Datenrecht.at

Diese Dokumente (auszugsweise wiedergegeben), die (dazu eher spärlich vorhandene) Kommentarliteratur und natürlich der Wortlaut der DSGVO haben mich bei der Beantwortung einer diesbezüglichen Anfrage unterstützt - mehr dazu vielleicht als Publikation:

• EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf
• EDPB, Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, https://www.edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_de.pdf
• Hamburger LfDI, Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO, https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Vermerk_Data_Breach_2023.pdf
• ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches, https://op.europa.eu/en/publication-detail/-/publication/dd745e70-efb8-4329-9b78-79020ec69da5
• BayLDA, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen (2019), https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf

Der EDPB trifft zumindest zur Downtime wegen einer geplanten Maintenance eine klare Aussage:

Wenn personenbezogene Daten aufgrund einer geplanten Systemwartung nicht verfügbar sind, ist dies keine „Sicherheitsverletzung“ im Sinne von Artikel 4 Absatz 12 der Datenschutz-Grundverordnung.

Und was in der Praxis manchmal übersehen wird - zur Dokumentation eines Vorfalls, auch wenn keine Meldung erforderlich ist führt der EDPB in Rz 22 seiner Guidelines 9/2022 aus:

Wie bei einem dauerhaften Verlust oder einer Zerstörung personenbezogener Daten (oder auch bei jeder anderen Art von Datenschutzverletzung) sollte eine Datenschutzverletzung, die mit einem vorübergehenden Verlust der Verfügbarkeit einhergeht, gemäß Artikel 33 Absatz 5 DSGVO dokumentiert werden. Dies hilft dem für die Verarbeitung Verantwortlichen, gegenüber der Aufsichtsbehörde, die möglicherweise Einsicht in diese Aufzeichnungen verlangt, seine Verantwortlichkeit nachzuweisen.

Das Landgericht Hamburg (LG Hamburg 27.09.2024, 310 O 227/23) hat in einem interessanten Verfahren zur Erstellung von KI-Trainingsdatensätzen das erstinstanzliche Urteil erlassen (Hintergründe aus Klägersicht u.a. hier und hier). Die Beklagtenvertreterin hat sich bereits dazu geäußert und sieht darin

einen wichtigen Meilenstein für die Forschung im Bereich der generativen Künstlichen Intelligenz dar, da es die die legale Nutzung von urheberrechtlich geschützten Bildern für Trainingsdatensätze wie „LAION 5B“ bestätigt.

Im Kern ging es in diesem Gerichtsverfahren um die Ausnahme für Text- und Data-Mining (kurz „TDM“) in Art 2 Z 2, Art 3, 4 und 7 DSM-RL, welche die im Rahmen des KI-Trainings vorgenommenen Vervielfältigungen unter bestimmten Voraussetzungen gestatten soll. Die TDM-Ausnahme wurde in Deutschland u.a. in § 60d UrhG (Text und Data Mining für Zwecke der wissenschaftlichen Forschung) umgesetzt, in Österreich mit § 42h UrhG.

Ohne Urheberrechtsexperte zu sein, stellt sich mir die Frage, wie weit diese Ausnahme reicht, also was von wissenschaftlicher Forschung (in Österreich: “wissenschaftliche oder künstlerische Forschung”) umfasst ist - eine Frage, die sich übrigens auch unter der DSGVO stellt, siehe hierzu unlängst die deutsche Datenschutzkonferenz zum Begriff der “wissenschaftlichen Forschungszwecke”. Besonders wichtig - und mE nicht abschließend geklärt - ist dabei die (spätere) Überführung in die kommerzielle Verwertung, woran der ursprüngliche Urheber wohl kaum mitpartizipieren wird …

Was lernt man daraus? Wenn man das Scraping auf dem eigenen Webauftritt untersagen möchte, ist die Verwendung einer (maschinenlesbaren) “robots.txt” und am besten auch ein schriftlicher Nutzungsvorbehalt (siehe hier bei Heise im Impressum) erforderlich, mehr dazu (samt Anleitung) u.a. hier und (paywalled) bei Heise (die Artikel-Links sind frei abrufbar) - zwar kein perfekter Schutz, aber immerhin …