Aus dem Unterricht des CAS Digital Masterclass mit Martina Arioli berichtet Tatjana Meichtry.

Samstag, Viertel nach acht in Zürich. Unser erster Programmpunkt: Digitales Recht mit Fokus auf den Datenschutz. Das könnte anspruchsvoll werden. Wird es auch. Andererseits: Nicht wissen schützt bekanntlich auch im digitalen Zeitalter nicht. Und spätestens, wenn’s um die Frage des eigenen Datenschutzes geht, wird die eher trockene Materie hoch relevant.

Einheitlicher EU-Datenschutz ans digitale Zeitalter angepasst

Seit Mai 2018 ist die verschärfte EU-Datenschutzgrundverordnung kurz DSGVO in Kraft. Die Revision der Richtlinie aus dem Jahr 1995 war erforderlich, da sie einerseits auf den Bürgerschutz vor dem Überwachungsstaat ausgelegt war und andererseits das Internet damals erst so richtig aufkam. Nicht zu vergessen soziale Netzwerke wie Facebook oder Instagram, die erst später zum digitalen Feldzug aufliefen. Der neue Datenschutz rückt deshalb den besseren Schutz personenbezogener Daten vor Identitätsdiebstahl im digitalen Raum ins Zentrum. Als Verordnung gilt sie als nationales Gesetz und damit einheitlich verbindlich. Für die Mitgliedstaaten. Und darüber hinaus.

Datenschutz

  • Was fällt unter personenbezogene Daten?
  • Nach welchen Grundsätzen richtet sich die DSGVO und was ändert sich für die Nutzer konkret?
  • Wer ist wo genau betroffen? Zum Beispiel in der Schweiz, als nicht EU-Land?
  • Wie weit ist der Datenschutz hinsichtlich Künstlicher Intelligenz (KI) und dem Internet der Dinge (IoT)?

Viele Fragen und Martina Arioli mit fachkundigen Antworten.

Personenbezogene Daten? Angaben zu einer bestimmten oder bestimmbaren Person

Unter personenbezogene Daten fallen alle Daten, die eine natürliche Person direkt oder indirekt identifizieren. Neben Name, Adresse, Geburtsort und E-Mail-Adresse sind das auch Ausweisnummer, IP-Adresse oder Standortdaten. Erfasst sind weiter auch Daten, die verschlüsselt oder pseudo-anonymisiert (Werbe-Cookies) wurden, aber zur erneuten Identifizierung einer Person genutzt werden können.

Datenschutz

Die sieben Grundprinzipien der Datenverarbeitung

«Freiheit und Selbstbestimmung in der digitalen Welt hängen ganz entscheidend davon ab, dass wir die Souveränität über
unsere persönlichen Daten behalten,» Heiko Maas (BMJV, 2016)

Art. 4 DSGVO legt die zentralen Grundsätze fest, nach denen sich die Speicherung und Verarbeitung personenbezogener Daten richten soll:

  1. Richtigkeit: Zum einen müssen Daten korrekt und auf dem neuesten Stand sein. Zum anderen sind fehlerhafte Daten unverzüglich zu korrigieren oder zu löschen.
  2. Integrität und Vertraulichkeit definiert den Datenschutz vor unbefugter oder unberechtigter Verarbeitung, insbesondere die Weitergabe an unberechtigte Dritte.
  3. Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die Daten dürfen nur auf Basis einer Rechtsgrundlage verarbeitet werden. Deshalb muss die betroffene Person einwilligen und darüber informiert werden, was mit den Daten passiert.
  4. Zweckbindung, damit Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden dürfen.
  5. Speicherbegrenzung auf die kürzest mögliche Dauer, die für den Verarbeitungszweck angemessen ist. Es gibt jedoch Ausnahmen, wie für historische Forschungs- oder statistische Zwecke.
  6. Datenminimierung, d.h. Unternehmen dürfen nur so viele Daten sammeln wie nötig. Die Anmeldung zu einem Newsletter muss sich beispielsweise auf Pflichtfelder wie E-Mail-Adresse, Geschlecht und Nachnamen beschränken.
  7. Rechenschaftspflicht heisst so viel wie: Unternehmen sind gegenüber Aufsichtsbehörden in der Nachweispflicht, dass sie die DSGVO einhalten.

Was ändert sich für Nutzer durch den neuen Datenschutz?

Die Rechenschaftspflicht als Grundsatz. Die DSGVO basiert auf Transparenz, d.h. wer personenbezogene Daten via Internet verarbeitet, hat Betroffene umgehend zu informieren und ihre ausdrückliche, widerrufbare Zustimmung klar, knapp und verständlich einzuholen. Bei Anfragen muss der Datenschutz gemäss Beweislastumkehr aktiv nachweisbar sein, falls nötig mittels EU-ansässigem Beauftragten. Durch das Recht auf Datenübertragbarkeit können Betroffene bei Dienstleistern eine Kopie all ihrer erfassten Daten einfordern und das Recht auf Vergessenwerden ermächtigt sie, ihre ohne Rechtsgrundlage veröffentlichten Daten im Internet löschen zu lassen. Wurden die Daten weitergereicht, sind Drittanbieter über den Löschwunsch zu informieren. Darüber hinaus gelten höhere Bussgelder bei Nichteinhaltung: schwere Verstösse werden mit empfindlichen Sanktionen bis zu 20 Mio. Euro oder 4% des Jahresumsatzes geahndet. Zivilrechtlich ist ferner mit Abmahnungen und Schadensersatzklagen zu rechnen. Gestärkt wird schliesslich auch der Jugendschutz: Durch das neue Mindestalter von 16 Jahren benötigen Kinder und Jugendliche bis zu diesem Alter neu die Zustimmung der Eltern zur Datenverarbeitung.

«Dass persönliche Daten nur nach Zustimmung der Betroffenen verwendet werden können, ist sogar in der EU-Grundrechtscharta verbrieft. Die neue Verordnung soll nun aber dafür sorgen, dass diese Rechte in der digitalen Welt auch durchgesetzt werden können.» (NZZ, 2018)

Vom Marktortprinzip, das Öffnungsklauseln zulässt

Das neue Datenschutzrecht will den Bürgern die Kontrolle über ihre persönlichen Daten im digitalen Raum zurückgeben. Genauer gesagt: allen Personen in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR), einschliesslich Fürstentum Liechtenstein. Es gilt das Marktortprinzip: Die Datenschutz-Standards Europas sind folglich für alle – auch Drittstaaten wie die Schweiz – verpflichtend, die in EU und EWR mit personenbezogenen Daten umgehen bzw. Geschäfte machen, unabhängig von ihrem Hauptsitz. Und zwar nicht nur für grosse Unternehmen mit riesigen Datenschätzen wie Facebook, Uber oder Airbnb, sondern auch für Vereine oder Verbände, die Adressen pflegen und Newsletter an Mitglieder versenden, Selbständige sowie private Webseiten-Betreiber. Die DSGVO gilt als Verordnung in allen Mitgliedstaaten, wodurch sie ihre nationalen Datenschutzrechte entsprechend zu aktualisieren haben. Die sogenannten Öffnungsklauseln, 80 an der Zahl, ermöglichen ihnen, die DSGVO durch eigene Gesetze zu konkretisieren, anzupassen oder zu ergänzen. Zum Beispiel hinsichtlich Altersgrenze, speziellen Datenkategorien, Datenschutzbeauftragten oder bei nationalen bzw. Sicherheitsinteressen.

Die Schweiz im Datenschutz-Sandwich

Die Schweiz revidiert derzeit das eidgenössische Datenschutzgesetz (DSG). Den Entwurf dazu (E-DSG) legte der Bundesrat bereits im Herbst 2017 vor. Das Ziel der verschärften Revision? Das Schweizer DSG kompatibel zur DSGVO zu machen, damit sie anerkannt sprich durchsetzbar bleibt. Die frühestens auf 2020 erwartete DSG wird vergleichsweise nur bei Sanktionen und Fristen milder ausfallen. Dies verleitet Schweizer Unternehmen, das Bürokratiemonster DSGVO zu verdrängen und beim Thema Datenschutz bis zur revidierten DSG abzuwarten. Nicht nur: Mit faktisch zwei Datenschutzregelungen ist Rechtsunsicherheit für Schweizer Unternehmen wie vorprogrammiert.

Für sie gelten, je nach Marktaktivitäten bzw. wirtschaftlicher Verknüpfung, entweder ausschliesslich die Vorschriften vom Datenschutzgesetz des Bundes (DSG) oder es kommen sowohl das DSG als auch die DSGVO zur Anwendung. Nachstehender Entscheidungsbaum hilft bei der Orientierung (PWC, 2018, S. 7).

Datenschutz

Wenn künstliche Intelligenz auf Datenschutz trifft

Künstliche Intelligenz (KI) birgt Risiken für den Datenschutz. Sei dies, weil ihre Prinzipien entgegengesetzt zu Datenschutz-Grundsätzen laufen, rechtlich noch nicht verankert oder sogar widersprüchlich geregelt sind. Angefangen bei den Daten. Während Datenschutz für persönliche oder pseudo-anonymisierte Daten gilt, sind für KI Sach-, Geo- oder anonymisierte personenbezogene Daten relevant. Der Blick auf nachfolgende Gegenüberstellung verdeutlicht das gegensätzliche Zielbild:

  • Richtigkeit ist bei KI nur bedingt gewährleistet, da mögliche Fehler bei der Datenerhebung zu verzerrten Ergebnissen führen.
  • Integrität und Vertraulichkeit weichen bei KI dem Eigeninteresse.
  • Datenminimierung ist unvereinbar mit KI, da grosse Datenmengen Treibstoff für selbstlernende Algorithmen sind.
  • Zweckbindung ist bei KI limitiert, da Daten laufend für selbstlernende, optimierte Systeme genutzt werden.
  • Speicherbegrenzung widerspricht dem für KI erforderlichen, unbegrenzten Datenspeicher samt -sortierung durch maschinelles Lernen.
  • Rechenschaftspflicht interpretiert KI mit algorithmischer Verantwortlichkeit.
  • Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz sind durch das Phänomen ‘Blackbox KI’ eingeschränkt.

Blackbox KI? Da KI selbstlernend ist und eigene Entscheidungen fällt, wird der Algorithmus für Entwickler nicht mehr nachvollziehbar. Die von der DSGVO bei hohem Risiko geforderte Datenschutz-Folgeabschätzung (DSFA), kann bei KI deshalb nicht adäquat erfolgen. Die DSGVO selbst limitiert zudem die Informations- bzw. Auskunftspflicht zu integrer Verarbeitung personenbezogener Daten. Sie ist nur dann angezeigt, wenn Betroffene durch automatisierte KI-Entscheide erheblich beeinträchtigt bzw. rechtlich belangt werden könn(t)en. Weder geistiges Eigentum noch das Urheberrecht zum Software-Schutz dürfen dadurch beschränkt werden. Die EU-Richtlinie von 2016 zum Schutz vertraulicher Geschäftsinformationen lässt hingegen Datenschützer hoffen. Sie will Geschäftsgeheimnisse nur bei angemessenen Sicherheitsmassnahmen schützen.

Kann folglich gewährleistet werden, dass KI personenbezogene Daten fair, transparent und nicht diskriminierend verarbeitet? Wer kontrolliert dies im derart autonomen und undurchsichtigen System? Und wer haftet schliesslich bei Verstössen und wird vor Gericht gebracht? Der Computer? Nicht die Technologie, sondern deren Verwendung sollte reguliert werden, denn KI hat kein menschliches Bewusstsein, sondern handelt lediglich als technischer Assistent seines menschlichen Auftraggebers.

Das Internet der Dinge – Über Sicherheit, Datenschutz und die Frage der Haftung

Prognosen zu Folge wird das Internet der Dinge (IoT) bis 2025 mehr als 75 Milliarden Geräte weltweit miteinander vernetzen, zirka dreimal so viel wie heute. Der starke Anstieg bei IoT-Geräten samt korrelierenden Datenbergen birgt Risiken für den Schutz personenbezogener Daten. Entsprechend verunsichert sind Verbraucher hinsichtlich Datensicherheit und -schutz.

Zu Recht! Untersuchungen zeigen, dass es um die Datensicherheit von IoT-Geräten noch nicht gut bestellt ist. Wen wundert’s? Nicht funktionale Anforderungen werden bei Produktentwicklungen oft vernachlässigt. Code-Bibliotheken führen weiter dazu, dass bei einer Sicherheitslücke alle Anwendungen in Gefahr sind. Auch die gängige Wiederverwendung von Codes kann Sicherheitsfolgen haben.

«When implemented in autonomous machines automated decisions can have an even greater impact. How could the data protection framework for automated decisions be applied to autonomous machines? Who is the data controller for an autonomous machine with self-learning capabilities?» EDPS, Artificial Intelligence, Robotics, Privacy and Data Protection (Marrakesh, 2016)

Wie reagiert die Rechtsordnung darauf? Die DSGVO sieht aktuell eine Informationspflicht gegenüber Endverbrauchern vor, zu gespeicherten und genutzten Daten. Die geplante e-Privacy Verordnung der EU wird indes einen direkten Einfluss auf IoT-Geräte haben, wie ihrem Entwurf zu entnehmen ist. Die gesetzliche Regulierung der Cybersicherheit schliesslich hebt das Zertifizierungsniveau an und unterstützt dadurch die EU-Agentur für Netz- und Informationssicherheit (ENISA) bei der wirksamen Durchsetzung dahingehender Fortschritte.

Wer haftet bei Schäden durch fehlerhafte IoT? Das Gesetz sieht für B2B noch keine spezielle Regelung vor. Im B2C-Bereich gelten unspezifische Rechtsartikel. Der Inhaber haftet denn auch ohne Verschulden, sollte zum Beispiel sein autonomes Fahrzeug einen Unfall verursachen. Sind mehrere Personen ersatzpflichtig, so haften sie gemäss Art. 7 Produktehaftpflichtgesetz solidarisch für den Schaden.

Heikles Abwägen zwischen Datenschutz und digitaler Innovation

Das Spannungsfeld zwischen Datenschutz und künstlicher Intelligenz bzw. dem Internet der Dinge ist gross. Die damit einhergehenden Herausforderungen auch. Unternehmen haben einerseits eine faire Chance im Wettbewerb um technische Innovationen verdient. Andererseits muss die Rechtspraxis die persönlichen Daten der Bürger künftig noch konsequenter schützen. Idealerweise mit noch präziser formulierten Datenschutz-Standards als klarer Rechtsrahmen, in welchem Unternehmen digitale Innovationen als Motor fürs Wirtschaftswachstum auch künftig vorantreiben können.

 

Weiterführende Links gefällig?