Digitale Datenschutzkonferenz vom 25. – 26. November 2020
Auch in diesem Jahr hat x-ion erneut an der Datenschutzkonferenz der dfv Mediengruppe teilgenommen, welche der aktuellen Situation entsprechend als reine Online-Konferenz durchgeführt worden ist.
Im Rahmen einer virtuellen Zusammenkunft zwischen Datenschutzbeauftragten, Aufsichtsbehörden und Juristen hat ein intensiver Austausch stattgefunden im Hinblick auf aktuelle Themengebiete im Bereich Datenschutz und IT-Sicherheit, unter anderem bezogen auf die praktische Umsetzung der Datenschutz-Grundverordnung (DSGVO), den Bestimmungen der E-Privacy-Verordnung in Bezug auf die Verwendung sogenannter “Cookie-Banner”, das Zusammenspiel von Datenschutz und Künstlicher Intelligenz sowie der Erläuterung von praktischen Hinweisen für einen verbesserten Umgang mit Betroffenenrechten.
2,5 Jahre DS-GVO – eine Bilanz der Aufsichtsbehörden
Barbara Thiel, Landesbeauftragte für Datenschutz für das Land Niedersachsen, gewährte einen spannenden Einblick in den praktischen Alltag einer Aufsichtsbehörde für Datenschutz, deren Tätigkeitsbereich unter anderem die Bearbeitung von Anfragen und Beschwerden, beispielsweise bei der Wahrnehmung von Betroffenenrechten, umfasst. Während sich nach Aussage von Frau Thiel die Zahl der Beschwerden im Jahr 2018 noch auf eine Anzahl von knapp 1000 beschränkte, sind im Jahr 2019 für das Land Niedersachsen bereits 2000 Anfragen registriert worden.
Im Hinblick auf die Umsetzung der DSGVO sei nach einem Anwendungszeitraum von knapp 2,5 Jahren ein durchweg positiver Trend zu erkennen, da sich eine deutliche Verbesserung, insbesondere bezogen auf das allgemeinene Schutzniveau personenbezogener Daten, erkennen ließe. Ein positiver Aufwärtstrend resultiere laut Thiel unter anderem aus der Anwendung des innerhalb der DSGVO verankerten “Marktortprinzips”, wonach gewährleistet werden könne, dass Anforderungen im Bereich Datenschutz und IT-Sicherheit sich ebenfalls auf außereuropäische Mitbewerber, wie beispielsweise Google oder Facebook, erstrecke, da nicht der Sitz des jeweiligen Unternehmens für das anzuwendende Recht ausschlaggebend sei, sondern der Ort des aktuellen Waren- und Dienstleistungsangebots. Zudem sei die praktische Umsetzung der DSGVO als eine Art „Reifungsprozess“ zu betrachten, welcher einerseits eine gewisse Aktivität der Aufsichtsbehörden erfordere, andererseits durch richterliche Rechtsfortbildung weiterhin konkretisiert werden müsse, um auf nationaler Ebene insgesamt ein höheres Maß an Rechtssicherheit und Transparenz zu gewährleisten.
Potential des “federated machine Learning” im Bereich Datenschutz
Einen ebenfalls interessanten Einblick in den Bereich des maschinellen Lernens gewährte Per Meyerdierks am Beispiel einer speziellen Anwendung von Google. Im Rahmen einer Präsentation wurde näher ausgeführt, auf welche Weise sich datenschutzrechtliche Grundsätze nach DSGVO in den Bereich maschineller Lernmethoden integrieren lassen. Durch Anwendung der sogenannten „dezentralen Datenverarbeitung“ wurde am Beispiel der Funktionen einer handelsüblichen Android-Tastatur eines Samsung-Smartphones veranschaulicht, inwiefern sich die Grundsätze der “Datensparsamkeit” beziehungsweise der “Pseudonymisierung und Anonymisierung” bei der Fortentwicklung künstlicher Intelligenz umsetzen lassen.
So ist nach dem aktuellen Stand der Technik davon auszugehen, dass mittlerweile jede Smartphone-Tastatur mit speziellen Features ausgestattet sind, die einem insgesamt vereinfachten Bedienungsprozesses auf nutzerfreundliche Art und Weise Rechnung tragen. In diesem Zusammenhang müsse der Fokus auf die Entstehung neuartiger Wortbildungen gelegt werden, welche dem technischen System zunächst unbekannt sind. So habe sich in der Vergangenheit beispielsweise der Begriff “hangry” etabliert, welcher sich aus den Adjektiven “hungry” und “angry” zusammensetzt und zunächst in keinem Lexikon zu finden gewesen ist. Aus technischer Sicht profitiert beziehungsweise “lernt” das System vom Verhalten des jeweiligen Nutzers, der den jeweiligen Begriff manuell auf der Tastatur des Smartphones eintippen muss. Der sich daran anschließende maschinelle Lernprozess könne laut Meyerdierks sowohl zentral durchgeführt werden, als auch auf dezentrale Weise erfolgen. Hierbei sei bedingt durch eine spezielle technische Implementierung ein regelmäßiger Austausch individueller Lernfortschritte möglich, ohne dass personenbezogene Daten des Nutzers erfasst würden. Zudem könne der hier genannte Prozess ausschließlich auf das Endgerät des Nutzers verlagert werden. Sinn und Zweck des dezentralen Lernvorganges sei jedoch in erster Linie die Partizipierung der erzielten Lernerfolge an weitere Nutzer zu ermöglichen. Dazu werde jedes Endgerät mit einem “Machine-Learning-Code” ausgestattet, welcher die individuelle Eingaben auf der Tastatur erfasst und weiterverarbeitet. Die daraus resultierenden Lernbeiträge werden anschließend in verschlüsselter Form (“Secure Aggregation”) dem zentralen System zur Verfügung gestellt, ohne dass die Lernbeiträge den einzelnen Nutzers bzw. den einzelnen Geräten zugeordnet werden können. Die hier aufgezeigte Methode veranschaulicht die Integration datenschutzrechtlicher Grundsätze in die Fortentwicklung künstlicher Intelligenz im Bereich mobiler Endgeräte.
Praktische Umsetzung in Bezug auf die Löschung von Daten
Einen umfangreichen Überblick zu der Thematik “Löschen von Daten im Unternehmen” gewährte Frank Heisel (Heisel Consulting), welcher unter anderem auf das innerhalb der DSGVO reglementierte Erfordernis hingewiesen hat, personenbezogene Daten in regelmäßigen Abständen auf bestehende Aufbewahrungsfristen hin zu überprüfen. Speziell für den Fall, dass Daten auf unterschiedlichen Systemen abgelegt sind, solle grundsätzlich verhindert werden, dass diese Daten “in Vergessenheit geraten”, was eine potentielle Entstehung sogenannter “Datenfriedhöfe auf Systemlandschaften” zur Folge haben könne. Eine Löschung von Daten habe grundsätzlich in Abhängigkeit des jeweiligen Verarbeitungszwecks zu erfolgen, woraus wiederum unterschiedliche Aufbewahrungspflichten resultieren können. Denkbar sei ebenfalls die Entfernung einzelner Teile aus einem Stammdatensatz, welche für eine gesetzliche Aufbewahrung keine Relevanz haben. Zudem müsse eine genauere Betrachtung erfolgen im Hinblick auf das Vorliegen etwaiger Schnittstellen beziehungsweise an eine Weitergabe von Daten an nachgelagerte Systeme, so dass sich im Ergebnis der Löschvorgang konsequenterweise sowohl auf das Quellsystem, als auch auf das jeweilige Zielsystem, erstrecken muss. Im Rahmen der praktischen Durchführung eines Löschvorganges seien regelmäßig auch solche Daten zu berücksichtigen, deren weitergehende Speicherung durch gesetzliche Aufbewahrungspflichten und/oder sonstige berechtigte Interessen legitimiert werden. Zu denken sei in diesem Zusammenhang an solche Daten, dessen Verfügbarkeit beispielsweise im Rahmen einer Betriebsprüfung gesetzlich vorgeschrieben sind. Auch in Bezug auf innerhalb von Back-Ups gespeicherter Daten müssen Integrität und Verfügbarkeit der Daten fortlaufend und ausnahmslos gewährleistet sein. Die Tatsache, dass sich die allgemeine Verpflichtung im Hinblick auf die Implementierung eines allgemeinen Löschkonzepts ebenfalls auf ein Archivierungssystem von Daten bezieht, wurde ebenfalls betont sowie die Nachweisverpflichtung im Hinblick auf erfolgreich gelöschte Daten. Als Alternative zum klassischen Löschverfahren stehe regelmäßig die Durchführung einer Anonymisierung von Daten, welche bedingt durch diesen Vorgang ihren jeweiligen Personenbezug verlieren. Da es speziell im Hinblick auf das Löschen von Daten innerhalb eines Mail-Postfachs momentan noch an einem praktisch durchsetzbaren und effizienten, softwareseitigen Lösungsansatz fehle, sei ein manuell durchgeführter Löschungvorgang aktuell unerlässlich. Hierbei könne laut Heisel beispielsweise im Vorfeld eine Klassifizierung der Daten erfolgen.
Screenshots von der Digitalen Datenschutzkonferenz 2020 der dfv Mediengruppe