HMDATA Datenschutz-Newsletter 03/25
Datenschutz-Shorts: KI-Führerschein, BFSG, EU/US-DataPrivacyFramework, persönliche Anrede
HMDATA Datenschutz-Newsletter 03/2025, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2025
Dieses Mal gibt es keine Ausarbeitung eines spezifischen Themas sondern Hinweise auf einige aktuelle Entwicklungen in Kurzform.
Alle Themen haben nicht unbedingt einen ausschließlichen Datenschutzbezug, aber einen gewissen Umsetzungsdruck und Prüfpflichten, so dass Ihr Unternehmen sich kurzfristig damit beschäftigen sollte, inwieweit Maßnahmen erforderlich sind.
1. KI-Führerschein
Im Rahmen des EU-AI-Acts wurde auch die Einführung eines "KI-Führerscheins" beschlossen. Dieser ist notwendig für alle Arbeitnehmer, die zukünftig KI-Systeme einsetzen um ausreichend "KI-Kompetenz" beim Umgang bspw. mit LLMs wie Microsoft's Copilot oder OpenAI's ChatGPT zu erlangen.
Nun ist aber kurz gesagt weder Zeitpunkt, Dauer, Art, Umfang noch Inhalte festgelegt, auch gibt es keine Prüfpflichten oder Bußgelder bei Nichtumsetzung.
Insofern gilt: wenn man's sowieso irgendwie machen muss, dann macht's man's idealerweise aus Eigeninteresse, der Umgang mit KI-Systemen wird erheblich sicherer, effektiver und effizienter, wenn man weiß was man tut.
Gerne können grundlegende KI-Kompetenzen im Rahmen einer Datenschutzschulung erworben werden, Nachweis gibt es im Rahmen des Teilnahmezertifikates.
2. Barrierefreiheitsstärkungsgesetz (BFSG)
Kein eigentliches Datenschutz-Thema, aber u.U., mit Anforderungen an die Informations- und Transparenzpflichten. Aus nichtjuristischer persönlicher Sicht ist auch hier wieder fraglich, warum der Gesetzgeber mit Umsetzung zum 28.06.2025 eine weitere administrative Hürde für Unternehmen aufbaut.
Letztlich sollte ein responsive Design mit alternativen Darstellungsformen und verständliche und leicht bedienbare Online-Dialoge allein schon aus unternehmerischer Sicht umgesetzt sein. Der Markt würde das selbst regeln.
Letztlich geht es aber beim BFSG darum, dass bei Online-Dienstleistungen für Nutzer mit eingeschränkten Fähigkeiten eine barrierefreie Nutzung möglich ist, so dass diese nicht von Produkten oder Dienstleistungen ausgeschlossen sind. Insb. Bei der Online-Nutzung rentiert sich also zu prüfen, ob eingesetzte Dialoge die zu online abschließbaren Dienstleistungen führen, barrierefrei gestaltet sind. Sollte man zur Erkenntnis kommen, dass die Einhaltung der Anforderungen nach §3 Abs. 2 BFSG zu einer unverhältnismäßig hohen Belastung führen würde, ist dies zu dokumentieren und 5 Jahre aufzubewahren.
3. EU/US-DataPrivacyFramework
Eine wirklich gute Sache in der vielfachen Nutzung sinnvoller und nutzbringender Dienste US-amerikanischer Firmen. Ändert nichts an der grundsätzlichen Risikoabwägung bei Einsatz von Drittdienstleistern, ist aber eine extrem erleichternde Grundlage bei der transatlantischen datenschutzrechtlich korrekten Verarbeitung.
Nur halt leider per Executive Order vom damaligen US-Präsidenten Joe Biden im Oktober 2022 mit der EU-Kommision vereinbarter Rahmen der transatlantischen Datenverarbeitung.
Eine US-Administration unter Donald Trump kann dies also ebenso per Executive Order wieder rückgängig machen, das mag Begehrlichkeiten wecken.
Als stark transatlantisch Daten verarbeitendes Unternehmen innerhalb der EU sollte man sich also rechtzeitig Alternativen überlegen, wenn man der Meinung ist, dass das Aussetzen des EU/US- DataPrivacy-Frameworks als ein Pfand für einen Erpressungsdeal der derzeitigen US-Regierung gegenüber der EU einsetzbar wäre. Die hierzu verpflichtende Ombudsbehörde in der US-Administration steht allerdings bereits auf der Abschussliste von Elon Musk.
4. Persönliche Anrede
Im Zwiespalt der Abwägung zwischen berechtigten Interessen des Unternehmens und der Schutzwürdigkeit personenbezogener Daten des Betroffenen steht derzeit die Abfrage nach der Anrede "Herr" oder "Frau" oder irgendwas dazwischen auf dem Prüfstand. Es stellt sich die Frage, ob zum Erwerb von Produkten oder Dienstleistungen mit Abfrage der Anrede das Wissen um das Geschlecht des Kunden notwendig ist oder ob die Schutzwürdigkeit überwiegt und eine diskriminierungsfreie Verarbeitung möglich ist. In einem Urteil des EuGH vom 09. Januar 2025 ist die grundsätzlich verneint worden, für einen Kaufabschluss ist die Abfrage nach der Anrede unzulässig. Auch die Einwände einer grundsätzlichen Ermöglichung einer Höflichkeitsfloskel bei der Anrede oder des berechtigten Interesses des Unternehmens nach der Anrede wurde verneint.
Insofern gilt: Anrede ist kein Pflichtfeld mehr, der Dialog bzw. Der Abschluss muss auch ohne Angabe von "Herr" oder "Frau" bei der Namenserfassung funktionieren.
Es sei denn, man kann ein schlüssiges berechtigtes Interesse nachweisen.
Persönliche Einschätzung: old fashioned, aber eine Höflichkeitsfloskel bzw. förmliche Anrede ist ohne Angabe des Geschlechts nicht möglich. Eine "Du-Anrede" mit Vornamen nicht jedermann's und jederfrau's Sache. Zudem gilt in Zeiten von Spam und Phishing, dass eine korrekte formale Anrede ein Indiz für die Echtheit und Authentizität einer E-Mail darstellt. Sollte man also nach wie vor auf der Angabe nach "Herr / Frau / Divers" als Pflichtfeld bestehen oder angewiesen sein, sollte man zumindest den Versuch starten und in der Online-Datenschutzerklärung auf den Umstand der Pflichtabfrage nach dem Geschlecht hinzuweisen und zu begründen, warum dies im konkreten Fall notwendig sein muss. Dann hat man zumindest schon mal nicht formal die Hürden gerissen.