Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXXVI: Datenverarbeitungserlaubnis in Allgemeinen Geschäftsbedingungen (AGB)? : aus der RDV 5/2025, Seite 253 bis 258

II. Musterlösung

1. Allgemeines zum Verhältnis der Erlaubnistatbestände in Art. 6 Abs. 1 DS‑GVO

Die Verarbeitung personenbezogener Daten unterliegt – auch wenn sie in einer AGB-Klausel ausgestaltet ist – angesichts der unmittelbaren Geltung der DS-GVO stets den datenschutzrechtlichen Vorgaben, sodass bei Vorliegen personenbezogener Daten auch ein Erlaubnistatbestand des Art. 6 Abs. 1 S. 1 DS‑GVO erfüllt sein muss.^[1]

Die analysierten Chatverläufe stellen personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS‑GVO dar, da über die Zugangsinformationen zum Log-In-Bereich nachvollzogen werden kann, welche konkrete natürliche Person jeweils mit dem Chatbot der Versicherung kommuniziert. Die KI-VO enthält keine speziellen auf KI-Systeme zugeschnittenen Regelungen mit Blick auf die personenbezogene Datenverarbeitung, vielmehr sind die allgemeinen Rechtsgrundlagen der DS‑GVO heranzuziehen.

Nach Art.  6 Abs.  1 S. 1 Hs. 1 DS‑GVO ist eine Verarbeitung personenbezogener Daten nur rechtmäßig, wenn „mindestens“ einer der nachfolgend aufgezählten Erlaubnistatbestände erfüllt ist. Die in Art. 6 Abs. 1 S. 1 DS‑GVO aufgeführten Erlaubnistatbestände stehen demzufolge im Ausgangspunkt gleichrangig nebeneinander und Verantwortliche sind grundsätzlich frei, auf welche Legitimationsgrundlage sie ihre Datenverarbeitung stützen wollen,^[2] vorausgesetzt, die Voraussetzungen des jeweiligen Erlaubnistatbestandes sind erfüllt bzw. – im Falle der Einwilligung – werden noch erfüllt.

Im Bereich der Privatwirtschaft stellen Art.  6 Abs.  1 lit.  a) (Einwilligung), lit. b) (Vertrag bzw. vorvertragliche Maßnahmen auf Anfrage der betroffenen Person) und lit. f) DS‑GVO (Interessenabwägung) die datenschutzrechtlichen Rechtsgrundlagen mit der größten praktischen Bedeutung dar. Entgegen der Reihenfolge in Art. 6 Abs. 1 DS‑GVO stellt die Einwilligung dabei in der Praxis allerdings nicht das erste Mittel der Wahl dar, sondern vielmehr lediglich einen Auffangtatbestand, sofern sich die Datenverarbeitung nicht mit hinreichender Rechtssicherheit auf Art. 6 Abs. 1 lit. b) bzw. lit. f) DS‑GVO stützen lässt.

Gemäß dem erklärten Willen des Versicherungsunternehmens soll Erlaubnistatbestand für die Datenverarbeitung zwecks Weiterentwicklung des Chatbots vorliegend Art.  6 Abs. 1 lit. b) DS‑GVO bilden. Damit sich das Versicherungsunternehmen tatsächlich auf Art. 6 Abs. 1 lit. b) DS‑GVO berufen kann, müssten die tatbestandlichen Voraussetzungen dieser Norm erfüllt sein.

2. Vorliegen der Voraussetzungen von Art. 6 Abs. 1 lit. b) DS‑GVO

a) Bestehen eines Vertrages

Art. 6 Abs. 1 lit. b) DS‑GVO gestattet personenbezogene Datenverarbeitungen, sofern diese für die Erfüllung eines Vertrags erforderlich sind, dessen Vertragspartei die betroffene Person ist. Für die Anwendbarkeit von Art. 6 Abs. 1 lit. b) DS‑GVO könnte vorliegend sprechen, dass die Berechtigung zur Datenauswertung zwecks Trainings der KI über die diesbezügliche AGB-Bestimmung Gegenstand der vertraglichen Vereinbarung zwischen dem Versicherungsunternehmen und seinen Versicherungsnehmern geworden ist.

Allgemeine Geschäftsbedingungen (AGB) sind nach § 305 Abs. 1 S. 1 Bürgerliches Gesetzbuch (BGB) alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Die nach dem Sachverhalt zu unterstellende „Einbeziehung“ von AGB bezeichnet im deutschen Zivilrecht den rechtlichen Prozess, durch den vorformulierte Vertragsbedingungen Teil eines Vertrages werden (vgl. hierzu im Einzelnen § 305 Abs. 2 BGB).

b) Enge Auslegung von Art. 6 Abs. 1 lit. b) DS‑GVO

Zu beachten ist allerdings, dass es nach dem EuGH einer engen Auslegung von Art. 6 Abs. 1 lit. b) DS‑GVO bedarf. Konkret hat der EuGH insofern ausgeführt, dass der Anwendungsbereich von Art. 6 Abs. 1 lit. b) DS‑GVO nicht bereits dadurch eröffnet wird, dass eine Verarbeitung im Vertrag erwähnt oder für dessen Erfüllung lediglich von Nutzen ist.^[3] Von der Notwendigkeit einer restriktiven Auslegung des Erlaubnistatbestandes gehen zudem auch die europäischen Datenschutzaufsichtsbehörden^[4] sowie die herrschende Datenschutzliteratur^[5]aus. Zwecks Feststellung, in welchem Umfang eine Datenverarbeitung nach Art. 6 Abs. 1 lit. b) DS‑GVO erforderlich ist, ist demzufolge die „vertragscharakteristische Leistung“ des Schuldverhältnisses zu bestimmen, d.h. das, was spezifisches Charakteristikum des vom Anbieter erbrachten Dienstes ist.^[6] Lediglich solche personenbezogenen Datenverarbeitungen, die im Zusammenhang mit dieser vertragscharakteristischen Leistung stehen, sind nach der Auffassung von EuGH, EDSA und herrschender Literatur über Art. 6 Abs. 1 lit. b) DS‑GVO gestattet.

Für die beschriebene enge Auslegung von Art. 6 Abs. 1 lit. b) DS‑GVO sprechen gute Gründe: Würde man es für eine Anwendbarkeit von Art. 6 Abs. 1 lit. b) DS‑GVO genügen lassen, wenn sich ein Verantwortlicher „bei Gelegenheit“ des Vertragsschlusses Datenverarbeitungen gestatten lässt, welche mit den Beweggründen, warum die Vertragsbeziehung eingegangen wurde, nicht mehr in unmittelbarem Zusammenhang stehen, so könnten Verantwortliche mit entsprechender Verhandlungsmacht die gesetzliche Zulässigkeitsregelung nahezu beliebig zu ihren Gunsten ausdehnen und auf diesem Weg die Grenzen umgehen, die sich aus dem Koppelungsverbot (Art. 7 Abs. 4 DS‑GVO)^[7] ergeben.^[8] Hintergrund der gesetzlichen Verarbeitungserlaubnis in Art. 6 Abs. 1 lit. b) DS‑GVO ist, dass eine Datenverarbeitung im Hinblick auf das Recht auf informationelle Selbstbestimmung als unbedenklich angesehen werden kann, sofern diese auf eine von der betroffenen Person autonom getroffene Entscheidung zurückgeht, mit dem Verantwortlichen ein Schuldverhältnis einzugehen und damit auch in diesem Zusammenhang erforderliche Datenverarbeitungen in Gang zu setzen.^[9] Diese Begründung dafür, dass es keiner Einwilligung bedarf, verliert aber die Tragfähigkeit, sofern Datenverarbeitungen nur „bei Gelegenheit“ des Vertragsschlusses gestattet werden, ohne Bezug zum eigentlichen Vertragszweck zu haben.^[10]

c) Konsequenzen der engen Auslegung mit Blick auf den hier zu beurteilenden Sachverhalt

Vertragscharakteristische Leistung des Versicherungsunternehmens mit Blick auf den Versicherungsvertrag ist die Absicherung des Versicherungsnehmers bzw. der Versicherungsnehmerin gegen das versicherte Risiko. Gegen Zahlung der Versicherungsprämie erfolgt eine Abwälzung von Risiken vom Versicherungsnehmer auf den Versicherer. Die Versicherungspolice statuiert die zentralen Merkmale des jeweiligen Vertrages.

Die Bereitstellung des KI-Chatbots durch die Versicherung mag in diesem Zusammenhang nützlich sein, da hierdurch die Abwicklung des Versicherungsverhältnisses erleichtert wird, indem die Versicherungsnehmer einen zusätzlichen Service erhalten. Die Unterstützung durch den KI-Chatbot ist aber keine vertragscharakteristische Leistung in dem Sinne, dass diese dem Versicherungsvertrag sein typisches Gepräge verleihen würde.

Dies hat zur Folge, dass die Datenverarbeitung zwecks Weiterentwicklung des KI-Chatbots selbst dann nicht auf Art. 6 Abs. 1 lit. b) DS‑GVO gestützt werden kann, wenn die diesbezügliche Datenverarbeitung über die AGB zum Vertragsinhalt geworden sein sollte.

Ergebnis: Art. 6 Abs. 1 lit. b) DS‑GVO scheidet im vorliegenden Fall als Rechtsgrundlage der Datenverarbeitung aus. Die Leitung hat nicht Recht.

Ergänzender Hinweis: Ob die AGB-Klausel zum Training der KI tatsächlich zum Vertragsinhalt geworden ist, wäre ansonsten im Übrigen noch abschließend zu prüfen. Denn zwar ist die wirksame Einbeziehung der AGB i.S.v. § 305 Abs. 2 BGB hier durch den Sachverhalt vorgegeben und demzufolge nicht zu prüfen. Zum einen werden aber gemäß § 305c Abs. 1 BGB sog. überraschende Klauseln nicht Vertragsbestandteil. Zum anderen können auch wirksam einbezogene AGB-Klauseln nach entsprechender Inhaltskontrolle im Einzelfall unwirksam sein (vgl. §§ 307 ff. BGB). Da die Frage der Wirksamkeit der AGB-Klausel datenschutzrechtlich, wie dargestellt, nicht ausschlaggebend ist, kann ihre Beantwortung hier dahinstehen.

3. Art. 6 Abs. 1 lit. f) DS‑GVO als Rechtsgrundlage für das Training der KI?

a) Auswechseln der Rechtsgrundlage möglich?

Mit Blick auf die zweite am Ende des Sachverhalts aufgeworfene Frage („Werden die Daten der Versicherungsnehmer/- innen zulässigerweise zum Zwecke des KI-Trainings verwendet?“) stellt sich die Frage, ob das Training der KI-Daten vorliegend ggf. auf Art.  6 Abs.  1 lit. f) DS‑GVO (sog. Interessenabwägung) gestützt werden kann. Nach der genannten Regelung ist eine Verarbeitung personenbezogener Daten rechtmäßig, soweit diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Art. 6 Abs. 1 lit. f) DS‑GVO stellt in der Praxis typischerweise die Rechtsgrundlage dar, auf die zurückgegriffen wird, wenn KI-Systeme unter Verwendung personenbezogener Informationen trainiert werden sollen.^[11] Insbesondere ist der Begriff des berechtigten Interesses i.S.v. Art. 6 Abs. 1 lit. f) DS‑GVO weit zu verstehen: Als solches kommt jedes rechtliche, wirtschaftliche oder ideelle Interesse in Frage^[12]und damit grundsätzlich auch das wirtschaftliche Interesse, innovative Produkte zu entwickeln, im Wettbewerb mithalten zu können und i.S.d. technischen Fortschritts KI-Systeme (weiter-)zu entwickeln.^[13]

Fraglich ist, ob einer Anwendung von Art.  6 Abs.  1 lit. f) DS‑GVO im vorliegenden Fall entgegensteht, dass der Verantwortliche die relevante Datenverarbeitung eben gerade nicht auf diese Regelung stützen wollte, sondern auf einen anderen gesetzlichen Erlaubnistatbestand. Teilweise findet sich in der Literatur insofern die Auffassung, dass der Wechsel hin zu einer gesetzlichen Rechtsgrundlage, die seit Anfang der Verarbeitung bestand, regelmäßig ausgeschlossen sei.^[14]

In dieser Absolutheit kann der dargestellten Auffassung nach hier vertretener Ansicht nicht gefolgt werden. Insbesondere ist die (Nicht-)Einschlägigkeit gesetzlicher Erlaubnisregelungen mit Bezug auf die Datenverarbeitung nicht vom Willen des Verantwortlichen abhängig, sondern davon, dass die tatbestandlichen Voraussetzungen der jeweiligen Erlaubnisregelung erfüllt sind. Ohnedies wird es der Verantwortliche im Übrigen wohl typischerweise bevorzugen, die Verarbeitung auf Basis einer anderen als der präferierten Rechtsgrundlage durchzuführen, anstatt rechtswidrig zu handeln.

Nach hiesiger Auffassung wird vor allem entscheidend sein mit Blick auf die Zulässigkeit des Austauschs der datenschutzrechtlichen Rechtsgrundlage, ob hierdurch ein Wertungswiderspruch entstehen würde, vorausgesetzt – und hierin dürfte vielfach das praktische Problem bestehen –, die Voraussetzungen des potenziellen datenschutzrechtlichen Ersatzerlaubnistatbestandes können überhaupt als erfüllt angesehen werden.

Die Frage eines möglichen Wertungswiderspruches kann vorliegend offenbleiben, da, wie sogleich aufgezeigt werden wird, in der vorliegenden Konstellation bereits die Voraussetzungen von Art. 6 Abs. 1 lit. f) DS‑GVO nicht erfüllt sind.

b) Fehlen der Voraussetzungen von Art. 6 Abs. 1 lit. f) DS‑GVO

aa) Dreistufige Prüfung

Ob die Voraussetzungen von Art. 6 Abs. 1 lit. f) DS‑GVO gegeben sind, ist über eine dreistufige Prüfung zu ermitteln.

Der erste Prüfungspunkt wurde im Abschnitt a) dem Grunde nach bereits bejaht, d.h. das Vorliegen eines berechtigten Interesses des Verantwortlichen bzw. eines Dritten: Die Weiterentwicklung des KI-Chatbots stellt grundsätzlich jedenfalls ein berechtigtes Interesse des Versicherungsunternehmens i.S.v. Art. 6 Abs. 1 lit. f) DS‑GVO dar. Diskutieren lässt sich außerdem, ob die Optimierung des KI-Chatbots nicht auch im Interesse der Gesamtheit der das Servicetool ggf. nutzenden Versicherungsnehmer/-innen von V liegt und insofern nicht nur berechtigten Interessen des Verantwortlichen dient, sondern auch berechtigten Interessen Dritter i.S.v. Art. 6 Abs. 1 lit. f) DS‑GVO.

Die im zweiten Schritt zu prüfende Erforderlichkeit der Datenverarbeitung zur Wahrung der relevanten berechtigten Interessen dürfte sich wohl ebenfalls begründen lassen. Denn es ist anzunehmen, dass ab einem gewissen Fortschritt in der Entwicklung ein System wie der eingesetzte Chatbot ohne Analyse realer Interaktionen nicht mehr effektiv verbessert werden kann.

Eigentliches Problem ist vorliegend der dritte Prüfungsschritt der Interessenabwägung, also die Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall (sog. Interessenabwägung im engeren Sinne). Unabhängig von der Gewichtung der sich vorliegend konkret gegenüberstehenden Interessen im Einzelfall – also Unternehmens- und Wirtschaftsfreiheit auf Seiten von V und des Rechts auf informationelle Selbstbestimmung auf Seiten der Versicherungsnehmer/-innen – ist mit Blick auf die Abwägung i.e.S. hier nämlich zu beachten, dass die Versicherung zentrale Transparenzpflichten nicht eingehalten hat, welche mit der Datenverarbeitung einhergehen.

bb) Kein Hinweis auf berechtigte Interessen und Widerspruchsrecht

Die Versicherung hat einerseits die Informationspflichten bei Datenerhebung nach Art.  13 DS‑GVO und andererseits den notwendigen Hinweis auf das Widerspruchsrecht der betroffenen Personen gegen die Datenverarbeitung nach Art.  21 Abs. 4 i.V.m. Abs. 1 DS-GVO nicht erfüllt.

Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche dieser nach Art.  13 DS‑GVO zum Zeitpunkt der Erhebung u.a. Folgendes mitzuteilen:

• die Zwecke, für welche die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Abs. 1 lit. c)) sowie
• wenn die Verarbeitung auf Art.  6 Abs.  1 lit. f) DS‑GVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden (Abs. 1 lit. d)).

Dass für die Anwendung von Art. 13 DS‑GVO die Datenerhebung bei der betroffenen Person stattfinden muss, schließt dabei nicht aus, dass diese auch ohne deren Beteiligung oder Kenntnis erfolgen kann, etwa durch Einsatz entsprechender Technik, z.B. Hard- und/oder Software.^[15]

Gemäß Art. 21 Abs. 1 S. 1 DS‑GVO hat die betroffene Person das Recht, gegen eine Verarbeitung, die auf Basis von Art. 6 Abs. 1 lit. f) DS‑GVO erfolgt, jederzeit Widerspruch einzulegen, wobei es allerdings – anders als beim voraussetzungslosen Recht auf Werbewiderspruch nach Art. 21 Abs. 2 DS‑GVO – einer Begründung des Widerspruchs bedarf. Der allgemeine Widerspruch ist darauf gerichtet, eine im Grundsatz rechtmäßige Verarbeitung ausnahmsweise zu beenden und ist daher an das Vorliegen von Gründen geknüpft, die sich aus der besonderen Situation der betroffenen Person ergeben.^[16]Wird Widerspruch nach Art. 21 Abs. 1 S. 1 DS‑GVO eingelegt, verarbeitet der Verantwortliche gemäß Art.  21 Abs. 1 S. 2 DS‑GVO die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Der Verantwortliche muss also noch mal in eine Interessenabwägung mit Blick auf den konkreten Einzelfall der betroffenen Person eintreten. Über Art. 21 Abs. 1 S. 1 DS‑GVO erhält die betroffene Person damit die Möglichkeit, die Verarbeitung einer auf ihre spezifische Situation bezogenen Prüfung unterziehen zu lassen.^[17] Auf ihr Widerspruchsrecht muss die betroffene Person nach Art. 21 Abs.  4 DS‑GVO hingewiesen werden, wobei der Hinweis in einer verständlichen und von anderen Informationen getrennten Form erfolgen muss. Werden die Daten bei der betroffenen Person erhoben, wie hier, muss der Hinweis auf das Widerspruchsrecht mit Blick auf Art. 13 Abs. 2 lit. b) DS‑GVO bereits zum Zeitpunkt der Datenerhebung erfolgen.^[18]

Über das Widerspruchsrecht nach Art. 21 Abs. 1 S. 1 DS‑GVO wurde vorliegend eindeutig nicht informiert. Mit Blick auf die Informationspflichten aus Art.  13 DS‑GVO wurde jedenfalls über die „Rechtsgrundlage der Verarbeitung“ i.S.v. Art. 13 Abs. 1 lit. c) DS‑GVO nicht korrekt informiert, sondern vielmehr durch die gewählte Gestaltung suggeriert, dass es sich um eine vertragliche Verarbeitung nach Art. 6 Abs. 1 lit. b) DS‑GVO handelt.

Unabhängig von der konkreten Abwägung der auf beiden Seiten durch die Datenverarbeitung betroffenen Interessen wird hier bereits der erzeugte Gesamteindruck über die Rahmenbedingungen der personenbezogenen Datenverarbeitung zum Überwiegen schutzwürdiger Interessen der betroffenen Personen führen: Für die betroffenen Personen entsteht der Eindruck, es handele sich um eine durch den Versicherungsvertrag vorgezeichnete Datenverarbeitung, die außerhalb ihrer datenschutzrechtlichen Einflussmöglichkeiten liegt, während tatsächlich Art. 6 Abs. 1 lit. b) DS‑GVO keine taugliche Rechtsgrundlage begründet und den betroffenen Personen ein Widerspruchsrecht gegen die Verarbeitung zustünde (Art. 21 Abs. 1 S. 1 DS‑GVO). Die hieraus resultierende mangelnde Transparenz mit Blick auf die Rahmenbedingungen der Verarbeitung sowie die Betroffenenrechte führt zu einem Überwiegen der schutzwürdigen Betroffeneninteressen i.R.v. Art. 6 Abs. 1 lit. f) DS‑GVO, so dass dieser als Rechtsgrundlage ausscheidet. Die Art und Weise der Verarbeitung ist nicht vereinbar mit Art.  5 Abs.  1 lit.  a) DS‑GVO, wonach personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Die Bedeutung des datenschutzrechtlichen Transparenzgrundsatzes im Zusammenhang mit Art. 6 Abs. 1 lit. f) DS‑GVO und die „Verflechtung“^[19] der Informationspflichten mit dem Erlaubnistatbestand hat zuletzt auch noch mal der EuGH in der Rechtssache „Mousse/CNIL“ hervorgehoben.^[20]

Ergebnis: Unter Zugrundelegung der gegenwärtigen Ausgangslage kann sich V nicht auf Art. 6 Abs. 1 lit. f) DS‑GVO berufen mit Blick auf die Datenverarbeitung zwecks Weiterentwicklung des KI-Chatbots. Die Datenverarbeitung zu diesem Zweck ist aktuell nicht zulässig. Erwogen werden könnte eine Nachinformation der betroffenen Versicherungsnehmer/-innen, wobei sich eine solche allerdings nur mit Blick auf ihr zeitlich nachfolgende Verarbeitungen auswirken würde.

Ergänzender Hinweis: Da die Chatdaten stets zum gleichen Zweck des KI-Trainings verwendet werden sollten bzw. sollen, ist Art. 13 Abs. 3 DS‑GVO, welcher die Nachinformation bei zweckändernden Datenverarbeitungen regelt, – jedenfalls unmittelbar – hier nicht einschlägig mit Blick auf eine eventuelle Nachinformation.

III. Ergänzende Informationen

Die vorliegend zu beantwortende Fragestellung war spezifisch auf die datenschutzrechtliche Rechtsgrundlage für das Training des KI-Bots bezogen. Neben den datenschutzrechtlichen Vorgaben muss das Versicherungsunternehmen außerdem die Anforderungen der KI-VO beachten, welche sich daraus ergeben, dass es als Betreiber i.S.d. KI-VO agiert. Die Adressaten der KI-VO sind in Art. 2 Abs. 1 KI-VO aufgezählt und legaldefiniert und umfassen insbes. Anbieter und Betreiber von KI, wobei diese nach der KIVO jeweils unterschiedlich weitreichende Rechtspflichten treffen. Betreiber von KI-Systemen mit begrenztem Risiko treffen nur überschaubare Pflichten nach der KI-VO, nämlich die Verpflichtung zur Sicherstellung von KI-Kompetenz (Art.  4) sowie ggf. Transparenz- und Offenlegungspflichten gemäß Art. 50 Abs. 3 und 4 KI-VO.^[21]

Neben dem hier betrachteten Erfordernis einer Rechtsgrundlage für stattfindende personenbezogene Datenverarbeitungen sind beim KI-Einsatz aus Datenschutzperspektive u.a. folgende weitere Aspekte von Belang:^[22]

• Grundsätze der Datenverarbeitung nach Art.  5 DS‑GVO, insbes. Transparenz, und besondere Pflichten im Falle automatisierter Einzelentscheidungen (Art. 22 DS‑GVO)
• Datenschutz-Folgenabschätzung (Art. 35 DS-GV0)
• (Ggf. gemeinsame) Verantwortlichkeit der Beteiligten beim Einsatz von KI und Abgrenzung zur Auftragsverarbeitung
• Betroffenenrechte nach Art. 12 ff. DS‑GVO.

*RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

_{[1] BeckOK IT-Recht/Munz, 19. Ed. 01.07.2024, BGB § 307 Rn. 22 f}

_{[2] Vgl. etwa Kühling/Buchner/Buchner/Kühling, DS‑GVO BDSG, 4. Aufl. (2024), DS‑GVO Art. 7 Rn. 16.}

_{[3] EuGH Urt. v. 04.07.2023 – C-252/21 Rn. 99.}

_{[4] EDSA, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. b) DS‑GVO im Zusammenhang mit der Bereitstellung von OnlineDiensten für betroffene Personen, Vers. 2.0 (Stand: 08.10.2019), Rn. 26.}

_{[5] Vgl. etwa Kühling/Buchner/Buchner/Kühling, DS‑GVO BDSG, 4. Aufl. (2024), DS‑GVO Art. 7 Rn. 49; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, Datenschutzrecht, 2. Aufl. 2025, DS‑GVO Art. 6 Abs. 1 Rn. 34 ff.; ähnlich BeckOK DatenschutzR/Albers/Veit, 52. Ed. 01.05.2025, DS‑GVO Art. 6 Rn. 44.}

_{[6] Kessen/Reif, EuDIR 2025, 23 (25).}

_{[7] Nach Art. 7 Abs. 4 DS‑GVO muss bei Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, in größtmöglichem Umfang dem Umstand Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.}

_{[8] Kessen/Reif, EuDIR 2025, 23 (25).}

_{[9] Kühling/Buchner/Buchner/Petri, DS‑GVO Art. 6 Rn. 26; BeckOK DatenschutzR/ Albers/Veit, DS‑GVO Art. 6 Rn. 41}

_{[10] Kühling/Buchner/Buchner/Petri, DS‑GVO Art. 6 Rn. 40.}

_{[11] OLG Köln, Beschl. v. 23.05.2025 – 15 UKl. 2/25 mit Blick auf die Verwendung von Nutzerdaten für das KI-Training durch Meta (vgl. in diesem Zusammenhang aber auch Rechtbank Amsterdam, Beschluss vom 19.05.2025 – 10795074 CV FORM 23-14577); LfDI BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, Vers. 2.0 (17.10.2024), S. 21; umfassend zu den einzelnen Schritten der Abwägung und den jeweils zu berücksichtigenden Gesichtspunkten EDSA, Stellungnahme 28/2024 zu gewissen Datenschutzaspekten der Verarbeitung personenbezogener Daten im Zusammenhang mit KI-Modellen, 02.12.2024,Rn. 66 ff.; in der Lit. vgl. z.B. Reichert/Radtke/Eske, ZD 2024, 483 (490): „Die zentrale Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten und die Nutzung der personenbezogenen Daten in der KI stellt die Interessenabwägung dar.}

_{[12] Gola/Heckmann/Schulz, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. (2022), DS‑GVO Art. 6 Rn. 61.}

_{[13] Reichert/Radtke/Eske, ZD 2024, 483 (485); ähnlich LfDI BW, Diskussionspapier: Rechtsgrundlagen im Datenschutz beim Einsatz von Künstlicher Intelligenz, Vers. 2.0 (17.10.2024), S. 21 f.}

_{[14] Krusche, ZD 2020, 232 (236).}

_{[15] Simitis/Hornung/Spiecker gen. Döhmann/Dix, DS‑GVO Art. 13 Rn. 6.}

_{[16] Gola/Heckmann/Schulz, DS‑GVO Art. 21 Rn. 9.}

_{[17] Kühling/Buchner/Herbst, DS‑GVO Art. 21 Rn. 1}

_{[18] Vgl. etwa Kühling/Buchner/Herbst, DS‑GVO Art. 21 Rn. 37; Simitis/Hornung/ Spiecker gen. Döhmann/Caspar, DS‑GVO Art. 21 Abs. 37; Ehmann/Selmayr/Kamann/Braun, Datenschutz-Grundverordnung, 3. Aufl. (2024), DS‑GVO Art. 21 Rn.  58; einschränkend demgegenüber Gola/Heckmann/Schulz, DS‑GVO Art. 21 Rn. 26.}

_{[19] Leicht/Baumann, NJW 2025, 2126 (2127 f.).}

_{[20] EuGH, Urt. v. 09.01.2025 – C-394/23 Rn. 63 f.}

_{[21] Für einen Gesamtüberblick bzgl. möglicher Pflichten aus der KI-VO vgl. GDDPraxishilfe: Europäische Datenstrategie: KI-VO, Data Act etc., Stand: Juli 2024, S. 6 ff.; umfassend zur KI-VO Schwartmann/Keber/Zenner, KI-VO – Leitfaden für die Praxis, 2. Aufl. (2024).}

_{[22] Zum Thema KI und Datenschutz vgl. GDD-Praxishilfe: Europäische Datenstrategie: KI-VO, Data Act etc., Stand: Juli 2024, S. 11 ff.}