Legal Watch Nr. 77 – November 2024. 

Künstliche Intelligenz als Arbeitswerkzeug: Welcher Rahmen ist nötig?

Der Einsatz von KI am Arbeitsplatz nimmt heutzutage rasant zu, oft ohne vorherige Überlegung und ohne dass der Arbeitgeber genau weiß, wie seine Mitarbeiter die ihnen zur Verfügung stehenden neuen Werkzeuge nutzen.

Ob es sich nun um die mittlerweile klassischen Sprachmodelle wie ChatGPT handelt oder um Tools, mit denen man ein Grafikdesign erstellen kann (Canva), Daten aus dem Web extrahieren kann (Browse AI) oder während einer Besprechung automatisch Notizen machen kann (Fireflies), die Möglichkeiten sind Legion.

Laut einer IFOP-Studie für Learnthings vom Dezember 2023 hat fast jeder vierte Mitarbeiter bereits ein Tool für künstliche Intelligenz im beruflichen Kontext eingesetzt, und mehr als die Hälfte davon (55 %) tat dies, ohne ihren Vorgesetzten zu informieren.

Allerdings ist es unerlässlich zu verstehen, wie diese Tools intern eingesetzt werden, um die Einhaltung des geltenden Rechtsrahmens, insbesondere der europäischen Verordnung über KI und der DSGVO, zu gewährleisten.

Mehrere Behörden, darunter ANSSI und CNIL, haben Empfehlungen veröffentlicht, die das Bewusstsein professioneller Anwender schärfen sollen. Hier die wichtigsten Punkte:

Umsetzung einer KI-Charta innerhalb des Unternehmens, um

• Liste der zulässigen Werkzeuge auf;
• Ordnen Sie diese Tools den Risiken gemäß der KI-Verordnung zu;
• Regulierung von Hochrisikosystemen (z. B. Berufsausbildung und Personalbeschaffung, wo der Einsatz von KI das Risiko birgt, eine „Automatisierung der Diskriminierung“ hervorzurufen).

Organisieren Sie einen sozialen DialogKonsultieren Sie den CSE und ändern Sie die internen Arbeitsregeln, um sicherzustellen, dass diese Regeln intern durchsetzbar sind.

Gewährleistung der Datensicherheit Die Bereitstellung personenbezogener Daten an ein KI-System (z. B. Kunden- oder Mitarbeiterdaten) oder sensibler oder strategischer Dokumente kann erhebliche Folgen für die Vertraulichkeit haben.

Darüber hinaus kann die Verwendung eines solchen Systems die Integrität des Informationssystems beeinträchtigen, mit dem es verbunden ist.

Die CNIL empfiehlt, dem Einsatz von „Vor-Ort“-Lösungen Priorität einzuräumen, um das Risiko der Datenextraktion durch Dritte zu minimieren.

Auch wenn die Nutzung eines Cloud-basierten Systems wirtschaftlicher sein mag, ist ein Unterauftragsvertrag erforderlich, der die verschiedenen Verantwortlichkeiten und den autorisierten Zugriff auf die verarbeiteten Daten festlegt. 

In diesem Fall wird empfohlen, die Bereitstellung personenbezogener Daten an das KI-System einzuschränken.

Schulung und Sensibilisierung Endbenutzer sollten folgende bewährte Vorgehensweisen befolgen:

• Geben Sie nur Daten an, zu deren Weitergabe Sie berechtigt sind, ausgenommen sind grundsätzlich alle vertraulichen Daten;
• Überprüfen Sie die Genauigkeit und Qualität der vom System generierten Daten, das Fehlen von Plagiaten und das Risiko von Diskriminierung;
• Um eine kritische Perspektive zu bewahren, sollten die Systemausgaben nicht exakt so reproduziert werden, wie sie vorliegen.

Gewährleistung von Transparenz bei der Verarbeitunginsbesondere solche, die automatisierte Entscheidungen in Bezug auf Mitarbeiter und Dritte außerhalb des Unternehmens treffen.

Governance etablieren : Benennung des Datenschutzbeauftragten, eines Komitees oder eines Ansprechpartners (unter Einbeziehung des CISO), um den Endnutzern eine Kontaktmöglichkeit zu bieten, bei der sie ethische Fragen oder Schwierigkeiten ansprechen und die Einhaltung der Regeln überprüfen können.

Neben den in der DSGVO und der KI-Verordnung vorgesehenen Sanktionen stellt die Annahme eines klaren Rahmens auch eine soziale und ethische Frage dar, und zwar im Interesse sowohl externer als auch interner Personen.

 

        

Die CNIL veröffentlicht einen Aktionsplan zur Unterstützung der Akteure der Silberökonomie, einem Sektor, der sich Aktivitäten widmet, die Senioren zugutekommen.

Sie weist darauf hin, dass Senioren in Frankreich bis 2060 etwa 24 Millionen Menschen ausmachen werden und dass „die Art der verarbeiteten Daten und die Zielgruppenansprache auf der Grundlage des Alters erhebliche Fragen hinsichtlich des Datenschutzes aufwerfen“.

Das Unternehmen beabsichtigt, sein Compliance-Paket (Informationsblätter, Empfehlungen usw.) zu aktualisieren und schlägt eine neue „Sandbox“ zur Unterstützung von drei innovativen Projekten in diesem Sektor vor.

Am 18. November gaben die CNIL und die DGCCRF die Unterzeichnung eines neuen Kooperationsprotokolls zur Aktualisierung des Abkommens von 2011 bekannt.

Die beiden Behörden verstärken ihre Zusammenarbeit und entwickeln neue Wege des Informationsaustauschs, um sich an die veränderten Gesetze und die wirtschaftlichen Herausforderungen des digitalen Zeitalters anzupassen.

In einer Veröffentlichung vom 19. November bekräftigt die CNIL außerdem die für den Einsatz von Augmented-Reality-Kameras im Fahrgastraum von Gütertransportfahrzeugen geltenden Datenschutzgrundsätze und besteht darauf, dass der Arbeitgeber vor der Installation dieser Kameras alle notwendigen Maßnahmen ergreifen muss, um die Einhaltung der Vorschriften zu gewährleisten.

Am 25. November veröffentlichte die CNIL eine Reihe von Tipps zum Schutz Ihrer Daten bei der Interaktion mit einem Sprachassistenten.

Ein Mitarbeiter, der Anweisungen ausführt, die gegen die DSGVO verstoßen, setzt sich einer strafrechtlichen Haftung aus, selbst wenn er auf Anweisung seines Arbeitgebers handelt.

Am Strafgericht Nantes hat die Staatsanwaltschaft soeben eine Geldstrafe von 6.000 Euro beantragt, von der 3.000 Euro zur Bewährung ausgesetzt wurden, gegen einen Mitarbeiter eines IT-Subunternehmens, weil dieser auf Anweisung seines Chefs ein Spionagegerät in den Räumlichkeiten seiner Kunden installiert hatte.

Die Staatsanwaltschaft fordert eine neunmonatige Bewährungsstrafe und eine Geldstrafe von 30.000 Euro für den Chef.

In einem Urteil vom 21. November 2024 bestätigte das Pariser Berufungsgericht das Urteil des Arbeitsgerichts Meaux vom 23. Juli 2021: Eine private Unterhaltung über Messenger, die ursprünglich nicht zur Veröffentlichung bestimmt war, kann nicht als Verletzung der vertraglichen Pflichten eines Arbeitnehmers angesehen werden, und eine disziplinarische Entlassung aus diesem Grund ist nicht rechtmäßig zu rechtfertigen.

Der Gerichtshof stützt sich auf ein Urteil des Kassationsgerichtshofs vom 22. Dezember 2023 zum selben Thema.

Diese Argumentation gilt auch dann, wenn, wie im vorliegenden Fall, der Arbeitgeber nicht versucht hat, auf diese Informationen zuzugreifen: Während der Abwesenheit einer Mitarbeiterin hatte er sie gebeten, ihre Zugangsdaten zu übermitteln, damit ihre Kollegen auf ihre beruflichen Dokumente zugreifen konnten, und die Nachrichten waren beim automatischen Öffnen des Gesprächs auf dem Bildschirm erschienen.

 

Europäische Institutionen und Gremien

Der Europäische Datenschutzausschuss (EDPB) ruft zur Abgabe von Kommentaren zu seinen Leitlinien in Bezug auf Artikel 48 der DSGVO auf.

Die Richtlinien beziehen sich auf Anfragen zur direkten Zusammenarbeit zwischen einer öffentlichen Behörde eines Drittlandes (wie etwa Bankenaufsichtsbehörden, Steuerbehörden, Strafverfolgungsbehörden oder nationalen Sicherheitsbehörden) und einem privaten Unternehmen der Europäischen Union (EU).

Kommentare können bis zum 27. Januar 2025 eingereicht werden.

Der Europäische Datenschutzausschuss (EDPB) verabschiedete Anfang Dezember auch eine Stellungnahme zum zweiten Bericht der Europäischen Kommission über die Anwendung der DSGVO, in der er die Bedeutung der Kohärenz zwischen digitaler Gesetzgebung und DSGVO unterstreicht.

Der Europäische Datenschutzausschuss (EDPB) wird die Erstellung von Inhalten für Nicht-Experten, einschließlich kleiner und mittlerer Unternehmen, intensivieren und unterstreicht die Notwendigkeit zusätzlicher finanzieller und personeller Ressourcen, um die Datenschutzbehörden bei der Bewältigung zunehmend komplexer Herausforderungen und zusätzlicher Kompetenzen, insbesondere im Bereich der KI, zu unterstützen.

Der Sieg des EU-kritischen Oppositionskandidaten in der ersten Runde der rumänischen Präsidentschaftswahlen am 24. November hat Auswirkungen auf europäischer Ebene.

Während das Verfassungsgericht des Landes diese erste Runde nach der Freigabe von Dokumenten des nationalen Geheimdienstes, die eine groß angelegte Operation auf TikTok zugunsten dieses Kandidaten offenbarten, für ungültig erklärt hat, hat die Europäische Kommission am 29. November eine offizielle Informationsanfrage an das Unternehmen gemäß dem Digital Services Act (DSA) gestellt.

Am 28. November verabschiedete der KI-Ausschuss des Europarats eine Methodik (HUDERIA) zur Bewertung der Risiken und Auswirkungen von KI-Systemen aus der Perspektive der Menschenrechte, der Demokratie und der Rechtsstaatlichkeit.

Diese Methodik kann von öffentlichen und privaten Akteuren genutzt werden, um diese Risiken und Auswirkungen während des gesamten Lebenszyklus von KI-Systemen zu identifizieren und anzugehen.

Mitte November veröffentlichte der Digital Freedom Fund im Rahmen des digiRISE-Projekts eine umfassende Datenbank zum Thema kollektive Rechtsbehelfe in Europa, die kollektives Handeln zur Verteidigung digitaler Rechte gemäß der EU-Grundrechtecharta fördern soll.

Das Dokument enthält Ressourcen darüber, wie zehn EU-Mitgliedstaaten kollektive Rechtsbehelfsmechanismen umgesetzt haben: Es stehen nationale Berichte, ein vergleichender Bericht und ein Vergleichsinstrument zur Verfügung, um Gemeinsamkeiten und Unterschiede zwischen den untersuchten Rechtsordnungen aufzudecken.

Auch im Bereich der kollektiven Rechtsbehelfe gibt die NGO NOyB an, nun als „qualifizierte Einrichtung“ anerkannt zu sein, um kollektive Rechtsbehelfsklagen vor EU-Gerichten einzureichen.

Bei einer solchen Maßnahme gemäß Richtlinie (EU) 2020/1828 kann es sich um eine „einstweilige Verfügung“ oder eine „Abhilfemaßnahme“ handeln.

Diese Gesetze ermöglichen es Tausenden von Nutzern, sich vertreten zu lassen und beispielsweise immateriellen Schadenersatz geltend zu machen, wenn ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden.

Im Gegensatz zu amerikanischen Sammelklagen schreibt die europäische Gesetzgebung vor, dass diese Klagen zu gemeinnützigen Zwecken erhoben werden müssen.

Meta überarbeitet erneut seine Pläne für die Verbreitung personalisierter Werbung in der Europäischen Union.

Diese Änderung geht auf die Position der EU-Regulierungsbehörden zurück, die der Ansicht waren, dass das den europäischen Nutzern von Facebook und Instagram angebotene Werbesystem „Zustimmung oder Zahlung“ gegen die DSGVO und die Verordnung über digitale Märkte (DMA) verstößt.

Das neue Angebot umfasst ein werbefreies Abonnement zu einem reduzierten Preis und führt außerdem ein kostenloses Modell ein, das sich durch die Auslieferung von „weniger personalisierten Anzeigen“ mit Zustimmung auszeichnet.

Max Schrems, der mehrere Klagen gegen Meta eingeleitet hat, erklärte: „Insgesamt sieht dies nach einem weiteren Versuch aus, europäische Gesetze zu ignorieren. (...) Die Nutzer müssen eine echte Wahl zwischen Werbung haben, die ihre persönlichen Daten verwendet, und solcher, die dies nicht tut.“

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Deutschland hat der Bundesgerichtshof (BGH) eine Entscheidung des Oberlandesgerichts Köln teilweise aufgehoben, das eine Klage auf immateriellen Schadenersatz als nicht ausreichend begründet angesehen hatte.

Der Fall betraf eine Datenschutzverletzung: Im April 2021 wurden die Daten von etwa 533 Millionen Facebook-Nutzern im Internet veröffentlicht.

Der BGH betonte, dass nach der Rechtsprechung des Gerichtshofs der EU bereits ein einmaliger und vorübergehender Kontrollverlust über Daten einen immateriellen Schaden im Sinne von Artikel 82 Absatz 1 DSGVO darstellen kann.

Die betroffene Person muss keinen konkreten Missbrauch ihrer personenbezogenen Daten nachweisen.

Ein österreichisches Gericht urteilte, dass ein Scheidungsanwalt die Übermittlung von Videomaterial, das die außereheliche Affäre seines Mandanten zeigt, an den Anwalt der Gegenseite per E-Mail mit einem berechtigten Interesse gemäß Artikel 6(1)(f) und Artikel 9(2)(f) der DSGVO rechtfertigen kann.

Ein anderes Gericht war jedoch der Ansicht, dass das Interesse des einen Ehepartners, während ehelicher Auseinandersetzungen in ihrem gemeinsamen Haus nicht aufgezeichnet zu werden, das Interesse des anderen Ehepartners an der Verwendung dieser Aufnahmen im Scheidungsverfahren überwiegt.

In Belgien sanktionierte die APD am 28. November die Verwendung von Personalausweisen als Kundenkarten: Sie stellte fest, dass das Unternehmen Freedelity, ein auf die Datenerfassung mittels elektronischer Personalausweise (eID) spezialisiertes Unternehmen, gegen mehrere Artikel der DSGVO in Bezug auf die Gültigkeit der Einwilligung, die Datenminimierung und die Dauer der Datenaufbewahrung verstoßen hatte.

Freedelity sammelt eID-Daten, insbesondere über Terminals, die in Partnergeschäften aufgestellt sind.

Diese Daten werden dann im Falle einer Aktualisierung mit den Geschäften, die die Dienste nutzen, geteilt und synchronisiert.

In Spanien wurde The Phone House SL von der APD mit einer Geldstrafe von 6.500.000 Euro belegt, weil das Unternehmen unzureichende Sicherheitsmaßnahmen ergriffen hatte, die einen Ransomware-Angriff ermöglichten.

Der Angriff betraf rund 13 Millionen Kunden und legte Adressen, Telefonnummern, Ausweisdokumente und Bankdaten offen.

Posti, der finnische Postdienst, wurde am 13. November mit einer Geldstrafe von 2.400.000 Euro belegt, weil er seinen Kunden E-Mail-Konten ohne deren ausdrückliche Zustimmung zugeteilt hatte.

Kunden, die Dienstleistungen wie die Postweiterleitung in Anspruch nahmen, erhielten automatisch ein E-Mail-Konto, ohne die Möglichkeit, sich abzumelden.

Die italienische Datenschutzbehörde (APD) hat am 27. November eine Entscheidung bezüglich eines Lizenzvertrags zwischen OpenAI und dem Verlag GEDI getroffen.

Die APD lehnt die Verwendung des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu KI-Trainingszwecken ab, unabhängig davon, ob es sich bei der Verarbeitung um sensible Daten handelt.

Laut APD sollten Lizenzvereinbarungen bezüglich redaktioneller Inhalte, die für das KI-Training verwendet werden, im Falle des Fehlens einer Einwilligung die Löschung oder Anonymisierung aller verwendeten personenbezogenen Daten gewährleisten.

Diese Entscheidung fällt wenige Wochen vor der Stellungnahme des Europäischen Datenschutzausschusses zu diesem Thema, die voraussichtlich Ende Dezember veröffentlicht wird.

Die italienische Datenschutzbehörde (APD) verhängte außerdem eine Geldstrafe von 5.000.000 € gegen das Lebensmittel-Lieferunternehmen Foodinho, eine Tochtergesellschaft der Glovo-Gruppe, wegen zahlreicher und andauernder Verstöße gegen die DSGVO im Zusammenhang mit der Verarbeitung von Mitarbeiterdaten, einschließlich der kontinuierlichen Verfolgung ihres Standorts und der automatisierten Schichtzuweisung.

Am 11. November veröffentlichte die niederländische Datenschutzbehörde (DPA) einen Bericht, in dem festgestellt wurde, dass ein von der Exekutivagentur für Bildung eingesetzter Algorithmus zur Betrugsbekämpfung diskriminierend und illegal war.

Die Behörde nutzte diesen Algorithmus, um zu überprüfen, ob Studenten das Stipendium für Nichtansässige missbrauchten.

Den Schülern wurde ein „Risikowert“ zugewiesen, wobei die Art der Ausbildung, das Alter und die Entfernung zwischen der Adresse des Schülers und der Adresse seiner Eltern berücksichtigt wurden.

Diese Kriterien hatten keine objektive Rechtfertigung, und der für die Behörde zuständige Minister für Bildung, Kultur und Wissenschaft räumte schließlich ein, dass der Algorithmus indirekt Schüler mit Migrationshintergrund diskriminiere.

In Polen verhängte die APD eine Geldstrafe von 353.589 PLN (82.000 €) gegen einen Datenverantwortlichen wegen unzureichender Sicherheitsmaßnahmen, die einen Ransomware-Angriff ermöglichten.

Die Hacker hatten die Daten von rund 200 Kunden und Mitarbeitern verschlüsselt und unzugänglich gemacht. Ein beteiligter Subunternehmer wurde mit einer Geldstrafe von 9.822 PLN (2.200 €) belegt.

 

Ende November verabschiedete der australische Senat ein Gesetz zur Änderung des Datenschutzgesetzes, das mehrere wichtige Änderungen enthält:

• Die Einführung eines zivilrechtlichen Straftatbestands für schwerwiegende Verstöße gegen die Privatsphäre.
• Die Erweiterung der Vollzugs- und Ermittlungsbefugnisse der APD.
• Die Möglichkeit, einen Online-Datenschutzkodex für Kinder zu entwickeln.
• Eine neue Gelegenheit für den Generalgouverneur, eine „Weiße Liste“ von Ländern zu erstellen, die einen angemessenen Datenschutz bieten.
• Die Verpflichtung für Datenschutzrichtlinien, automatisierte Entscheidungssysteme detailliert zu beschreiben, die die Rechte oder Interessen einer Person beeinträchtigen könnten.

Auch in Australien verabschiedete das Parlament am 29. November ein umstrittenes Gesetz, das Kindern und Jugendlichen unter 16 Jahren den Zugang zu sozialen Medien verbietet.

Das Gesetz legt nicht fest, wie die Plattformen das Alter ihrer Besucher überprüfen müssen.

Die brasilianische Datenschutzbehörde (APD) veröffentlicht einen Bericht über generative KI und Datenschutz.

Das Dokument wurde ursprünglich zur internen Unterstützung der APD-Teams entwickelt und behandelt die Konzepte der KI, ihre Beziehung zum Datenschutz, den brasilianischen Kontext und die Perspektiven der KI.

Am 3. Dezember gab die US-amerikanische Federal Trade Commission (FTC) den Abschluss von Vertragsentwürfen bekannt, die darauf abzielen, zwei großen Datenhändlern, Mobilewalla und Gravy Analytics, den Verkauf sensibler Standortdaten zu untersagen, darunter beispielsweise Daten über die Anwesenheit in Kirchen, Militärbasen, Arztpraxen oder LGBTQ-Bars.

Diese Maßnahme knüpft an das Vorgehen an, das Anfang dieses Jahres gegen Datenbroker ergriffen wurde, die ähnliche Praktiken anwenden.

Nach der Abgeordnetenkammer billigte der mexikanische Senat Ende November einen Verfassungsentwurf, der die Abschaffung von sieben Kontrollbehörden vorsieht, darunter die Behörde für Datenschutz und Zugang zu Verwaltungsdokumenten (INAI).

Die Befugnisse dieser Behörden würden von verschiedenen Ministerien übernommen.

Die Aufgaben des INAI würden vom Ministerium für Korruptionsbekämpfung und gute Regierungsführung übernommen.

Kommentatoren gehen davon aus, dass die Ratifizierung des Gesetzes durch eine Mehrheit der gesetzgebenden Versammlungen der mexikanischen Bundesstaaten schnell erfolgen sollte, so wie es in den letzten Monaten bei anderen Reformvorschlägen der Fall war.