Seiten

Dienstag, 1. Oktober 2024

yourIT bei der Aufsichtsbehörde: Das Datenschutzteam zu Besuch beim LfDI Baden-Württemberg

yourIT bei der Aufsichtsbehörde: 

Das Datenschutzteam zu Besuch beim LfDI Baden-Württemberg 

Welche Themen stehen im Fokus einer der größten Aufsichtsbehörden in Deutschland?

yourIT beim LfDI

Und welche Erkenntnisse haben wir aus diesem aufschlussreichen Treffen gezogen? 

Die Aufsichtsbehörde hat über den BvD eingeladen und das yourIT Datenschutzteam hat sich nicht lange bitten lassen: Thomas Ströbele, Franziska Ege, Kolja Strübing und Julian Weller nutzten die Möglichkeit zum direkten Austausch mit dem Behördenleiter Dr. Keber. Er stand Rede und Antwort, um aktuelle Entwicklungen und Herausforderungen im Datenschutz in Baden-Württemberg und darüber hinaus zu diskutieren.

Verantwortlich: Wer muss die Datenpanne melden?

Erstes großes Thema war die Datenpanne der besonders bei Kindertagesstätten bekannten App "Stay Informed". Der Dienstleister ist typischerweise mit einer Auftragsverarbeitung an seine Auftraggeber - also Kindergärten und deren Träger gebunden. Die Folge davon ist: Obwohl die Datenpanne beim Dienstleister passierte, muss der Auftraggeber - im Datenschutzvokabular der "Verantwortliche" - die Datenpannenmeldung durchführen.

Auf die Frage, wie hoch die Behörde den Anteil der gemeldeten Datenpannen im Verhältnis zur Gesamtzahl der Verantwortlichen einschätze, kam die Antwort, das man davon ausgehe, dass die meisten gemeldet haben.

Ein großes Problem in der Praxis sieht der LfDI darin, dass den Kitas oft nicht klar ist, dass sie die Verantwortlichen für die Datenverarbeitung sind - auch wenn das Problem gar nicht bei ihnen entstanden ist. Nicht allen ist bewusst, dass sie letztlich die Verantwortung für die von ihnen eingesetzten Dienstleister haben.

Thomas Ströbele merkte an, dass diese Problematik in anderen Branchen verbreitet sei und auch in der Informationssicherheit ein großes Thema ist - Stichwort (Informations) Sicherheit in der Lieferkette: Mehr Awareness ist hier dringend notwendig.

Microsoft 365: Datenschutzkonform einsetzen?!

Sowohl im öffentlichen Bereich wie in Unternehmen hat Microsoft eine dominante, monopolistische Position als Software- und Dienstleistungslieferant inne. Und gerade deshalb schauen die europäischen Datenschutzbehörden genau hin.

Dabei halten (u.a.) die deutschen Aufsichtsbehörden die vertraglichen Zusicherungen von Microsoft für nicht ausreichend. Auch hier geht es um die Auftragsverarbeitung, wobei das typische Unternehmen Auftraggeber ist und Microsoft Auftragnehmer. Das Kernproblem ist dabei nicht, dass der Verantwortliche seiner Pflicht nicht nachkommt, weil er kein Bewusstsein dafür hat (siehe Problematik bei der Datenpanne von Stay Informed), sondern dass die Vertragsgestaltung von Microsoft es dem Verantwortlichen nicht ermöglicht, seinen Pflichten nachzukommen.

Der CIO des Landes Niedersachsen, Dr. Horst Baier, informierte kürzlich über den erfolgreichen Abschluss einer datenschutzrechtlichen Vereinbarung mit Microsoft zur Nutzung von Microsoft Teams. Auch das Bundesland Bayern ist derzeit dabei, eine ähnliche Vereinbarung zu treffen. Wie also sieht das LfDI Baden-Württemberg diese Entwicklungen? Dr. Keber betonte, es sei wichtig zu wissen, welche Daten zu welchen Zwecken verarbeitet werden und ob die eigenen Zwecke von Microsoft bekannt sind. Der LfDI sei bestrebt, eine Lösung zu finden, und es gäbe aktuell viel Bewegung in den Verhandlungen. Auch habe Microsoft signalisiert, bei den Datenschutzregelungen und Modifikationen verhandlungsbereiter zu sein als zuvor.

Grundsätzlich hält er eine Datenschutz-Folgenabschätzung (DSFA) notwendig im Kontext von M365. Und er deutete an, dass er größere Bauchschmerzen beim Einsatz M365 habe, wenn es z.B. um Schulen gehe als in anderen, nicht-öffentlichen Bereichen.

Dass alle Probleme rund um M365 "rechts überholt" werden, wenn es zum Einsatz der KI-Lösung Copilot vom Redmonder Riese kommt, leitet direkt über zum dritten großen Thema des Gesprächs:

KI-Anwendungen und Datenschutz: Grauzonen, Wagnisse und Unsicherheiten

Ein Thema, das derzeit in vielen Unternehmen und Behörden heiß diskutiert und freudig ausprobiert wird, sind KI-Anwendungen. Die Aufsichtsbehörde veranstaltet selbst in der letzten Septemberwoche eine dreitägige Veranstaltung zum Thema KI für die interessierte Öffentlichkeit und das Fachpublikum.

Unser Eindruck war hier: Das Potenzial ist riesig, genauso wie die Unsicherheiten - und zwar für die öffentliche Verwaltung wie für Unternehmen. Folge: Vieles bleibt trotz Sachverstand und AI-Act der EU unklar für den praktischen Rechtsanwender.

Eine interessante Diskussion entspann sich rund um die Frage, welche Rechtsgrundlage für das Training von KI-Anwendungen möglich ist, wenn Trainingsdaten mit Personenbezug aus öffentlichen Quellen kommen ("dem Internet"). Antwort: Wenn überhaupt nur das "Berechtigte Interesse" des KI-Betreibers nach Art. 6 Abs. 1 lit. f der EU-DSGVO. Unklar ist jedoch, ob es tragfähig ist - also ob die Interessen des Verantwortlichen gegenüber den Interessen der Betroffenen überwiegen. Wenn dem nicht so ist, könnte das Training illegal sein.

Diese Unsicherheit führt zu der spannenden Frage, ob Unternehmen, die eine KI nutzen, möglicherweise mitverantwortlich sind, wenn die Trainingsdaten illegal erhoben wurden. Die derzeitige Auffassung des LfDI ist, dass Unternehmen für mögliche Rechtsverstöße beim Training der KI eher nicht mitverantwortlich sind. Dennoch bleibt eine endgültige rechtliche Klärung abzuwarten.

Fazit: Datenschutz bleibt eine komplexe Herausforderung

Das Gespräch mit der Aufsichtsbehörde hat eindrucksvoll gezeigt, dass der Datenschutz auch 2024 voller Herausforderungen steckt. Ob es um Datenpannen in frühkindlichen Bildungseinrichtungen, die Nutzung von Microsoft-Tools oder die rechtlichen Grauzonen bei KI-Anwendungen geht - es gibt noch viele offene Fragen und Unsicherheiten. Wir bleiben für Sie dran!


   Haben Sie Fragen? Kein Problem!

  Jetzt Kontakt aufnehmen


Das könnte Sie auch interessieren: