Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat der europäische Gesetzgeber die Rechte der betroffenen Personen erheblich gestärkt und die Pflichten für Verantwortliche und Auftragsverarbeiter von personenbezogenen Daten verschärft. Eine zentrale Neuerung ist das Recht auf Schadenersatz bei Datenschutzverletzungen.
Zunehmende Digitalisierung und der Einsatz moderner Technologien wie Künstliche Intelligenz (KI) bieten Unternehmen spannende Möglichkeiten für Wachstum und Innovation, setzen sie aber gleichzeitig neuen und sich stetig entwickelnden Bedrohungen aus. Wir beleuchten für Sie aktuelle Probleme und wegweisende Urteile des Europäischen Gerichtshofs (EuGH) sowie österreichischer Höchstgerichte und geben Ihnen praxisnahe Empfehlungen, wie Sie Schadenersatzforderungen vorbeugen können.
Rechtsgrundlage und Voraussetzungen für Schadenersatzansprüche
Art. 82 der DSGVO bildet die Grundlage für Schadenersatzansprüche. Demnach hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz. Drei Voraussetzungen müssen erfüllt sein:
- Verstoß gegen die DSGVO: Ein rechtswidriger Umgang mit personenbezogenen Daten, zB unrechtmäßige Verarbeitung oder mangelhafte Datensicherheit.
- Nachweis eines Schadens: Ein tatsächlich eingetretener materieller (zB finanzieller) oder immaterieller Schaden (zB psychische Belastung) muss nachgewiesen werden.
- Kausalität: Der Schaden muss durch den Datenschutzverstoß verursacht worden sein.
Aktuelle Herausforderungen durch moderne Technologien
Das Aufkommen moderner Technologien wie Künstlicher Intelligenz (KI), Big Data, Internet der Dinge (IoT) und Blockchain eröffnet nicht nur neue Möglichkeiten, sondern führt auch zu erheblichen Datenschutzrisiken. Diese Technologien können Datenschutzverstöße begünstigen, die wiederum zu hohen Schadenersatzforderungen führen können.
Im Folgenden werden die spezifischen Risiken neuer Technologien beleuchtet und erläutert, welche datenschutzrechtlichen Herausforderungen mit ihnen verbunden sind.
Künstliche Intelligenz und maschinelles Lernen
KI-Systeme benötigen große Mengen an Daten, um effektiv arbeiten zu können. Diese Daten stammen aus unterschiedlichsten Quellen, oft einschließlich sensibler personenbezogener Informationen. Die Risiken umfassen dabei:
- Unbefugte Datenverarbeitung: KI-Modelle können personenbezogene Daten ohne ausreichende rechtliche Grundlage verarbeiten, was einen Verstoß gegen die DSGVO Daher ist wichtig, dass vor dem Einsatz eines KI-Modells die Zwecke und Rechtsgrundlagen der Verarbeitung geklärt werden.
- Datenlecks und unzureichende Sicherheit: Die Speicherung großer Datenmengen birgt das Risiko von Datenlecks. Ein bekanntes Beispiel ist der Verstoß von Facebook gegen die DSGVO durch die unerlaubte Weitergabe von Nutzerdaten, der zu erheblichen Schadenersatzforderungen führte (EuGH, C-311/18).
- Diskriminierung und Bias: KI-Systeme können auf Basis fehlerhafter oder unvollständiger Daten trainiert werden, was zu diskriminierenden Entscheidungen führen kann. ZB könnten Kreditentscheidungen oder Bewerbungsverfahren, die unter Einsatz von KI erfolgen, voreingenommen sein und bestimmte Bevölkerungsgruppen benachteiligen. Gemäß Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Um mögliche Schadenersatzansprüche zu vermeiden, ist es wichtig, dass die KI-Ergebnisse durch MitarbeiterInnen zumindest kontrolliert werden.
- Mangelnde Transparenz: Viele KI-Algorithmen arbeiten als „Black Boxes“, deren Funktionsweise für Nutzer und sogar für die Betreiber selbst kaum nachvollziehbar ist. Diese Intransparenz kann zu Problemen führen, wenn betroffene Personen ihre Rechte auf Auskunft, Berichtigung und Löschung geltend machen möchten.
Internet der Dinge (IoT)
IoT-Geräte, die zB in Haushalten, Fahrzeugen oder im Rahmen öffentlicher Infrastrukturen eingesetzt werden, sammeln und übertragen kontinuierlich Daten. Diese Geräte sind häufig nicht ausreichend gegen Cyberangriffe abgesichert, was zu Datenschutzverletzungen führen kann.
- Datenlecks durch Sicherheitslücken: Schwachstellen in IoT-Geräten können genutzt werden, um auf personenbezogene Daten zuzugreifen oder diese zu stehlen. Ein prominentes Beispiel sind Hackerangriffe auf Smart-Home-Systeme, bei denen Videoaufnahmen oder Gesundheitsdaten kompromittiert wurden.
Der Cyber Resilience Act soll Sicherheitsanforderungen für Hardware- und Softwareprodukte mit digitalen Elementen regeln, die in der Europäischen Union auf den Markt gebracht werden. Hersteller sind nun verpflichtet, die Sicherheit während des gesamten Lebenszyklus eines Produkts zu berücksichtigen. - Kontrolle über Daten der IoT Geräte:
Nutzer haben oft keinen Einblick in die Datenverarbeitung durch IoT-Geräte und können diese nur schwer kontrollieren. Dies widerspricht dem Transparenzgebot der DSGVO und kann zu immateriellen Schäden wie Vertrauensverlust und psychischen Belastungen führen. Auch für nicht-personenbezogene Daten wird durch die Umsetzung des Data Acts das gleiche Schutzniveau wie in der DSGVO gewährleistet.
Blockchain-Technologie
Die Blockchain-Technologie zeichnet sich durch die Unveränderlichkeit der gespeicherten Daten aus. Dies stellt eine Herausforderung dar, wenn es zB um das Recht auf Löschung und Berichtigung geht.
- Löschanspruch: Da Blockchain-Daten nicht ohne weiteres gelöscht werden können, kann es schwierig sein, den gesetzlichen Anforderungen der DSGVO gerecht zu werden. Dies kann zu Konflikten führen, wenn Betroffene ihr Recht auf Datenlöschung durchsetzen wollen.
- Datenminimierung: Die Speicherung von Daten in der Blockchain widerspricht oft dem Prinzip der Datenminimierung, da bereits gespeicherte Daten nicht mehr geändert oder entfernt werden können. Dies kann rechtliche Konsequenzen haben, wenn es um die langfristige Speicherung personenbezogener Daten geht.
Konkrete Risiken und Folgen für Unternehmen
Datenschutzverletzungen können zu erheblichen finanziellen Belastungen führen. Neben unmittelbaren finanziellen Folgen können Datenschutzverletzungen das Vertrauen der Kunden und Geschäftspartner erheblich beeinträchtigen. Dieser Vertrauensverlust kann langfristig negative Auswirkungen auf die Marktposition eines Unternehmens haben und seine Geschäftstätigkeit gefährden.
Zusätzlich zu Schadenersatzforderungen können Datenschutzverstöße zu hohen Bußgeldern durch die zuständigen Aufsichtsbehörden führen. Diese Bußgelder können je nach Schwere des Verstoßes bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen.
Prävention und Risikominderung
- Datenschutz durch Technikgestaltung: Unternehmen müssen den Grundsatz „Privacy by Design“ umsetzen, der vorsieht, Datenschutzmaßnahmen bereits bei der Entwicklung neuer Technologien und Systeme zu integrieren. Dies umfasst den Einsatz von Verschlüsselungstechnologien, datenschutzfreundliche Voreinstellungen und regelmäßige Sicherheitsüberprüfungen.
- Transparente Datennutzung und Einwilligungsmanagement: Transparenz ist ein wesentlicher Aspekt der DSGVO. Unternehmen sollten sicherstellen, dass ihre Kunden umfassend über die Datenverarbeitung informiert wurden und ihre Einwilligung einholen, wenn dies erforderlich ist. Ein effektives Datenschutzmanagement hilft, die Rechte der betroffenen Personen zu wahren und rechtlichen Problemen vorzubeugen.
- Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für Datenschutzfragen sensibilisiert werden. Dies hilft, das Bewusstsein für Datenschutzrisiken zu erhöhen und sicherzustellen, dass personenbezogene Daten gemäß den gesetzlichen Anforderungen verarbeitet werden.
- Kontinuierliche Überwachung und Anpassung: Datenschutz ist ein kontinuierlicher Prozess. Unternehmen müssen ihre Datenschutzmaßnahmen regelmäßig überprüfen und an neue rechtliche und technologische Entwicklungen anpassen. Die laufende Überwachung und Anpassung hilft, Risiken frühzeitig zu erkennen und zu minimieren.
Abschließend ist zu sagen, dass neue Technologien wie KI, Big Data, IoT und Blockchain viele Vorteile bieten, aber auch erhebliche Datenschutzrisiken nach sich ziehen. Verantwortliche müssen sich der potenziellen Gefahren bewusst sein und geeignete Maßnahmen ergreifen, um Datenschutzverletzungen zu vermeiden und Schadenersatzforderungen vorzubeugen. Die Implementierung umfassender Datenschutzstrategien, die Schulung der Mitarbeiter und die kontinuierliche Verbesserung der Datenschutzpraxis kann rechtliche und finanzielle Risiken minimieren und das Vertrauen der Kunden erhalten. Wegweisende Urteile des EuGH und anderer Höchstgerichte unterstreichen immer wieder die Bedeutung der sorgfältig geplanten und rechtskonformen Datenverarbeitung.
