Die Datenschutzstelle (DSS) publiziert regelmässig kurze Hinweise und Informationen aus ihrer Praxis im Rahmen des Newsletters. Dabei handelt es sich jeweils um zwei bis drei Themen, welche mehrfach in der DSS aufkamen bzw. von ihr in Verfahren gerügt wurden.
- Hinweise zum Auskunftsrecht bei E-Mails ehemaliger Mitarbeitender
Verlangen ehemalige Mitarbeitende (Betroffene) Auskunft zu E-Mails, gehört dies zu einem komplizierteren Auskunftsgesuch, das viele Verantwortliche vor Herausforderungen stellt. Immer wieder gelangen sie deshalb mit Fragen zur konkreten Umsetzung an die DSS, deren Antworten hier summarisch festgehalten werden:- Fristverlängerung: Geht es um grössere Mengen an E-Mails, so kann eine Fristverlängerung nach Art. 12 Abs. 3 DSGVO angezeigt und erlaubt sein. Diese muss den Auskunftssuchenden jedoch mitgeteilt werden.
- Präzisierung: Es ist dem Verantwortlichen erlaubt, bei grossen Mengen von E-Mails die Betroffenen um eine Präzisierung bzgl. Zeitraum, Empfänger, Absender etc. zu ersuchen.
- Private E-Mails in der Mailbox: Hatten die Betroffenen noch keine Gelegenheit dazu und war die private Nutzung der Mail-Adresse nicht ausgeschlossen, so ist ihnen die Möglichkeit einzuräumen, ihre privaten E-Mails auszusortieren und mitzunehmen. Davor darf der Verantwortliche die Mailbox unter normalen Umständen nicht einsehen.
- Geschäftliche E-Mails in der Mailbox: Rein geschäftliche E-Mails, die keinen Bezug zur Person der Betroffenen oder ihren persönlichen Eigenschaften (z.B. Arbeitsleistung oder -verhalten) haben, ausser dass deren E-Mail-Adresse darin vorkommt oder sie diese geschrieben haben, sind (abgesehen von der E-Mail-Adresse) nicht vom datenschutzrechtlichen Auskunftsrecht nach Art. 15 DSGVO umfasst. Genauso wenig sind andere rein geschäftliche Dokumente und Arbeiten der Betroffenen davon umfasst.
→ Das Aussortieren von rein geschäftlichen E-Mails und E-Mails mit einem Personenbezug zu Betroffenen kann jedoch schwierig sein und ev. die Mithilfe der Betroffenen erfordern. Auf jeden Fall dürfen solche E-Mails vor der Herausgabe als Kopie noch nach Art. 15 Abs. 4 DSGVO vom Verantwortlichen geprüft und allenfalls geschwärzt oder ihre Herausgabe ganz verweigert werden. - Vier-Augen-Prinzip: Wird den Betroffenen ermöglicht, zu Sortierzwecken (z.B. private E-Mails, personenbezogene E-Mails) Einsicht in ihre vollständige ehemalige Mailbox zu nehmen, so darf der Verantwortliche entsprechend des Vier-Augen-Prinzips ebenfalls eine Person dazu setzen.
- E-Mails über die Betroffenen: E-Mails, die nie in der Mailbox der Betroffenen waren, jedoch Aussagen, Beurteilung o.ä. über sie enthalten, müssen vor ihrer Beauskunftung vom Verantwortlichen im Einzelnen gemäss Art. 15 Abs. 4 DSGVO geprüft werden (siehe nächster Punkt).
→ Ausserdem müssen Informationen in solchen E-Mails, die den Betroffenen in einem anderen Dokument, Entscheid o.ä. bereits vollständig offengelegt wurden, nach Datenschutzrecht nicht auch noch in Form einer Kopie dieser E-Mails beauskunftet werden. (Achtung: bei prozessrechtlicher Akteneinsicht gilt etwas anderes!) - Rechte anderer Personen (Art. 15 Abs. 4 DSGVO): Durch den Erhalt einer Kopie (wie auch generell die Erteilung einer Auskunft) dürfen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Dazu zählen in erster Linie andere Mitarbeitende, aber auch der Verantwortliche selbst. Nicht offengelegt werden müssen deshalb z.B. Geschäftsgeheimnisse oder auch geheime Prozessstrategien und Verteidigungsabsprachen in einem absehbaren Rechtsstreit mit den Betroffenen. Ist ein zivilrechtlicher Rechtsstreit bereits anhängig, darf das datenschutzrechtliche Auskunftsrecht auch nicht zur Umgehung der nationalen Prozessrechte missbraucht werden (Art. 23 Abs. 1 Bst. i DSGVO und EDPB Leitlinien 01/2022 zu den Rechten der betroffenen Person – Auskunftsrecht, Version 2.1, Angenommen am 28. März 2023, Rz. 13 und 171).
Für detaillierte Erläuterungen und Beratung im Einzelfall finden Sie Informationen auf unserer Internetseite (z.B. Auskunftsrecht, Beschäftigtendatenschutz) und steht die DSS gerne zur Verfügung.
- Hinweise zur Nutzung öffentlich zugänglicher, Cloud-basierter, generativer KI-Systeme mit personenbezogenen Daten (pbD)
Vorab ist festzuhalten, dass die DSS keine pauschalen Produkt- und Versions-Beurteilungen von IT-Programmen und Systemen vornimmt, weil diese (und ihre Nutzungsbedingungen, Lizenzmodelle etc.) nicht nur äusserst zahlreich sind, sondern auch ständigem Wandel durch die Anbieter unterliegen. Eine verlässliche, kontinuierliche datenschutzrechtliche Beurteilung würde die Ressourcen der DSS übersteigen. Zudem hängt die konkrete Beurteilung auch von den jeweiligen Gegebenheiten beim Nutzer und den Einstellungen des Systems ab, was von Fall zu Fall verschieden ist.
Ganz generell kann die DSS aber festhalten, dass insb. folgende Fragen vor der Nutzung von KI-Systemen mit pbD geklärt werden müssen:- Rolle: Ist der Anbieter selbst Verantwortlicher oder nur Auftragsverarbeiter oder ev. gemeinsam Verantwortlicher? Bietet der Anbieter ggf. entsprechende Verträge an?
- Zwecke: Verarbeitet der Anbieter die Daten für eigene Zwecke weiter? (z.B. Trainingszwecke, Optimierungszwecke, Marketingzwecke, Profiling etc.) → Wenn ja, ist er auf jeden Fall eigener Verantwortlicher.
- Rechtsgrundlage: Auf welche Rechtsgrundlage stützt sich der Anbieter, wenn er die Daten für eigene Zwecke weiterverarbeitet? (Und auf welche Rechtsgrundlage stützt der Nutzer dann die Weiterleitung der Daten an diesen Anbieter?)
- Internationale Datentransfers: Werden die Daten auf Servern in Drittstaaten verarbeitet? Welche Garantien bestehen für diese internationalen Datenübermittlungen?
- Datensicherheit: Wie sicher sind die Daten? (Verschlüsselung, Massnahmen gegen Prompt Injections und unbefugte Offenlegungen, Data Breaches etc.)
- Datenrichtigkeit: Halluziniert das KI-System und verletzt somit ev. den Anspruch auf Datenrichtigkeit einer Person?
- Datenminimierung: Wie viele und welche Daten verarbeitet das KI-System?
- Umsetzung Betroffenenrechte: Können alle Betroffenenrechte umgesetzt werden? (z.B. Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Widerruf, Rechte in Bezug auf automatisierte Einzelfallentscheidungen, Datenübertragbarkeit).
Bei vielen der grossen, öffentlich zugänglichen, kommerziellen Online-Plattformen und Cloud-Systemen mit KI bestehen derzeit Unsicherheiten hinsichtlich der genauen Rolle der Anbieter, weil die Datenweiterverwendung durch diese häufig intransparent ist. Daher kann derzeit davon ausgegangen werden, dass sie häufig selbst Verantwortliche sind und eine eigene Rechtsgrundlage für diese Weiterverarbeitung bräuchten (sowohl eine gültige Einwilligung einzuholen wie auch ein effektives Widerspruchs- und Widerrufsrecht zu gewähren, scheint dafür aber schwierig zu sein).
Manche Anbieter arbeiten auch mit Servern in Drittstaaten, wo die datenschutzrechtlichen Garantien für die Datenübermittlung geklärt werden müssten.
Und schliesslich bestehen gerade bei sogenannten Large Language Models (LLMs) häufig Herausforderungen im Hinblick auf Datensicherheit, -richtigkeit und die Umsetzung von Betroffenenrechten, weil sie nach wie vor meist wie eine Black Box funktionieren und eingegebene Daten auch selbständig speichern und weiterverwenden können (und wieder irgendwo – womöglich falsch – ausgeben könnten), selbst wenn man die Verwendung zu Trainingszwecken ausgeschlossen hat.
Vor diesem Hintergrund ist aus Datenschutz-Sicht heute (noch) kein vollständig datenschutzkonformer, risikofreier Einsatz solcher Systeme unter Verwendung von personenbezogenen Daten möglich.
→ Die europäischen Datenschutzbehörden untersuchen derzeit aber verschiedene Systeme und Technologien und sobald sich hierbei gesicherte Erkenntnisse ergeben, wird die DSS darüber informieren.
Vorläufig gilt deshalb bei der Verwendung von öffentlich zugänglichen, Cloud-basierten, generativen KI-Systemen und insbesondere bei LLMs: Verzichten Sie (wenn immer möglich) auf die Eingabe von personenbezogenen Daten oder sonstigen sensiblen Daten (Berufsgeheimnisse, Geschäftsgeheimnisse u.ä.)!
Damit sind Sie zumindest datenschutzrechtlich auf der sicheren Seite.
Immer wieder stellen Anbieter auch «On-Premise»-Lösungen bereit, bei denen es sich um ein Hosting auf eigenen Servern handelt. Das könnte aus Datenschutz-Sicht die Nutzung von KI-Systemen mit personenbezogenen Daten allenfalls ermöglichen, wobei auch hier die Umsetzung der Betroffenenrechte geklärt werden müsste.