AI Act in Kraft getreten

Nach der Veröffentlichung im Amtsblatt der Europäischen Union am 12. Juli ist heute der AI Act (Verordnung über die Künstliche Intelligenz, VO (EU) 2024/1689) in Kraft getreten.

Eine Übersicht zu den Regelungen der KI-Verordnung findet sich in dem Blog-Artikel hier.

Die gesamten Regelungen der KI-Verordnung gelten ab dem 2. August 2026, ein paar Regelungen finden aber schon früher Anwendung. Welche Regelungen erstmals in ein paar Monaten gelten, stelle ich im Blog der innFactory AI Consulting vor.

AI Act veröffentlicht: Die erste umfassende KI-Regulierung weltweit

Heute ist der „Artificial Intelligence Act“ (kurz „AI Act“, in der deutschen Fassung auch als „Verordnung über Künstliche Intelligenz“ bezeichnet) im Amtsblatt der Europäischen Union veröffentlicht worden.

Was der AI Act ist, was er regelt und welcher Zeitplan nun gilt, lesen Sie in meinem Beitrag bei der innFactory AI Consulting unter dem Link.

Digitales-Dienste-Gesetz (DDG) in Kraft getreten, das TMG ist Geschichte

Heute ist das Digitale-Dienste-Gesetz (DDG) in Kraft getreten. Es ersetzt das Telemediengesetz (TMG) und komplementiert den europäischen Digital Services Act, welcher am 17.02.2024 in Kraft trat.

Mit die bekannteste Vorschrift im TMG dürfte die Impressumspflicht gewesen sein, die sich in § 5 TMG befunden hat. Diese befindet sich nun wortgleich in § 5 DDG.

Impressen, die noch von „§ 5 TMG“ sprechen, sollten also angepasst werden. In dieser Hinsicht empfiehlt es sich, auf die Nennung von Vorschriften ganz zu verzichten, eine Pflicht dazu besteht hier nämlich nicht. Auch der Rundfunktstaatsvertrag wurde ja im Jahr 2020 durch den Medienstaatsvertrag ersetzt, sodass sich die für journalistisch-redaktionelle Angebote notwendige Informationspflicht sich von § 55 RStV auf § 18 MStV änderte.

Unternehmen dürfen Kundenkommunikation nicht über Social-Media-Accounts ihrer Mitarbeiter führen

Das Landgericht Baden-Baden hat mit Urteil vom 24.8.2023, Az. 3 S 13/23, ein Unternehmen verurteilt, die Namen seiner Mitarbeiterin nach Art. 15 DSGVO im Rahmen des Auskunftsanspruchs zu nennen, die einen Kunden über deren privaten Social-Media kontaktiert hatten.

Sachverhalt

Hintergrund war, dass der Kunde bei dem Unternehmen einen Fernseher und eine Wandhalterung gekauft hatte. Der Kunde gab die Wandhalterung zurück. Dabei wurde versehentlich der Kaufpreis für den wesentlich teureren Fernseher zurückerstattet. Daraufhin kontaktierte eine Mitarbeiterin des Unternehmens den Kunden über ihren privaten Social-Media-Account und wies auf den Fehler hin. Sie bat den Kunden darum, sich zu melden. Namen und Anschrift hatte das Unternehmen bei dem Kauf erfasst, aber offenbar keine E-Mail-Adresse oder Telefonnummer, sodass die Mitarbeiterin offenbar den Kunden einfach googelte und dann über das soziale Netzwerk kontaktierte.

Entscheidung des Gerichts

Das Gericht entschied, dass das Unternehmen als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO verpflichtet ist, im Rahmen des Auskunftsanspruchs nach Art. 15 DSGVO die Namen der Mitarbeiter zu nennen, welche den Kunden kontaktiert hatte. Das Amtsgericht hatte die Klage noch mit der Begründung abgewiesen, dass Mitarbeiter keine Empfänger im Sinne der Datenschutzgrundverordnung seien. Das Landgericht sah dies allerdings anders: Mitarbeiter seien nur dann keine Empfänger, wenn diese die Daten unter der Aufsicht des Verantwortlichen und im Einklang mit seinen Weisungen verarbeiteten.

Interessant: Das Gericht verurteilte das Unternehmen auch dazu, den Mitarbeitern die Verwendung der Daten zu untersagen auf Basis von §§ 823 Abs. 2, 1004 BGB i.V.m. Art. 6 Abs. 1 DSGVO. Dies ist insofern interessant, als das OLG Frankfurt am Main kürzlich noch geurteilt hatte, dass Unterlassungsansprüche nach nationalem Recht, insbesondere ein Anspruch aus den §§ 1004 Abs. 1 Satz 2 BGB, § 823 Abs. 2 BGB aufgrund der durch die DSGVO unionsweit abschließend vereinheitlichen Regelung des Datenschutzrechts ausgeschlossen sind (OLG Frankfurt a. M., Urt. v. 30.3.2023 – 16 U 22/22).

Für die Mitarbeiterin wird die Sache noch interessant: Hat sie weisungswidrig gehandelt, wurde sie mit der Kontaktaufnahme über das soziale Netzwerk gegebenenfalls selbst zum Verantwortlichen und unterfällt damit dem Datenschutzrecht. Damit kann gegen sie ebenso ein Bußgeld verhängt werden.

Die Übermittlung von Daten außerhalb der EU, wie sie bei der Nutzung vieler sozialer Netzwerke geschieht, wird ein weiteres Problem sein.

Fazit

Auch wenn es heute fast schon üblich geworden ist, die Mittel der schnellen Kontaktaufnahme zu nutzen, ist dies datenschutzrechtlich sehr riskant.

Durchsuchungen bei Google Fonts-Abmahnenden

Gegen Rechtsanwalt Lehnert und dessen Mandanten Martin Ismail ist nun ein Ermittlungsverfahren wegen Abmahnbetrugs eingeleitet worden, wie unter anderem heise online berichtet. Es habe Durchsuchungen gegeben und teilweise wurde erhaltenes Geld per Arrest eingefroren.

Die Ermittlungen fußen hauptächlich darauf, dass die Websites gar nicht von Martin Ismail aufgerufen wurden, sondern automatisiert per Webcrawler nach Google Fonts gesucht wurde. Ein Webcrawler ist aber keine natürliche Person, sodass hier der Anwendungsbereich der DSGVO gar nicht eröffnet ist (Art. 1 Abs. 1 DSGVO). Zudem ist die Abmahnung dann auch rechtsmissbräuchlich.

Ob, wie in dem Artikel auch behauptet, wirklich strittig ist, ob personenbezogene Daten verarbeitet werden, mag ich bezweifeln. Google behauptet dies zwar, räumt aber auch ein, dass sie die IP-Adresse erhalten. Die IP-Adresse ist nach der Entscheidung des EuGH, Urteil v. 19.10.2016, Az. C-582/14, nach herrschender Meinung als personenbezogenes Datum zu betrachten. Binde ich Google in meiner Website ein, liegt damit auch eine Verarbeitung von personenbezogenen Daten i.S.v. Art. 4 Nr. 2 DSGVO vor, indem ich diese übermittle. Weiteres Problem ist auch die Übermittlung in die USA, wo die Daten wohl verarbeitet werden.

Man sollte Google Fonts daher dringend lokal hosten. Das jetzige Ermittlungsverfahren ist aber sehr erfreulich.

Google-Fonts Abmahnung

Derzeit sind viele Schreiben im Umlauf, bei denen Betroffene 100 € Schmerzensgeld wegen des Einsatzes von Google Fonts verlangen.

Vorliegen einer Datenschutzverletzung

Eine Datenschutzverletzung liegt vor, wenn Google Fonts so eingebunden sind, dass die Schriftart von Google-Servern nachgeladen wird. Denn dort werden Daten an Google übermittelt, ohne dass eine Rechtsgrundlage für die Übermittlung vorliegt. Das berechtigte Interesse des Art. 6 Abs. 1 S. 1 lit. f DSGVO ist nicht gegeben, da es an der Erforderlichkeit des Einsatzes fehlt (2. Stufe der Prüfung eines berechtigten Interesses, vgl. Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Dezember 2021, S. 30), denn die Schriftart kann auch lokal eingebunden werden.

Problem der Datenübermittlung in die USA

Die zweite Problematik ist ggf. eine Datenübermittlung in die USA. Denn nach dem Schrems-II-Urteil des EuGH (EuGH, Urteil vom 6.10.2015 – C-362/14) ist die einzige Rechtfertigung für die Übermittlung die Standardvertragsklauseln, bei denen allerdings der EuGH weitere zusätzliche Maßnahmen fordert, um die Daten vor den Zugriff der US-Behörden zu schützen.

Schmerzensgeldanspruch

Die Frage ist allerdings, ob wirklich der Schmerzensgeldanspruch besteht. Diese Frage ich umstritten. Nach der bisherigen Rechtsprechung der deutschen Gerichte gibt es Schmerzensgeld bei einer Persönlichkeitsrechtsverletzung nur, wenn diese schwerwiegend ist. Einzelne Gerichte haben daher mit dieser Begründung den Schmerzensgeldanspruch bei Datenschutzverletzungen verneint. Art. 82 DSGVO, der den Schadensersatzanspruch regelt, kennt diese Einschränkung allerdings nicht. Dort heißt es in Absatz 1:

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Das Bundesverfassungsgericht (BVerfG, Beschluss von 14.1.2021 – 1 BvR 2853/19) hat eine Entscheidung des Amtsgerichts Goslar (AG Goslar, Urteil vom 27.09.2019 – 28 C 7/19) aufgehoben, da dieses einen Schmerzensgeldanspruch wegen fehlender Schwerwiegendheit des Verstoßes abgelehnt hatte. Diese Frage hätte nach Ansicht des Bundesverfassungsgerichts dem Europäischen Gerichtshof vorgelegt werden müssen, womit das Amtsgericht das Recht auf den gesetzlichen Richter (Art. 101 Abs. 1 S. 2 GG) verletzt hat. In dieser Entscheidung sagt das Bundesverfassungsgericht auch, dass wohl ein weites Schadensverständnis bei Art. 82 DSGVO besteht.

Das LG München I, auf welches sich die bisherigen Schreiben stützen, hat tatsächlich einen Schmerzensgeldanspruch in Höhe von 100 € zugesprochen (LG München I, Urteil vom 20.1.2022 – 3 O 17493/20).

Die Frage bleibt also spannend. Je nach Fall sollte derzeit eine individuelle Strategie verfolgt werden.

Passwörter müssen nach Austausch des IT-Dienstleisters geändert werden

Das LG Köln (Urt. v. 18.05.2022, Az. 28 O 328/21) hat entschieden, das ein Unternehmen, das nach dem Wechsel des IT-Dienstleister die Zugangsdaten zu seinem System nicht ändert, gegen Art. 32 (Sicherheit der Verarbeitung) und Art. 5 Abs. 1 lit. f DSGVO (Sicherstellung eines angemessenen Sicherheitsniveau für die Verarbeitung von Daten) verstößt.

In dem konkreten Fall ging es um ein Unternehmen, welches Wertpapierdienstleistungen erbringt und den Kunden den Zugriff auf ein persönliches Dokumentenpostfach ermöglichte. Auf dieses Dokumentenpostfach konnten Hacker Zugriff erlangen, nachdem sie die Zugangsdaten durch einen Cyber-Angriff auf den ehemaligen IT-Dienstleister der Beklagten erbeuteten. Das Vertragsverhältnis zu dem IT-Dienstleister war bereits 2015 ausgelaufen. Eine Änderung des Passworts erfolgte seitdem nicht.

Die Beklagte wurde zu einem Schadenersatz von 1.200 € verurteilt.

Das Gericht hat es für ausreichend angesehen, dass das Versäumnis der Passwortänderung zumindest mitursächlich war. Der Nachweis, dass das nicht geänderte Passwort den Schaden alleine verursacht hat, war also nicht erforderlich. Bei der Schadensbemessung wurde berücksichtigt, dass die Daten in dem Dokumentenpostfach noch nicht missbraucht worden sind. Das Urteil zeigt wieder, dass es noch nicht zu einem Datenmissbrauch gekommen sein muss, um schadensersatzpflichtig zu werden.

Krankenhaus: Nur Behandelnde dürfen Zugriff auf die Akte haben

Das LG Flensburg hat entschieden (Urt. v. 19.11.2021, Az. 3 O 227/19), dass ein Behandlungsvertrag u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden begründet, dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen. Dies bedeutet, dass nur die Personen Zugriff auf die Akte haben dürfen, die mit der Behandlung auch befasst sind.

Der Schmerzensgeldanspruch war aber verjährt. Das LG Flensburg hat klargestellt, dass die Anrufung der Datenschutzbehörde die Verjährung nicht hemmt, da diese keine Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 BGB ist.

Streit um die Eingangsbestätigung beim beA

Wenige Monate bevor Anwälte am 01.01.2022 verpflichtet sind, zukünftig Schriftsätze nur noch elektronisch über das besondere elektronische Anwaltspostfache (beA) einzureichen und nach schwerwiegenden Sicherheitsproblemen gibt es erneut Streit um das beA.

Der Streit dreht sich um die Empfangsbestätigung, dass eine beA-Nachricht bei Gericht zugegangen ist, also eine für Rechtsanwälte aufgrund der drohenden Haftung bedeutende Funktion des elektronischen Rechtsverkehrs.

Früher wurde beim Export der Nachrichten sichergestellt, dass die exportierten Nachrichten nach dem Export nicht mehr verändert werden können. Dies geschah dadurch, dass sämtliche mit der beA-Nachricht übermittelten Dokumente in einen ZIP-Container gepackt wurden und dieser mit einer entsprechenden Signaturdatei versehen wurde. Auf diese Weise war sichergestellt, dass die Nachricht nachträglich nicht mehr verändert werden konnte. . Seit einem Update Ende September wird die Signaturdatei nicht mehr erzeugt, was zu Kritik geführt hat. Anwälte hatten eine Petition gestartet, um wieder eine „rechtssichere Versanddokumentation im beA zu implementieren .

Die Bundesrechtsanwaltskammer hat nun reagiert und eine Stellungnahme veröffentlicht. Danach sei die Erstellung der Signaturdatei bisher überobligatorisch gewesen und das aktuelle System entspreche den Anforderungen des § 130a Abs. 5 ZPO. Darin heißt es:

(5) 1Ein elektronisches Dokument ist eingegangen, sobald es auf der für den Empfang bestimmten Einrichtung des Gerichts gespeichert ist. 2Dem Absender ist eine automatisierte Bestätigung über den Zeitpunkt des Eingangs zu erteilen.

Als automatisierte Bestätigung würde die Datei „_export.html“ ausreichen, welche auch die Dateinamen sämtlicher mit der Nachricht übersandten Dokumente enthalte.

Technisch überzeugend ist diese Argumentation nicht. Die Datei „_export.html“ ist eine reine HTML-Datei, die nachträglich verändert werden könnte. Natürlich kann dies auch bei jedem Fax-Bericht geschehen, aber gerade diese Unsicherheiten könnten mit einem technisch fortschrittlicheren System wie dem beA ja gerade beseitigt werden. Zumindest kündigt die Bundesrechtsanwaltskammer mit der Weiterentwicklung zum Vertrauenswürdigen Herkunftsnachweis in der Version 2.0 (VHN2) eine Funktion zum Überprüfen der Dateien anhand von Prüfsummen an. Die Implementierung erfolge allerdings erst später, vermutlich ab Januar 2022.

Es wäre besser gewesen, die Signaturdateien bis dahin beizubehalten.