Pflichtenkollision im Auskunftsrecht – DS News KW 43/2025

Transkript zur Folge:

Muss ich den Knaller jetzt nochmal vorlesen?
Also wenn du die Meldung jetzt so hinkriegst.
Zahl ich deine Pizza.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir begrüßen euch wieder zum wöchentlichen Datenschutzrückblick hier bei der MIGU SENZ.
Heute ist Freitag, der 24.
Oktober 2025. Redaktionsschluss war um 10 Uhr. Mein Name ist Heiko Gossen.
Und mein Name ist Gregor Wortberg. Hallo Heiko.
Hallo Gregor. Ja, wir haben uns vorbereitet und in der Vorbereitung schon festgestellt,
diese Woche war es irgendwie ein bisschen schwierig mit den Themen,
aber ich glaube, wir haben doch eine ganz gute Zusammenstellung jetzt zusammenbekommen.
Ja, es ist doch recht bunt geworden.
Es ist recht bunt geworden. Wir haben doch spannende Dinge auch doch noch identifizieren
können. Von daher, Gregor, was hast du auf der Liste?
Nichts geringeres als das Titelthema, eine Pflichten-Kollision im Auskunftsrecht,
nämlich zwischen europäischem und US-Recht konkret.
Dann hat YouTube ein Tool zur Erkennung von Deepfakes veröffentlicht und ein
Urteil des Arbeitsgerichts Bonn hinsichtlich des Informantenschutzes habe ich auch noch dabei.
Wunderbar. Ich hätte ein Urteil des Bundesgerichtshofs zur Frage SIM-Kartensperre
ohne Kundenkennwort und wir gucken einmal kurz auf das DPA der EU-Kommission mit Microsoft.
Das ist nämlich nun auch in Auszügen verfügbar und wir haben natürlich beide
auch Veröffentlichungen und Veranstaltungen im Gepäck sowie noch zwei kleine
Servicehinweise am Schluss.
Auch die wollen wir nicht unterschlagen.
Ja, war nicht meine Absicht.
Nein, nein, nein, nein. Ich habe schon gedacht, du überlässt das mir.
Das war sehr nett von dir. Nur höflich, nur höflich. Ja, ja, genau.
Ja, gut. In diesem Sinne, bevor wir aber jetzt inhaltlich einsteigen,
hier nochmal ein kleiner Appell an alle, die jetzt so in der herbstlichen Zeit
auch darüber nachdenken, vielleicht nochmal sich beruflich zu verändern und Lust haben,
ihre Seniore-Erfahrung, die sie in der Datenschutzberatung gesammelt haben,
vielleicht auch in der Migosens zu erbringen.
Ich weiß, wir haben da sehr hohe Anforderungen und das ist auch fachlich bei
uns immer nicht ganz einfach, weil wir natürlich da sehr streng sind.
Aber wer Lust hat und sich dieser Herausforderung stellen mag,
hier bei uns mitzuarbeiten und vor allen Dingen in einem sehr coolen Team,
der schickt doch einfach mal seine Bewerbung oder kontaktiert mich auf LinkedIn.
Ansonsten weitere Infos findet ihr natürlich auch unter karriere.migosens.de.
So viel dazu. Hast du dazu noch was zu sagen, Gregor?
Wir würden uns freuen, oder? Wir freuen uns über jede Meldung.
Wir freuen uns wirklich, weil Arbeit ist genug da und in diesem Sinne wer Lust hat anzupacken,
Der packt jetzt an und schickt seine Unterlagen rein. Damit,
Gregor, überlasse ich dir die Bühne für die erste Meldung.
Wunderbar, vielen Dank. Das Landgericht Bonn attestiert in einem kürzlich veröffentlichten
Urteil US-Unternehmen eine rechtliche Zwickmühle im Kontext des Ausgundersuchens
und konkret zwischen eben der europäischen Gesetzgebung,
also dem europäischen Datenschutzrecht und Geheimhaltungspflichten der US-amerikanischen Gesetzgebung.
Neben dieser rechtlichen Bedeutung hat es zugehendermaßen auch noch auf einer
anderen politischen Ebene für Aufsehen gesorgt, dazu gleich aber nur am Rande etwas.
Ein Nutzer hatte im vorliegenden Fall gegen den Betreiber eines US-amerikanischen
sozialen Netzwerkes geklagt. Einerseits.
Klagte er gegen die Übermittlung seiner personenbezogenen Daten in die USA ohne
seine ausdrückliche Einwilligung.
Darüber hinaus klagte er aber auch auf immateriellen Schadensersatz aufgrund
der Nichterteilung einer auskunftgemäß Artikel 15 DSGVO.
Konkret ging es ihm dabei um die Fragestellung, ob US-amerikanische Geheimdienste
Zugriff auf seine Daten hatten.
Den ersten Punkt, also die Übermittlung seiner Daten in die USA ohne Rechtsgrundlage,
den können wir kurz machen.
Das Gericht wies die Klage nämlich ab, denn seit dem Angemessenheitsbeschluss
der EU-Kommission aus 2023 ist der Datentransfer in die USA eben über diesen
Angemessenheitsbeschluss dann auch grundsätzlich zulässig.
Übertragungen zu vorherigen Zeitpunkten seien auch gerechtfertigt gewesen,
weil sie zur Vertragserfüllung notwendig gewesen wären.
Hier greift dann demnach Artikel 49 Absatz 1 Lit B DSGVO.
Zudem könnten auch und müssten Nutzerinnen und Nutzer damit auch rechnen,
dass ein US-amerikanisch geprägtes soziales Netzwerk die Daten eben auch in die USA übermittelt.
Spannend wird es dann im zweiten Teil.
Diese Auskunft bezüglich etwaiger Zugriffe durch US-Geheimdienste hatte das
soziale Netzwerk nämlich mit Verweis auf die Section 702 des US Foreign Intelligence
Surveillance Acts, also des FISO, verweigert.
Dieser verbiete eben explizit solche Auskünfte. Und hier kommt es zur im Titel
benannten Pflichtenkollision.
Das Landgericht Bonn sieht nämlich die Auskunftspflicht nach europäischem Recht als gegeben an.
Ausnahmevorschriften, wie zum Beispiel der Paragraph 29 des Bundesdatenschutzgesetzes,
welcher unter anderem überwiegende berechtigte Geheimhaltungsinteressen eines
Dritten, also zum Beispiel von Geheimdiensten regelt, würden eben nicht greifen.
Da dies lediglich Auskunftsersuche nach deutschem Recht betreffe und da es keine
Gesetzesgrundlage gibt für Zugriffe von US-amerikanischen oder ausländischen
Geheimdiensten auf europäischen Boden, wenn man so möchte,
komme es laut Gericht infolge eines übergesetzlichen Notstandes,
den man sonst so aus dem Straf- oder dem Zivilrecht kennt,
zu einer unauflösbaren Pflichtenkollision, welches das US-Unternehmen eben berechtigt,
den Auskunftsanspruch des Nutzers nicht zu öffnen.
Kurz, wenn man so möchte, beide Gesetzgebungen, welchen das Unternehmen unterliegt,
regeln den Sachverhalt unterschiedlich.
Bemerkenswert deutlich und politisch wird es dann auch noch.
Die Unterhaltsbegründung enthält, wenn man so möchte, eine regelrechte Tirade
gegen die aktuelle politische Führung der USA.
Ist hier vielleicht der falsche Ort für Ausführungen im Detail,
die werden nämlich sehr, sehr deutlich.
Aber für Interessierte den Volltext verlinken wir dann natürlich in den Shownotes.
Ja, ich finde es sehr interessant, dass das Gericht dann klar sich dann nochmal
auch kritisch äußert, aber dann auch doch diese Regelungen aus den USA anerkennt und sagt,
dass dieser Widerspruch natürlich dann auch dazu führen darf,
dass man hier das Auskunftsanrecht ein wenig einschränkt.
Hätte ich jetzt nicht so gesagt, dass das automatisch so entschieden wird.
Also ich hätte mir vorstellen können, dass ein anderes Gericht da auch zu einem anderen Urteil kommt.
Kommt. Für die Unternehmen aber sicherlich nicht verkehrt, dadurch ein bisschen
mehr Rechtssicherheit auf der anderen Seite wieder zu haben.
Dann machen wir weiter mit dem Bundesgerichtshof. Der BBGH hat bestätigt,
dass Telekommunikationsanbieter in ihren AGB keine exklusive Legitimationsform
festlegen dürfen, die den Kunden benachteiligen.
Ein Verbraucherschutzverband hatte beanstandet, dass Kunden zur Sperrung ihrer
SIM-Karte zwingend Rufnummer und Kennwort angeben mussten. Dies führt laut dem
Bundesgerichtshof zu einer unangemessenen Benachteiligung der Kunden.
Er hat zwar anerkannt, dass beide Seiten ein berechtigtes Interesse daran haben,
dass eine Digitimation des Kunden erforderlich ist, natürlich um Missbrauch zu vermeiden.
Ich glaube, wünscht sich keiner, dass irgendjemand einfach mal meine SIM-Karte sperren kann.
Jedoch wird auch durch das zwingend verlangte Kennwort des Kunden dessen berechtigtes
Interesse an einer zügigen und unkomplizierten Sperre aber auch unzumutbar beeinträchtigt.
Das Gericht sieht angesichts der Vielzahl der im Alltag zu verwendenden Passwörter
es als nicht erwartbar an, dass der Kunde sämtliche Passwörter im Gedächtnis behalten kann.
Das Unternehmen oder dem Unternehmen sei hingegen durchaus zuzumuten,
auch andere Authentifizierungsmöglichkeiten zuzulassen, wie etwa die Beantwortung
einer von den Kunden hinterlegten Frage nach persönlichen Umständen.
In den AGB des Unternehmens hieß es dazu, der Kunde hat dem Diensteanbieter
eine missbräuchliche Nutzung oder den Verlust der ihm vom Diensteanbieter zur
Verfügung gestellten SIM-Karte, Unternennung, der Hofnummer und des persönlichen
Kennwortes Zweckssperrung der SIM unverzüglich mitzuteilen.
Also es war schon sehr konkret genau dieses persönliche Kennwort dort genannt
und meines Erachtens sollte man vorsichtig sein mit der Ableitung aus dem Urteil,
also eine generelle Pflicht, alternative Legitimationsmöglichkeiten anbieten zu müssen, sehe ich.
Darin nicht. Allerdings, wenn es natürlich um die Abwendung von Schaden,
also wirklich dringlich ist, dann hat das natürlich absolute Berechtigung.
Und da sollten auch Mechanismen natürlich vorhanden sein, um eine alternative
Legitimation, die vielleicht etwas niederschwelliger ist, dann trotzdem auch zu ermöglichen.
Ich denke andererseits, für alltägliche Serviceangelegenheiten,
die jetzt nicht dringend sind, wird man sicherlich auch weiterhin auf ein entsprechendes
Kundenkennwort bestehen können.
In die AGBs würde ich es trotzdem nicht schreiben.
In meiner nächsten Nachricht geht es um YouTube. YouTube-Content-Creator können
nämlich nun die Plattform nach KI-Deepfakes ihrer Person durchsuchen lassen.
Das Tool beinhaltet eine Gesichtserkennung, welche es eben Content-Creator ermöglicht,
solche Videos zu erkennen und einen Löschungsanspruch geltend machen zu passen.
Was es dann halt auch bedeutet ist, dass eine biometrische Gesichtsanalyse durchgeführt wird.
Zur Nutzung des Tools verlangt YouTube Personalausweis und ein kurzes Video
des eigenen Gesichts. Im Kontext stellt sich YouTube damit natürlich der wachsenden
Problematik gegen Deepfakes, um auf der Plattform dann auch tatsächlich vorzugehen.
Deepfakes ermöglichen ja quasi das Aussehen und die Stimme von betroffenen Personen
per KI nachzustellen und so wirklich buchstäblich das fremde Wort in den Mund
gelegt zu bekommen, um, naja und das wären dann die harmlosen Szenarien,
politische Meinung wiederzugeben oder Produkte zu verkaufen.
Interessant finden wir aber insbesondere auch so ein bisschen,
was das Tun im Umkehrschluss bedeutet.
Das bedeutet ja auch, dass sämtliche Videos, die hochgeladen werden,
biometrisch gescannt werden.
Und das muss einem natürlich auch bewusst sein, wenn man Inhalte hochlädt auf dieser Plattform.
Dass Inhalte gescannt werden, ist ja aus dem Urheberrecht nicht ganz neu.
Aber natürlich so eine Video, so eine Gesichtsanalyse auf allen Inhalten ist
schon eine sehr, sehr umfassende Verarbeitung, die da durchgeführt wird.
Ich könnte mir vorstellen, dass es nicht das letzte Mal ist,
dass wir davon hören, weil, wie
du schon sagst, Die biometrische Datenverarbeitung, die mit einhergeht,
YouTube-seitig, ist dann die Frage, wie die ausgestaltet ist,
speichert dann YouTube zu jedem Video entsprechende biometrische Informationen,
um sie dann auch sehr schnell abzugleichen, weil ich glaube ja nicht,
dass hier jetzt bei jedem User, der sagt, hier, ich möchte gerne mein Gesicht
nicht in fremden Videos haben, dann ja jedes Mal alle Videos durchkämmen,
sondern das wird ja wahrscheinlich einmal passieren und dann wird es entsprechende
biometrische Datenbanken geben bei YouTube.
Ist ja jetzt in der Beta-Phase, muss ja anhand irgendwelcher Metadaten dann durchgeführt werden.
Bei anderen Unternehmen war die Gesichtserkennung jetzt nicht immer von Erfolg
geprägt, sondern eher von Bußgeldern. Von daher gucken wir mal.
Genau, deswegen, wie gesagt, wir bleiben dran. Das DPA der EU-Kommission mit
Microsoft ist dank eines IFG-Antrags nun öffentlich einsehbar.
Die Europäische Kommission hat im Juli 2025, also dieses Jahr,
ihre Datenschutzvereinbarung mit Microsoft neu verhandelt und darf Microsoft 365 weiter nutzen.
Wir berichteten hier auch darüber, vorausgegangen bei der Beanstandung vom europäischen
Datenschutzbeauftragten und so weiter.
Ihr kennt die Geschichte. Jedoch war zunächst noch unklar, welche Änderungen
die EU-Kommission in das DPM mit Microsoft reinverhandelt hatte.
Nun hat ein IFG-Antrag von Stefan Hessel, schöne Grüße an der Stelle,
hier Klarheit gebracht, da er das fast 60-seitige Dokument nun auf LinkedIn
veröffentlicht hat. Den Link...
Packen wir natürlich an die Shownotes und vielen Dank, Stefan,
an dieser Stelle auch für diese Arbeit.
Du hast ja auch inhaltlich reingeguckt, also von daher kurz auch deine Einschätzung
hier nochmal wiedergeben.
Innerlich sind trotz zahlreicher Schwärzungen einige Anpassungen erkennbar und
die Kommission hat die Zwecke der Datenverarbeitung wohl enger definiert und
Microsoft auch verbindlich angewiesen, personenbezogene Daten ausschließlich
zur Bereitstellung der Dienste zu verarbeiten.
Das ist ja auch eine Änderung, die wir so in dem Standard-DPA nicht finden.
Internationale Datentransfers sind auf klar benannte Empfängerländer begrenzt
und mit zusätzlichen technischen und organisatorischen Schutzmaßnahmen flackiert worden.
Ja, wer sich hier vielleicht noch tiefer eingearbeitet hat und vielleicht sogar
schon einen Abgleich mit dem neuen DPA von Microsoft durchgeführt hat,
auch hier freuen wir uns dann bitte dich über...
Entsprechende Hinweise, alles was der Rechtssicherheit, Kunden.
Also sind sicher sehr viele Unternehmen von Microsoft beiträgt,
glaube ich, sind wir alle dankbar und von daher gerne uns informieren und wir
nehmen es auf oder machen vielleicht einmal eine Themenfolge dazu.
Bei aller Vorbereitung fällt mir gerade auf, dass ich ein kleines Déjà-vu habe,
weil ich kann zum zweiten Mal heute sagen Bonn.
Diesmal bin ich nicht beim Arbeitsgericht. Und das hat ein Urteil im Kontext
des Auskunftsanspruchs veröffentlicht bzw. gesprochen.
Und einen solchen Auskunftsanspruch gibt es nämlich bei der Verbreitung unwahrer Tatsachen.
In der Folge besteht nämlich hier dann kein Informantenschutz.
Also in dem Kontext war es so, dass der Kläger die Herausgabe von Aussagen und
Stellungnahmen mehrerer Kollegen forderte, die ihm Alkoholmissbrauch und sexuelle
Belästigung vorgeworfen hatten,
was dann infolge zu seiner Freistellung geführt hatte.
Das Gericht entschied zugunsten des Klägers und verurteilte die Beklagte zur
Herausgabe der Unterlagen, da sich dann die Anschuldigen unter anderem durch
ein ärztliches Attest als eben unzutreffend erwiesen hatten.
Zentraler Bestandteil des Urteils ist die Abwägung der Interessen und diese
Interessenabwägung sollte dann halt auch jedes Unternehmen durchführen,
wenn ein ähnliches Szenario vielleicht einmal vorkommen sollte.
Und diese fiel dann eben in diesem Kontext zugunsten des Klägers aus,
weil eben unwahre ansehensbeeinträchtige Tatsachenbehauptungen vorlagen und
die Offenlegung dann dem Kläger natürlich auch die Geltendmachung von Unterlassensansprüchen
dann auch ermöglicht. Zudem
Greift auch die Fürsorgepflicht des Arbeitgebers und die ist laut Urteil auch
nicht nur gegenüber den meldenden Personen oder den Informanten auszulegen oder
zu bestehen, sondern eben auch gegenüber dem Beklagten oder dem Beschuldigten
vielmehr in dem Zusammenhang.
Unterm Strich, genau, der Kern natürlich, Interessenabwägung sollte durchgeführt
werden, um den Sachverhalt da genau zu beleuchten.
Aber auch ganz klar, wenn ich unrichtige Anschuldungen in die Welt setze,
bin ich dann natürlich auch nicht geschützt.
Dem sollte ich mir bewusst sein. Das kann man sicherlich auch auf andere Ebenen,
wie jetzt zum Beispiel das Hinweisgeberschutzgesetz übertragen.
Auch wenn man da in Handführungsstrichen, ja, oder beziehungsweise die Unwahrheit
erzählt, ist man da natürlich dann vielleicht nicht mehr als Whistleblower geschützt.
Ganz wichtiger Hinweis auf jeden Fall. Damit kommen wir zu unseren Veröffentlichungen
und Veranstaltungen und Servicetipps.
Ich hätte als erstes eine Orientierungshilfe. Die Datenschutzkonferenz hat eine
Orientierungshilfe veröffentlicht, um Unternehmen und Behörden beim datenschutzkonformen
Einsatz von KI-Systemen mit RAC-Systemen zu unterstützen.
RAC steht für Retrieval Augmented Generation und ist eine Technologie,
die große Sprachmodelle mit internen Wissensquellen ergänzt,
um so präzisere und kontextspezifischere Antworten zu liefern und auch um typische
Halluzinationen zu reduzieren.
In der Orientierungshilfe wird detailliert die Funktionsweise eines RAC-Systems
nochmal beschrieben und deren Auswirkungen auf Kernprinzipien wie Richtigkeit,
Transparenz, Integrität und Vertraulichkeit bewertet.
Grundsätzlich muss man ja sagen, dass ein RAC-System bei einer datenschutzrechtlichen
Bewertung von KI-Systemen man auf jeden Fall verstanden haben sollte, weil die Daten,
die im RAC-System gespeichert werden, ja nicht im KI-Modell selber gespeichert
sind und ganz viel der Diskussionen, die sich ja um die Kontrolle von personenbezogenen
Daten in einem LLM, in einem trainierten LLM bewegen.
Durch das RAC-System entschärft oder sogar vereinfacht werden.
Und deswegen kann ich da jedem...
Datenschützer nur raten, sich damit auf jeden Fall zu beschäftigen.
Die Orientierungshilfe ist meines Erachtens auch eine gute Hilfestellung,
wenn man alle datenschutzrechten Aspekte dann dabei auch nochmal quasi präsentiert
bekommt und gut abarbeiten kann, beleuchten kann, wenn es dann um die Bewertung
von entsprechenden Systemen geht.
Also von daher finde ich die, ehrlich gesagt, ganz gut.
Wunderbar. Der Sächsische Datenschutzbeauftragte bietet im Oktober und November
zwei interessante Seminare an.
Zum einen jetzt am 30.10.
Wird veröffentlicht der Veranstaltungslink für ein einstündiges Seminar zu dem
Thema Datenschutzvorfälle und Meldepflichten vorbeugende Maßnahmen und was eben
auch im Ernstfall zu unternehmen ist.
Und darüber hinaus am 27.
November gibt es noch eine Veranstaltung, vielleicht eher im privaten Umfeld,
nämlich zur privaten Videoüberwachung im Wohnumfeld.
Beide Veranstaltungslinks sind noch nicht veröffentlicht. Das wird jetzt wohl
in einer Woche geschehen.
Dann hätte ich den ersten Servicehinweis und zwar die Laddienststelle des Landesbeauftragten
für Datenschutzinformationsfreiheit der freien Hansestadt Bremen zieht ins Werftquartier in Bremerhaven um.
Und zwar ab dem 23. Oktober wird es eine neue Anschrift geben.
Dann werden aber E-Mail-Adressen, Telefonnummern ihre Gültigkeit behalten.
Also von daher ist es auf jeden Fall für die Postanschrift wichtig und für die,
die vielleicht Vorort Termine haben. Dann eine kleine Ergänzung noch, vom 17. bis 27.
Oktober ist die Dienststelle aufgrund des Umzugs aktuell nur eingeschränkt erreichbar.
Also das ist in drei Tagen auch schon wieder rum.
Ich habe auch noch einen Servicehinweis mitgebracht zum Schluss.
Den hat der ein oder andere von euch oder die ein oder andere von euch vielleicht
auch schon so in den breiten Medien mitbekommen.
Der hessische Beauftragte und die nordrhein-westfälische Beauftragte für den
Datenschutz und Informationsfreiheit haben beide in Pressemitteilungen aber
dann auch nochmal auf das bevorstehende KI-Training mit LinkedIn-Nutzerdaten hingewiesen.
LinkedIn plant eben dieses ab dem 3.
November durchzuführen, also Nutzerdaten für das Training seiner KI-Modelle zu verwenden.
Dazu gehören Abschlüsse ab Arbeitsverhältnissen und Fotos, also alles,
was man dann auf der Plattform so teilt.
Beide Pressemitteilungen enthalten Schritt-für-Schritt-Anleitungen,
wie man in den LinkedIn-Einstellungen der Verwendung dieser Daten auch noch
widersprechen bzw. diese deaktivieren kann.
Wunderbar, dann sind wir durch für heute. alle, wie gesagt, die sich ermutigt
gefühlt haben, durch meine Einladung eingangs sich den Herausstellungen der
Datenschutzberatung bei uns zu stellen.
Die greifen jetzt zum Laptop und schicken ihre Bewerbungsunterlagen oder informieren
sich nochmal unter karriere.mucens.de.
Alle anderen genießen hoffentlich ein entspanntes Herbstwochenende.
Dir vielen Dank, Gregor.
Danke auch, Heiko.
Und in diesem Sinne, bleibt uns gewogen und auf bald.
Bis bald.