KI und Digitalisierung – Nicht ohne Datenschutz

KI und Digitalisierung

Vor rund 400 Teilnehmenden startete am 20.11.2019 im Kölner Maternushaus die 43. DAFTA unter dem Titel „DS-GVO: Aktuelle Herausforderungen bis zur Künstlichen Intelligenz (KI)“. Die DAFTA ist eine der größten Fachtagungen zum Thema Datenschutz in Europa.

Die DS-GVO in der Rechtsprechung des EuGH
Nach der Eröffnung der DAFTA durch Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V. und Leiter der Forschungsstelle für Medienrecht an der TH Köln, sprach als erster Referent Prof. Dr. Thomas von Danwitz, Richter am Gerichtshof der Europäischen Union (EuGH). Der Präsident der 5. Kammer wies in seinem Vortrag „Die DS-GVO in der Rechtsprechung des EuGH“ darauf hin, dass viele Rechtsfragen der Datenschutzpraxis bei den nationalen Aufsichtsbehörden und nicht beim EuGH anhängig sind. Trotzdem steht der Gerichtshof in Luxemburg etwa bei der Übermittlung von Daten in Staaten außerhalb der EU bzw. des EWR vor bedeutsamen Entscheidungen. Nicht ohne Grund sind die Vereinigten Staaten (USA) diesen Verfahren vor dem EuGH zur Überprüfung der Standardvertragsklauseln („SSC“) und des „privacy shield“ beigetreten. Seiner Meinung nach führt die Globalisierung der Datenverarbeitung auch nicht zwangsläufig zu einer mangelnden Rechtsdurchsetzung.

Ethische Anforderungen an die Künstliche Intelligenz
Die Vorsitzende des Europäischen Ethikrates Prof. Dr. Christiane Woopen erläuterte die ethischen Anforderungen an die KI. Als Sprecherin der Datenethikkommission berichtete sie aus der Arbeit dieses Gremiums und stellte die Ergebnisse dieses Gremiums in den Kontext des Datenschutzes: „Algorithmen können keine Entscheidungen treffen, sondern Schlussfolgerungen ziehen und vieles mehr, aber die Letztentscheidung verbleibt beim Menschen.“ Nichts destotrotz gilt es für sie die – salopp formulierte – Frage zu beantworten: „Wie kriegt man die Ethik in den Algorithmus?“

Prüf- und Bußgeldpraxis der Aufsichtsbehörden
Dr. Stefan Brink, Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, erklärte in seinem Vortrag „Prüf- und Bußgeldpraxis der Aufsichtsbehörden“, dass er „stolz“ darauf sei, so fix gewesen zu sein und das erste in Deutschland bekannt gewordene Bußgeld verhangen zu haben. Seiner Auffassung nach seien alle von ihm verhangenen Bußgelder in der Höhe „zivil“ und „sehr verhältnismäßig und noch nicht mal abschreckend“. Aufsichtsbehörden anderer EU-Mitgliedstaaten praktizieren dagegen mitunter durchaus andere „Geschäftsmodelle“, wenn nämlich Bußgelder der Refinanzierung der eigenen Arbeit dienen.

Datenschutz keine Bremse für die Digitalisierung
In seinem Impulsvortrag unterstrich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber mit Blick auf die derzeitige Diskussion zur Datennutzung im Gesundheitswesen, dass „Datenschutz natürlich nicht etwas nur für Gesunde ist“. Unter Anwendung von Pseudonymisierung oder Anonymisierung erachtet er eine allgemein zugängliche Nutzung von Gesundheitsdaten für umsetzbar und geboten. Im Zuge der Digitalisierung hält er den Datenschutz nicht für eine Bremse, sondern sogar für einen möglichen Türöffner: „Datenschutz schafft Vertrauen in die Digitalisierung und kann die Digitalisierung damit sogar ermöglichen – nicht nur national und europäisch.“ Passend zum Titel der DAFTA wies der Bundesbeauftragte abschließend auf die spezifischen Voraussetzungen für die KI im Datenschutz hin. Eine Vielzahl von Fragen sind dabei noch zu klären: Wie ist Korrigierbarkeit von vorhandenen Daten gewährleistet? Wie transparent sind die algorithmischen Systeme?

Keine schnelle Einigung bezüglich der e-Privacy-Verordnung
Peter Büttgen, Abteilungsleiter beim BfDI, verspricht sich trotz der Bemühungen unter der aktuellen finnischen EU-Ratspräsidentschaft keine allzu schnelle Einigung bezüglich der e-Privacy-Verordnung im Rat. Er vermag – anders als teilweise berichtet wird – nicht zu erkennen, dass ein Abschluss der Beratungen im Rat kurz bevorsteht und der Trilog daran anknüpfen kann. Vielmehr erwartet er die finale Fassung des Rates in der 2. Jahreshälfte 2020 unter der dann deutschen Ratspräsidentschaft. Erst danach könnte der Trilog eingeleitet werden.

Diskussionsrunde

In der abschließenden Diskussionsrunde nahm neben den Vortragsreferenten auch Andreas Jaspers, Geschäftsführer der GDD, teil. Seiner Auffassung nach verdeutlicht sich gerade beim Einsatz von KI die Unschärfe des Art. 22 DS-GVO, wonach die betroffene Person das Recht hat, nicht einer ausschließlich automatisierten Einzelfallentscheidung unterworfen zu sein, wenn diese eine rechtliche Wirkung entfaltet. Zum Thema Gemeinsame Verantwortlichkeit bezog Dr. Brink innerhalb der Diskussion klar Stellung: „Art. 26 DS-GVO ist keine Rechtfertigungsgrundlage für Datenverarbeitung, sondern dient vielmehr dem Schutz des Betroffenen in komplexen Verarbeitungssituationen.“ Gerade beim Betrieb eine Facebook-Fanpage wird das Thema praktisch relevant und hier drohen auch Prüfungen: „Wir gehen tatsächlich an Fanpage-Betreiber dran. Das sind verantwortliche Stellen und die müssen auch Verantwortung übernehmen.“

(Bild von Gerd Altmann auf Pixabay)

Letztes Update:22.11.19

  • Stand der Technik

    Handreichung zum Stand der Technik

    Sowohl das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz bzw. ITSiG) als auch die europäische Datenschutz-Grundverordnung (DS-GVO) erwähnen den Begriff des Stands der Technik als eine Forderung, an der sich die IT-Sicherheit orientieren soll. Im Bereich des technischen Datenschutzes fordert die DS-GVO in Art. 32 DS-GVO zum Schutze der Rechte und Freiheiten natürlicher Personen

    Mehr erfahren
  • Wegweiser

    LDI NRW aktualisiert FAQ zum DSB

    Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) existiert erstmals eine europaweit verbindliche verpflichtende Regelung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter. Während die EG-Datenschutzrichtlinie (95/46/EG) die Verpflichtung zur Bestellung von Datenschutzbeauftragten lediglich als Alternative vorsah, um die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde entfallen zu lassen, wird sich mit Geltung der DS-GVO ab dem 25. Mai 2018 eine Bestellpflicht

    Mehr erfahren
  • Kündigung wegen Missbrauch von Kundendaten

    Missbrauch von Kundendaten: Fristlose Kündigung

    In seinem Urteil vom 15.01.2020 hat das Arbeitsgericht Siegen entschieden, dass der Missbrauch von Kundendaten durch einen IT-Mitarbeiter die fristlose Kündigung des Arbeitsverhältnisses rechtfertigen kann. Nach Ansicht des Arbeitsgerichts ist ein IT-Mitarbeiter verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese Pflichten rechtfertige in der Regel eine

    Mehr erfahren