Seite 3: DSGVO als Richtschnur für ChatGPT, Midjourney und Co.

Inhaltsverzeichnis

Die allgemeine Architektur der DSGVO hat sich aber bewährt, unterstreicht Jelinek. Auf keinen Fall sollte die Politik hier "das ganze Fass wieder aufmachen". Die Unternehmen befolgten inzwischen größtenteils die Kernvorgaben. Zudem seien über 20 Streitfälle vor dem EuGH anhängig, dessen Entscheidungen bald mehr Rechtssicherheit brächten. Erst Anfang Mai arbeiteten die Luxemburger Richter heraus, dass ein breiter Schadenersatzanspruch im Sinne der DSGVO ist und die darin verankerten Auskunftsrechte prinzipiell weit zu fassen sind.

Auch für neue Herausforderungen wie Systeme der generativen Künstlichen Intelligenz (KI) wie ChatGPT und Midjourney, die neue Texte, Bilder, Musik oder Videos auf Basis vorhandener Werke und damit trainierter Modelle erzeugen, fungiert die DSGVO Jelinek zufolge prinzipiell als gute Richtschnur. Der EDSA habe dazu am 14. April eine eigene Arbeitsgruppe gegründet und erste "offene Diskussionen" geführt. Dabei gehe es auch darum, eine einheitliche Antwort auf Beschwerden im Rahmen des "One-Stop-Verfahrens" sicherzustellen. Der ChatGPT-Entwickler OpenAI habe keine Niederlassung in der EU, sodass für ihn sonst prinzipiell in der ganzen EU über 30 Aufsichtsbehörden zuständig wären. Die französische CNIL hat sich gerade mit einem eigenen KI-Aktionsplan als Leiter der Taskforce empfohlen.

"Die DSGVO ist ein echtes Erfolgsmodell"

Ähnlich wie Jelinek schätzt der Bundesdatenschutzbeauftragte Ulrich Kelber die Lage ein: "Die DSGVO ist ein echtes Erfolgsmodell", hebt der Praktiker gegenüber heise online hervor. Das sehe man nicht nur in Europa, sondern auch daran, dass viele ihrer Grundprinzipien weltweit Eingang in dortige Datenschutzbestimmungen fänden. Japan, Kanada und Israel seien dafür nur einige Beispiele. Der Kontrolleur hat die Erfahrung gemacht: "DSGVO-Standards wie Datenminimierung oder Zweckbindung finden international Zuspruch."

Kelber bedauert aber auch: "Wir reden zu wenig über das, was uns die DSGVO gebracht hat". Er verweist dabei etwa auf das "Recht auf Vergessenwerden" oder den Anspruch auf eine einfache Datenübertragbarkeit bei einem Anbieterwechsel. Behörden könnten Verstöße zudem nun mit hohen Strafen ahnden oder Datenverarbeitung sogar untersagen.

Unzufriedenheit bei der Verfahrens-Geschwindigkeit

"Mit der DSGVO haben wir nicht nur Standards gesetzt, wir setzen sie auch durch", stellt der Sozialdemokrat fest. "Mit den letzten Entscheidungen zu grenzüberschreitenden Fällen, bei denen vorher national zu lange nichts passierte, haben wir jetzt auf europäischer Ebene sehr eindeutig klargemacht, dass es für bestimmte Datenerhebungen gerade in großen sozialen Netzwerken keine Rechtsgrundlage gibt und diese Erhebungen in der Form verboten sind." Entsprechende internationale Anbieter müssten ihre Modelle anpassen. Zusätzlich gebe es "empfindliche Geldbußen".

Mit der Geschwindigkeit mancher großer Verfahren ist Kelber aber nach wie vor nicht zufrieden. Vorschläge von einigen Aufsichtsbehörden zur besseren Durchsetzung der DSGVO könnten aber zu einer Beschleunigung führen. Das sei wichtiger als Fristen für die Bearbeitung von Beschwerden. Künftig sollte die federführende Behörde mitteilen müssen, welche Punkte sie untersucht und zu welchen Ergebnissen sie dabei kommt. Ohne diese neuen Zwischenschritte höre man bislang jahrelang nichts und müsse dann innerhalb von vier Wochen auf die Entscheidung der leitenden Instanz reagieren. Zudem entstehe so hoffentlich eine "Compliance-Kultur, bei der einmal sanktionierte Verhaltensweisen nicht wieder auftreten, weil schnelle Strafen drohen".

Entbürokratisierung anpassen – Entlastung schaffen

Der Informatiker drängt ferner auf eine Entbürokratisierung, indem die Dokumentations- und Informationspflichten angepasst werden. Für kleine und mittlere Unternehmen und Vereine könne so eine echte Entlastung geschafft werden. Aber auch den Nutzern würde das zugutekommen, da sie nicht länger durch abgestufte Informationen "überflutet" würden. Nicht zuletzt rät Kelber zu Anpassungen bei "Profilbildung und automatisierten Entscheidungen". Hier brauche es klarere Rechtsgrundlagen, weil beim Datensammeln schon viel passiere, bevor die DSGVO eingreift.

Ähnlich sei es etwa beim Einsatz statistischer oder Algorithmen-gesteuerter Verfahren wie Scoring zur Bonitätsprüfung: "Wenn angesichts Ihrer Daten das rote Licht auf dem Computerbildschirm leuchtet, gibt Ihnen der menschliche Mitarbeiter davor keinen Kredit", erläutert der Behördenchef. Aber nach der DSGVO ist das kein automatisiertes Verfahren, weil diese Person noch die Entscheidung mitteilt. Das müsse korrigiert werden.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

"Cookie-Müdigkeit"

Sogar die harte Nuss der laufenden Entwertung der freiwilligen Einwilligung durch Cookie-Banner will die Kommission nun doch noch knacken. Reynders kündigte Anfang April auf dem Europäischen Verbrauchergipfel den Start einer – zunächst nur freiwilligen – Initiative an, um der "Cookie-Müdigkeit" entgegenzutreten. Die Verbraucherschutzabteilung der Regierungsinstitution soll dazu eine Reihe von Diskussionsrunden mit Interessengruppen wie Verlagen, Werbetreibenden, AdTech-Unternehmen, digitalen Plattformen und Konsumentenschützern durchführen.

Ziel ist es, "den Verbrauchern eine einfachere Auswahl an Werbemodellen vorzuschlagen und gegebenenfalls ihren Wunsch, nicht getracked zu werden, zu respektieren". Auch alternative Methoden für die Personalisierung von Werbung im Gegenzug für den weiterhin kostenlosen Zugang zu Inhalten sollen entwickelt werden.

Mehr zu Recht, Verbraucher- und Datenschutz

• Recht: Geheimhaltungsvorgaben für IT-Dienstleister
• Digital Markets Act: EU zwingt Weltkonzerne zu europäischen Sonderlösungen
• Wenn Social-Media-Plattformen und Onlinemarktplätze Nutzerkonten sperren
• IT-Recht: Wie der Digital Services Act ohne deutsches Begleitgesetz startet
• Whistleblower-Schutz: Neue Bestimmungen jetzt umsetzen!
• Datenschutzbehörden präzisieren neue Regeln zum US-Datentransfer
• Data Privacy Framework: Wie lange es halten wird – ein Report
• Schmerzensgeld setzt auch bei Datenschutzverstößen individuelles Erleben voraus
• Mehr Rechtssicherheit für Whistleblower
• Cookie-Banner auf Websites: Unklare Rechtslage bei Ausgestaltung

"Do not track"-Browsereinstellungen gegen Zustimmungsfrust

Als einen Ansatz bringt die Kommission ins Spiel, dass Nutzer ihre Präferenzen rund um Tracking nur noch einmal als Teil der Browsereinstellungen angeben müssen. "Do not Track"-Mechanismen sind dort schon seit Langem vorgesehen, entwickelten sich aufgrund Widerständen von mehreren Seiten aber nicht zum allgemein akzeptierten Standard. Eine Schwierigkeit dabei ist, dass Google mit Chrome den meistgenutzten Browser herausgibt und zugleich das weltweit größte Werbenetzwerk betreibt.

Vorgesehen sind ferner etwa zusätzlich ausführliche Erklärungen, warum Interessenten die Daten von Nutzern anfordern, welchen potenziellen Mehrwert dies für die Betroffenen hat und welches Geschäftsmodell dahintersteht. Ohne gesetzliche Regelung, wie sie etwa mit der E-Privacy-Verordnung längst angedacht war, dürfte sich auf diesem Feld aber voraussichtlich wenig ändern.

(bme)