Bereits im Juni hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) eine Reihe von Orientierungshilfen, Entschließungen und Positionspapieren veröffentlicht. In unserem Beitrag geben wir einen kurzen Überblick über die wesentlichen Inhalte.
Künstliche Intelligenz
Im Rahmen der „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“ gibt die Datenschutzkonferenz Hinweise zur datenschutzgerechten Entwicklung und Gestaltung von KI-Systemen und nimmt Bezug auf die Pflichten aus Art. 25 DS-GVO zur Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Ziel ist es, die datenschutzrechtlichen Anforderungen über den gesamten Lebenszyklus eines KI-Systems hinweg systematisch zu integrieren. Die DSK gliedert diesen Lebenszyklus in vier Phasen: Konzeption und Design, Entwicklung, Einführung sowie Betrieb und Monitoring.
Bereits in der ersten Phase – Konzeption und Design – sollen unter anderem die Zwecke der Datenverarbeitung, die datenschutzrechtliche Rollenverteilung sowie eine geeignete Rechtsgrundlage bestimmt werden. Außerdem wird auf die sorgfältige Auswahl und Prüfung von Datenquellen hingewiesen, wobei die Prinzipien der Datenminimierung und der Zweckbindung eine zentrale Rolle spielen. In der Entwicklungsphase empfiehlt die DSK unter anderem die Dokumentation der Herkunft und Qualität von Trainingsdaten, die Durchführung von Bias-Analysen sowie die Berücksichtigung von Interventionsrechten und Löschbarkeit.
In der Einführungsphase sind Transparenzpflichten zu beachten: Die Ausgestaltung des Systems soll es den betroffenen Personen ermöglichen, die Verarbeitung ihrer personenbezogenen Daten nachzuvollziehen. Zudem sind Voreinstellungen datenschutzfreundlich zu gestalten. Die Betriebsphase schließlich erfordert Maßnahmen zur fortlaufenden Evaluation, Protokollierung und Qualitätssicherung des Systems, einschließlich einer Prüfung von etwaigen negativen Auswirkungen auf betroffene Personen. Auch technische Schutzmaßnahmen zur Verhinderung von Datenschutzverletzungen sind in dieser Phase kontinuierlich umzusetzen.
Ergänzend verweist die DSK auf das Standard-Datenschutzmodell (SDM) als geeignetes methodisches Rahmenwerk zur Umsetzung der DS-GVO. Zentral sind dabei die sieben Gewährleistungsziele: Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit sowie Nichtverkettung. Diese Ziele sind als Maßstab für die Auswahl und Umsetzung technischer und organisatorischer Maßnahmen im gesamten Lebenszyklus des KI-Systems heranzuziehen. Die Orientierungshilfe versteht sich dabei nicht als abschließende rechtliche Bewertung, sondern als unterstützendes Instrument für eine datenschutzkonforme Gestaltung und Bereitstellung von KI-Systemen. Anbieter sind ausdrücklich gehalten, die dargestellten Anforderungen fortlaufend in ihrer Entwicklungspraxis zu berücksichtigen und durch geeignete Dokumentation und Verfahren nachzuweisen.
Confidential Cloud Computing
Die DSK weist in ihrer Entschließung „Confidential Cloud Computing“ darauf hin, dass der Begriff „Confidential Computing“ uneinheitlich verwendet wird und je nach Anbieter unterschiedliche Technologien umfasst. Werbeaussagen, wonach Daten im Rahmen von „Confidential Cloud Computing“ vollständig vor dem Cloud-Betreiber geschützt seien, werden von der DSK als oftmals verkürzt und nicht der tatsächlichen technischen Komplexität entsprechend bewertet.
Ursprünglich dienten diese Technologien dem Schutz vor anderen Nutzenden derselben Infrastruktur. Sollen Daten jedoch auch vor dem Betreiber selbst geschützt werden, sind deutlich stärkere Annahmen notwendig, da dieser physischen Zugang zur Hardware hat und so die eingesetzte Soft- und Hardware manipulieren kann. Die DSK stellt klar, dass Maßnahmen wie interne Zugriffsbeschränkungen zwar sicherheitsförderlich sind, jedoch nicht im engeren Sinne zum „Confidential Computing“ zählen. Auch das Schlüsselmanagement spielt eine zentrale Rolle: Tatsächliche Geheimhaltung gegenüber dem Cloud-Betreiber ist nur dann gewährleistet, wenn dieser keinen Zugang zu den Entschlüsselungsschlüsseln hat und Manipulationen an Schlüsseln ausgeschlossen sind. Zudem sind die Übergänge zwischen verschiedenen Verschlüsselungszuständen, wie etwa von „data-at-rest“ zu „data-in-use“, besonders kritisch zu betrachten, da hier kurzzeitige Entschlüsselungen erfolgen können.
Insgesamt könne „Confidential Cloud Computing“ das Sicherheitsniveau erhöhen und Schutz gegenüber anderen Nutzenden sowie einzelnen Innentätern bieten. Absolute Vertraulichkeit sei jedoch nicht gegeben, da der Cloud-Betreiber grundsätzlich Zugriffsmöglichkeiten habe. Die der Technologie zugeschriebenen Eigenschaften seien daher kritisch zu bewerten, und etwaige Maßnahmen seien aus Gründen der Nachweis- und Rechenschaftspflicht nachvollziehbar zu dokumentieren.
Sicherheitsgesetze
Aus der Entschließung „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ der DSK geht deutlich hervor, dass Datenschutz ein zentraler Bestandteil des Rechtsstaats ist und untrennbar mit Freiheit und Sicherheit verbunden ist. Grundrechte wie das Recht auf informationelle Selbstbestimmung bilden die Grundlage für die freie Entfaltung der Persönlichkeit und die Teilhabe am demokratischen Gemeinwesen. Ein Leben in Freiheit setzt Sicherheit voraus, zugleich ist Sicherheit nur dann gewährleistet, wenn sich der Staat an verfassungskonforme Gesetze und gegebene Garantien hält.
Die DSK warnt davor, Datenschutz und Sicherheit gegeneinander auszuspielen. Sie erkennt ein Spannungsverhältnis zwischen sicherheitspolitischen Erfordernissen und dem Grundrecht auf Datenschutz an, hält dieses jedoch durch verhältnismäßige Maßnahmen für lösbar. Datenschutz diene nicht dem Schutz von Straftäterinnen oder Gefährdern, sondern dem Schutz aller Bürgerinnen und Bürger vor ungerechtfertigten Eingriffen in ihre Freiheitsrechte. Er stellt ein rechtsstaatliches Korrektiv dar, insbesondere bei staatlicher Datenverarbeitung.
Die DSK hebt hervor, dass Datenschutz der Weiterentwicklung polizeilicher Datenverarbeitung nicht entgegensteht. Entscheidend sei, zunächst den fachlichen Bedarf zu ermitteln und verhältnismäßige Lösungen zu erarbeiten, anstatt reflexartig mit Grundrechtseinschränkungen auf sicherheitspolitische Herausforderungen zu reagieren. Die DSK spricht sich dafür aus, bestehende Befugnisse der Sicherheitsbehörden hinsichtlich ihrer Anwendung und Wirksamkeit systematisch zu evaluieren, bevor neue gesetzgeberische Maßnahmen ergriffen werden. In diesem Zusammenhang verweist sie auf einschlägige wissenschaftliche Studien. Abschließend erklärt die DSK, dass sie künftige Gesetzesnovellierungen im Sicherheitsbereich eng begleiten und sich dafür einsetzen wird, dass neue Befugnisse den verfassungsrechtlichen Maßstäben genügen.
Terminverwaltung durch Heilberufspraxe
Mit dem Dokument „Datenschutz bei der Terminverwaltung durch Heilberufspraxen – Positionspapier zum datenschutzkonformen Einsatz von Dienstleistern für Online-Terminbuchungen und das Terminmanagement“ reagiert die DSK auf die zunehmende Nutzung internetbasierter Terminvergabesysteme durch Heilberufspraxen, bei denen Dienstleister personenbezogene Patientendaten im Auftrag der Praxis verarbeiten. Die Einbindung solcher Dienstleister kann grundsätzlich im Rahmen einer Auftragsverarbeitung erfolgen und erfordert auch keine Einwilligung der Patientinnen und Patienten. Allerdings sind diese über die Datenverarbeitung zu informieren und auch die weiteren datenschutzrechtlichen Anforderungen sind zwingend einzuhalten.
Für die Datenverarbeitung zur Terminvergabe gilt insbesondere, dass nur solche Patientendaten verarbeitet werden dürfen, die zur Wahrnehmung eines konkreten Termins erforderlich sind. Terminerinnerungen beispielsweise stellen nach Ansicht der DSK ein zusätzliches Serviceangebot dar und bedürfen einer informierten, ausdrücklichen Einwilligung der betroffenen Personen. Ferner sind Eintragungen im Terminkalender nach Ablauf des Termins zeitnah zu löschen, sofern keine dokumentationspflichtigen Inhalte betroffen sind. Zudem müssen Heilberufspraxen geeignete technische und organisatorische Maßnahmen treffen, um die Einhaltung der Sicherheit der Verarbeitung sicherzustellen. Erfolgt eine Datenverarbeitung in einem Drittland, sind die Anforderungen der Art. 44 ff. DS-GVO zu erfüllen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
