Datenschützer beschließen Hambacher Erklärung zur Künstlichen Intelligenz

Die 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder tagte auf dem Hambacher Schloss

Nr.20190408  | 08.04.2019  | DSMV  | datenschutz-mv.de

Unter dem Vorsitz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Kugelmann, tagte die 97. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) am 3. und 4. April 2019 auf dem Hambacher Schloss. Der historische Ort des Kampfes um die Freiheit war gewählt worden, um den Willen der deutschen Datenschutzaufsichtsbehörden zu verdeutlichen, für einen effektiven Grundrechtsschutz einzutreten und ihren Beitrag zur Sicherung von Freiheit in der digitalen Welt zu leisten.

Landtagspräsident Hendrik Hering begrüßte die Teilnehmerinnen und Teilnehmer und stellte den Zusammenhang zwischen Demokratie und Datenschutz heraus. Er hob hervor:

„Die Parlamente und die Beauftragten für den Datenschutz sind Verbündete, wenn es darum geht, die Selbstbestimmung der Bürgerinnen und Bürger in einer demokratischen Gesellschaft zu schützen. Ein unabhängiger und professioneller Datenschutz ist unverzichtbar. Er ist unverzichtbar, um beides zu gewährleisten: Transparenz, wo sie möglich ist, und Privatheit und Vertraulichkeit, wo sie nötig sind.“

Hambacher Erklärung zur Künstlichen Intelligenz
Einen Schwerpunkt der Konferenz bildete die Diskussion um die Künstliche Intelligenz (KI). Die deutschen Datenschutzaufsichtsbehörden haben die Hambacher Erklärung zur Künstlichen Intelligenz verabschiedet. Sie nennt beispielhaft den Einsatz von KI-Systemen in der Medizin, insbesondere in der Diagnose, in der Sprachassistenz und bei der Bewertung von Bewerbungsunterlagen in der Bewerberauswahl. Aus dem geltenden Datenschutzrecht werden sieben Anforderungen abgeleitet, die bereits heute eingehalten werden müssen. So muss der Einsatz von KI-Systemen nachvollziehbar und erklärbar sein, den Grundsatz der Datenminimierung enthalten, Diskriminierungen vermeiden und benötigt technische und organisatorische Standards. Die Datenschutzaufsichtsbehörden wollen die Entwicklung begleiten und fordern Wissenschaft, Politik und Anwender auf, die Entwicklung von KI im Sinne des Datenschutzes zu steuern. Im Kern geht es darum, dass am Ende Menschen und nicht Maschinen über Menschen entscheiden.

Brexit – Vorkehrungen der Aufsichtsbehörden auf einen ungeregelten Austritt Großbritanniens aus der EU
Die DSK hat über die Konsequenzen eines ungeregelten Brexits beraten. Bereits am 8.3.2019 hat sie einen Beschluss gefasst, der auf die rechtlichen Pflichten der Verantwortlichen im Falle eines ungeregelten Austritts hinweist. Im Falle eines ungeregelten Austritts ist das Vereinigte Königreich als Drittland im Sinne der Datenschutz-Grundverordnung zu betrachten und dorthin führende Datentransfers sind dementsprechend gesondert abzusichern. In Ermangelung einer solchen Absicherung könnten Datenverarbeitungen ausgesetzt und Bußgelder verhängt werden.

Hackerangriff – Guidelines für Provider
Als Reaktion auf den Hackerangriff auf Politiker und Politikerinnen sowie Personen des öffentlichen Lebens im Januar 2019 haben die Datenschützer eine Orientierungshilfe „Anforderungen an Betreiber von Online-Diensten zur Zugangssicherung“ verabschiedet. Darin werden Online-Diensten Maßnahmen zur Zugangssicherung nach dem Stand der Technik empfohlen. Dies betreffen Vorgaben für Aufbau, Übertragung, Speicherung und Nutzung von Passwörtern sowie den Umgang mit Angriffen und fehlgeschlagenen Anmeldeversuchen.

Anwendbarkeit des Telemediengesetzes bei nicht-öffentlichen Stellen
Als Ergänzung zu der Positionsbestimmung der Datenschutzkonferenz vom 26.4.2018 bezüglich der Anwendbarkeit des Telemediengesetzes für nicht-öffentliche Stellen ab dem Wirksamwerden der Datenschutz-Grundverordnung wurde eine Orientierungshilfe beschlossen. Die Orientierungshilfe beschäftigt sich mit der Geltung des Telemediengesetztes im Rahmen der Wirksamkeit der Datenschutz-Grundverordnung und weist darauf hin, dass die Interessensabwägung im Rahmen des Art. 6 Abs. 1 lit. f der Datenschutz-Grundverordnung auf den konkreten Einzelfall bezogen werden sollte. Insbesondere konkretisiert sie anhand von Beispielen die Interessensabwägung beim Einsatz von Tracking-Tools.

Positionspapier zur Biometrischen Analyse
Die Zahl der Analysen von Videoaufnahmen, bei der Gesichtsmerkmale erfasst und ausgewertet werden, um z.B. durch eine Analyse der Mimik Rückschlüsse auf die Gefühlslage eines Menschen (Emotional Decoding) zu erhalten oder um die Wirksamkeit von Werbung zu messen und genauer auf die gewünschten Zielgruppen zuzuschneiden, nimmt zu. Die Datenschutzkonferenz hat daher ein Positionspapier erstellt, in dem entsprechende Verfahren rechtlich bewertet und Empfehlungen zur Gestaltung abgeleitet werden.

Facebook-Fanpages – Gemeinsame Verantwortlichkeit
Nach dem Urteil des EuGH zu Facebook-Fanpages hat sich die DSK in einem Beschluss zum (Weiter-)Betrieb von Facebook-Fanpages geäußert. In diesem wird verdeutlicht, dass Fanpage-Betreiber die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und in der Lage sein müssen, die Einhaltung der Grundsätze der Verarbeitung (Art. 5 Abs. 1 DSGVO) nachzuweisen. Die DSK unterstreicht die datenschutzrechtliche Verantwortlichkeit sowohl von Facebook wie der Fanpage-Betreiber und erwartet, dass sie ihrer Verantwortung entsprechend nachkommen.

Windows 10 – Auftrag an AK-Technik
Die DSK hat dem Arbeitskreis Technik den Auftrag erteilt, eine datenschutzrechtliche Positionierung zum Einsatz von Windows 10 zu erarbeiten. Dieses Papier soll Grundlage für weiterführende Gespräche zwischen den Datenschutzaufsichtsbehörden und Microsoft zu datenschutzrechtlichen Fragestellungen zu Windows 10 sein.