Diese ChatGPT-Entscheidung könnte den Ausschlag geben. Der Präsident des Amtes für den Schutz personenbezogener Daten gibt bekannt, wann die Entscheidung getroffen wird

• „Wenn die Politiker nachdenken würden, könnten sie mit den Vorschriften in ihrer jetzigen Form ihre selbstgesteckten Ziele erreichen, ohne gegen die Grundsätze des Schutzes personenbezogener Daten zu verstoßen“, sagt Mirosław Wróblewski, Präsident des Amtes für den Schutz personenbezogener Daten, in einem Interview mit WNP über die Offenlegung der Daten von Jerzy Ż. im Wahlkampf.
• Wróblewski kritisiert das Geschäftsmodell von Facebook. - Die Privatsphäre stellt einen Schutz unserer Würde dar, sie ist ein Grundrecht. Ich halte es nicht für angemessen, für den Schutz unserer Grundrechte eine Gebühr zu erheben, sagt er.
• Der Präsident des Amtes für den Schutz personenbezogener Daten kündigt an, dass im bahnbrechenden Fall um OpenAI bis Dezember eine Entscheidung fallen wird. Dr. Łukasz Olejnik, ein Cybersicherheitsforscher, beschwerte sich beim Büro, dass der Ersteller von ChatGPT seine Daten illegal verarbeite.
• Wróblewski erklärt auch, wie sich die DSGVO bald ändern könnte. Die Europäische Kommission hat kürzlich ihre Vorschläge zu dieser Angelegenheit vorgelegt.

Ist die Position des Präsidenten der UODO politisch?

- Was meinst du damit?

Sie unterscheiden sich in der Einschätzung bestimmter Situationen erheblich von Ihrem Vorgänger. Beispielsweise bei der Wahl per Umschlag.

- Wir sind in der Tat unterschiedlicher Meinung, aber meine Einschätzungen basieren in erster Linie auf der Rechtsprechung des Gerichtshofs und der Verwaltungsgerichte. Ich glaube nicht, dass es etwas mit Politik zu tun hat.

Politiker sollen für die Verwendung von Daten im Wahlkampf bestraft werden

Und ist die DSGVO selbst ein Instrument des politischen Kampfes?

- Ich weiß, worauf Sie hinauswollen. Auch bei öffentlichen Aktivitäten kommt es auf die Verarbeitung personenbezogener Daten an. Die jüngsten Ereignisse zeigen leider, dass Emotionen, Eile oder Elemente des Wahlkampfs dazu führen, dass Politiker oft die Notwendigkeit vergessen, die Bestimmungen zum Schutz personenbezogener Daten einzuhalten.

Dies müsste jedoch nicht so sein. Würden die Politiker nachdenken, könnten sie mit den Regelungen in ihrer aktuellen Form ihre selbstgesteckten Ziele erreichen, ohne gegen die Grundsätze des Schutzes personenbezogener Daten zu verstoßen. Es ist möglich, das Bedürfnis nach Transparenz, die Offenlegung bestimmter Informationen und den Schutz der Privatsphäre des Einzelnen in Einklang zu bringen. Leider begünstigen der Wahlkampf und die politischen Emotionen diese Überlegungen nicht.

Es geht darum, dass Przemysław Czarnek und Rafał Trzaskowski Einzelheiten über die Person preisgegeben haben, von der Präsidentschaftskandidat Karol Nawrocki ein Studio-Apartment kaufen sollte. Welche Konsequenzen drohen diesen Politikern seitens des Präsidenten der UODO?

- Wir sind dabei, den Vorfall zu untersuchen, daher sind theoretisch alle Konsequenzen möglich. Dies lässt sich bis zum Abschluss des Verfahrens nicht feststellen.

Welche Strafen drohen ihnen?

- Die Höchststrafe für Verstöße gegen die DSGVO-Bestimmungen für nicht-wirtschaftliche Administratoren beträgt 20 Millionen Euro . Natürlich erwarte ich nicht, dass wir über solche Beträge sprechen. Im Moment frage ich mich, wie ich nach dem Verfahren reagieren soll. Strafen sollen einerseits eine wirksame Sanktion und andererseits eine abschreckende Wirkung haben, ich möchte ihnen jedoch auch eine erzieherische Komponente hinzufügen.

Das Amt für den Schutz personenbezogener Daten hat bereits zuvor einen Leitfaden zur Verarbeitung personenbezogener Daten im Wahlkampf erstellt, und ich habe auch dieses Mal an diese Empfehlungen erinnert. Wie Sie sehen, kann man nie zu viel Bildung haben. Wenn sich die Stimmung rund um die Wahlen wieder beruhigt hat, werde ich, wie bereits angekündigt, den Präsidenten des Sejm und des Senats nach den Feiertagen vorschlagen, in Zusammenarbeit mit den Wahlgremien unter anderem Schulungen anzubieten. für Mitarbeiter der Abgeordnetenbüros. Ich gehe davon aus, dass sie häufig für Verstöße gegen personenbezogene Daten verantwortlich sind und möchte dieses Bewusstsein schärfen, damit ähnliche Verstöße nicht noch einmal passieren.

Ich habe nach der Politik gefragt, weil beide Seiten des Streits Sie als Schiedsrichter hinzugezogen haben, als die Gegenseite zu viele Daten vorlegte. Auch wenn diese Menschen zuvor die Gesetze kritisierten, die sie schützen.

- Einerseits ist es meine Verantwortung als Präsident des Amtes, Verstöße zu untersuchen, andererseits verletzt es mich auf menschlicher Ebene sehr, wenn die sensibelsten Informationen einer älteren Person öffentlich verarbeitet werden, die wahrscheinlich nicht möchte, dass darüber so ausführlich diskutiert wird. Hier ist allerdings ein Verweis auf viele Medien zu verzeichnen, die oft eine weitaus größere Sensibilität als Politiker an den Tag legten und in der Lage waren, die sensibelsten Daten zu anonymisieren.

Große Änderungen in der DSGVO? Eine gute Richtung, aber es gibt einen Haken

In naher Zukunft werden sich die Datenschutzbestimmungen ändern. Ist die Überarbeitung der DSGVO ein notwendiger Schritt?

- Die Europäische Kommission kam auf die Idee, die Pflichten im Zusammenhang mit der Führung eines Verzeichnisses von Verarbeitungstätigkeiten für Unternehmen einzuschränken. Die Grenze für diese Vereinfachung soll von 250 auf 750 Arbeitnehmer angehoben werden. Ich bewerte diesen Schritt grundsätzlich positiv, habe jedoch einen Vorbehalt.

Was?

- Diese Grenze kann nicht völlig automatisch behandelt werden. Im digitalen Bereich kann es auch zu kleinen Unternehmen kommen, die nur wenige Mitarbeiter beschäftigen und sehr sensible personenbezogene Daten verarbeiten. Aufgrund der hohen Risiken, die die Verarbeitung für die Rechte und Freiheiten des Einzelnen mit sich bringt, sollten die Regeln für sie anders ausgestaltet sein. Darauf haben wir in der gemeinsamen Stellungnahme der europäischen Aufsichtsbehörden – des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten – hingewiesen.

Zum Beispiel Online-Shopping-Plattformen?

– Zum Beispiel Online-Apotheken. Sie benötigen nicht viele Mitarbeiter und verarbeiten dennoch zwangsläufig Gesundheitsdaten.

Meiner Meinung nach sollte die Vereinfachung auch auf eine andere Kategorie von Einrichtungen angewendet werden – nämlich auf Nichtregierungsorganisationen. Für sie gelten die gleichen Anforderungen wie für Unternehmen, allerdings stehen ihnen ungleich weniger Möglichkeiten offen. Mitte Juni organisieren wir eine Konferenz der europäischen Datenschutzbehörden und ich möchte dieses Thema dort ansprechen.

Sehen Sie Bedarf für weitere Änderungen der DSGVO?

- Ich glaube, dass die Gesetzesänderungen in dieser Angelegenheit nicht das Wichtigste sind. Unternehmer benötigen grundsätzlich Unterstützung im Bereich der Anwendung der DSGVO , haben sich jedoch bereits an die Existenz dieser Regelung gewöhnt und weitere Gesetzesänderungen könnten für unnötiges Chaos im Datenschutz sorgen. Zumal wir vor dringenderen Herausforderungen stehen, etwa der Umsetzung weiterer EU-Verordnungen, die bereits in Kraft getreten sind, für die es in Polen aber noch keinen eigenen institutionellen Apparat gibt.

Sie sprechen vom Digital Services Act (DSA). Wir wurden vor den EuGH gebracht, weil wir es nicht umgesetzt hatten.

– In der Warteschlange stehen auch der KI-Act, der Data Governance Act, die cybersicherheitsbezogene NIS2-Richtlinie, und wir könnten noch ewig so weitermachen. Hier besteht eine große Unsicherheit, da Unternehmen häufig zwei oder drei dieser umfangreichen Regelungen anwenden und ihre Bemühungen darauf konzentrieren müssen. Der EU-Gesetzgeber hat uns vor viele Herausforderungen gestellt. Daher ist eine weitere gleichzeitige Änderung, diesmal im Bereich der DSGVO, nicht unbedingt zu erwarten.

Bis Ende des Jahres wird es eine Entscheidung des Amtes für den Schutz personenbezogener Daten bezüglich OpenAI geben

Herr Präsident, handelt es sich bei Grundbuch- und Hypothekenregistern um personenbezogene Daten oder nicht?

- Grundbuch- und Hypothekenregisternummern sind personenbezogene Daten – das wissen wir aus dem rechtskräftigen Urteil des Obersten Verwaltungsgerichts. Heute ist es eine Herausforderung, die Transparenz der Grundbücher gemäß den Bestimmungen des Grundbuchgesetzes und den Schutz der Privatsphäre gleichzeitig sicherzustellen.

Ist das vereinbar?

- Wir erwarten, dass ein Mechanismus implementiert wird, der den Zugriff auf die Bücher ermöglicht, jedoch mit Authentifizierung der Person, die darauf Zugriff hat. Die Idee besteht darin, zu verhindern, dass Systeme mithilfe automatisierter Tools nach Büchern suchen und dieses Wissen dann im Internet verkaufen. Das Justizministerium hat angekündigt, ein Projekt zur Lösung dieses Problems zu entwickeln. Ich habe vor einem Monat nach dem Stand dieser Arbeiten gefragt, aber bisher noch keine Antwort zum Fortgang erhalten.

Persönlich würde ich dieses Problem wirklich gerne gelöst sehen. Dies ist jedoch einer der Aspekte, die bei der wirksamen Anwendung der EU-Vorschriften gegenüber Unternehmen mit Sitz außerhalb der EU problematisch sind.

Große Technologieunternehmen könnten nicht zur Rechenschaft gezogen werden. Für etwaige Auseinandersetzungen mit ihnen ist Ihr irischer Amtskollege zuständig, der das Verfahren jahrelang geführt hat.

- Es ist eine Frage der Art und Weise, wie die DSGVO konstruiert wurde. Tatsächlich dauern Verfahren in Fällen, die wir nach Irland verweisen müssen, Jahre, weshalb hier nicht der Eindruck entsteht, es gäbe hier ein wirksames Aufsichtssystem. Dies ist im Digital Services Act bereits anders geregelt: Für die Durchsetzung der Regelungen gegenüber großen Unternehmen ist die Europäische Kommission zuständig und nicht das Land, in dem das Unternehmen seinen Hauptsitz hat. Ich halte diese Lösungen nicht für ideal, aber sie können die Verfahren zur Bearbeitung solcher Fälle sicherlich erleichtern und vereinfachen.

Es sind nicht nur die nach Irland verlegten Fälle, die weiterhin bestehen. Bis August 2023 gab es noch keine Entscheidung im Fall des unabhängigen Cybersicherheitsforschers Dr. Łukasz Olejnik, der eine Beschwerde gegen OpenAI eingereicht hatte. Er behauptete, das Unternehmen verarbeite seine Daten illegal.

- Ich wollte, dass diese Angelegenheit abgeschlossen wird. Doch dann wurde der Administrator wach und begann, derart umfangreiche Unterlagen einzureichen, dass deren Analyse sehr lange dauerte.

Einfach ausgedrückt: Hat OpenAI Sie mit Dokumenten überschwemmt?

- Solche Worte würde ich nicht verwenden.

Ich habe es benutzt.

- Ich werde es nicht leugnen. Ich habe meine Kollegen gebeten, sich so schnell wie möglich darum zu kümmern, aber wir müssen auch Standards und Verfahrensgerechtigkeit wahren, denn wenn wir das nicht tun, wird jedes kleinste Versehen oder jede Eile später der einfachste Weg sein, die Entscheidung vor dem Verwaltungsgericht anzufechten. Ein kleiner Fehler genügt und ein Großteil der inhaltlichen Arbeit ist umsonst.

Wann werden wir herausfinden, wer Recht hat?

- Ich möchte die Arbeit spätestens in den Ferien fertigstellen. Die letzte Deadline für mich ist das Jahresende.

Ihre Entscheidung könnte Auswirkungen auf das gesamte Geschäft von OpenAI in Europa haben.

- Das Unternehmen wird es sicherlich hinterfragen, darauf bin ich vorbereitet. Auch Poczta Polska, die im Zusammenhang mit dem Fall der Umschlagwahlen die höchste jemals von der Behörde verhängte Strafe erhielt , legte Berufung beim Verwaltungsgericht ein. Er hat das Recht dazu, aber gerade deshalb müssen wir sicherstellen, dass die Verfahren eingehalten werden.

Kritiker werden sagen, dass Sie die Entwicklung künstlicher Intelligenz in Polen einschränken.

- Natürlich kann es jemand so behandeln. Eines möchte ich jedoch sagen: Unser Ziel ist es nicht, irgendetwas zu blockieren. Dabei geht es nicht darum, irgendjemandem die Organisation von Wahlkampfpressekonferenzen oder die Entwicklung nützlicher KI-basierter Anwendungen zu verbieten. Es geht darum, das Ziel unter Wahrung des Schutzes personenbezogener Daten erreichen zu können. Und das ist natürlich oft sehr schwierig – es erfordert einige Anstrengungen und die Einführung neuer technologischer und rechtlicher Lösungen. Aber es gibt wirklich keinen anderen Weg, als beide Ziele zu verfolgen.

Auf eines möchte ich noch hinweisen. Die Entscheidungen des Präsidenten des UODO werden nie in der Form „Nein, wegen DSGVO“ verfasst. Wir möchten Ihnen Orientierungshilfen zur Einhaltung gesetzlicher Vorschriften geben. Dies erfordert natürlich, dass unsere Partner Lösungen finden, sei es rechtlicher oder technischer Natur.

Der Schutz der Privatsphäre ist ein Grundrecht. Facebook kann dafür keine Gebühren erheben

Facebook hat mit der Einführung der Option „Pay or Ok“ eine Lösung für übermäßige Eingriffe in die Privatsphäre der Nutzer gefunden, also der Überwachung zustimmen oder bezahlen. Und dem Präsidenten gefiel es immer noch nicht.

- Manchmal erfordert das Finden einer Lösung mehr Aufwand, manchmal ist es sehr schwierig. Aber ohne dies gibt es keinen Fortschritt.

Was ist falsch an diesem Modell, dass wir Facebook entweder mit Daten oder mit Geld für die Nutzung bezahlen?

- Einige Herausforderungen sind ethischer Natur.

Die Privatsphäre stellt einen Schutzfaktor für unsere Würde dar und ist ein Grundrecht. Ich halte es nicht für angemessen, für den Schutz unserer Grundrechte eine Gebühr zu erheben.

Mit Meta können Sie Ihre Daten auch vom KI-Training ausschließen.

- Nach meiner Erfahrung mit diesem Unternehmen bin ich davon überzeugt, dass es zu Veränderungen und zur Zusammenarbeit fähig ist. Dies war bei dem Betrug der Fall, von dem unter anderem Herr Rafał Brzoska betroffen war. Es wurde ein Tool entwickelt, das die automatische Erkennung solcher betrügerischer Anzeigen ermöglicht .

Was nicht funktioniert, wie CERT Polska bei NASK bewiesen hat.

- Ja, aber es werden Versuche unternommen, das Problem zu lösen, und das Unternehmen reagiert, obwohl es anfangs überhaupt nicht reagierte. Ich bin davon überzeugt, dass die Wirtschaft auf die von uns angesprochenen Probleme reagieren wird, weil sie pragmatisch ist und keine Probleme bekommen möchte.

Ist das eine Lektion, die auch polnische Unternehmer lernen müssen? Die Zahl und die Höhe der vom Amt gegen polnische Unternehmer verhängten Geldbußen steigen jedes Jahr.

- Dies liegt daran, dass die Erwartungen an die Einhaltung der DSGVO nach sieben Jahren Geltung der Verordnung höher sind als zu Beginn. Nach dieser Zeit ist es schwer zu rechtfertigen, dass jemand nicht weiß, wie grundlegende Aufgaben aussehen.

Gibt es keine Gnade?

- Definitiv. UODO hat offensichtlich einen Bildungsauftrag – wir reisen durch Polen, treffen uns mit Unternehmern und arbeiten mit lokalen Regierungen zusammen. Gleichzeitig lässt sich jedoch nicht verhehlen, dass die Kontrolltätigkeiten, die Durchsetzung und die Verfolgung von Verstößen weiterhin andauern. Ich denke, dass die diesjährigen Entscheidungen bereits deutlich machen, dass auch für den öffentlichen Sektor viel zu tun ist, wenn es um den Schutz personenbezogener Daten geht.