x-ion auf der Datenschutz-Fachtagung 2023 des TÜV Nord
Unsere Datenschutzbeauftragte besuchte in diesem Jahr vom 23.03. – 24.03.2023 die Datenschutz-Fachtagung 2023 des TÜV Nord in Hamburg. Im Lindner Park-Hotel Hagenbeck wurden unter anderem aktuelle Entwicklungen im Bereich Datenschutz und Datensicherheit thematisiert sowie künftig geplante Änderungen rechtlicher Regulatorien sowie Hinweise und Anregungen auf die praktische Umsetzung erörtert.
Gesetzentwurf der PIMS-Verordnung gemäß § 26 TTDSG
Das Bundesministerium für Digitales und Verkehr (BMDV) hat unter Berücksichtigung des § 26 Absatz 2 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) einen Referentenentwurf in Bezug auf eine Verordnung über den Einsatz von Einwilligungsverwaltungssystemen, sogenannte Personal Information Management Systeme, “PIMS”, veröffentlicht.
Hintergrund und Ziel der Verordnung sei es laut Thomas Fuchs, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, eine Vereinheitlichung beziehungsweise eine insgesamt vereinfachte Handhabung bezüglich der Verwendung von Cookie-Bannern bei der Abgabe von Einwilligungserklärungen bei dem Besuch von Webseiten zu gewährleisten. Intention des Gesetzentwurfs sei es, den Nutzer pauschal und einmalig nach dessen Zustimmung oder Ablehnung im Hinblick auf das durch die Verwendung von Cookies ermöglichte Tracking zu fragen. Auf diese Weise sei es nicht mehr erforderlich, dem Nutzer bei jedem Websitebesuch erneut einen Cookie-Consent-Banner anzuzeigen. Die technische Umsetzung erfolge durch eine Hinterlegung der individuell ausgewählten Einstellungen bei einem Datentreuhänder, im Zuge dessen diese Einstellungen mit der entsprechenden IP-Adresse des Nutzers verknüpft werden.
Neben der technischen Implementierung und einer insgesamt nutzerfreundlicheren Umsetzung sei das Personal Information Management System laut Fuchs ebenfalls auf Konformität im Hinblick auf bestehende gesetzliche Bestimmungen zu prüfen. Hierbei stehen unter anderem die Grundsätze der Datenschutz-Grundverordnung im Vordergrund, wonach eine mögliche Einwilligung auf wirksame Weise erteilt werden könne, sofern der Nutzer unter Berücksichtigung der Anforderungen des Artikel 7 DS-GVO über die Tragweite der entsprechenden Datenverarbeitung hinreichend informiert sei. Ebenfalls in diesem Zusammenhang zu berücksichtigen sind die gesetzlichen Informationspflichten nach Art. 12 ff. DS-GVO.
Fuchs stellte hierbei die Frage in den Raum, inwiefern sich die hier genannten gesetzlichen Voraussetzung einer informierten Einwilligung erfüllen ließen, indem der Nutzer zum Zeitpunkt der Abgabe seiner Einwilligungserklärung noch gar keine Kenntnis über den Inhalt der künftig zu besuchenden Websites haben könne und zu diesem Zeitpunkt auch keine Transparenz im Hinblick auf die entsprechenden Zwecke und Rechtsgrundlagen der künftig stattfindenden Datenverarbeitungen sowie einer möglichen Weitergabe seiner Daten vorliege. Die Abgabe der Einwilligung erfolge lediglich in pauschaler Form.
Denkbar sei an dieser Stelle eine mögliche Kategorisierung, wonach der Nutzer anhand vorgegebener Kriterien die Abgabe seiner Einwilligungserklärung näher konkretisieren könne. Nichtsdestotrotz könne laut Fuchs bei Anwendung dieses Verfahrens nicht vollständig ausgeschlossen werden, dass trotz der allgemeinen Implementierung eines solchen Einwilligungsverwaltungssystems Betreiber von Webseiten auch weiterhin Cookie-Consent-Bannern auf Websites verwenden und der Nutzer somit auch in Zukunft nach seiner Zustimmung gefragt werde. Unklar sei zudem der offizielle Zeitpunkt der Gesetzesverabschiedung.
Entwicklungen zur Daten-Drittland-Übermittlung – Trans-Atlantic Data Privacy Framework
Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit, referierte über das zwischen der Europäischen Kommission und der US-Regierung vereinbarte Abkommen “Trans-Atlantic Data Privacy Framework” als Nachfolgemodell zu dem durch den Europäischen Gerichtshof für unwirksam erklärten Privacy Shield Agreement. In diesem Zusammenhang sollen künftig Datentransfers aus Europa in die USA weitgehend rechtlich legitimiert werden. Ebenfalls sei zu erwarten, dass im weiteren Verlauf auf Grundlage des Trans-Atlantic Data Privacy Framework ein entsprechender Angemessenheitsbeschluss der EU-Kommission ergehen werde.
Gleichfalls erörtert wurden künftig geplante Anpassungen des US-amerikanischen Rechtssystems, wonach die in der Vergangenheit geäußerten Kritikpunkte der Schrems-II-Entscheidung des Europäischen Gerichtshofes weitgehend umgesetzt werden sollen.
Betroffen seien laut Roßnagel insbesondere Überwachungskompetenzen der US-amerikanischen Behörden, welche aktuell unangemessen weit reglementiert seien. Durch das Trans-Atlantic Data Privacy Framework sollen speziell die bereits in Europa geltenden datenschutzrechtlichen Grundsätze der Notwendigkeit und Angemessenheit hinreichend berücksichtigt und umgesetzt werden.
Die ebenfalls im Rahmen der Schrems-II-Entscheidung aufgeworfene Problematik einer fehlenden Rechtsschutz- und Klagemöglichkeit für betroffene Personen soll durch das Abkommen daneben ebenfalls neu geregelt werden.
In diesem Zusammenhang sei ein zweistufiger Klagemechanismus vorgesehen, wonach eine betroffene Person aus Europa sich zunächst an eine Behörde in Europa beziehungsweise in dem entsprechenden Mitgliedstaat wenden solle und das Rechtsschutzbegehren sodann an eine US-amerikanische Institution weitergeleitet werde. Die finale gerichtliche Entscheidung ergehe weiterhin durch den sogenannten “Data Protection Review Court”; Roßnagel betonte in diesem Zusammenhang das hierbei künftig umzusetzende Verfahren unter Verwendung einer im Vorfeld definierten Entscheidungsformel und der damit einhergehenden Fragestellung im Hinblick auf eine langfristige Konformität mit den aktuellen in Europa geltenden gesetzlichen Bestimmungen.
Für die Dauer der Umsetzung der einzelnen Voraussetzungen des Trans-Atlantic Data Privacy Framework seien laut Roßnagel in etwa zwölf Monate angesetzt, sodass das Handelsabkommen voraussichtlich Ende 2023 in Kraft treten werde.
In Bezug auf die rechtliche Verbindlichkeit für deutsche Aufsichtsbehörden wurde auf die in § 21 BDSG statuierte Klagemöglichkeit hingewiesen, im Zuge dessen das entsprechende Verfahren zunächst durch das Bundesverwaltungsgericht und anschließend gegebenenfalls durch den Europäischen Gerichtshof entschieden werde. Unabhängig davon sei ebenfalls die Erhebung von Rechtsmitteln durch Privatpersonen denkbar.
Nachdenklich gestimmt zeigte sich Roßnagel abschließend im Hinblick auf die Tatsache, dass die Regelungen des US-amerikanischen Gesetzes “Foreign Intelligence Surveillance Act” (FISA), welches unter anderem staatliche Überwachungsmaßnahmen ermögliche, unabhängig von der Verabschiedung des Trans-Atlantic Data Privacy Framework bis auf weiteres in Kraft bliebe, so dass die Möglichkeit der Speicherung und Auswertung personenbezogener Daten künftig praktiziert werde.
Auch im Hinblick auf die gerichtliche Zuständigkeit des Data Protection Review Court sowie der Durchführung gerichtlicher Verhandlungen bestünden laut Roßnagel aktuell noch offene Fragestellungen.
Aus Sicht eines deutschen bzw. europäischen Unternehmens solle laut Roßnagel auf den Einsatz US-amerikanischer Tools daher möglichst vollständig verzichtet oder zumindest weitestgehend eingeschränkt werden. Langfristige Rechtssicherheit in Bezug auf den transatlantischen Datentransfer sei jedoch erst mit einer finalen Entscheidung des Europäischen Gerichtshofes zu erwarten.
Künstliche Intelligenz und Risiken der Diskriminierung
Patrick Walter, Geschäftsführer der “Walther Learning Solutions”, thematisierte den Einsatz künstlicher Intelligenz sowie die daraus entstehenden potentiellen Risiken im Hinblick auf Diskriminierung einzelner Personengruppen.
Eine entsprechende Signifikanz dieser Thematik ließe sich anhand der aktuell in 25 Ländern anhängigen Gesetzgebungsverfahren erkennen, so dass auch in globaler Hinsicht eine zunehmende Regulierungstendenz festzustellen sei.
Primäre Intention sei es laut Walter unter anderem, ethische Gesichtspunkte bei der Verwendung künstlicher Intelligenz zu berücksichtigen.
Die inhaltliche Ausgestaltung eines entsprechenden Gesetzentwurfs sowie der rechtlichen Sanktionsmöglichkeiten solle sich insgesamt an den Bestimmungen der Datenschutz-Grundverordnung orientieren und eine ähnliche Signalwirkung der Grundsätze “Privacy by Design” und “Privacy by Default” erzielen. Ethische Gesichtspunkte seien beispielsweise in der Form “Ethics by Design” denkbar und sollten für betroffene Personen insbesondere Fairness und Transparenz gewährleisten. Momentan seien laut Walter auf europäischer Ebene die Herausbildung unterschiedlicher Initiativen zu beobachten, wie beispielsweise der sogenannten „Daten-Ethikkommission“ mit dem Ziel, auf langfristige Sicht eine KI zu erstellen, welche diskriminierungsfreie Grundsätze befolge.
Welche konkreten Voraussetzungen bei der Erstellung einer solchen diskriminierungsfreien KI gelten, lässt sich anhand einer im Jahr 2021 von einer EU-Expertenkommission veröffentlichten Checkliste entnehmen (“Ethikleitlinien für eine vertrauenswürdige KI”). Demnach seien unterschiedliche Kernanforderungen zu berücksichtigen, unter anderem aus dem Bereich Datenschutz- und Datensicherheit sowie der Gewährleistung einer hinreichenden Transparenz für betroffene Personen. Ebenfalls betrachtet wurde die Frage, unter welchen technischen Voraussetzungen eine Manipulation von Daten möglich sei.
Dennoch bestünden laut Walter momentan noch keine verbindlichen Regelungen zum Thema Einsatz von künstlicher Intelligenz, sondern lediglich Empfehlungen. Die bestehende Lücke solle künftig jedoch durch die Verabschiedung des sogenannten “The Artificial Intelligence Act, AI-Act” geschlossen werden, wonach technische Anwendungen unter Berücksichtigung unterschiedlicher Risiken eingestuft würden, welche sodann als Grundlage künftig zu treffender Maßnahmen fungieren solle.
Demnach sei unter der Kategorie “hohes Risiko” insbesondere kritische Infrastrukturen zu definieren, ein minimales Risiko hingegen beispielsweise hinsichtlich KI-fähiger Computerspiele oder Spamfilter einzuordnen.
In Bezug auf die Einstufung eines bestehenden hohen Risikos sei nach den Vorgaben des AI-Acts die Durchführung eines Assessment Centers notwendig, welches die grundlegende Untersuchung nach sich ziehe, ob ein entsprechendes Produkt unter Berücksichtigung des bestehenden Risikos grundsätzlich auf den Markt gebracht werden könne.
Ebenfalls erläutert wurde die Frage, in welchen konkreten Bereichen der Einsatz künstlicher Intelligenz realisierbar sei. Laut Walter ließe sich dies im Hinblick auf eine Software im Bereich Personal bejahen, welche eine Vorauswahl in automatisierter Form potentiell geeigneter Bewerber trifft; als weitere Beispiele genannt wurde die Erhebung und Verwendung personenbezogener Daten zum Zweck der Analyse im Hinblick auf personalisierte Werbemaßnahmen sowie der Verwendung von Chatbots.
Ausschlaggebender Faktor im Hinblick auf eine mögliche Diskriminierung seien in erster Linie die entsprechenden Daten, mit welchen eine KI trainiert werde. So sei nach Walter beispielsweise von einer Diskriminierung auszugehen, sofern ein mit einem technischen Sensor ausgestatteter Seifenspender ausschließlich von Personen einer beliebigen Hautfarbe trainiert worden sei, mit der Folge, dass der Sensor ausschließlich eine bestimmmte Hautfarbe erkenne und sich dieser Aspekt im Nachgang in der Funktionalität des entsprechenden Produktes wiederspiegelt. Wäre die KI in dem genannten Beispiel hingegen mit unterschiedlichen Daten trainiert worden, ergebe sich im Hinblick auf die Funktionalität des Seifenspenders und einer damit einhergehenden Diskriminierung von Personengruppen keine Probleme. Diversität sei damit laut Walter essentieller Bestandteil in Bezug auf das Trainieren einer diskriminierungsfreien KI.
Für die Ermittlung einer potentiellen Diskriminierung seien folgende Gruppierungen zu berücksichtigen:
Hinsichtlich eines sogenannten “Prä-existierenden Bias” gestaltet sich die Funktionalität eines technischen Systems ausschließlich auf Grundlage der entsprechenden Daten, welche in das System eingegeben werden. Das Resultat hierbei ist die Übertragung gesellschaftlicher Stereotypen in das entsprechende technische System.
Ein “emergenter Bias” hingegen charakterisiert sich durch einen unkontrollierten Lernprozess und macht damit eine automatisierte Weiterentwicklung des entsprechenden Systems möglich. Je größer die verwendete Datenmenge, desto komplexer gestalte sich laut Walter die Durchführung einer im Nachgang stattfindenden Kontrolle über den jeweiligen Verarbeitungsprozess.
Als problematisch erweise sich die Gewährleistung von Transparenz für betroffene Personen im Hinblick auf das entsprechende algorithmische System. Hierbei sollen Funktionalitäten des AI-Systems sowie die praktische Umsetzung auf möglichst unkomplizierte Weise erklärt werden, gleichzeitig sei jedoch auch der Grundsatz des Geschäftsgeheimnisses hinreichend zu berücksichtigen. Speziell bei der Verwendung emergenter Bias, welche den Prozess des Weiterlernens auf unkontrollierte Weise ermöglichen, stellt die hier genannte Transparenzverpflichtung laut Walter eine nicht unerhebliche Herausforderung dar. Zudem fehle es momentan an der Definition effektiver Rechtsschutzmöglichkeiten.
Insgesamt bestehe aktuell noch ein hohes Maß an Umsetzungsbedarf in Bezug auf den Einsatz von Systemen im Bereich künstlicher Intelligenz, gesetzliche Ansätze seien in lediglich rudimentärer Form vorhanden. Zudem sei regelmäßig zu berücksichtigen, dass eine mögliche Diskriminierung keinesfalls unmittelbar von einem technischen KI-System ausgehe, sondern vielmehr in Abhängigkeit von den zu Trainingszwecken verwendeten Daten stehe. Datensätze sollten daher demnach künftig grundlegend ein gewisses Maß an Diversität aufweisen und insgesamt vielfältig ausgestattet sein, um auf langfristige Sicht eine diskriminierungsfreie und funktionsfähige KI zu gewährleisten.
Autor/Autorin: Team Compliance, QM & PM