yourIT bei der Aufsichtsbehörde:
Das Datenschutzteam zu Besuch beim LfDI Baden-Württemberg
Welche Themen stehen im Fokus einer der größten Aufsichtsbehörden in Deutschland?
yourIT beim LfDI
.png)
Und welche Erkenntnisse haben wir aus diesem aufschlussreichen Treffen gezogen?
Die Aufsichtsbehörde hat über den BvD eingeladen und das yourIT Datenschutzteam hat sich nicht lange bitten lassen: Thomas Ströbele, Franziska Ege, Kolja Strübing und Julian Weller nutzten die Möglichkeit zum direkten Austausch mit dem Behördenleiter Dr. Keber. Er stand Rede und Antwort, um aktuelle Entwicklungen und Herausforderungen im Datenschutz in Baden-Württemberg und darüber hinaus zu diskutieren.
Verantwortlich: Wer muss die Datenpanne melden?
Erstes großes Thema war die Datenpanne der besonders bei
Kindertagesstätten bekannten App "Stay Informed". Der Dienstleister
ist typischerweise mit einer Auftragsverarbeitung an seine Auftraggeber - also
Kindergärten und deren Träger gebunden. Die Folge davon ist: Obwohl die
Datenpanne beim Dienstleister passierte, muss der Auftraggeber - im
Datenschutzvokabular der "Verantwortliche" - die Datenpannenmeldung
durchführen.
Auf die Frage, wie hoch die Behörde den Anteil der gemeldeten Datenpannen
im Verhältnis zur Gesamtzahl der Verantwortlichen einschätze, kam die Antwort,
das man davon ausgehe, dass die meisten gemeldet haben.
Ein großes Problem in der Praxis sieht der LfDI darin, dass den Kitas oft
nicht klar ist, dass sie die Verantwortlichen für die Datenverarbeitung sind -
auch wenn das Problem gar nicht bei ihnen entstanden ist. Nicht allen ist
bewusst, dass sie letztlich die Verantwortung für die von ihnen eingesetzten
Dienstleister haben.
Thomas Ströbele merkte an, dass diese Problematik in anderen Branchen
verbreitet sei und auch in der Informationssicherheit ein großes Thema ist -
Stichwort (Informations) Sicherheit in der Lieferkette: Mehr Awareness ist hier
dringend notwendig.
Microsoft 365: Datenschutzkonform einsetzen?!
Sowohl im öffentlichen Bereich wie in Unternehmen hat Microsoft eine dominante,
monopolistische Position als Software- und Dienstleistungslieferant inne. Und
gerade deshalb schauen die europäischen Datenschutzbehörden genau hin.
Dabei halten (u.a.) die deutschen Aufsichtsbehörden die vertraglichen
Zusicherungen von Microsoft für nicht ausreichend. Auch hier geht es um die
Auftragsverarbeitung, wobei das typische Unternehmen Auftraggeber ist und
Microsoft Auftragnehmer. Das Kernproblem ist dabei nicht, dass der
Verantwortliche seiner Pflicht nicht nachkommt, weil er kein Bewusstsein dafür
hat (siehe Problematik bei der Datenpanne von Stay Informed), sondern dass die
Vertragsgestaltung von Microsoft es dem Verantwortlichen nicht ermöglicht,
seinen Pflichten nachzukommen.
Der CIO des Landes Niedersachsen, Dr. Horst Baier, informierte kürzlich
über den erfolgreichen Abschluss einer datenschutzrechtlichen Vereinbarung mit
Microsoft zur Nutzung von Microsoft Teams. Auch das Bundesland Bayern ist
derzeit dabei, eine ähnliche Vereinbarung zu treffen. Wie also sieht das LfDI
Baden-Württemberg diese Entwicklungen? Dr. Keber betonte, es sei wichtig zu
wissen, welche Daten zu welchen Zwecken verarbeitet werden und ob die eigenen
Zwecke von Microsoft bekannt sind. Der LfDI sei bestrebt, eine Lösung zu
finden, und es gäbe aktuell viel Bewegung in den Verhandlungen. Auch habe
Microsoft signalisiert, bei den Datenschutzregelungen und Modifikationen
verhandlungsbereiter zu sein als zuvor.
Grundsätzlich hält er eine Datenschutz-Folgenabschätzung (DSFA) notwendig
im Kontext von M365. Und er deutete an, dass er größere Bauchschmerzen beim
Einsatz M365 habe, wenn es z.B. um Schulen gehe als in anderen,
nicht-öffentlichen Bereichen.
Dass alle Probleme rund um M365 "rechts überholt" werden, wenn
es zum Einsatz der KI-Lösung Copilot vom Redmonder Riese kommt, leitet direkt
über zum dritten großen Thema des Gesprächs:
KI-Anwendungen und Datenschutz: Grauzonen, Wagnisse und Unsicherheiten
Ein Thema, das derzeit in vielen Unternehmen und Behörden heiß diskutiert
und freudig ausprobiert wird, sind KI-Anwendungen. Die Aufsichtsbehörde
veranstaltet selbst in der letzten Septemberwoche eine dreitägige Veranstaltung
zum Thema KI für die interessierte Öffentlichkeit und das Fachpublikum.
Unser Eindruck war hier: Das Potenzial ist riesig, genauso wie die
Unsicherheiten - und zwar für die öffentliche Verwaltung wie für Unternehmen.
Folge: Vieles bleibt trotz Sachverstand und AI-Act der EU unklar für den
praktischen Rechtsanwender.
Eine interessante Diskussion entspann sich rund um die Frage, welche
Rechtsgrundlage für das Training von KI-Anwendungen möglich ist, wenn
Trainingsdaten mit Personenbezug aus öffentlichen Quellen kommen ("dem
Internet"). Antwort: Wenn überhaupt nur das "Berechtigte Interesse"
des KI-Betreibers nach Art. 6 Abs. 1 lit. f der EU-DSGVO. Unklar ist jedoch, ob
es tragfähig ist - also ob die Interessen des Verantwortlichen gegenüber den
Interessen der Betroffenen überwiegen. Wenn dem nicht so ist, könnte das
Training illegal sein.
Diese Unsicherheit führt zu der spannenden Frage, ob Unternehmen, die
eine KI nutzen, möglicherweise mitverantwortlich sind, wenn die Trainingsdaten
illegal erhoben wurden. Die derzeitige Auffassung des LfDI ist, dass
Unternehmen für mögliche Rechtsverstöße beim Training der KI eher nicht
mitverantwortlich sind. Dennoch bleibt eine endgültige rechtliche Klärung
abzuwarten.
Fazit: Datenschutz bleibt eine komplexe Herausforderung
Das Gespräch mit der Aufsichtsbehörde hat eindrucksvoll gezeigt, dass der
Datenschutz auch 2024 voller Herausforderungen steckt. Ob es um Datenpannen in
frühkindlichen Bildungseinrichtungen, die Nutzung von Microsoft-Tools oder die
rechtlichen Grauzonen bei KI-Anwendungen geht - es gibt noch viele offene
Fragen und Unsicherheiten. Wir bleiben für Sie dran!
Haben Sie Fragen? Kein Problem!
Das könnte Sie auch interessieren:
- 06.08.2024: KI als Datenschutz-Thema
