EuGH-Urteil zu gemeinsam Verantwortlichen (Art. 26 DSGVO) - Was heißt das für den KI-Einsatz?
von , veröffentlicht am 20.12.2023Die genaue Unterscheidung zwischen "gemeinsam" und "getrennt" für die Verarbeitung Verantwortlichen im Rahmen der DSGVO ist wichtig, z.B. da bekanntlich gemeinsam für die Verarbeitung Verantwortliche gesamtschuldnerisch für Schäden haftbar sein können. Aber wie nimmt man die Abgrenzung für Art. 26 DSGVO vor?
Hier eine kurze Zusammenfassung der jüngsten Entscheidung des EuGH zu dieser Frage (ein Fall aus Litauen betreffend eine Corona-App):
1. Der EuGH stellt unter Bezugnahme auf seine Fashion-ID-Entscheidung klar, dass die betreffenden Einrichtungen jeweils unabhängig voneinander die Definition des Begriffs "für die Verarbeitung Verantwortlicher" in der DSGVO erfüllen müssen.
2. Der EuGH erinnert dann daran, dass die gemeinsame Verantwortung nach Art. 26 (1) DSGVO nicht voraussetzt, dass die beteiligten Parteien im gleichen Maße verantwortlich sind - und bestätigt damit u.a. seine "Fanpage"-Entscheidung. „Vielmehr können diese Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist" (Rn. 42).
3. Eine förmliche Vereinbarung zwischen den für die Verarbeitung Verantwortlichen ist keine Voraussetzung für die Einstufung als gemeinsam für die Verarbeitung Verantwortliche. Der Grad der Verantwortung ist nach den Umständen des Einzelfalls zu beurteilen.
4. Eine gemeinsame Entscheidung ist nicht erforderlich. Gemeinsame Kontrolleure können ihre Aktivitäten (auch) durch „übereinstimmende Entscheidungen" koordinieren (d. h. durch unabhängige, aufeinander folgende Entscheidungen beider Akteure). Aber: „In letzterem Fall müssen sich diese Entscheidungen jedoch in einer Weise ergänzen, dass sich jede von ihnen konkret auf die Entscheidung über die Verarbeitungszwecke und ‑mittel auswirkt" (Rn. 43).
Was heißt das z.B. für den Einsatz und Entwicklung eines KI Tools?
Wenn man nicht schon von einer Auftragsverarbeitung ausgeht, bietet sich hiermit eine Möglichkeit, den Terminus "gemeinsame Verantwortung" enger auszulegen als bisher. Wenn eine „einzige Entscheidung" oder konvergierende Entscheidungen" (so der genauere englische und frz. Text), wie der EuGH feststellt, zur Begründung einer gemeinsamen Verantwortlichkeit führen, dann gibt es im Umkehrschluss keine gemeinsame Verantwortlichkeit nach der DSGVO, wenn die Entscheidungen der für die Verarbeitung Verantwortlichen sich nicht ergänzen und nicht beide mit ihren Entschiedungen eine konkrete Auswirkung auf die Zwecke und Mittel der Verarbeitung haben.
Das wäre z.B. der Fall wenn ein Unternehmen eine KI, die ein anderes Unternehmen anbietet, durch das Training mit Daten füttert und die Ergebnisse nutzt. Trotz der gewollten weiten Auslegung des Art. 26 DSGVO durch den EuGH in den Fällen "Fanpage" und “Wirtschaftsakademie” wird in diesem Fall wahrscheinlich keine gemeinsame Kontrolle anzunehmen sein.
Sehen Sie das auch so?
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
4 Kommentare
Kommentare als Feed abonnierenIn vielen Fällen muss man wohl Auftragsverarbeitung annehmen: Häufig wird das Unternehmen keine eigene KI einsetzen, sondern KI von spezialisierten Anbietern.
shkar: Wesentliche Anforderungen der DS-GVO bei Einführung und Betrieb von KI-AnwendungenZD 2023, 523
https://beck-online.beck.de/Dokument?vpath=bibdata%2Fzeits%2Fzd%2F2023%2Fcont%2Fzd.2023.523.1.htm&pos=7&hlwords=on
Die Ausführungen des EuGH zur Vorlagefrage 5 dürfte auch für den Einsatz von KI interessant sein, insbsondere auch mit Blick auf die aufsichtsbehördlichen Stellungnahmen. Im Diskussionpapier des LfDI BW wird unter IV.2. (Seite 9/10) ausgeführt:
"können auch sich ergänzende Entscheidungen zu einer gemeinsamen Verantwortlichkeit führen, wenn die Entscheidungen
jeweils spürbare Auswirkungen auf die Festlegung der Zwecke und Mittel der Verarbeitungen haben. Ein weiteres wichtiges Kriterium für die gemeinsame Verantwortlichkeit ist, dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre, und zwar in dem Sinne, dass die Verarbeitungen jeder der Parteien untrennbar miteinander verbunden sind."
Deckt sich das mit den Ausführungen des EuGH in Rz 43, in denen festgestellt wird, dass sich "diese -gemeinsamen oder übereinstimmenden- Entscheidungen [der beteiligten Einrichtungen] in einer Weise ergänzen müssen, dass sich jede von ihnenkonkret auf die Entscheidung über die Verarbeitungszwecke u.-mittel auswirkt." oder wäre die aufsichtsbehördliche Annahme einschränkend?
Dem verständlichen Wunsch nach Rechtsklarheit steht oft entgegen, dass die tatsächlichen Verarbeitungsvorgänge weniger intensiv aufgearbeitet sind, als die EuGH-Rechtsprechung. Selbst die Nutzung von ML-Modellen jeder Art über API kann von C2C, JC und C2P alles sein. Allgemeine Aussagen lassen sich allenfalls für bestimmte Verarbeitungsphasen bei bestimmten use cases treffen. Die Voraussetzungen einer Auftragsverarbeitung werden jedoch bereits mangels dokumentierter Weisungen in der Regel nicht erfüllt sein, ohne dass ich überhaupt der Frage der Hoheit über die wesentlichen Mittel der DV nachgehen muss. Die gemeinsame Verantwortlichkeit auslösende Verarbeitungen auf Infrastrukturebene (!) können sein: RLHF und LORA, während das aktuell meist bevorzugte RAG allein im Verantwortwortungsbereich des Nutzers liegt. Interessante Streitfragen, die wir je nach Sachverhalt unterschiedlich bewerten, sind zB die Erstellung von Score-Werten aller Art (Fraud, Infosec etc.) bei Dritten, denen ein Datensatz zur Bewertung durch ein diskriminatives Modell gesendet wird und die übermittelten Daten dort nicht gespeichert oder zum Training genutzt werden: C2C, C2P, JC? Hier steckt die Arbeit drin.
Der Aussage, dass "die tatsächlichen Verarbeitungsvorgänge weniger intensiv aufgearbeitet sind als die EuGH-Rechtsprechung" kann ich beipflichten.
Es ist weiterhin ungeklärt, wann das AI-Training eine "Verarbeitung" iSd Art. 4 Nr. 2 DSGVO darstellt. Zitat aus Pesch/Böhme MMR 2023, 917 (neuestes Heft): "Das Training von LLM dient der Überführung von Informationen aus den Trainingsdaten – sowohl abstrakter sprachlicher Regeln als auch inhaltlicher Informationen – in die Parameter der Modelle." Die Autoren vermeiden hier sorgsam das Wort "Verarbeitung" - meines Erachtens zurecht.