technische Architektur der TI verantwortlich ist, ihre Strategie angepasst. Bis 2025 möchte sie die TI umfassend modernisieren und von einer „Datenautobahn“ zu einer „Arena für digitale Medizin“ fortentwickeln. In dieser „Arena“ sollen Nutzer:innen einander begegnen, Versicherte selbstständig auf Daten oder Dienste der TI zugreifen und – so die gematik – eine „Vielzahl an akkreditierten Top-Athlet:innen und Teams in ihrer Disziplin antreten und nach transparenten Regeln zusammenspielen“ können.

Anforderungen an Datenschutz und Informationssicherheit

In der TI werden vor allem Daten von Versicherten verarbeitet. Nach der Rechtsprechung des Gerichtshofs der Europäischen Union handelt es sich dabei um Gesundheitsdaten, also Daten, die sich auf die Gesundheit einer Person beziehen und aus denen Informationen über ihren Gesundheitszustand hervorgehen (können). Die Verarbeitung solcher Daten ist nach Art. 9 DSGVO untersagt und nur unter engen Voraussetzungen zulässig. Dazu gehören beispielsweise Garantien für die Grundrechte und Interessen betroffener Personen. In diesem Zusammenhang stellt § 306 Abs. 3 SGB V noch einmal unmissverständlich klar, dass dem hohen Schutzniveau der TI durch entsprechende technische und organisatorische Maßnahmen angemessen Rechnung zu tragen ist.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

TI Security Governance

Da innerhalb der TI sensible Daten verarbeitet werden – und wegen der Bedeutung der TI für das Funktionieren des Gemeinwesens –, müssen Dienste und Verarbeitungen innerhalb der TI strengen Anforderungen genügen. Verantwortlich für die praktische Umsetzung dieser Anforderungen beim Betrieb der TI ist in erster Linie die Stelle, die für die Schaffung und den Betrieb der TI hauptverantwortlich ist: Die gematik gibt das Sicherheitskonzept der TI vor. Sie erstellt Vorgaben für den sicheren Betrieb der TI und überwacht die Umsetzung dieser Vorgaben in der Praxis. Sie legt Rahmenbedingungen für sogenannte Betriebsleistungen fest, – insbesondere für die Vergabe und Zulassung solcher Leistungen – und lässt Komponenten und Dienste der TI zu, wenn die von ihr veröffentlichten Prüfkriterien erfüllt sind und eine Sicherheitszertifizierung durch das BSI erfolgt ist, §§ 311 Abs. 1 Nr. 2 und 4, 325 Abs. 3 SGB V. Darüber hinaus kann die gematik auch die Hersteller und Anbieter von Komponenten und Diensten zulassen und weitere Anwendungen im Sinne von § 306 Abs. 1 S. 2 Nr. 2 lit. a SGB V bestätigen. 

Die Sicherheit der TI wird also insbesondere durch die Steuerung von Dienstleister:innen (Security Governance) gewährleistet. Wer als Anbieter:in oder Hersteller:in von Komponenten, Diensten oder weiteren Anwendungen zugelassen oder bestätigt werden will, muss daher nicht nur die Vorgaben der DSGVO und des SGB V einhalten, sondern auch die Kriterien erfüllen, die die gematik spezifiziert hat, und sich – jedenfalls in den meisten Fällen – vom BSI zertifizieren lassen. Wichtig ist es daher, sich frühzeitig mit Expert:innen auszutauschen, die diese Vorgaben und Kriterien genau kennen.

Fazit

Die TI legt den Grundstein für eine erfolgreiche Digitalisierung des deutschen Gesundheitswesens. Nun gilt es Grundlagen zu schaffen, um den Anstieg von Nutzer:innenzahlen zu bewältigen. Dafür gilt für die TI und die darin Anwendung findenden Komponenten, dass Datenschutz bei der Digitalisierung von Anfang an mitgedacht werden muss. So können Potentiale umfassend genutzt und von ihnen profitiert werden. Unsere Anwält:innen stehen Ihnen jederzeit zur Verfügung, um maßgeschneiderte Lösungen für Ihre spezifischen Bedürfnisse zu entwickeln. Wir verfügen nicht nur über umfassende Expertise im Bereich Datenschutz und IT-Sicherheit, sondern auch über jahrelange Erfahrung in der Gesundheitsbranche. Wir sind bestens vernetzt und vertraut mit den besonderen Anforderungen und komplexen Herausforderungen in diesem dynamischen Feld. Vertrauen Sie auf unsere Expertise.

FAQ zur TI als Basis der Digitalisierung im Gesundheitswesen

Was ist die TI?

Die TI ist die zentrale Infrastruktur für Anwendungen im deutschen Gesundheitswesen. In der TI können sich verschiedenste Akteure des Gesundheitssektors wie beispielsweise Kliniken, Arztpraxen, Apotheken und Patient:innen vernetzen, wobei die TI als Plattform für Gesundheitsanwendungen fungiert. Zweck ist es, sensible Gesundheitsdaten über ein standardisiertes System zwischen den Akteuren auszutauschen. Als einheitliche, sektorenübergreifende Plattform ermöglicht sie die elektronische Kommunikation zwischen Krankenhäusern, Apotheken & Co. Zum Teil wird die TI auch als „Datenautobahn des Gesundheitswesens“ bezeichnet und ist somit das Kernelement für die Digitalisierung im Gesundheitswesen. Gem. § 306 Abs. 1 Satz 2 SGB V (Sozialgesetzbuch fünftes Buch) ist die TI „die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient (…).“.

Ein weiteres Gesetz, das die umfassende Digitalisierung im Gesundheitswesen fördern soll, ist das Krankenhauszukunftsgesetz (KHZG). Als Förderprogramm zur Finanzierung von IT-Projekten dient es der hauseigenen Digitalisierung von Krankenhäusern. Unter den förderfähigen Vorhaben finden sich unter anderem einige Anwendungen, die auch in der TI eine große Rolle spielen, wie etwa digitale Patientenportale.

Wie wird die TI betrieben?

Die Aufgabe, die TI einzurichten, aus- und umzubauen, wurde der gematik, der Nationalen Agentur für Digitale Medizin, übertragen. Ihr kommt die Aufgabe zu, eine zeitgemäße technische Infrastruktur für das Gesundheitswesen aufzubauen, zu betreiben und weiterzuentwickeln. Die gematik trägt damit die Gesamtverantwortung für die TI. Die konkrete Aufgabenzuweisung und Zusammensetzung der gematik ist im SGB V geregelt.
Um eine entsprechende Usability zu erreichen, werden alle Akteure, die mit der TI arbeiten, in den Prozess der Digitalisierung miteinbezogen. Dafür führt die gematik verschiedene Marktstudien durch und steht im ständigen Dialog mit den Nutzer:innen. Anhand der daraus resultierenden Ergebnisse erarbeitet die gematik Standards, auf Basis derer zugelassene IT-Unternehmen entsprechende Komponenten und Dienste, die in der TI verfügbar sein sollen, erarbeiten und dafür regelmäßig Updates bereitstellen. Die TI zeichnet sich insbesondere durch Interoperabilität und Kompatibilität, Datensicherheit, Datenschutz und Nutzerfreundlichkeit aus.

Was sind die Ziele der TI?

Das Hauptziel, das durch die TI erreicht werden soll, liegt in der Vernetzung der Anwender:innen mit der und durch die TI. Dadurch soll der Informationsaustausch zwischen den Berufsgruppen im Gesundheitswesen und den Patient:innen erleichtert werden. Außerdem soll ein Wandel des Point of Care stattfinden, der sich weg von Praxen und Kliniken und hin zum Patienten, mit Fokus auf die personalisierte Betreuung und Behandlung von Patient:innen, entwickeln und damit einen ganzheitlichen Ansatz für die Patientenversorgung verwirklichen soll.

Wir beantworten alle Ihre rechtlichen Fragen im Zusammenhang mit der TI

Explainable AI und ihre Vorteile für die Unternehmenspraxis

Laut einer Studie im Auftrag des Bundesministeriums für Wirtschaft und Energie (mittlerweile das Bundesministerium für Wirtschaft und Klimaschutz) werden im Jahr 2025 etwa 13 % des deutschen Bruttoinlandsproduktes durch Dienstleistungen und Produkte, die auf den Einsatz von Künstlicher Intelligenz (KI) zurückgehen, generiert werden. Sicher ist, dass der Einsatz von KI für Unternehmen in Zukunft wettbewerbsentscheidend sein wird. Doch ob jeweilige Use Cases tatsächlich einen Mehrwert generieren und damit einen Markterfolgsfaktor darstellen, hängt von einer Vielzahl von Kriterien ab. Zu diesen zählt unter anderem die Transparenz eines KI-Systems. Denn immer häufiger wird KI in Entscheidungsfindungen einbezogen oder ihre Outputs wirken sich auf andere Weise auf ihre Umwelt aus. In vielen Fällen ist jedoch nicht mehr nachvollziehbar, wie die Systeme zu bestimmten Ergebnissen gekommen sind. Denn die meisten KI-Modelle zeichnen sich dadurch aus, dass sie mit einem bestimmten Grad an Autonomie arbeiten und sich selbstlernend sukzessiv anpassen, ohne, dass Menschen dabei involviert sind. Aus mehreren Gründen ist die Erklärbarkeit von KI jedoch wichtig. Zunächst sollten Entwickler und Nutzer unter technisch-organisatorischen Gesichtspunkten die Transparenz ihrer KI-Systeme gewährleisten. Zudem steigert die Erklärbarkeit von KI die Akzeptanz dafür unter denen, die damit arbeiten oder von ihren Arbeitsergebnissen betroffen sind. Nicht zuletzt sehen unterschiedliche rechtliche Vorgaben die Erklärbarkeit von KI vor, insbesondere aus dem Datenschutzrecht und aus der kommenden europäischen KI-Verordnung (KI-VO). Aus diesem Grund hat sich das Feld der erklärbaren KI (XAI vom engl. Explainable AI) gebildet. Ziel von XAI ist es, KI-basierte Systeme nachvollziehbar und damit auch nutzerfreundlicher zu machen.

Das Problem von intransparenter KI

KI, die auf der Technologie des maschinellen Lernens (Machine Learning) basiert, welche den Großteil der derzeitig boomenden KI-Systeme ausmacht, kann für Unternehmen erhebliche Mehrwerte schaffen. Insbesondere aufgrund ihrer Fähigkeit, große Mengen an Daten schnell und präzise zu analysieren und zu verarbeiten. Dadurch können die Algorithmen in den Datensätzen Muster erkennen und erlernen, selbständig Aufgaben zu erfüllen und Outputs zu generieren. In Ermangelung einer allgemeingültigen Definition lässt sich KI zumindest mit ihren beiden wohl wichtigsten Merkmalen beschreiben: Ein gewisser Grad an Autonomie und die Fähigkeit zur selbstlernenden Anpassung der Arbeitsprozesse.

KI-Systeme sind damit überaus vielfältig verwendbar. In fast allen Bereichen kann die Technologie gewinnbringend eingesetzt werden. Exemplarisch lassen sich etwa die Felder der Versicherungswirtschaft, der Energieversorgung oder des Gesundheitswesens nennen.

Aufgrund der autonomen Arbeitsweise und der sich anpassenden Vorgänge der Systeme sind die Prozesse im Rahmen der Machine Learning KI oftmals nicht mehr nachvollziehbar. Die KI ist dadurch nicht transparent und erklärbar, wodurch es dazu kommen kann, dass schwere Fehler unbemerkt bleiben oder das ganze Modell unbrauchbar ist. Abhängig von den jeweiligen Use Cases können die Konsequenzen davon verheerend sein. Etwa wenn KI in die Entscheidung über die Bewilligung von Leistungen oder den Abschluss von Verträgen eingebunden ist, kann es zu unbemerkter, ungerechtfertigter Ungleichbehandlung kommen. Im medizinischen Bereich könnten versteckte Fehlfunktionen von KI noch ernstere Konsequenzen haben, beispielsweise wenn ein System für die Krebsdiagnose eingesetzt wird.

Die Blackbox-Problematik

Ein KI-System, dessen Arbeitsprozesse bzw. -ergebnisse nicht nachvollziehbar sind, kann als Blackbox betrachtet werden. Eine solche liegt vor, wenn ein KI-System so komplex ist, dass die einzelnen Schritte, die zur Entscheidungsfindung führen, im späteren Produktivbetrieb der KI grundsätzlich nicht mehr ersichtlich sind. Im Falle von Machine Learning liegt dies zumeist daran, dass die KI auf künstlichen neuronalen Netzen basieren, die gewissermaßen die Vernetzungen von Neuronen in einem menschlichen Gehirn imitieren. In den künstlichen neuronalen Netzen werden dabei tausende, oft Millionen, von nicht-linearen Beziehungen auf mehreren Ebenen zwischen Eingaben und Ausgaben gebildet. Entscheidungsfindungsprozesse sind dann nicht mehr zu erklären, etwa, weil nicht einmal ersichtlich ist, welcher Teil des Netzes für einen bestimmten Output zuständig ist. Die KI erzeugt also ein Arbeitsergebnis, der Weg dahin ist jedoch für einen Menschen nicht zu verstehen.

Diskriminierungsrisiken

Eine Art der nicht nachvollziehbaren, ‘fehlerhaften‘ KI-Entscheidungen, sind solche, die diskriminierende Outputs erzeugen. KI kann im Rahmen der Entscheidungsfindung äußerst sinnvoll und effizienzsteigernd eingesetzt werden. Im Wesentlichen basiert die Entscheidung, die eine KI dabei erzeugt, jedoch auf den Daten, mit denen das System trainiert wurde. Es kann also als ein Spiegelbild seiner Entwicklungsumgebung gesehen werden. Dabei ist es möglich, dass das System bei der Entscheidungsfindung Zusammenhänge zugrunde legt, die zu einer Ungleichbehandlung auf Basis von nichtzulässigen Kriterien führen, daher zu Diskriminierung. Ein vergleichsweise einfaches Beispiel wäre etwa die Benachteiligung von Menschen aus gewissen Stadtteilen durch einen Algorithmus bei der Bewerbung auf Arbeitsplätze. Leben in dem Stadtteil vorrangig Menschen mit einer bestimmten Herkunft, würde die nachteilige, KI-gestützte Entscheidung über die Stellenvergabe mit der Ethnie der Bewerber:innen koinzidieren. Es käme also zu einer Diskriminierung aufgrund der Herkunft, die nicht intendiert gewesen sein muss. Im Gegenteil, viele Unternehmen setzen bei der Entscheidungsfindung gerade deshalb auf KI, weil sie sich durch das Entfernen menschlicher Faktoren neutrale, nicht-diskriminierende Ergebnisse erhoffen. Aufgrund der Komplexität und Intransparenz von KI-Arbeitsprozessen kann es jedoch aus einer Vielzahl von Gründen zu Benachteiligung durch KI kommen, die für Entscheider:innen in vielen Fällen weder ersichtlich noch nachvollziehbar ist.

Automation Bias

Das Risiko, das von fehlerhaften, intransparenten KI-Outputs ausgeht, wird durch den sogenannten Automation Bias verstärkt. Der Begriff beschreibt das Phänomen, dass Menschen häufig ein übersteigertes Vertrauen in die Funktion und Zuverlässigkeit von KI haben. Oftmals fußt dieses darauf, dass die Systeme in vielen Fällen funktionieren und sich eine Nachlässigkeit bei den Nutzern einstellt. Teilweise ist dieses Vertrauen jedoch unberechtigt, wenn die Funktionsweise einer KI nicht mehr nachvollzogen werden kann und Fehler und deren Ursachen in den Ergebnissen deshalb unentdeckt bleiben.

Explainable AI als Antwort auf intransparente KI

Als Reaktion auf die Probleme, die intransparente KI mit sich bringt, hat sich das Feld der Explainable AI entwickelt. XAI zielt darauf ab, die Funktionsweise und die Ergebnisse von KI nachvollziehbar und erklärbar zu machen. Während die Bezeichnung „XAI“ erst in den letzten Jahren geprägt wurde, ist das Konzept wesentlich älter. Nahezu seitdem es maschinelles Lernen gibt, sind Entwickler:innen darum bemüht, die KI erklärbar zu machen. Insbesondere seit den 90er Jahren wird interdisziplinär in dem Bereich geforscht und gearbeitet. Bis heute hat sich jedoch keine einheitliche Methodik gefunden, mit der KI transparenter gemacht werden kann. Vielmehr existieren verschiedene Ansätze, die sich mit der Erklärbarkeit von KI beschäftigen. Grundlegend lässt sich unterscheiden, zwischen KI, die intrinsisch erklärbar ist und solcher, die durch XAI nachträglich erklärt wird.

Bei ersterer handelt es sich meist um einfache Ansätze des maschinellen Lernens, wie Entscheidungsbäume oder Bayes-Klassifikatoren. Ihre Funktionsweise zeichnet sich bereits dadurch aus, dass die Systeme von sich aus nachvollziehbar und erklärbar sind. Etwa tritt die Blackbox-Problematik im Rahmen ihrer Entwicklung und Verwendung gar nicht erst auf. In einigen Bereichen kann die Verwendung derartiger Methoden eine gute Wahl darstellen und muss keinen Präzisionsverlust bedeuten. Für viele Unternehmen stellen solche vergleichsweise einfachen KI-Systemen daher oft genau die richtige Lösung dar.

Anders verhält es sich jedoch bei dem gegenwärtig extrem populären und leistungsfähigeren Deep Learning. Diese Methode des maschinellen Lernens basiert auf den oben besprochenen neuronalen Netzen. Nachteil ist dabei, dass die Entscheidungen von Menschen nicht mehr nachvollzogen werden können. Hier setzen XAI-Verfahren an, welche die KI-Systeme nachgelagert erklärbar machen sollen. Üblicherweise handelt es sich dabei um Methoden, die in Ergänzung zu einem bestehenden KI-System eingesetzt werden. Unterschieden wird diesbezüglich zwischen globaler und lokaler Erklärbarkeit. Globale Erklärbarkeit soll zeigen, wie ein bestimmtes System als Ganzes funktioniert, sodass es von Menschen vollständig verstanden werden kann. Lokale Erklärbarkeit meint, dass bei einem bestimmten Use Case und in Bezug auf die jeweiligen Eingabedaten, nachvollziehbar gemacht wird, wie eine KI zu einer konkreten Entscheidung gekommen ist. Eine Vielzahl von unterschiedlichen Methoden wird genutzt, um die beiden Arten der Erklärbarkeit zu gewährleisten. In der Wahl der jeweiligen Methode sollte berücksichtigt werden, welchen Zweck die Erklärung erfüllen soll, an wen sie gerichtet ist und welche regulatorischen Anforderungen einzuhalten sind.

Ein beispielhafter Ansatz für XAI ist die Nutzung von sogenannten Stellvertretermodellen, auch genannt Whitebox. Zunächst wird dafür ein neuronales Netz als Blackbox trainiert. Anschließend wird das Stellvertretermodell als Nachbildung dessen erzeugt. Es soll die Funktionsweise des Blackbox-Modells nachempfinden, ist dabei aber einfacher ausgebaut, etwa als einfacher Entscheidungsbaum. Im Wesentlichen stimmen die Ergebnisse der beiden Modelle überein, da die Whitebox eine vereinfachte Nachstellung ist, ihre Outputs sind jedoch nachvollziehbar. Aufgrund der tatsächlichen Unterschiede in den Funktionsweisen kann es aber nichtsdestotrotz zu abweichenden Arbeitsergebnissen kommen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Gründe für Unternehmen auf XAI zu setzen

Unternehmen sollten aus einer Vielzahl von Gründen XAI Methoden einführen. Etwa wird damit bezweckt, das Vertrauen in KI zu erhöhen und die Auditierbarkeit der Systeme zu gewährleisten. Außerdem werden die rechtlichen Einsatzmöglichkeiten einer KI durch ihre Erklärbarkeit wesentlich erhöht, bzw. ist es in vielen Fällen rechtlich erforderlich, dass die Funktionsweise und die Ergebnisse einer KI erklärbar sind. Zudem erlaubt die Erklärbarkeit von KI Rückschlüsse auf ihr Verhalten und kann damit das Verständnis für die verarbeiteten Aufgaben verbessern. Im Folgenden werden wesentliche technisch-organisatorische sowie rechtliche Gründe erörtert, aus denen Unternehmen auf XAI setzen sollten.

Technisch-organisatorische Gründe

Es gibt eine Reihe von technischen und organisatorischen Gründen, die für den Einsatz von KI in Unternehmen sprechen. Auf einige dieser Aspekte wird im Folgenden näher eingegangen.

IT-Sicherheit

Mit der immer größeren Verbreitung von KI und der zentralen Stellung, die sie in Unternehmen einnimmt, werden die Systeme auch immer häufiger Ziel von Cyberangriffen. Die Erklärbarkeit von KI kann erhebliche Vorteile für die Sicherheit der Systeme bringen und kann diesbezüglich mithin teilweise Abhilfe verschaffen. Beispielsweise kann XAI Unternehmen dabei helfen, Anomalien und Datenmuster in den eigenen Systemen zu erkennen, die auf potenzielle Cyber-Bedrohungen hindeuten können. Zudem kann erklärbare KI dabei unterstützen, verdächtiges Verwender:innenverhalten aufzudecken und somit Cybersicherheit zu gewährleisten. Außerdem kann es für Unternehmen sinnvoll sein, KI in den eignen IT-Sicherheitslösungen zu verwenden. Die Verwendung von XAI ermöglicht es in diesem Fall etwaige Fehler in den Entscheidungen des Sicherheitssystems zu erkennen. Zusätzlich kann ersichtlich gemacht werden, wo Schwachstellen in der Sicherheitsarchitektur bestehen.

Kommunikation zwischen Abteilungen

XAI kann ferner die Kommunikation und das Verständnis zwischen technischen und nicht-technischen Abteilungen im Unternehmen stärken. Die Erklärbarkeit der Systeme erleichtert es Data Scientists und Developern, die Funktionsweise und Ergebnisse von KI zu kommunizieren. Damit kann unternehmensweit die Akzeptanz für die Systeme gesteigert werden. Auch das Vertrauen von Kund:innnen wird durch den Einsatz von XAI gesteigert. Gleichzeitig ermöglicht XAI die Implementierung der rechtlichen Vorgaben während der gesamten Entwicklung und der Nutzung eines KI-Systems.

Kontinuierliche Modellverbesserung

Die Möglichkeit, KI-Systeme zu verstehen bedeutet auch, dass Entwickler:innen dazu befähigt werden, die Modelle effektiver zu fine-tunen und zu verbessern. Die KI-Entwicklung und -Nutzung ist ein dynamischer, iterativer Prozess. Mithilfe von XAI kann sichergestellt werden, dass die KI-Modelle stets im Einklang mit den Unternehmens- und Geschäftszielen sind. Zudem lässt sich so die Robustheit von KI-Systemen steigern und die Algorithmen können hinsichtlich ethischer Gesichtspunkte verbessert werden.

Rechtliche Gründe

Einer der Hauptgründe für die Implementierung von XAI-Methoden ist aber die Compliance mit rechtlichen Vorgaben. Unterschiedliche Gesetze schreiben für viele Fälle die Erklärbarkeit von KI vor. Im Folgenden wird ein Überblick über Transparenzpflichten aus der Datenschutzgrundverordnung (DSGVO) und der kommenden KI-VO gegeben.

DSGVO

Die DSGVO enthält Transparenz- und Informationspflichten, die auch für KI von Bedeutung sind, sofern diese mit personenbezogenen Daten arbeitet. Bereits in den Grundsätzen für die Verarbeitung personenbezogener Daten in Art. 5 DSGVO wird vorgeschrieben, dass personenbezogene Daten immer in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen (Transparenz) und dass der Verantwortliche die Einhaltung dieser Verpflichtung nachweisen können muss (Rechenschaftspflicht). Die Ausgangsnorm, die Verantwortlichen im Datenschutzrecht gegenüber Betroffenen Informationspflichten auferlegt, ist Art. 12 DSGVO. Die Norm sieht vor, dass die Verarbeitung stets transparent sein muss und Informationen über den Prozess der Datenverarbeitung und die verwendeten Trainingsdaten leicht zugänglich und verständlich gemacht werden müssen.

Die nachfolgenden Normen formen die Informationspflicht weiter inhaltlich aus. Im Zusammenhang mit KI sind dabei vor allem Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO relevant. Danach ist vorgegeben, dass Betroffene über das Bestehen einer automatisierten Entscheidung einschließlich Profiling informiert werden müssen. Zudem müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der jeweiligen Datenverarbeitung für die betroffene Person zur Verfügung gestellt werden. Profiling bezeichnet nach Art. 4 DSGVO „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten […]“. Nach herrschender Auffassung greift die Informationspflicht auch dann, wenn mit dem bloßen Profiling keine Einzelentscheidung verbunden ist.

Die Vorschriften stehen in einem starken Spannungsverhältnis zur Blackbox-Problematik bei komplexeren Machine Learning Modellen. Denn weder komplizierte Ausführungen mit mathematischen Formeln und Details zu den eingesetzten KI-Systemen noch der pauschale Hinweis auf KI werden den Anforderungen aus der DSGVO gerecht. Vielmehr muss es möglich sein, undurchsichtige Entscheidungsprozesse sowie die Trainingsmethoden transparent darzustellen. Die Implementierung von XAI-Methoden kann in diesem Zusammenhang einen entscheidenden Beitrag bei der DSGVO-Compliance leisten.

Weitere Betroffenenrechte aus der DSGVO, die Verantwortliche gewährleisten müssen und bei deren Umsetzung die Verwendung von XAI hilfreich oder gar notwendig sein kann, sind das Recht auf Berichtigung, das Recht auf Datenübertragbarkeit und das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.

KI-VO

Das wohl wichtigste KI-Regelwerk, das Unternehmen in Zukunft berücksichtigen müssen, ist die geplante KI-VO. Die Verordnung soll EU-weit einen Rechtsrahmen für die Entwicklung und Nutzung von KI schaffen. Derzeit befindet sich die Verordnung noch im europäischen Gesetzgebungsprozess, an dem EU-Parlament, EU-Ministerrat und die EU-Kommission beteiligt sind und der wahrscheinlich noch dieses Jahr abgeschlossen wird. Im Sommer 2024 wird die KI-VO voraussichtlich in Kraft treten. Nach einer zweijährigen Umsetzungsfrist gilt es für Unternehmen dann, die Vorgaben aus der Verordnung zu befolgen. Die Reglungen sind bereits absehbar. Aufgrund ihrer Komplexität sollten sich Unternehmen schon jetzt darauf vorbereiten.

Die KI-VO verfolgt einen risikobasierten Ansatz. Das heißt, dass die Vorgaben, die für Entwicklung und Nutzung von KI gemacht werden, von dem Risiko abhängen, das von dem jeweiligen System ausgeht. Herzstück der Verordnung sind dabei sogenannte Hochrisiko-KI-Systeme. Für Entwickler und unter bestimmten Voraussetzung auch Nutzer und andere Akteure derartiger Modelle, wird die KI-VO einen umfangreichen und komplexen Pflichtenkatalog enthalten. Unter anderem zählen dazu auch Transparenzanforderungen. Zentrale Norm ist diesbezüglich Art. 13 des Entwurfes zur KI-VO (KI-VO-E). In der letzten Version, die vom Europäischen Parlament vorgeschlagen wurde, soll die Norm vorschreiben, dass der Betrieb von KI-Systemen so transparent ist, dass „Anbieter“ und „Nutzer“ von KI ihre Funktionsweise hinreichend verstehen können. Anbieter definiert der Verordnungsentwurf als alle Stellen, die eine KI entwickeln oder entwickeln lassen, um sie auf den Markt zu bringen oder selbst in Betrieb zu nehmen. Nutzer sind alle Stellen, die ein KI-System verwenden. Dabei handelt es sich nicht um natürliche betroffene Personen, deren Schutz etwa die DSGVO bezweckt, sondern um beispielsweise Unternehmen oder Behörden, die KI-Systeme in Verwendung haben.

Nach Art. 13 KI-VO-E soll eine angemessene Transparenz entsprechend der Zweckbestimmung eines KI-Systems gewährleistet werden, was nach dem aktuellen Parlamentsentwurf bedeutet, dass „alle nach dem allgemein anerkannten Stand der Technik verfügbaren technischen Mittel eingesetzt werden, um sicherzustellen, dass die Ergebnisse des KI-Systems vom Anbieter und vom Nutzer interpretierbar sind“. Das zentrale Tool soll zu diesem Zweck eine Gebrauchsanweisung sein, mit der eine KI versehen wird und die „den Betrieb und die Wartung des KI-Systems sowie die fundierte Entscheidungsfindung der Nutzer unterstützt“. Um eine hinreichende Transparenz zu gewährleisten, listet Art. 13 KI-VO-E die Informationen auf, die die Gebrauchsanweisung umfassen soll. Nach dem EU-Parlament gehört dazu auch das Ausmaß, in dem ein KI-System die von ihm getroffenen Entscheidungen erklären kann.

Zusätzlich enthält der Entwurf des EU-Parlaments mit Artikel 68c auch das Recht auf Erläuterung einer individuellen KI-Entscheidungsfindung von Betroffenen. Danach haben Personen, die von einer Entscheidung betroffen sind, die auf Grundlage von Daten aus einer Hochrisiko-KI getroffen wurde, unter bestimmten Voraussetzungen das Recht, auf eine aussagekräftige Erläuterung der Rolle des KI-Systems im Entscheidungsprozess, zu den wichtigsten Parametern der getroffenen Entscheidung und zu den zugehörigen Eingabedaten. Die genaue Ausgestaltung der Norm in der finalen KI-VO ist noch offen. Klar ist jedoch, dass die Erklärbarkeit von KI eine wichtige Stellung in der künftigen KI-Compliance einnehmen wird.

Ein Blick auf die Praxis – so kann KI erklärt werden

Wie aufgezeigt kann die Verwendung von XAI-Methoden unabdingbar für die Unternehmenspraxis sein. Für die Art und Weise, wie die Arbeitsweise und die Ergebnisse von KI kommuniziert werden, also das Ergebnis der KI-Erklärung, gibt es verschiedene Möglichkeiten. Bei der Auswahl zwischen diesen sollte vor allem darauf abgestellt werden, wem gegenüber die Erklärung erfolgen soll. Zudem muss etwa berücksichtigt werden, in Umsetzung welcher rechtlicher Vorgaben gehandelt wird. Denn vor allem auch in Hinblick auf die Adressaten unterscheiden sich DSGVO und KI-VO. Während erstere die Erklärung gegenüber den Betroffenen bezweckt, soll die KI-VO in erster Linie eine Informationspflicht für Anbieter gegenüber Nutzern einführen.

Im Falle der DSGVO ist eine Darstellung des gesamten Algorithmus und der Funktionsweise hinter einem Ergebnis grundsätzlich nicht erforderlich. Schließlich ist vor allem auch wichtig, dass die Erklärung für den Betroffenen verständlich ist. Vielmehr bietet sich etwa eine visuelle Darstellung an, beispielsweise in Form von Entscheidungsbäumen, Piktogrammen oder Ablaufdiagrammen. So können die verschiedenen Parameter in der Entscheidungsfindung transparent und verständlich gemacht werden. Dabei lassen sich die Informationen jedoch abstrakt genug darstellen, dass keine Geschäftsgeheimnisse preisgegeben werden. Ergänzen lässt sich die visuelle Darstellung durch schriftliche Kommentare, repräsentative Beispiele und Beschreibungen, um die Verständlichkeit zu erhöhen.

Der Entwurf zur KI-VO verfolgt hingegen einen anderen Ansatz, da vor allem Nutzer in die Lage versetzt werden sollen, ein KI-System entsprechend seiner Zweckbestimmung zu nutzen und Fehler, Verzerrungen oder Diskriminierungen erkennen zu können. Es geht daher eher um eine technische Erklärung, die sich nach den Anforderungen an die Gebrauchsanweisung aus Art. 13 KI-VO-E richtet. Doch seit dem letzten Entwurf des EU-Parlaments sieht auch der KI-VO-E eine Informationspflicht gegenüber Betroffenen vor. Diese ähnelt eher der Informationspflicht aus der DSGVO. In der Umsetzung der Vorgaben werden sich deshalb Synergieeffekte aufzeigen, die es unbedingt zu nutzen gilt.


Das könnte Sie auch interessieren:


Auch darüber hinaus bietet sich bei der Erklärung von KI eine gemeinsame Behandlung der unterschiedlichen rechtlichen Informationspflichten an. Denn so lässt sich die Informationserteilung, etwa in der Datenschutzerklärung und der KI-Gebrauchsanweisung, widerspruchsfrei gewährleisten. Zudem lassen sich durch die Nutzung von Synergien im Gegensatz zu getrennten Bearbeitung Ressourcen einsparen. Die Informationen, die im Rahmen der Gebrauchsanweisung bereitgestellt werden müssen, können dabei als Ausgangspunkt und zur Erfüllung der Informationspflichten aus der DSGVO dienen.

Wir beraten Sie bei der Umsetzung Ihrer KI-Projekte

Entfalten Sie das volle Potenzial Ihrer KI-Projekte – rechtssicher und ethisch einwandfrei. Wir, ein Team von hochqualifizierten Juristinnen und Juristen, unterstützen Ihr Vorhaben mit präzisen, auf Ihre spezifischen Bedürfnisse zugeschnittenen Rechtsstrategien. Wir sind Ihre Begleiter in der navigationsintensiven Welt der XAI-Methoden und der transparenten Entwicklung und Anwendung künstlicher Intelligenz. Unsere Beratung geht weit über das Übliche hinaus: Wir suchen gemeinsam mit Ihnen den optimalen Weg, wählen zielorientiert sinnvolle Lösungen und Methoden aus und verbinden fundiertes juristisches Know-how mit technischer Expertise in den Bereichen Technologie, Medien, Datenschutz und IT. Mit einem konsequenten Fokus auf Ihre Ziele und Herausforderungen erarbeiten wir Antworten auf alle Ihre rechtlichen Fragen rund um KI und sichern so den Erfolg Ihrer Projekte. Ihr Fortschritt in der Welt der KI beginnt mit einer Beratung bei uns – sprechen Sie noch heute mit einem Mitglied unseres Expertenteams und erleben Sie eine Beratung, die Technologie und Rechtsberatung nahtlos miteinander verbindet.

Sichern Sie Ihre KI-Projekte – Sprechen Sie jetzt mit unseren Expertinnen und Experten!

Transatlantischer Datenschutzrahmen EU USA

Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

In einer Pressemitteilung vom 10.07.2023 gab die Europäische Kommission bekannt, dass sie ihren Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen hat. Dabei handelt es sich nun um den dritten Anlauf, die USA als sicheres Drittland für die Übertragung von personenbezogenen Daten von EU-Bürger:innen einzustufen.

Der vormals für Datenübermittlungen zwischen den USA und der Europäischen Union geltende Angemessenheitsbeschluss auf Basis des Privacy Shield wurde am 16.07.2020 vom Europäischen Gerichtshof (EuGH) durch das prominente Schrems II-Urteil für ungültig erklärt. Der neue transatlantische Datenschutzrahmen gewährleiste laut Ansicht der EU-Kommission die nötige Sicherheit des Datenverkehrs von EU-Bürger:innen und Unternehmen. Hierfür setzt der Angemessenheitsbeschluss auch auf Selbstverpflichtungen der USA zur Einschränkung des Datenzugriffs durch die US-Geheimdienste, die in der im Oktober 2022 erlassenen Executive Order festgelegt wurden. Ob das Abkommen nach den Schrems I- und Schrems II-Urteilen des EuGH einer erneuten rechtlichen Prüfung durch den EuGH standhalten würde, bleibt jedoch abzuwarten.

In diesem Artikel geben wir einen Überblick über alle aktuellen Entwicklungen und Antworten auf wichtige Fragen zum sicheren Datentransfer zwischen der EU und den USA und was sich in Zukunft für den Datentransfer ändern wird. Unsere Anwalt:innen unterstützen Sie bei der Erfüllung der notwendigen Verpflichtungen, um den neuen Anforderungen gerecht zu werden. Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.

Aktuelle Entwicklungen

Nicht einmal zwei Monate nach dem Erlass des neuen Angemessenheitsbeschlusses der EU-Kommission war hiergegen bereits eine erste Verfahren beim Gericht der Europäischen Union (EuG) in Luxemburg anhängig. Das daneben angestrengte Eilverfahren ist jedoch bereits gescheitert (Entscheidung vom 12.10.2023 – Az.: T-553/23-R). Darin beantragte Philippe Latombe, ein französischer Parlamentarier, den Vollzug des Angemessenheitsbeschlusses auszusetzen. 

Aussetzung der Vollziehung der Angemessenheitsentscheidung – Eilverfahren gescheitert

Der Angemessenheitsbeschluss, mit dem festgestellt wurde, dass EU-US-Datenschutzrahmen ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, füge ihm als Nutzer der SaaS-Plattformen Microsoft 365, Google und Doctolib schwere und irreparable Schäden zu. Der Antragssteller argumentierte unter anderem, seine personenbezogenen Daten könnten an in den Vereinigten Staaten ansässige Organisationen übermittelt und von diesen genutzt werden, ohne dass eine weitere Prüfung der Vereinbarkeit mit dem Unionsrecht erforderlich sei. Entgegen den Feststellungen des Angemessenheitsbeschlusses der EU-Kommission würden die Vereinigten Staaten von Amerika kein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Auch würde der Angemessenheitsbeschluss dazu führen, dass er nicht mehr das Recht hätte, sich an die Aufsichtsbehörde zu wenden, damit diese überprüft, ob seine personenbezogenen Daten rechtmäßig in die USA übermittelt werden.

Das EuG kam im Zuge seiner Prüfung zu dem Schluss, der Antragssteller habe die Dringlichkeit der begehrten einstweiligen Maßnahmen nicht glaubhaft gemacht. Er habe nicht dargelegt, warum in seinem speziellen Fall durch die Übermittlung seiner personenbezogenen Daten auf Grundlage des Angemessenheitsbeschlusses ein ernsthafter Schaden entstehen würde, sondern beschränke sich auf allgemeine Ausführungen über die negativen Auswirkungen des Angemessenheitsbeschlusses. Auch sei versäumt worden, Beweise dafür vorzulegen, dass die Verwendung der o.g. SaaS-Anwendungen tatsächlich zu einer Übermittlung seiner Daten führt und genauere Angaben darüber, welche Daten davon betroffen wären. Zudem sei nicht dargelegt worden, inwiefern etwaige Drittstaatenübermittlungen in den vorliegenden Fällen nicht neben dem Angemessenheitsbeschluss auch durch andere gesetzlich vorgesehene Möglichkeiten abgesichert waren (Art. 46 und 49 DSGVO). Im Übrigen habe der Antragssteller weiterhin das Recht, gem. Art. 77 DSGVO Beschwerde bei einer Aufsichtsbehörde einzureichen, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten gegen die DSGVO verstößt. Der Antragssteller habe vor diesem Hintergrund nicht nachgewiesen, dass er einen schweren Schaden erleiden würde, wenn die Vollstreckung der Angemessenheitsbeschlusses nicht ausgesetzt würde. Das EuG lehnte den Antrag auf Aussetzung der Vollziehung in der Folge ab.

Ein Ende der gerichtlichen Befassung mit dem Angemessenheitsbeschluss ist noch nicht absehbar. Abseits von der noch ausstehenden Entscheidung im entsprechenden Hauptsacheverfahren, hat auch Max Schrems mit seiner NGO noyb bereits angekündigt, gegen den Angemessenheitsbeschluss gerichtlich vorgehen zu wollen. 

Hintergrund des transatlantischen Datenschutzrahmens – Nichtigkeit des EU-US Privacy Shield

Der transatlantische Datenschutzrahmen (Trans-Atlantic Data Privacy Framework) ist eine der Folgen des Wegfalls des EU-US Privacy Shields. Im Juli 2020 entschied der Europäische Gerichtshof, dass die USA kein angemessenes Datenschutzniveau für Datentransfers nach Art. 45 DSGVO bieten würden (Az. C-311/18, „Schrems II“-Urteil). Der bis dahin bestehende Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf Basis des Privacy Shield die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und den USA ermöglichte, wurde mit diesem Urteil für ungültig erklärt.

Der EuGH erklärte im Schrems II-Urteil ausdrücklich, dass die damals schon vorhandenen Standardvertragsklauseln (Standard Contractual Clauses – SCC) aufrechtzuerhalten und weiterhin wirksam sind. Der Abschluss von SCC gem. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO war und ist eine Möglichkeit, um Datenübermittlungen in Drittländer vorzunehmen, für die beispielsweise kein Angemessenheitsbeschluss oder die Ausnahmen aus Art. 49 DSGVO bestehen. Dabei können datenverarbeitende Unternehmen mit Sitz in der EU als Datenexporteur:innen die SCC als vorgegebene Musterverträge mit US-Unternehmen als Datenimporteur:innen abschließen.

Etablierung neuer SCC

Der EuGH betonte darüber hinaus auch, dass es die Verantwortung der Datenexporteur:innen sei, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der, in ein Drittland übermittelten, Daten vorzusehen. Dabei kann es erforderlich sein, über die SCC hinaus, ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen. Das heißt, die SCC müssen unter Umständen durch weitere organisatorische oder technische Maßnahmen ergänzt werden, sodass der bloße Abschluss der SCC allein nicht zwingend ausreicht.

Daraufhin hat die Europäische Kommission mit dem Beschluss 2021/914/EU neue SCC veröffentlicht. Mit der Neufassung der SCC im Juni 2021 wurden diese unter anderem an die im Schrems II-Urteil aufgestellten Erfordernisse angepasst. Realisiert hat die Europäische Kommission die vom EuGH adressierten Pflichten insbesondere mit der Pflicht zur Durchführung eines Transfer Impact Assessments (TIA), als eine Art „Transfer-Risiko-Abschätzung“. Im Rahmen dieser Prüfung ist zu bewerten, ob die Gesetzgebung im Land der Datenimporteur:innen den in den SCC festgelegten Regelungen gerecht werden. Das TIA dient vorab einer Kontrolle, ob Datenimporteur:innen überhaupt in der Lage sind, die SCC einzuhalten.

Zusätzlich treffen Datenimporteur:innen, im Falle des Zugriffs auf Daten von Behörden im Drittland, Benachrichtigungspflichten gegenüber den Datenexporteur:innen und, wenn möglich, gegenüber der betroffenen Person.

Zwar wurden mit den neuen SCC wichtige vom EuGH geforderte Verpflichtungen aufgenommen, jedoch bleiben große Rechtsunsicherheiten bestehen. Gerade für Datenübermittlungen in die USA hat der Verantwortliche erheblichen Aufwand zu betreiben, der womöglich von Behörden als nicht ausreichend angesehen werden kann. Grund dafür ist die Einzelfallbewertung, ob weitere Maßnahmen vorgesehen werden müssen und wie diese auszusehen haben.

Mit dem neuen transatlantischen Datenschutzrahmens sollen Unternehmen für den Drittlandtransfer in die USA die zum Teil sehr hohen Hürden genommen werden.

Für andere Länder, wie Staaten im arabischen Raum oder China, bleiben die Anforderungen aus den SCC bestehen, soweit nicht daneben die Ausnahmeregelungen des Art. 49 DSGVO eingreifen.


Das könnte Sie auch interessieren:


Zweck und Inhalt des transatlantischen Datenschutzrahmens

Der Zweck des transatlantischen Datenschutzrahmens lag in der Schaffung der Grundlage eines neuen Angemessenheitsbeschlusses. Dieser soll (wieder) die Basis dafür bieten, dass die Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können – ohne zusätzliche Prüfpflichten für die europäischen Unternehmen. Der transatlantische Datenschutzrahmen stellt selbst noch keinen Angemessenheitsbeschluss dar. Erst durch den Beschluss vom 10.07.2023 wurde er zum Ausgangspunkt für die Übermittlungen nach Art. 45 DSGVO.

Daneben sollen durch die Executive Order 14086 verbindliche Schutzmaßnahmen den Zugriff der US-Geheimdienste beschränken. Der Zugriff der Geheimdienste war einer der Entscheidungsgründe des EuGH für die Ungültigkeit des auf dem Privacy Shield basierenden Angemessenheitsbeschlusses. Der EuGH rügte in seinem Urteil, dass kein Rechtsschutz gegen die Zugriffe durch die US-amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügte, bestünde. Zudem sollten Verfahren für eine effektive Überwachung der Maßnahmen etabliert werden.

Etablierung eines zweistufigen Rechtsbehelfsmechanismus

Der vorgesehene zweistufige Rechtsbehelfsmechanismus ist eine direkte Reaktion auf einen der wesentlichen Entscheidungsgründe des EuGH in der Entscheidung „Schrems II“. Mit der Einrichtung eines zweistufigen, unabhängigen Rechtsbehelfslmechanismus sollen verbindliche Abhilfemaßnahmen bei unrechtmäßigen Aktivitäten der US-Geheimdienste angeordnet werden können. Im Schrems II-Urteil bemängelte der EuGH unter anderem, dass Datenschutzbeschwerden seitens EU-Bürger:innen von einer Stelle entgegengenommen wurden, die dem US-Außenministerium angehörte. Damit war diese Stelle der Exekutive zuzuordnen, wobei gegen Entscheidungen derselben keine unabhängigen Rechtsbehelfezur Verfügung standen. Nun soll ein neuer und unabhängiger „Data Protection Review Court“ eingesetzt werden, der eine zweitinstanzliche Prüfung von Beschwerdeentscheidungen ermöglichen soll.

Einschränkung der Überwachung durch die US-Geheimdienste

Eine Überwachung seitens der US-Behörden ist nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig sei, heißt es in der Executive Order vom Oktober 2022, die zum 03.07.2023 umgesetzt wurde.

Überwachung von US-Unternehmen hinsichtlich der Einhaltung der Pflichten aus dem transatlantischen Datenschutzrahmen

Weiterhin soll durch eine Selbstzertifizierung der US-Unternehmen beim US-Handelsministerium die Einhaltung der Pflichten aus dem Abkommen bestätigt werden, wozu insbesondere der DSGVO ähnliche Datenschutzpflichten gehören.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Angemessenheitsbeschluss der Europäischen Kommission

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Bedeutung des Angemessenheitsbeschlusses für Datenexporteur:innen

Nach dem Angemessenheitsbeschluss können personenbezogene Daten auf Grund dieses Beschlusses aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden, ohne SCC nutzen zu müssen. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US Datenschutzrahmen teilnehmen. Voraussetzung hierfür ist, dass sich die US-Unternehmen, nach dem transatlantischen Datenschutzrahmen zertifiziert haben.

Kritik an dem neuen transatlantischen Datenschutzrahmen

Insgesamt stellt sich die Frage, ob eine neue beschlossene juristische Grundlage auch vor dem EuGH standhalten würde.
Max Schrems kritisierte mit seiner NGO noyb bereits, dass die „Verhältnismäßigkeit“ vom EUGH und den USA unterschiedlich ausgelegt werden könnte und die neue Executive Order sowie der etablierte Rechtsbehelfsmechanismus keinen hinreichenden Schutz biete für EU-Bürger:innen, deren Daten von US-Geheimdiensten verarbeitet werden.

Was ist jetzt zu tun?

Die Erfüllung der Anforderungen des neuen transatlantischen Datenschutzrahmens kann sich als komplex erweisen, insbesondere angesichts der unsicheren Rechtslage und der laufenden rechtlichen Herausforderungen. Einige Unternehmen werden sich nun die Frage stellen, ob es sinnvoll ist, zukünftig Daten an zertifizierte US-Unternehmen aufgrund des Angemessenheitsbeschlusses zu übermitteln und welche Vorteile es gegenüber anderen Übermittlungsmechanismen hat. Hinzu kommt, welche Risiken hierdurch entstehen und was Datenexporteur:innen hierbei zu beachten haben.

Wir unterstützen Sie bei der Erfüllung aller notwendigen Pflichten, um den Datentransfer zwischen der EU und den USA rechtssicher zu gestalten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.