Fake-Abmahnung, abmahnungsfalle, urheberrechtsverletzung abmahnungb datenschutz abmahnung

Achtung, Fake-Abmahnung: 1.697,86 EUR. Die Zahlung dieser Summe verlangt ein "Herr Roland Müller". Ein vermeintlicher Rechtsanwalt der Kanzlei "ALHN" aus Hamburg. Seine Mandantschaft, die XXfun Film Ltd, wolle gegen die angebliche Urheberrechtsverletzung von Herrn T. vorgehen. 

Herr T. (fiktiver Name) soll illegal Filme über die Plattform "youporn" gestreamt haben. Der vermeintliche Rechtsanwalt Müller bezieht sich auf „ein Urteil des EuGH vom 26. April 2014, Az. C-527/15.Pressemitteilung“, wonach das Streamen von Pornofilmen aus illegalen Quellen rechtswidrig sei. Laut eines staatsanwaltlichen Auskunftsverlangens gemäß "Paragraf 113 TKG" sei der Internetanschluss auf Herrn T. angemeldet, der zivilrechtlich für die Urheberrechtsverletzung hafte. Abschließend werden „Details zur Straftat“ aufgeführt.

Abmahnungsfalle: Bewahren Sie Ruhe!

Auf diese und ähnliche gefälschte Abmahnungsschreiben stoßen wir im Rahmen unserer Rechtsberatung häufiger. Betrügerische Abmahnschreiben sind oft voller Rechtschreib- und Grammatikfehler sowie falscher rechtlicher Ausführungen. Diese vielen Fehler fallen den meisten Betroffenen im ersten Moment des Schrecks nicht auf. Auf den Schreck und die damit einhergehende einschüchternde Wirkung setzen die Betrüger gezielt.

abmahnung youporn
Beispiel einer betrügerischen Abmahnung

Zunächst gilt: Ruhe bewahren und das Schreiben erneut – ggf. in Gegenwart eines Dritten – aufmerksam lesen! 

Es existiert keine Anleitung, wie man betrügerische Schreiben erkennt. Eine solche Anleitung wäre auch nicht sonderlich hilfreich, da Betrüger ihre Schreiben kontinuierlich an Warnhinweise anpassen oder neue Themen wählen. So könnten die Betrüger, die bisher Schreiben im Namen der „Rechtsanwaltskanzlei ALHN“ versendeten, zukünftig einen anderen Namen führen.

Betrug durch Abmahnungen ist nicht neu

Noch Mitte Juli 2022 erhielten viele Betroffene eine E-Mail im Namen eines (echten!) Rechtsanwalts aus Berlin. Die Betroffenen waren vor allem Kleingewerbetreibende. Der Vorwurf: Datenschutzverstöße durch die Verwendung von „Google Fonts“. Der Mandant des Berliner Rechtsanwalts, die IG Datenschutz, soll die Homepages der Betroffenen gezielt mittels Software aufgesucht haben. Den Betroffenen wurde angeboten, einen Betrag in Höhe von EUR 170 zu zahlen, um ein Zivilverfahren zu vermeiden. Die Staatsanwaltschaft geht davon aus, dass die Besuche bewusst erfolgten und eine Einwilligung in die Weiterleitung der IP-Adresse faktisch vorlag, sodass kein datenschutzrechtlicher Verstoß und damit kein durchsetzbarer Forderungsanspruch bestand. Die Staatsanwaltschaft Berlin ermittelte wegen (versuchten) Betrugs bzw. (versuchter) Erpressung.

Aber nicht jede Abmahnung ist unberechtigt

Es ist wichtig zu betonen, dass bei berechtigten Abmahnungen schnell zu handeln ist. Unbeachtete Abmahnungen können erhebliche Folgekosten verursachen. 

Abmahnungen enthalten regelmäßig eine Zahlungsaufforderung gerichtet auf die Zahlung von Schadensersatzansprüchen und vorgerichtlichen Rechtsanwaltskosten. Oft liegt auch eine strafbewehrte Unterlassungserklärung bei.

Eine strafbewehrte Unterlassungserklärung ist ein Angebot auf den Abschluss eines Unterlassungsvertrags. Eine Pflicht zur Unterzeichnung besteht nicht!

Der Unterlassungsschuldner verpflichtet sich, die im Unterlassungsvertrag beschriebene Handlung in Zukunft zu unterlassen. Im Fall der Zuwiderhandlung sieht der Vertrag eine Vertragsstrafe vor.

Gegen die Unterzeichnung kann sprechen, dass die Erklärung zu weit formuliert ist, sodass die Vertragsstrafe greift und einen Zahlungsanspruch des Unterlassungsgläubigers auslöst, obwohl es sich um zulässiges Verhalten gehandelt hat.

Werden die Kosten nicht beglichen und/oder die strafbewehrte Unterlassungserklärung nicht unterzeichnet, können die Rechteinhaber klagen. Klagen gehen immer mit einem Kostenrisiko einher. Unnötige Gerichtsverfahren und das damit verbundene Kostenrisiko können durch gute Rechtsberatung vermieden werden.

Auch Massenabmahnungen sind nicht immer unberechtigt

Denn auch massenhafte Abmahnungen, wie sie im Zusammenhang mit TikTok und Instagram wiederholt einhergehen, sind nicht ohne Weiteres unberechtigt: Viele gewerbliche TikTok-Nutzer wussten nicht, dass sie ein gewerbliches Konto einrichten müssen. 

TikTok erlaubt es, über private Accounts ohne zusätzliche Lizenz (also kostenfrei) zahlreiche Musiktitel zu nutzen und mit Musik untermalte Videos weltweit zu veröffentlichen. Gewerbliche Accounts dürfen nur den speziell für gewerbliche Zwecke vorgesehenen TikTok-Musikkatalog nutzen. Werden die "privaten" Musikkataloge für gewerbliche Zwecke genutzt, kann es zur Verletzung von Urheberrechten kommen. Der Vorwurf lautet dann regelmäßig „Urheberrechtsverstoß“ und führt oft zu kostspieligen Abmahnungen und strafbewehrten Unterlassungserklärungen.

Eine umfassende Prüfung der Sach- und Rechtslage ist wichtig

Abmahnungen enthalten oftmals Fristen, die es zu wahren gilt. Zügiges Handeln ist daher sinnvoll.

Wir übernehmen diese Prüfung gerne für Sie! Melden Sie sich über das Kontaktformular oder telefonisch bei uns! 

Spear-Phishing

Die CERT.at GmbH (Computer Emergency Response Team Austria) und die Certitude Consulting GmbH weisen auf eine Zunahme von sogenannten Spear-Phishing-Angriffen auf deutsche und österreichische Unternehmen hin. Weshalb auch öffentliche Auftraggeber Opfer derartiger Angriffe werden können, erfahren Sie hier.

Im Zuge der Digitalisierung wandelt sich die Kommunikation unter Geschäftspartnern immer rasanter und gewinnt zunehmend an Komplexität. Dadurch ergeben sich zahlreiche neue Kommunikationskanäle, aber auch neue Angriffsflächen für Internetkriminelle. Diesen Trend sollten insbesondere öffentliche Auftraggeber und ihre Auftragnehmer beherzigen, denn sie geraten vermehrt ins Visier von "Spear-Phishern".

Nach Angaben von Certitude belaufen sich die Schadenssummen häufig auf mehrere hunderttausend Euro und führen zu Rechtsstreitigkeiten zwischen den betroffenen Unternehmen. Wie es den Angreifern gelingt, die beteiligten Geschäftspartner zu täuschen, zeigen wir in diesem Blogbeitrag auf.

Was ist Spear-Phishing?

Im Gegensatz zum "einfachen" Phishing zielt das sog. "Spear-Phishing" auf ausgewählte Ziele (Personen, Unternehmen) ab. Dem Angriff auf das jeweilige Ziel geht stets eine umfassende Recherche voraus, damit die Angreifer ihre Fake-Mails mit vertrauten Details schmücken können. Laut Certitude häuften sich in den letzten Monaten die Fälle, in denen Betrüger auf diese Weise die Änderung von Kontodaten der Auftragnehmer bei ihren Auftraggebern erwirken.

Dabei gehen die Internetkriminellen wie folgt vor: 

1. Recherche und gründliche Vorbereitung

Die Spear-Phisher beginnen mit einer umfassenden Recherche über ein ausgewähltes Unternehmen (z.B. "Stadtwerke X GmbH") und bringen auf diese Weise in Erfahrung, mit welchen Auftragnehmern das Unternehmen in Beziehung steht. Der Angreifer verwendet hierzu Pressemeldungen, EU-weite oder nationale Vergabebekanntmachungen, Social-Media Kanäle, Newssektionen etc. Die möglichen Informationsquellen sind schier unendlich.

Anschließend sendet der Angreifer unverdächtige E-Mail-Anfragen an die Unternehmen, hier also an die Stadtwerke X GmbH und ihre Auftragnehmer. Auf diese E-Mail-Anfragen erhält der Angreifer Antworten im offiziellen Corporate Design der jeweiligen Unternehmen.

Auf dieser Grundlage fälschen die Betrüger täuschend echt gestaltete E-Mails, um sich im nächsten Schritt in die Auftraggeber-Auftragnehmer-Beziehung einzuklinken.

beenhere

SPF, DKIM & DMARC nicht vernachlässigen

Technisch realisieren die Betrüger ihre Angriffe für gewöhnlich mithilfe von eigens registrierten Domains, die der echten Unternehmensdomain ähneln (z.B. stadtwerkex.de statt stadtwerke-x.de) oder sie versenden ihre E-Mails über die echte Unternehmensdomain (E-Mail-Spoofing). Möglich ist das E-Mail-Spoofing, wenn Domaininhaber keine entsprechenden technischen Schutzmaßnahmen wie DMARC, DKIM und SPF ergreifen.

2. Einklinken in die Auftraggeber-Auftragnehmer-Kommunikation

Im nächsten Schritt kontaktiert der Angreifer (getarnt als Auftraggeber) den Auftragnehmer und fragt nach offenen Rechnungen. Weil die E-Mail des Angreifers täuschend echt ist, schöpfen Auftragnehmer laut Certitude häufig keinen Verdacht und übermitteln in der Folge ihre offenen Rechnungspositionen und zugehörige Dokumente an die Angreifer.

Nun ist es dem Angreifer nicht bloß gelungen, die Rechnungsdokumente des Auftragnehmers an sich zu bringen. Häufig verbleiben E-Mail-Adressen der Angreifer zudem unbemerkt im Kommunikationsverlauf (z.B. im Cc-Feld) bei zukünftigen Rechnungsmails zwischen Auftraggeber und Auftragnehmer.

3. Übersenden der manipulierten Rechnung

Nachdem sich der Angreifer in die Auftraggeber-Auftragnehmer-Kommunikation eingeklinkt hat, tauscht er die Kontonummer in der Rechnung des Auftragnehmers aus. Diese manipulierte Rechnung sendet der Angreifer sodann im Namen des Auftragnehmers an den Auftraggeber und weist häufig sogar auf die geänderte Kontonummer hin.

Mit der nächsten Überweisung transferiert der Auftraggeber den Geldbetrag schließlich auf das Konto des Angreifers. Fehlüberweisungen fallen meistens erst nach Wochen oder Monaten auf und zusätzlich zum eigentlichen Schaden geraten Auftraggeber und Auftragnehmer in kostspielige Rechtsstreitigkeiten.

Spear-Phishing: Mögliche Präventionsmaßnahmen

Insbesondere öffentliche Auftraggeber und Auftragnehmer sind gut beraten, sich dieser wachsenden Gefahr stets bewusst zu sein. Denn die Digitalisierung der öffentlichen Beschaffung schreitet voran (vgl. BKMS, eForms, xRechnung).

Um es gar nicht erst so weit kommen zu lassen, kommen unterschiedliche technische und organisatorische Präventionsmaßnahmen in Betracht:

  • Wie oben bereits angeführt, sollte das sog. E-Mail-Spoofing technisch verhindert werden (DKIM, DMARC, SPF). Anderenfalls können Angreifer im Namen der ungeschützten Domains E-Mails versenden.
  • Mitarbeiterschulungen und selbst beauftragte Phishing-Kampagnen.
  • Kritische Prüfung von Absender E-Mails und Domains durch Mail-Empfänger.
  • Indem E-Mails und Rechnungen elektronisch signiert werden, dürften gefälschte Mails bzw. Dokumente schneller auffallen.

Quelle (News): certitude.consulting

Bildnachweis: Ibrahim Mushan, unsplash.com

neue Standardvertragsklauseln
© Guillaume Périgois, unsplash.com

Neue Standardvertragsklauseln: Die Übermittlung von personenbezogenen Daten ins Ausland ist inzwischen keine Seltenheit. Sie gehört mittlerweile vielmehr zur Praxis. Dabei ist – insbesondere bei der Übermittlung der Daten ins nicht europäische Ausland – wichtig, dass in dem Land, in dem die personenbezogenen Daten verarbeitet werden, das Schutzniveau der DSGVO gewährleistet wird. Das sollen u.a. die Standardvertragsklauseln sicherstellen.

Seit dem 27. Dezember 2022 müssen die bestehenden Verträge zwischen Verantwortlichen und Auftragsverarbeitern etc. auf neue Standardvertragsklauseln umgestellt worden sein. In diesem Blogbeitrag gehen wir näher auf die Frage ein, welche Konsequenzen daraus für europäische Unternehmen mit Vertragspartnern in Drittstaaten wie den USA resultieren.

I. Historischer Kontext

Die DSGVO gilt nicht in Drittstaaten. Eines dieser Drittstaaten sind die USA. Es ist gleichwohl erforderlich und zwingend, dass das Schutzniveau der DSGVO gewahrt wird, soweit personenbezogene Daten im Anwendungsbereich der DSGVO ganz oder teilweise in Drittstaaten verarbeitet werden. Das US-amerikanische Recht kennt und kannte jedoch kein Pendant zum europäischen Datenschutzrecht, sodass betroffenen Unternehmen das Übertragen, Speichern und sonstige Verarbeiten der personenbezogenen Daten ihrer Kunden in den USA grundsätzlich untersagt war (vgl. aber Art. 26 Abs. 2 u. 4 der Datenschutzrichtlinie 95/46/EG). Deshalb wurde das sog. „Safe-Harbor“-Verfahren ins Leben gerufen.

US-Unternehmen konnten dem Safe-Harbor beitreten und sich in entsprechende Listen beim FTC (Federal Trade Commission), des US-amerikanischen Handelsministeriums, eintragen lassen. Sie gaben Selbsterklärungen ab, wonach sie verbindlich erklärten, die Safe-Harbor-Principles (Grundsätze des sicheren Hafens) und verbindliche FAQ einzuhalten. In einem Durchführungsbeschluss der Europäischen Kommission vom 16. Juli 2000 bestätigte diese, dass die Unternehmen, die dem Safe-Harbor beigetreten seien, angemessenen Schutz für die Datenübermittlung gewährleiteten. Dieser Durchführungsbeschluss ist ein sog. Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO. Hiernach darf eine Übermittlung personenbezogener Daten an ein Drittland

„[…] vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet“.

Ein Durchführungsbeschluss wird von der Kommission erlassen und stellt eine (Datenschutz-)Garantie im Sinne des Art. 46 Abs. 1 lit. c DSGVO dar. Die personenbezogenen Daten können demnach aus dem Europäischen Wirtschaftsraum (EWR) (d.h. aus den 27 EU-Mitgliedstaaten sowie Norwegen, Liechtenstein und Island) in das betreffende Drittland fließen. Weitere Bedingungen oder Genehmigungen sind für den Transfer ins Drittland nicht erforderlich. Die sog. „2-Stufen-Prüfung“ wird dadurch allerdings nicht entbehrlich.

beenhere

2-Stufen-Prüfung

Auf der ersten Stufe ist für die Datenübermittlung erforderlich, dass die Datenverarbeitung den Anforderungen des Art. 6 DSGVO entspricht. Die Datenverarbeitung muss also zunächst an sich rechtmäßig sein.

Auf der zweiten Stufe ist festzustellen, ob im Ausland für die Datenverarbeitung ein angemessenes Datenschutzniveau besteht.
Die rechtmäßige Datenübermittlung setzt voraus, dass die Prüfung auf beiden Stufen zu einem positiven Ergebnis führt.

Angemessenheitsbeschlüsse dieser Art existieren gegenwärtig u.a. für die Länder Japan, Jersey, Uruguay, Kanada, Schweiz, Neuseeland, das Vereinigte Königreich (UK), Israel und die Republik Korea (Südkorea). Weitere Informationen diesbezüglich finden Sie auf dieser FAQ-Seite der EU-Kommission.

Mit dem Schrems-I Urteil des EuGH vom 6. Oktober 2015 (Rechtssache C-362/14) wurde das Safe-Harbor-Abkommen für ungültig erklärt. Hintergrund dieser Entscheidung war der Umstand, dass durch die Selbsterklärungen nur die US-Unternehmen selbst, nicht jedoch US-amerikanische Sicherheitsbehörden verpflichtet seien, das Schutzniveau des europäischen Datenschutzrechtes zu wahren. Der unberechtigte Zugriff auf die Daten sei nicht ausgeschlossen.

Die sodann zwischen der Europäischen Kommission und der US-amerikanischen Regierung im Jahr 2016 getroffene Absprache über das sog. „EU-US-Privacy-Shield“ (EU-US-Datenschutzschild) fand sein Ende im Schrems-II Urteil des EuGH vom 16. Juli 2020 (Rechtssache C‑311/18), mit welchem auch hier der zum EU-US-Privacy-Shield ergangene Angemessenheitsbeschluss der Europäischen Kommission aufgehoben worden war. Auch hier argumentierte der EuGH einmal mehr, dass der Datenschutz der USA kein im Wesentlichen gleichwertiges Schutzniveau biete.

Die Unternehmen, deren Datenübermittlung nunmehr stockte, mussten sich Alternativen ausdenken. Eine Übergangsfrist hat der EuGH nicht eingeräumt. Als Alternative bot sich die EU-Standardvertragsklausel an. Der EuGH hat die Voraussetzungen einer datenschutzkonformen Übermittlung der personenbezogenen Daten in Drittländer konkretisiert, die sich aus den Art. 44 ff. DSGVO ergeben.

II. Neue Standardvertragsklauseln 2021

Die Europäische Kommission hat mit dem Durchführungsbeschluss vom 4. Juni 2021 neue Standardvertragsklauseln (auch SCC, engl. Standard Contractual Clauses) zur Übermittlung personenbezogener Daten in Drittländer und zur Auftragsverarbeitung sowie zwischen den Verantwortlichen verabschiedet. Sie hat im Zuge der Kritik im Rahmen des Schrems-II Urteils hin die alten Standardvertragsklauseln (2010/87/EU) überarbeitet. Bei dem Abschluss neuer Verträge seit dem 27. September 2021 sind die neuen SCC (EU 2021/914) verpflichtend zu verwenden.

1. Umstellungsfrist für Altverträge auf neue Standardvertragsklauseln

Gleichzeitig hat die Europäische Kommission eine Umstellungsfrist bis zum 27. Dezember 2022 für Altverträge gesetzt. Mit Ablauf dieser Frist sind die Altverträge unwirksam und die Datenverarbeitung auf dieser Grundlage wird – mangels einer Garantie für die Gewährleistung eines angemessenen Schutzniveaus – rechtswidrig. Die Datenübermittlung auf Grundlage der alten SCC könnte somit zur Verhängung von Bußgeldern durch die jeweiligen Aufsichtsbehörden führen. An dieser Stelle bietet es sich für betroffene Unternehmen an, die Altverträge durch neue Standardvertragsklauseln zu ersetzen, weil Anpassungen i.d.R. einen erhöhten Arbeitsaufwand verursachen und fehleranfällig sein können.

Neue Standardvertragsklauseln stellen eine Garantie nach Maßgabe des Art. 46 Abs. 2 lit. c, Abs. 1 DSGVO dafür dar, dass im Drittland ein angemessenes (Daten-)Schutzniveau gewahrt wird. Dies insbesondere dadurch, dass der Auftragsverarbeitende den Grundsätzen der DSGVO unterworfen wird. Nach den neuen SCC haben die Unternehmen Zusicherungen zu treffen, dass kein Grund zur Annahme besteht, dass sie ihre Pflichten nicht erfüllen werden können.

Die neuen SCC haben gemäß Abschnitt I, Klausel 5 Vorrang vor anderweitigen Vereinbarungen. Sie sehen überdies gemäß Klausel 3 SCC eine Drittbegünstigung für betroffene Personen vor. Die betroffenen Personen können den Datenexporteuer und/oder dem Datenimporteuer gegenüber (mit einigen Ausnahmen) eigene Rechte geltend machen.

2. Neue Standardvertragsklauseln: 4 Module

Die neuen Standardvertragsklauseln sehen vier Module vor:

  • Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
  • Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
  • Modul 3: Übermittlung von Auftragsverarbeitern an (Unter-)Auftragsverarbeiter
  • Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Den Vereinbarungen nach den vorbenannten Modulen können Dritte nachträglich als Datenexporteur oder Datenimporteur hinzutreten und den bestehenden Vertrag und die Klauseln nutzen. Es ist dafür die Aufnahme der fakultativen Koppelungsklausel 7 SCC erforderlich. Der Beitretende muss den Anhang I.A. unterzeichnen.

Bei Abschluss eines Vertrags mit den neuen SCC ist überdies ein Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 7 DSGVO nicht erforderlich, weil die neuen SCC nach Modul 2 und 3 auch den Anforderungen an einen Auftragsverarbeitungsvertrag genügen. Das Modul 4 erfasst diejenigen Fälle, in denen der Auftragsverarbeiter Daten von Unternehmen (Verantwortliche) aus Drittländern verarbeitet.

Die neuen SCC sehen modular die Möglichkeit der Rechtswahl nach Klausel 17 SCC sowie des Gerichtsstands nach Klausel 18 SCC vor. Zu der Frage, ob eine Haftungsbeschränkung möglich ist, treffen die Klauseln keine Regelung. In diesem Zusammenhang sollten sich Verantwortliche und Auftragsverarbeiter näher mit den Erwägungsgründen 3 und 14 des Durchführungsbeschlusses 2021/914 auseinandersetzen.

Bei der Übermittlung von Daten in Drittländer sind zudem zusätzliche Schutzmaßnahmen über das TIA (Transfer Impact Assessment) zu ergreifen.

3. Transfer Impact Assessment (TIA)

Die TIA meint auch eine sog. Datentransfer-Folgenabschätzung im Sinne der Klauseln 14 und 15 der SCC. In die Gesamtschau der Folgenabschätzung können auch bisherige Erfahrungen mit einschlägigen Erfahrungen über Ersuchen von Behörden in einem Drittland einfließen. Diese Vorgehensweise sehen auch die Empfehlungen des EDSA (Europäischer Datenschutzausschuss) 01/2020, Rn. 47 vor.

In der Klausel 14 SCC sichern die Parteien u.a. zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.

beenhere

Anforderungen an Klausel 14 SCC

Die Datenexporteure haben nach Klausel 14 lit. b SCC eine Bewertung des Datenschutzniveaus vorzunehmen und ggf. weitere Maßnahmen zwecks Datenschutzes vorzunehmen. Die Bewertung ist zu dokumentieren und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen. Klausel 14 lit. e SCC formuliert eine Benachrichtigungspflicht für den Fall, dass sich nach der Zustimmung des Datenexporteurs zu den Klauseln das Datenschutzniveau ändert.

Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird, Klausel 14 lit. f S. 2 SCC.

In der Klausel 15 SCC erklären sich die Parteien zudem einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen, wenn er ein rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten einer Behörde erhält, die gemäß den SCC übermittelt werden. Die Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten. Ist die Benachrichtigung nach den Rechtsvorschriften des Bestimmungslandes untersagt, erklärt sich der Datenexporteuer einverstanden, sich um eine Aufhebung des Verbots zu bemühen. Diese Anstrengungen sind zu dokumentieren.

Der Datenimporteur hat gemäß Klausel 15.2 SCC die Rechtmäßigkeit des Offenlegungsersuchens anzufechten und diese Bemühungen zu dokumentieren. Mögliche Rechtsmittel sind einzulegen.

III. Neuer Angemessenheitsbeschluss in Aussicht

Die USA und die EU-Kommission haben sich auf das TADPF „Trans-Atlantic Data Privacy Framework“ (Transatlantischer Datenschutzrahmen) geeinigt. Das TADPF stellt ein Nachfolgemodell zu den bereits unter I. ausgeführten Datenschutzabkommen dar. Der US-amerikanische Präsident hat am 7. Oktober 2022 eine Executive Order (Durchführungsverordnung) unterzeichnet. Es handele sich hierbei um eine Selbstverpflichtung der USA, die „den Schutz der Privatsphäre und der bürgerlichen Freiheiten“ stärkt.

Die Europäische Kommission hat am 13. Dezember 2022 das Verfahren zur Annahme eines Angemessenheitsbeschlusses für den Datenschutzrahmen EU-USA eingeleitet. Der Beschlussentwurf ist veröffentlicht (siehe hier) und dem EDSA zur Stellungnahme übermittelt worden. Laut Kommission biete der Transatlantische Datenschutzrahmen eine Garantie dafür, dass der US-Rechtsrahmen mit dem der EU vergleichbar sei.

Dem Transatlantischen Datenschutzrahmen können sich US-Unternehmen anschließen. Der Datenschutzrahmen sieht eine Datenminimierungs- und Datenlöschungspflicht - sowie die Möglichkeit verschiedene Rechtsbehelfe einzulegen - vor. Darüber hinaus soll der Zugang nationaler Behörden auf die personenbezogenen Daten beschränkt werden. So soll der Zugang zu europäischen Daten auf das zum Schutz der nationalen Sicherheit notwendige und verhältnismäßige Maß beschränkt werden. Es soll ein Gericht zur Datenschutzüberprüfung geschaffen und die Möglichkeit, auf ein unabhängiges und unparteiisches Rechtsbehelfsverfahren, zurückzugreifen, eingerichtet werden. Dies soll EU-Bürger vor der Erhebung und Verwendung ihrer Daten durch US-Nachrichtendienste schützen.

Neben der Bewertung durch die EDSA ist auch die Zustimmung eines Ausschusses erforderlich, der sich aus Vertretern der EU-Mitgliedsstaaten zusammensetzt. Auch das Europäische Parlament hat ein Recht auf Kontrolle. Nach Abschluss des Verfahrens, kann die Annahme des Beschlussentwurfs erfolgen. Wird der Angemessenheitsbeschluss angenommen, kann der Datentransfer in die USA (vorerst) ohne zusätzliche Datenschutzgarantien erfolgen.

IV. Kontaktieren Sie uns bei offenen Fragen

Wenn Sie erfahren möchten, welche Maßnahmen zu einer DSGVO-konformen Umstellung auf neue Standardvertragsklauseln beitragen, kontaktieren uns gerne über unser Kontaktformular.

Dieser Blogbeitrag kann Ihnen lediglich erste Hinweise in Bezug auf mögliche datenschutzrechtliche Besonderheiten im Zusammenhang mit dem Thema "neue Standardvertragsklauseln" bieten und ersetzt keine Rechtsberatung.

Chatbots dsgvo konform ki
© mohamed_hassan, pixabay.com

Chatbots kommen immer häufiger zum Einsatz. Sie werden eingesetzt, wenn es um die Kommunikation mit Menschen geht – egal, ob zur Verbesserung des Kundenservices, zu Marketingzwecken oder im Vertrieb.

Sie ermöglichen Unternehmen erhebliche Kosteneinsparungen durch die Entlastung des Kundensupports und einer ständigen Erreichbarkeit. Dadurch wiederum führen sie zu einer hohen Kundenzufriedenheit und wirken sich idealerweise positiv auf die Reputation von Unternehmen aus. Einer der bekanntesten und verheißungsvollsten Vertreter der intelligenten Chatbots dürfte ohne Zweifel ChatGPT von OpenAI darstellen.

Die Verwendung von Chatbots ist allerdings nicht immer unbedenklich. Vielmehr sind datenschutzrechtliche Aspekte bei der Entwicklung und während des Einsatzes von Chatbots zu berücksichtigen, um Abmahnungen und erhebliche Geldbußen nach der DSGVO zu vermeiden.

I. Was ist ein Chatbot?

Der Begriff setzt sich zusammen aus den Wörtern „Chat“ und „Robot“. Der Name ist Programm: Ein Chatbot ist eine Software oder ein Dienst aus der Cloud und meint ein textbasiertes Dialogsystem, mit dem Nutzer chatten können. Der Chatbot beantwortet Fragen in Echtzeit, ohne direktes Zutun eines Menschen, via Sprach- oder Textnachricht. Bei den bekanntesten Chatbots dürfte es sich um die persönliche Assistentin Siri von Apple und um Alexa von Amazon handeln. Genutzt werden Chatbots vorrangig in Instant Messengern oder auf Websites, um dort dem Nutzer Produkte oder Dienstleistungen zu erklären oder Hilfestellungen zu bieten.

II. Welche Arten von Chatbots gibt es?

Chatbots funktionieren auf der Basis von künstlicher Intelligenz, sind regelbasiert, anwendungsspezifisch ausgestaltet oder sie stellen eine Hybridvariante dar.

1. Regelbasierte Chatbots

Die regelbasierten Chatbots kommen regelmäßig bei einfachen Abläufen zur Anwendung. Sie greifen auf einen bekannten (Fragen-)Katalog zurück, um auf Anfragen zu reagieren. Vielfach werden den Nutzern vordefinierte Fragen präsentiert. Hiervon abweichende Fragen kann ein Chatbot nicht beantworten. Deshalb ist ihr Anteil an den eingesetzten Chatbots gering.

2. Chatbots auf Basis künstlicher Intelligenz (KI)

Bei komplexeren Abläufen kommen nämlich regelmäßig Chatbots, die auf künstlicher Intelligenz (KI) und Natural Language Processing (NLP) basieren, zur Anwendung. Die EU-Kommission beschreibt KI-basierte Systeme als solche mit einem „intelligenten Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“.  Sie erkennen die Anfrage und Intention der Nutzer, lernen aus den fortlaufenden Dialogen und entwickeln so ihre Datenbank fortwährend weiter. Das Bundesministerium für Bildung und Forschung (BMBF) sieht in den lernenden Systemen und den Werkzeugen der KI „die nächste Entwicklungsstufe der Digitalisierung“. Sie beschreibt diese als technische Systeme, die Probleme eigenständig bearbeiten und sich dabei selbst auf veränderte Bedingungen einstellen können.

Der KI basierte Chatbot kann um das Natural Language Understanding (NLU) erweitert werden und so die Anfragen der Nutzer verstehen. Kommen das NLP und das NLU gemeinsam zum Einsatz, kann – anders als beim regelbasierten Chatbot – auch eine freie Texteingabe bearbeitet werden. Die Frage des Nutzers wird in Einzelteile zerlegt, Muster werden erkannt und eine Antwort gefunden.

3. Hybride Chatbots

Daneben gibt es auch den Hybrid-Chatbot. Das ist ein KI-basierter Chatbot, der, wenn er nicht weiterkommt, den Kunden an einen menschlichen Agenten weiterleitet.

Neben den vorbenannten drei technischen Arten der Chatbots gibt es auch die anwendungsspezifischen Chatbots. Diese stellen einen Mix aus den regelbasierten und den intelligenten Dialogen dar.

4. ChatGPT von OpenAI

Wie eingangs erwähnt, hat ChatGPT von OpenAI einen neuen Hype um Chatbots ausgelöst, was im Wesentlichen auf zwei Gründe zurückzuführen sein dürfte:

  1. ChatGPT versteht neben Englisch zahlreiche weitere Sprachen wie Deutsch und Französisch auf vergleichsweise hohem Niveau.
  2. Grundlage des ChatGPT Chatbots ist „GPT-3“, die dritte Version eines Sprachmodells, das auf Deep Learning basiert. Dabei werden die Algorithmen des Sprachmodells mithilfe enormer Datenmengen trainiert. Die Technologie kann folglich auf eine umfassende Datenbasis und erhebliche Rechenleistung zurückgreifen.

5. Nach Anordnung durch Aufsichtsbehörde: OpenAI sperrt ChatGPT in Italien

Am 31. März 2023 ordnete die italienische Datenschutzaufsicht mit sofortiger Wirkung die vorläufige Sperrung von ChatGPT für italienische Nutzer an (Link zur englischsprachigen Pressemeldung). So heißt es in den Gründen der Anordnung unter anderem:

"IN DER ERWÄGUNG, dass die Verarbeitung personenbezogener Daten von Nutzern, einschließlich Minderjähriger, und von betroffenen Personen, deren Daten von dem Dienst verwendet werden, in der oben beschriebenen Situation gegen die Artikel 5, 6, 8, 13 und 25 der Verordnung verstößt;"

Auszug aus den Gründen, Link

Wie diepresse.com unter Berufung auf APA berichtet, reagierte OpenAI zeitnah und hat den Aufruf von ChatGPT für Nutzer in Italien gesperrt.

III. Welche datenschutzrechtlichen Probleme sind zu berücksichtigen?

Der Anwendungsbereich der DSGVO spart die Datenverarbeitung durch den Einsatz von Chatbots nicht aus, denn der erfolgreiche Einsatz verlangt oftmals die Verarbeitung von personenbezogenen Nutzerdaten – wie die IP-Adresse, den Standort, das Kauf- und Suchverhalten – und nicht selten auch etwaige Kundendaten sowie Gesprächs- und Kommunikationsdaten. Das BMBF sieht insbesondere in den KI-Systemen Chancen als auch Risiken. Für sie müsse es möglicherweise neue rechtliche Regelungen geben oder es müsse bestehendes Recht angepasst werden. Das BMBF sieht beispielsweise neue Fragen im Haftungsrecht aufkommen, wenn lernende Systeme mehr und mehr menschliche Aufgaben wahrnehmen, weil die Systeme selbst keine Rechtspersönlichkeit besitzen und sich „Fehlfunktionen Lernender Systeme auch nicht immer zweifelsfrei auf menschliches Verhalten bei der Programmierung oder Bedienung zurückführen [ließen]“.

Umso wichtiger ist die Konformität mit der DSGVO. Diejenigen Unternehmen, die die Chatbots einsetzen, sind als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO für die Gewährleistung des Datenschutzes zuständig.

1. Einwilligung in die Datenverarbeitung

Die Verarbeitung personenbezogener Daten muss den in Art. 5 DSGVO normierten Datenschutzgrundprinzipien genügen und rechtmäßig im Sinne des Art. 6 DSGVO sein.

Die Einwilligung ist dabei eine wichtige Grundlage bei der Datenverarbeitung. Sie ist vor der Datenverarbeitung selbst durch eine ausdrückliche und aktive Einwilligung des Nutzers einzuholen. Das Vorliegen einer Einwilligung muss der Verantwortliche nachweisen können, Art. 7 Abs. 1 DSGVO. Oftmals kommen an dieser Stelle sog. „Opt-in-Verfahren“ zur Anwendung. Die Einwilligung kann anschließend jederzeit widerrufen werden.

KI basierte Chatbots, die beispielsweise zur Herbeiführung eines Vertragsschlusses eingesetzt werden und im Anschluss diese Daten in ihre Datenbank zwecks Selbstlernens integrieren, müssen beim Erheben der personenbezogenen Daten an die Einwilligung in die Zweckänderung gemäß Art. 6 Abs. 4 DSGVO denken. Auf die Einwilligung kann es insbesondere dann ankommen, wenn die Datenverarbeitung Werbezwecken dient oder die erhobenen Daten sog. besondere Kategorien personenbezogener Daten (also sensible Daten) im Sinne des Art. 9 Abs. 1 DSGVO zum Gegenstand haben.

beenhere

Widerruf der Einwilligung

Hat der KI-basierte Chatbot die personenbezogenen Daten bereits verarbeitet, stellt sich die Frage, welche Bedeutung ein Widerruf noch hat. Der Verantwortliche darf ab diesem Zeitpunkt nicht mehr auf die personenbezogenen Daten zurückgreifen. In der Konsequenz darf der Chatbot anhand der vorliegenden Daten nicht mehr auf die betroffene Person schließen und ihre ursprünglich erhobenen Daten auch sonst nicht verwenden. Allerdings ist es den selbstlernenden KI-basierten Chatbots immanent, dass diese einmal generierte Daten in irgendeiner Art und Weise fortwirkend weiternutzen. Es stellt sich an dieser Stelle somit die Frage, ob und wie Daten anonymisiert werden können, ohne gleichzeitig die Funktionsfähigkeit des KI-Systems zu beeinträchtigen. Die Entwicklung in der Rechtsprechung und Technik sind abzuwarten.

2. Transparenz, Auskunftsrecht des Betroffenen

Neben den Grundsätzen der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Rechenschaftspflicht, Integrität und Vertraulichkeit, sieht die DSGVO auch den Grundsatz der Transparenz im Rahmen der Datenverarbeitung vor, Art. 5 DSGVO.

Die Transparenz im Rahmen der Datenverarbeitung soll unter anderem das Recht der betroffenen Personen auf Auskunft nach Art. 15 DSGVO gewährleisten. Hiernach steht den betroffenen Personen jederzeit ein Anspruch auf Auskunft über die zu ihrer Person gespeicherten personenbezogenen Daten gegen die Verantwortlichen zu.

Die Nutzer sind als betroffene Personen im Sinne des Art. 4 Abs. 1 DSGVO über

  • die Zwecke der Datenverarbeitung,
  • die Kategorien der personenbezogenen Daten, die verarbeitet werden,
  • ggf. die Empfänger bzw. die Kategorie der Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden – insbesondere bei Empfängern in Drittstaaten oder internationalen Organisationen,
  • die Speicherdauer der Daten,
  • das Recht auf Einsehen, Verändern, Löschen der Daten und das Widerrufsrecht gegen die Verarbeitung nach Art. 7 Abs. 3 DSGVO sowie über
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • ggf. die Herkunft der Daten und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 DSGVO

zu informieren.

3. Informationspflichten

Aufgrund der doch sehr umfangreichen Informationspflichten nach Art. 12 ff. DSGVO ist es regelmäßig empfehlenswert, die Nutzer – neben einem Link zum Impressum – auch über einen Link oder auf vergleichbare Weise auf die Datenschutzerklärung zu verweisen. Aus dieser müssen unter anderem der Zweck, die Art und der Umfang der Datenverarbeitung hervorgehen - sowie die Möglichkeit bestehen zu erfahren, wo und wie das Widerrufsrecht ausgeübt werden kann. Sämtliche Anforderungen an die Datenschutzhinweise können dem Wortlaut des Art. 13 DSGVO entnommen werden.

Für KI-basierte Chatbots, die mit selbstlernenden Systemen ausgestattet sind und somit automatisierte Entscheidungen bei der Datenverarbeitung treffen, gilt hinsichtlich der Informationspflicht gem. Art. 15 DSGVO, dass zusätzlich „aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen“ mitzuteilen sind. Was unter „aussagekräftigen Informationen über die involvierte Logik“ zu verstehen ist, wird nicht einheitlich beantwortet. Insbesondere ob über die Algorithmen, die zum Einsatz kommen, zu informieren ist, wird streitig behandelt. Die Unternehmen dürften wenig Interesse daran haben, unternehmensinterne Geschäftsgeheimnisse über Algorithmen bekanntzugeben. Es sollte jedoch in Betracht gezogen werden, über die grundsätzliche Logik, Verarbeitungsweise und Entscheidungsfindung des Algorithmus zu informieren. Wichtig ist in diesem Zusammenhang auch, dass die zur Verfügung gestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form, d.h. in einer klaren und einfachen Sprache übermittelt werden, Art. 12 Abs. 1 DSGVO.

4. Erforderlichkeitsprinzip, Recht auf Löschung / Vergessenwerden

Die DSGVO sieht vor, dass nicht mehr Daten als überhaupt notwendig verarbeitet werden sollen. Sobald der Zweck der Datenverarbeitung wegfällt, sind die Daten grundsätzlich zu löschen. Dies folgt bereits aus der für die Grundsätze der Verarbeitung personenbezogener Daten zentralen Regelung in Art. 5 DSGVO.

Ein Recht auf Löschung der erhobenen Daten folgt außerdem aus Art. 17 Abs. 1 DSGVO. Hiernach sind gespeicherte Nutzerdaten (z. B. aus der Datenbank der Chatbots) zu löschen, sofern keine triftigen Gründe für den Fortbestand der Speicherung vorliegen. Ein solcher Grund könnte im Abwickeln etwaiger Gewährleistungsrechte/-pflichten oder im Bestehen gesetzlicher Aufbewahrungspflichten bestehen.

Besteht ein solches berechtigtes Löschverlangen eines Nutzers, hat der Verantwortliche unter Umständen zusätzlich andere Stellen darüber zu informieren, dass die betroffene Person die Löschung der personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO.

Den Nutzern steht ferner das Recht zu, die über sie gespeicherten Informationen zu berichtigen, einzuschränken oder herunterzuladen bzw. die Daten zu übertragen. Diese Rechte folgen aus Art. 16 bis 18 und Art. 25 DSGVO.

5. Datenminimierungsgrundsatz

Für den Einsatz KI-basierter Chatbots wird in der Regel eine sehr große Menge an Daten zur Entscheidungsfindung benötigt, denn die selbstlernenden Systeme beruhen gerade darauf, große – auch personenbezogene – Datenmengen anzusammeln bzw. sich mithilfe neuer Informationen fortzuentwickeln. Hieraus kann ein Konflikt mit dem Datenminimierungsgrundsatz entstehen.

Aus dem Erwägungsgrund 15 der DSGVO folgt, dass der Schutz natürlicher Personen technologieneutral und nicht von den verwendeten Techniken abhängen soll. Der Schutz natürlicher Personen soll für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten. Bei der Entwicklung der KI-basierten Chatbots ist deshalb zu beachten, dass sie technisch so ausgestaltet sein müssen, dass (datenschutzrechtliche) Risiken von vornherein weitestgehend ausgeschlossen werden können, vgl. Art. 25 DSGVO („privacy by design“ und „privacy by default“). Diese Pflicht kann durchaus zur Beeinträchtigung der Entwicklung von KI-Systemen führen bzw. den technologischen Fortschritt hemmen. Der Gesetzgeber löst den Konflikt zwischen technischem Fortschritt und Datenschutz jedoch bewusst zu Gunsten des Datenschutzes.

6. IT-Sicherheit

Diejenigen Unternehmen, die Chatbots einsetzen, haben gem. Art. 32 DSGVO während der Datenverarbeitung die Datensicherheit zu gewährleisten, indem sie etwaige technische und organisatorische Vorkehrungen zum Datenschutz treffen:

Art. 32 DSGVO: Sicherheit der Verarbeitung

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Art. 32 DSGVO

Verantwortliche und Auftragsverarbeiter haben demnach im Einzelfall zu prüfen, welche Vorkehrungen den oben zitierten Anforderungen genügen. Dabei dürfte die Verschlüsselung der Datenübertragung sowie der gespeicherten Daten nur als das Mindestmaß an Maßnahmen zu betrachten sein.

7. Datenverarbeitung durch Dritte

Erfolgt der Einsatz der Chatbots durch Dienstleister, üblicherweise Auftragsverarbeiter gem. Art. 4 Nr. 8 DSGVO, besteht die Pflicht der Unternehmen (als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO) darin, sicherzustellen, dass die Auftragsverarbeiter die datenschutzrechtlichen Pflichten im Rahmen der Datenverarbeitung einhalten. Es ist den Verantwortlichen also nicht möglich, sich ihren Pflichten durch die Datenverarbeitung durch Dritte gänzlich zu entziehen. Die Zu- und Aufteilung der Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgt regelmäßig in einem Vertrag zur Auftragsverarbeitung (AVV) nach Art. 28 DSGVO.

Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO sind oftmals die Entwickler des Chatbots, denn sie erheben über den Chatbot die Kundendaten und stellen sie wiederum ihrem Kunden, dem Verantwortlichen, zur Verfügung. Außerdem betreiben Chatbot-Anbieter die Software häufig auf ihren eigenen Servern für den Verantwortlichen.

8. Gemeinsame Verantwortung

Ob das Verhältnis zwischen dem Verantwortlichen und dem Chatbot-Anbieter tatsächlich einer Auftragsverarbeitung im Sinne des Art. 28 DSGVO entspricht, sollte das verantwortliche Unternehmen allerdings kritisch prüfen.

Je nach Konstellation kommt anstelle der Auftragsverarbeitung eine gemeinsame Verantwortlichkeit („joint controller“) gem. Art. 26 DSGVO in Betracht. Daher sollte der Verantwortliche die konkreten Datenflüsse und die Verwendung der Daten durch den Chatbot-Anbieter prüfen und im Zweifel hinterfragen.

Verarbeitet der Chatbot-Anbieter die betroffenen personenbezogenen Daten nicht „im Auftrag“ des verantwortlichen Unternehmens (Webseitenbetreiber), sind die Voraussetzungen des Art. 26 DSGVO zu prüfen. Demnach ist von „gemeinsam Verantwortlichen“ auszugehen, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. In diesem Zusammenhang sei auf das Urteil des EuGH vom 5. Juni 2018 (Az. C-210/16) verwiesen, in dem die gemeinsame Verantwortung von Facebook (also Meta) und Fanpage-Betreibern bestätigt wurde.

9. Datenübermittlung in Drittstaaten

Erfolgt die Datenverarbeitung nicht innerhalb der europäischen Union bzw. erfolgt eine Datenübermittlung in einen Drittstaat, ist gemäß Art. 44 ff. DSGVO zu gewährleisten, dass das von der DSGVO vorgegebene Schutzniveau gewahrt wird. Dies haben die betroffenen Unternehmen als Verantwortliche sicherzustellen.

10. Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung (DSFA)

Den Verantwortlichen wird außerdem empfohlen, vor dem Einsatz eines Chatbots eine Erforderlichkeitsprüfung gem. Art. 35 Abs. 1 DSGVO durchzuführen. Dabei ist die Frage zu klären, ob eine Form der Verarbeitung, vor allem bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Kommt die Prüfung zu einem positiven Ergebnis, ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

In diesem Zusammenhang ist auch der Erwägungsgrund 91 der DSGVO sehr aufschlussreich:

Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.

Wird KI für die Verarbeitung personenbezogener Daten verwendet – was auf die meisten Chatbots zutreffen dürfte -, ist tatsächlich in aller Regel eine DSFA durchzuführen. Dafür spricht bereits das Regelbeispiel in Art. 35 Abs. 3 lit. a DSGVO:

Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

Doch auch die sog. „Muss-Listen“ der Datenschutzaufsichtsbehörden der Länder weisen Verarbeitungsvorgänge unter Einsatz von KI als Indiz für die Erforderlichkeit der Durchführung einer DSFA aus:

Maßgebliche Beschreibung der Verarbeitungstätigkeit:

Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person.

Typische Einsatzfelder:

Kundensupport mittels künstlicher Intelligenz.

Beispiele:

Ein Callcenter wertet automatisiert die Stimmungslage der Anrufer aus. Ein Unternehmen setzt ein System ein, welches mit Kunden durch Konversation interagiert und für deren Beratung personenbezogene Daten durch eine künstliche Intelligenz verarbeitet werden.

Nr. 11 der Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung von Verantwortlichen im nicht-öffentlichen Bereich durchzuführen ist (Link)

11. Wir unterstützen Sie von der Planung bis zur Umsetzung

Wenn Sie erfahren möchten, welche Maßnahmen zu einer DSGVO-konformen Umsetzung von Chatbots beitragen und welche Fallstricke vermieden werden sollten, kontaktieren uns gerne über unser Kontaktformular.

Dieser Blogbeitrag kann Ihnen lediglich erste Hinweise in Bezug auf mögliche datenschutzrechtliche Fallstricke bieten und ersetzt keine Rechtsberatung.

Hier erwarten Sie in Zukunft handverlesene Blog-Beiträge aus der Welt des Vergaberechts, IT-Rechts und Datenschutzrechts.

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram