Kernpunkte:
- Koalitionsvertrag 2021-2025 auf Bundesebene
- Die Europäische Datenstrategie
- Forschungsdaten
- Trends dieses Jahrzehnts
2 Datenschutz und Informationsfreiheit – global und national
Datenschutz und Informationsfreiheit sind selbstverständlich nicht nur Landesthemen, sondern werden von Entwicklungen auf nationaler, europäischer und internationaler Ebene beeinflusst. Diese Entwicklungen gilt es im Blick zu haben. Ein Ausschnitt der wichtigen Themen im Jahr 2022 wird im Folgenden vorgestellt.
2.1 Die Roadmap für Deutschland: der Koalitionsvertrag 2021-2025
Der Koalitionsvertrag auf Bundesebene stammt zwar schon aus dem Jahr 2021, doch er ist natürlich auch im Berichtsjahr relevant gewesen, um das Programm der Bundesregierung und der Koalitionspartner in Fragen von Datenschutz und Informationsfreiheit zu verstehen und dort aktiv werden zu können, wo Bezugspunkte bestehen. Während konkrete Projekte für Bundesbehörden in der Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegen, gibt es auch Stellen im Koalitionsvertrag, die sich auf Angelegenheiten in unserer Zuständigkeit beziehen oder anderweitig Auswirkungen auf die Bürgerinnen und Bürger in Schleswig-Holstein haben.
Besonders spannend sind für uns die Aussagen, in denen digitale Bürgerrechte verortet sind, beispielsweise im Abschnitt „Digitale Bürgerrechte und IT-Sicherheit“:
Aus dem Koalitionsvertrag 2021-2025 auf Bundesebene (Seite 16):
Wir stärken digitale Bürgerrechte und IT-Sicherheit. Sie zu gewährleisten ist staatliche Pflicht. Wir führen ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement, mit dem Ziel, Sicherheitslücken zu schließen, und die Vorgaben „security by design/default“ ein. Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten. Hersteller haften für Schäden, die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden.
Diese Passagen klingen aus Datenschutzsicht vielversprechend. Ein Manko mag allerdings in der Tatsache liegen, dass diese Ideen in ähnlichen Worten schon im vorherigen Koalitionsvertrag 2018-2021 zwischen CDU, CSU und SPD festgelegt waren. Und auch in dem Koalitionsvertrag davor – für die Jahre 2013-2017 ebenfalls zwischen CDU, CSU und SPD – wurden sie ausgehandelt. Seit den Snowden-Enthüllungen im Jahr 2013 (35. TB, Tz. 2.1) ist das Bewusstsein für die Wichtigkeit von vertrauenswürdiger Sicherheit für Bürgerinnen und Bürger, Unternehmen und Verwaltung in der Bundespolitik prinzipiell vorhanden, wie die Koalitionsverträge seit jenem Jahr zeigen. Bei den Konsequenzen daraus und der Umsetzung der Ankündigungen in den Koalitionsverträgen ist man über die ersten Schritte bisher jedoch nicht hinausgekommen. Wird sich dies nun ändern?
Aber schauen wir weiter: Auch zu Fragen der Überwachung oder zu anonymen und pseudonymen Nutzungen legt sich der Koalitionsvertrag erfreulich klar fest:
Aus dem Koalitionsvertrag 2021-2025 auf Bundesebene (Seite 17 f.):
Allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht lehnen wir ab. Anonyme und pseudonyme Online-Nutzung werden wir wahren.
Der Koalitionsvertrag betont die Gewährleistung des Rechts auf Anonymität:
Aus dem Koalitionsvertrag 2021-2025 auf Bundesebene (Seite 109):
Das Recht auf Anonymität sowohl im öffentlichen Raum als auch im Internet ist zu gewährleisten.
Außerdem werden Anonymisierungstechniken in den Blick genommen:
Aus dem Koalitionsvertrag 2021-2025 auf Bundesebene (Seite 17):
Wir fördern Anonymisierungstechniken, schaffen Rechtssicherheit durch Standards und führen die Strafbarkeit rechtswidriger Deanonymisierung ein.
In der Tat besteht hier Bedarf an Entwicklungen und an Standards, um den Personenbezug in Daten zu erkennen und irreversibel (oder im Fall der Pseudonymisierung: reversibel) beseitigen zu können. Die folgenden Fragen werden dabei eine wichtige Rolle spielen (siehe auch unser Policy Paper im Forum Privatheit, Tz. 8.1):
- Eine wirkliche Anonymisierung von personenbezogenen Daten geht zwangsläufig mit einem Informationsverlust einher. Wie lässt sich erreichen, dass die anonymisierten Daten noch die notwendigen Informationen für den jeweiligen Zweck enthalten?
- Wie soll mit der Situation umgegangen werden, dass sich ein vermeintlich anonymisierter Datenbestand als doch personenbezogen herausstellt? Was bedeutet dies in Bezug auf schon erfolgte oder weiterhin geplante Datennutzungen – und vor allem für die betroffenen Personen?
- Wie lässt sich das Risiko realistisch abschätzen, das mit der Verarbeitung der (vermeintlich?) anonymisierten Daten verbunden ist? Welche risikoeindämmenden Maßnahmen können, sollten oder müssen vorausschauend getroffen oder zumindest vorbereitet werden?
- Wie ließe sich eine Strafbarkeit rechtswidriger Re-Identifizierung ohne unerwünschte Nebenwirkungen einführen? Schließlich dürfen Verantwortliche, die die Qualität von Anonymisierung in den eigenen Verarbeitungen überprüfen, und Forschende, die gerade im Sinne der Entwicklung verbesserter Datenschutzgarantien Angriffe auf die Anonymisierung von Daten untersuchen, nicht kriminalisiert werden. Auch muss vermieden werden, dass eine solche Regelung den notwendigen Fortschritt bei Anonymisierungsmethoden konterkariert, wenn die Verantwortlichen das Unter-Strafe-Stellen einer Re-Identifizierung als ausreichenden Schutz ansähen.
Mit diesen Fragen werden auch wir uns genauer beschäftigen, u. a. im Rahmen des Projekts AnoMed (Tz. 8.5).
Vorarbeiten sind
bereits auf unserer Webseite zu finden (40. TB, Tz. 8.3):
https://uldsh.de/pseudoAnon
Koalitionsvertrag 2021-2025:
https://www.bundesregierung.de/resource/blob/974430/1990812/04221173eef9a6720059cc353d759a2b/2021-12-10-koav2021-data.pdf
Kurzlink: https://uldsh.de/tb41-2-1b
Was ist zu tun?
Die Ziele im Koalitionsvertrag zu digitalen Bürgerrechten sollten ernst genommen und vor allem auf eine sinnvolle Art und Weise in die Praxis umgesetzt werden. Dabei unterstützen wir gern.
In Bezug auf Anonymisierung ist in besonderem Maße dafür Sorge zu tragen, dass unzureichende Schnellschüsse bei Standards und der Gesetzgebung vermieden werden, damit nicht diejenigen benachteiligt werden, die eine „echte“ Anonymisierung entsprechend den Anforderungen des Datenschutzrechts vornehmen.
2.2 Beschäftigtendatenschutz – jetzt aber wirklich
Im Koalitionsvertrag 2021-2025 wird es – wieder einmal – versprochen, aber derartige Anläufe gab es schon viele: Regelungen zum Beschäftigtendatenschutz. Im Januar 2022 hatte die beim Bundesministerium für Arbeit und Soziales zur Fortentwicklung des Beschäftigtendatenschutzes eingerichtete unabhängige und interdisziplinäre Expertenkommission Thesen und Empfehlungen vorgelegt (40. TB, Tz. 2.6). Auch die Landesbeauftragte für Datenschutz Schleswig-Holstein war vom Bundesarbeitsminister in diesen Beirat berufen worden und wirkte inhaltlich mit (39. TB, Tz. 2.4). Wir haben uns außerdem mit dem Thema des Beschäftigtendatenschutzes in einem Projekt zu „Datenschutz in digitalen Arbeitswelten“ beschäftigt (Tz. 8.2).
Aus dem Koalitionsvertrag 2021-2025 auf Bundesebene (Seite 17):
Wir schaffen Regelungen zum
Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie
Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.
Die Fragen des Ob und Wie eines Beschäftigtendatenschutzgesetzes konnten im Jahr 2022 auf Bundesebene noch nicht abschließend geklärt werden. So liegt auch noch kein Gesetzentwurf vor. In dieser Situation hat die Datenschutzkonferenz im April 2022 den Gesetzgeber aufgefordert, gesetzliche Regelungen in einem eigenständigen Beschäftigtendatenschutzgesetz zumindest für die folgenden Bereiche im Beschäftigtenkontext zu schaffen:
- Einsatz algorithmischer Systeme einschließlich künstlicher Intelligenz,
- Grenzen der Verhaltens- und Leistungskontrolle,
- Ergänzungen zu den Rahmenbedingungen der Einwilligung,
- Regelungen über Datenverarbeitungen auf Grundlage von Kollektivvereinbarungen,
- Regelungen zum Verhältnis zwischen § 22 und § 26 BDSG sowie zu Artikel 6 und 9 DSGVO,
- Beweisverwertungsverbote,
- Datenverarbeitung bei Bewerbungs- und Auswahlverfahren.
Die Datenschutzkonferenz hält die bisherige Regelung des § 26 BDSG angesichts der heutigen Entwicklungen für nicht mehr hinreichend praktikabel, normenklar und sachgerecht. Die daraus erwachsenden Interpretationsspielräume führen in der Praxis zu Unklarheiten für Arbeitgeber, Beschäftigte, Bewerberinnen und Bewerber sowie Personalvertretungen.
Thesen und Empfehlungen der Expertenkommission sind zu finden unter:
https://www.bmas.de/SharedDocs/Downloads/DE/Arbeitsrecht/ergebnisse-beirat-beschaeftigtendatenschutz.pdf
Kurzlink: https://uldsh.de/tb41-2-2a
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 29. April 2022: „Die Zeit für ein Beschäftigtendatenschutzgesetz ist ‚Jetzt‘!“:
https://datenschutzkonferenz-online.de/media/en/Entschliessung_Forderungen_zum_Beschaeftigtendatenschutz.pdf
Kurzlink: https://uldsh.de/tb41-2-2b
Was ist zu tun?
Zusammen mit den anderen Mitgliedern
der Datenschutzkonferenz werden wir die Entwicklungen zur Fortentwicklung des Beschäftigtendatenschutzes
begleiten. Das umfasst nicht nur die Kommentierung des erwarteten
Gesetzentwurfs, sondern auch die Beschäftigung mit Problemen und fairen
Lösungen in der betrieblichen oder behördlichen Praxis.
2.3 Die Europäische Datenstrategie – und der Datenschutz?
Aus der Europäischen Datenstrategie:
„Die EU schafft einen Binnenmarkt für Daten, in dem
- Daten innerhalb der EU und branchenübergreifend zum Vorteil aller weitergegeben werden können,
- europäische Vorschriften, insbesondere zum Schutz der Privatsphäre und zum Datenschutz, sowie das Wettbewerbsrecht in vollem Umfang eingehalten werden,
- die Regeln für Datenzugang und Datennutzung gerecht, praktikabel und eindeutig sind.“
Der Startschuss ist längst gefallen: Die Europäische Datenstrategie setzt auf EU-weite und branchenübergreifende Datenweitergaben zum Nutzen von Unternehmen, Forschenden und öffentlichen Verwaltungen. Steht das nicht im Widerspruch zum Datenschutz, der doch erst vor kurzem EU-weit reformiert wurde? Sieht man sich die vorgeschlagenen Regelungen an, wird darin betont, dass selbstverständlich alle Verarbeitungen gemäß den Vorgaben der europäischen Datenschutzanforderungen umgesetzt werden.
Auf Anfrage der EU-Kommission vom Februar 2022 haben sich der Europäische Datenschutzausschuss (EDSA, auf Englisch: EDPB), in dem die Datenschutzaufsichtsbehörden aller EU-Mitgliedstaaten vertreten sind, zusammen mit dem Europäischen Datenschutzbeauftragten (EDSB) auf eine Rückmeldung zu dem Entwurf eines Datengesetzes (Data Act) verständigt und dies Anfang Mai 2022 als gemeinsame Stellungnahme vorgelegt. Begrüßt wird, dass der Gesetzgeber mit dem Entwurf zum Datengesetz die Datenschutzgesetzgebung im Prinzip unberührt lässt. Im Detail kann man der Stellungnahme jedoch viele Fragen und Hinweise entnehmen, wo noch Klärungsbedarf besteht – denn bei den neuen Vorschlägen zu Datenzugang und Datennutzung sollen personenbezogene Daten – selbst sensible Daten wie z. B. aus dem Gesundheitsbereich – umfasst sein. Deutlich wird bei der näheren Betrachtung, dass es essenziell sein wird, das Zusammenspiel der bereits vorhandenen und der geplanten Rechtsakte mit Bezug zu (auch personenbezogenen) Daten zu betrachten, um die Chancen, die Risiken und notwendigen oder empfehlenswerten Maßnahmen zur Risikobeherrschung zu verstehen.
Da gleichzeitig an vielen gesetzgeberischen Baustellen gearbeitet wird, ist dies keineswegs trivial: Neben dem Datengesetz (Data
Act), das im Entwurf vorliegt, spielen die bereits in Kraft getretenen Gesetze wie der Daten-Governance-
Rechtsakt (Data Governance Act),
das Gesetz über digitale Märkte (Digital Markets Act) und
das Gesetz über digitale Dienste (Digital Services Act) eine
Rolle für Fragen der Datennutzung; sie werden im Laufe der nächsten Monate
(Ende 2023/Anfang 2024) wirksam werden. Wie mittlerweile immer, wenn es um
große Datenmengen geht, werden Methoden der künstlichen Intelligenz bei der
Auswertung zum Einsatz kommen, sodass zusätzlich das Gesetz über künstliche
Intelligenz (AI Act) für
die Umsetzung der Europäischen Datenstrategie Relevanz entfalten wird, das im
Entwurf vorliegt und noch zwischen Kommission, Rat und Parlament verhandelt
werden muss.
Ein Augenmerk der Datenschutzaufsichtsbehörden wird künftig auf den Datenräumen liegen, in denen europäische Daten aus Schlüsselsektoren – wie Mobilität oder Gesundheit – zusammengeführt werden. Auch die angekündigten Maßnahmen zur Stärkung der Nutzenden, wonach sie mit Rechten, Werkzeugen und Kompetenzen ausgestattet werden sollen, um die Kontrolle über ihre Daten zu behalten, müssen im Hinblick auf ihre Wirksamkeit und etwaige unerwünschte Nebenwirkungen untersucht werden.
Auch aus informationstechnischer Sicht – man denke an Datenschutz „by Design“ – gibt es wertvolle Beiträge für ein faires und vor allem datenschutzkonformes Datenteilen. Dies war Mittelpunkt der Diskussion im Jahr 2022 in der „Ad-Hoc Working Group on Data Protection Engineering“ der Agentur der Europäischen Union für Cybersicherheit (ENISA), an der die Landesbeauftragte für Datenschutz Schleswig-Holstein ebenso wie Vertreter von Datenschutzaufsichtsbehörden aus anderen EU-Staaten sowie Forschenden im Bereich der datenschutzgerechten Systemgestaltung mitwirkt. Der Bericht „Engineering Personal Data Sharing – Emerging Use Cases and Technologies“ ist Anfang 2023 veröffentlicht worden:
https://www.enisa.europa.eu/publications/engineering-personal-data-sharing
Kurzlink: https://uldsh.de/tb41-2-3a
Europäischer Datenschutzbeauftragter (EDSB): Stellungnahme des EDSB zur Europäischen Datenstrategie, 16. Juni 2020:
https://edps.europa.eu/sites/edp/files/publication/20-06-16_opinion_data_strategy_de.pdf
Kurzlink: https://uldsh.de/tb41-2-3b
EDPB-EDPS Joint Opinion 2/2022 on the Proposal of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act), angenommen am 4. Mai 2022 (in englischer Sprache):
https://edpb.europa.eu/system/files/2022-05/edpb-edps_joint_opinion_22022_on_data_act_proposal_en.pdf
Kurzlink: https://uldsh.de/tb41-2-3c
Was ist zu tun?
Der Gesetzgeber ist aufgefordert,
die ehrgeizige Aufgabe zur Umsetzung der Europäischen Datenstrategie im
Einklang mit den europäischen Grundrechten und den Datenschutzanforderungen zu erfüllen.
Dies gilt auch für die Umsetzung der europäischen Vorgaben auf nationaler
Ebene. Dabei sollte der Sachverstand der Datenschutzaufsichtsbehörden
einfließen.
2.4 Wissenschaftliche Forschung – selbstverständlich mit Datenschutz
Verhindert der Datenschutz die wissenschaftliche Forschung mit Daten? Natürlich nicht! Die Datenschutz-Grundverordnung sieht mit ihrem Artikel 89 sogar eine Privilegierung der Verarbeitung von personenbezogenen Daten zu wissenschaftlichen oder historischen Forschungszwecken vor. Achtung: Damit ist nicht die Auswertung personenbezogener Daten von Kundinnen und Kunden globaler Konzerne zu eigenen Geschäftszwecken gemeint!
Selbstverständlich müssen die nötigen Garantien zur Einhaltung der Datenschutzanforderungen vorhanden sein.
Art. 89
Abs. 1 Satz 1-2 DSGVO
(1) Die Verarbeitung zu im
öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder
historischen Forschungszwecken oder zu statistischen Zwecken unterliegt
geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß
dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische
und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des
Grundsatzes der Datenminimierung gewährleistet wird.
Die Datenschutzkonferenz hat sich im Jahr 2022 ausgiebig mit Datenschutz im Forschungsbereich beschäftigt und dazu mehrere Entschließungen verfasst. In der ersten Entschließung vom 23. März 2022 ging es um allgemeine Aspekte im Wechselspiel zwischen Forschung und Datenschutz. Dies war der Auftakt für die Arbeit der Taskforce Forschungsdaten (Tz. 4.5.1), die sich insbesondere mit länderübergreifenden Datenschutzfragen der Verbundforschung beschäftigt. Die Forschung in Deutschland bezieht sich in den seltensten Fällen auf ein Bundesland – und schon kann schnell die Situation entstehen, dass den Forschenden nicht mehr klar ist, welche Datenschutzregeln für welche Daten gelten und wer die zuständige Ansprechstelle ist. Ganz besonders deutlich wird dies im medizinischen Bereich angesichts der verschiedenen Landeskrankenhausgesetze (für Schleswig-Holstein siehe 39. TB, Tz. 4.5.6).
Die Datenschutzaufsichtsbehörden stehen gesetzlichen Harmonisierungen und der Standardisierung von geeigneten und angemessenen Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen offen gegenüber. Die weitere Arbeit an diesen Themen wird ohnehin den europäischen Kontext berücksichtigen müssen (Tz. 2.3).
Die generellen Festlegungen der Datenschutzkonferenz können den folgenden Dokumenten entnommen werden:
Entschließung Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 23. März 2022: „Wissenschaftliche Forschung – selbstverständlich mit Datenschutz“:
https://www.datenschutzkonferenz-online.de/media/en/DSK_6_Entschliessung_zur_wissenschaftlichen_Forschung_final.pdf
Kurzlink: https://uldsh.de/tb41-2-4a
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24. November 2022: „Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“:
https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf
Kurzlink: https://uldsh.de/tb41-2-4b
Was ist zu tun?
Im Forschungsbereich besteht
weiterhin Bedarf an einem konstruktiven Austausch zwischen Gesetzgebung,
Praxis und Datenschutz. Die begonnenen Initiativen für Verbesserungen der
Forschung mit Datenschutz sollen fortgesetzt werden.
2.5 Alles im Fluss – Umgang mit ständigen Veränderungen
Panta rhei (altgriechisch: πάντα ῥεῖ) – alles fließt! Diese alte Erkenntnis, die dem griechischen Philosophen Heraklit zugeschrieben wird, gilt in gewissem Sinne immer und für alle Lebenssachverhalte. Doch die Geschwindigkeit, in der sich Verarbeitungssysteme ändern, ist in der vergangenen Zeit immer höher geworden. Um im Beispiel zu bleiben: Es ist schon längst nicht mehr die Fließgeschwindigkeit eines gemächlich vor sich hin plätschernden Baches, sondern eher die eines reißenden Stromes oder gar des wirbeligen Soges eines Strudels.
Eine hohe Geschwindigkeit muss nicht schlecht sein: Schon weil immer wieder Schwachstellen in den Verarbeitungssystemen gefunden werden, soll es beim Ausbessern (Patchen) von Sicherheitslücken keine Verzögerungen geben. Gerade wenn es um das Treffen von Maßnahmen geht, um das IT-System gegen Angriffe zu schützen oder im Fall einer Datenpanne für Abmilderungen der Auswirkungen etwaiger Schäden für betroffene Personen zu sorgen, ist Eile geboten.
Doch auch unabhängig von diesen Fällen kommen neue Versionen der Soft- und Hardware auf den Markt, ändern sich die Vereinbarungen (wie ein Vertrag oder ein Addendum) oder werden neue Geschäftsmodelle eingeführt. Ob die Änderungen aus Datenschutzsicht zu Verbesserungen oder zu Verschlechterungen führen oder dieser Bereich gar nicht betroffen ist, lässt sich zumeist nicht so schnell und schon gar nicht auf einen Blick zuverlässig herausfinden – weder vom Verantwortlichen noch von den Aufsichtsbehörden.
Im Jahr 2022 wurde dies beispielsweise im Fall der Facebook-Fanpages deutlich: Für unseren im Jahr 2011 begonnenen Rechtsstreit erhielten wir nun endlich von der letzten gerichtlichen Instanz – dem Schleswig-Holsteinischen Oberverwaltungsgericht – die Gründe des ergangenen Urteils vom 25.11.2021 (Tz. 7.1 sowie 40. TB, Tz. 7.3). Das Urteil bezog sich auf die Gegebenheiten von 2011, sowohl was die technische Realisierung als auch die damalige Rechtslage betrifft. War das Urteil nun lediglich ein Erfolg von historischer Relevanz und womöglich nur akademischem Wert? Oder ließen sich die Urteilsgründe auch auf die heutige Situation übertragen?
Zur Klärung dieser Frage galt es, gemeinsam mit den anderen Teilnehmenden der von uns geleiteten Taskforce Facebook-Fanpages das Urteil und die Gründe genau zu analysieren und in die Gegenwart zu übertragen (Tz. 7.1). Die Ergebnisse stellten wir in Form eines Kurzgutachtens zur Verfügung. Doch auch dieses Kurzgutachten musste noch einmal angepasst werden, weil die Firma Meta (wie die vormalige Firma Facebook nun heißt) insbesondere die Vereinbarungen zum Angebot der Pages (wie die Fanpages nun heißen) und die Verarbeitung der Cookie-Daten geändert hatte.
Solche „Moving Targets“ sind nicht die Ausnahme, sondern die Regel. Ähnliches war auch im Fall von Microsoft 365 festzustellen, als die Firma nach Veröffentlichung der über viele Monate erarbeiteten Berichte der DSK (Tz. 6.2.3) Änderungen für Europa ankündigte, die noch nicht Bestandteil der Ausarbeitungen sein konnten, aber nun in Bezug auf die datenschutzrechtlichen Auswirkungen betrachtet werden müssen. Dabei kann die Bewegung durchaus in Richtung „mehr Datenschutz“ laufen, aber es gibt auch Fälle, in denen die Veränderungen dazu führen, dass sich die Entscheidungen von Aufsichtsbehörden oder Gerichten auf einen völlig veralteten Stand beziehen und zur Durchsetzung einer datenschutzgerechten Verarbeitung personenbezogener Daten das „Hase-und-Igel-Spiel“ erneut beginnt.
Veränderungen gehören zu den Punkten, die im Rahmen eines Datenschutzmanagementsystems beim Verantwortlichen identifiziert und bewertet werden müssen. Es wäre naiv zu glauben, dass die Datenschutzaufsichtsbehörden es leisten könnten, alle Auswirkungen aller Änderungen von allen (oder zumindest allen verbreiteten) informationstechnischen Systemen, die eine Rolle bei der Verarbeitung personenbezogener Daten spielen könnten, kurzfristig zu prüfen und zu beurteilen. In diesem Bereich müssen Regeln und Abläufe entwickelt werden, die es den Verantwortlichen erlauben, ihrer Rechenschaftspflicht nachzukommen. Ein wichtiger Bestandteil ist dabei die korrekte Information über Auswirkungen von Änderungen durch die Hersteller der Produkte, Dienste und Anwendungen sowie durch Dienstleister.
2.6 Trends dieses Jahrzehnts – was auf uns zukommt …
Zu unseren Aufgaben gehört es, maßgebliche Entwicklungen zu verfolgen, die sich auf den Schutz personenbezogener Daten auswirken.
Art. 57
Abs. 1 Buchst. i DSGVO
(1) Unbeschadet anderer in dieser Verordnung
dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
[…]
(i) maßgebliche Entwicklungen
verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken,
insbesondere die Entwicklung der Informations- und Kommunikationstechnologie
und der Geschäftspraktiken; […]
Das ist eine spannende Aufgabe, bei der wir zumindest versuchen, sowohl die Konzepte und Umsetzungen für Datenschutz „by Design“ und „by Default“ als auch die Herausforderungen und neue Risiken durch den technischen Fortschritt oder durch Geschäftspraktiken im Blick zu haben. Je früher wir Probleme oder Lösungen antizipieren und dies in unsere Stellungnahmen und Beratungen aufnehmen können, desto größer ist der Effekt im Sinne einer grundrechtskonformen Gestaltung und Garantien für die Rechte und Freiheiten der Menschen. Aus diesem Grund soll an dieser Stelle ein kurzer Abriss über das gegeben werden, was wir in diesem Jahrzehnt erwarten.
Bei der Sammlung der folgenden Punkte zum technischen Fortschritt in diesem Jahrzehnt hat der Chatbot ChatGPT „mitgeholfen“ – und wie zu erwarten war, nennt er (oder sie oder es?) die künstliche Intelligenz an erster Stelle:
- Künstliche Intelligenz und Machine Learning: Die KI-Technologien werden in immer mehr Verarbeitungen von Daten Einzug halten. Gerade bei der Verarbeitung von großen Datenmengen und bei dem Feststellen von Mustern ist die KI dem Menschen überlegen. Doch ob die Qualität der Ergebnisse wirklich immer weiter steigt oder sich stattdessen auch Fehler oder den Daten innewohnende Verzerrungen verfestigen, ist für viele Anwendungsbereiche offen. Auch ist zu klären, ob die aktuellen Datenschutzregeln – z. B. im Bereich der automatisierten Einzelentscheidungen – ausreichen. ChatGPT schreibt, dass die Entwicklung dazu führen könne, dass KI-Systeme komplexere Aufgaben und Prozesse automatisieren und eine höhere Genauigkeit und Zuverlässigkeit erreichen.
- Robotik und Automatisierung: Besonders im Bereich der Service-Roboter und der selbstfahrenden Fahrzeuge ist eine Weiterentwicklung zu erwarten, sodass sich auch die Einsatzbereiche ausweiten werden. Aus Datenschutzsicht muss besonders hingeschaut werden, welche Daten der Umgebung die Roboter und automatisierten Geräte (einschließlich der Fahrzeuge) auf welche Weise verarbeiten.
- Internet der Dinge (IoT): Das Internet der Dinge wird sich ebenfalls ausweiten, indem mehr Geräte und Systeme miteinander vernetzt werden und Daten in Echtzeit ausgetauscht werden. Beispiele sind Smart Homes und Smart Cities – und auch solche Verarbeitungen von Daten durch Sensoren oder Geräte im Internet gehören auf den Prüfstand der Datenschutzaufsicht, wenn ein Personenbezug gegeben ist.
- Quantentechnologien: Die Entwicklung im Quantencomputing und in der Quantenkommunikation wird zu Fragen in Bezug auf Informationssicherheit führen, weil die heutigen Annahmen und Einstufungen als Stand der Technik nicht mehr gelten. ChatGPT sieht optimistisch die Möglichkeit, dass die Rechenleistung und die Sicherheit erheblich verbessert werden.
- Biotechnologie und Gentechnik: Die Fortschritte in diesen Bereichen werden vermutlich zu neuen Möglichkeiten für die Medizin, die Landwirtschaft und die Umwelt führen, schreibt ChatGPT. Über die Risiken sagt er an dieser Stelle nichts – aber man kann den Chatbot direkt danach fragen, dann verfasst er auch zu dieser Aufgabenstellung einen Text.
Was ChatGPT über
sich selbst schreibt:
„Ich bin ChatGPT, ein KI-Modell, das
von OpenAI trainiert wurde, um Texte zu generieren und Fragen zu beantworten.
Ich funktioniere auf der Grundlage von maschinellem Lernen und
Transformer-Netzwerken. Ich wurde mit einer großen Menge an Texten trainiert,
um Trends und Muster in der Sprache zu erkennen und auf Eingaben zu reagieren.
Wenn ich eine Frage erhalte, analysiere ich sie und generiere eine Antwort
basierend auf den Mustern, die ich während des Trainings gelernt habe.“
Einen anderen Trend hat ChatGPT an dieser Stelle weggelassen – die Entwicklung des „Metaverse“ oder vielleicht verschiedener Metaversen, in denen Menschen in virtuellen Welten interagieren, spielen oder arbeiten. Durch die Möglichkeiten der „Augmented Reality“ (erweiterten Realität, z. B. mit besonderen Datenbrillen oder Datenanzügen) bleiben die Metaversen nicht auf eine reine Online-Erfahrung beschränkt. Die verschiedenen Entwicklungen der letzten Jahre könnten daher im Metaverse zusammenwachsen. Aus Datenschutzsicht stellen sich wieder viele Fragen, wenn die körperlichen und oft nicht bewusst steuerbaren Signale wie Pupillenveränderung oder Mimik von der Technik interpretiert werden und nicht nur zum Bewegen in der virtuellen Welt, sondern auch für ein Profiling der Interessen oder des Verhaltens ausgewertet werden. Das Geschäftsmodell der Finanzierung per individualisierter Werbung erhielte damit eine ganz neue Qualität von persönlichen Daten. Das Risiko einer Manipulation darf jedenfalls nicht auf die leichte Schulter genommen werden.
Schreibt das nächste Jahr ChatGPT diesen Bericht? Nein, sicherlich nicht. Der Chatbot ist zwar recht eloquent, aber er nimmt es mit Fakten nicht so genau oder argumentiert mit „erfundenen“ zusätzlichen Aspekten, die mit der Aufgabenstellung oder dem Sachverhalt gar nichts zu tun haben. Als Leserin oder Leser ist es manchmal gar nicht einfach festzustellen, welche Stellen Quatsch und welche ganz brauchbar sind. Werden wir künftig Beschwerden oder Stellungnahmen erhalten, die mit ChatGPT verfasst wurden? Ja, davon müssen wir ausgehen. Wenn die Absender sich nur sprachlich haben helfen lassen und sie gewährleisten, dass die Darstellungen korrekt sind, ist daran nichts auszusetzen.
Was ist zu tun?
Politik, Gesellschaft, die Datenschutzaufsichtsbehörden
und wir alle müssen die Entwicklungen mitverfolgen, möglichst verstehen, was
sie für Konsequenzen haben können, und einen risikoadäquaten Umgang damit
finden. Dazu kann auch gehören, dass wir rechtliche oder gesellschaftliche
Regeln diskutieren und festlegen müssen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |