© 2019 Deutscher Bundestag WD 3 - 3000 - 156/19 Zum Datenschutz bei Einsatz „Künstlicher Intelligenz“ Sachstand Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 156/19 Seite 2 Zum Datenschutz bei Einsatz „Künstlicher Intelligenz“ Aktenzeichen: WD 3 - 3000 - 156/19 Abschluss der Arbeit: 20.06.2019 Fachbereich: WD 3: Verfassung und Verwaltung Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 156/19 Seite 3 1. Fragestellung und Vorbemerkung Der Sachstand stellt den allgemeinen datenschutzrechtlichen Regelungsrahmen für den Einsatz „Künstlicher Intelligenz“ dar. Aufgrund der Verschiedenartigkeit entsprechender Systeme kann lediglich eine allgemeine Darstellung erfolgen, die keinen abschließenden Charakter hat. Ob eine Datenverarbeitung mittels „Künstlicher Intelligenz“ den datenschutzrechtlichen Anforderungen entspricht, ist daher im jeweiligen Einzelfall zu klären. 2. Allgemeine Voraussetzungen Ob eine Datenverarbeitung mittels „Künstlicher Intelligenz“ in den Anwendungsbereich der datenschutzrechtlichen Vorgaben fällt, wird sich zunächst vor allem danach richten, inwieweit das jeweilige System personenbezogene Daten verarbeitet. Liegt eine entsprechende Verarbeitung vor, gilt es, einen Verantwortlichen zu bestimmen.1 2.1. Personenbezogene Daten Begrifflich werden personenbezogene Daten in Art. 4 Nr. 1 der Datenschutz-Grundverordnung (DSGVO) definiert. Demnach bezeichnet der Ausdruck: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ Die Definition ist weit gefasst. Ein Personenbezug liegt immer vor, wenn es zumindest möglich ist, erfasste Daten einer bestimmten Person zuzuordnen.2 Aufgrund dieses weiten Anwendungsbereichs dürften auch zahlreiche Datenverarbeitungen mittels „Künstlicher Intelligenz“ einen hinreichenden Personenbezug aufweisen.3 2.2. Relevanter Verarbeitungsvorgang Um in den Anwendungsbereich der datenschutzrechtlichen Anforderungen zu fallen, müssen die personenbezogenen Daten einem relevanten Verarbeitungsvorgang unterliegen. Eine Verarbeitung 1 Vgl. hierzu: Klink-Straub/Straub, NJW 2018, 3201 ff. 2 Vgl. umfassend zur Bestimmung des Personenbezugs: Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl. 2017, Rn. 276 ff. 3 So etwa für den Bereich des automatisierten Fahrens: Klink-Straub/Straub, NJW 2018, 3201 (3202); Lüdemann, ZD 2015, 247 (249 f.). Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 156/19 Seite 4 bezeichnet nach der gesetzlichen Definition gem. Art. 4 Nr. 2 DSGVO: „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen , das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“. Auch der Begriff der Verarbeitung ist weit gefasst und kann sich sowohl auf den Inhalt der Daten als auch auf das personenbezogene Datum als abstraktes Datum beziehen.4 In Bezug auf Verarbeitungen mittels „Künstlicher Intelligenz“ wird diskutiert, ob lediglich kurzzeitig erfasste Daten, die sofort wieder überschrieben werden, im datenschutzrechtlichen Sinne überhaupt „verarbeitet“ werden. Da die aufgezeigte Definition keine zeitlichen Mindestvorgaben für den Datenverarbeitungsvorgang macht, liegt es zumindest begrifflich nahe, auch solche kurzen Verarbeitungsvorgänge zu erfassen.5 In der Literatur wird jedoch auch danach differenziert, ob eine Wahrnehmung der Daten durch Menschen möglich ist. Ist dies der Fall, liegt eine Verarbeitung vor. Ist dies technisch ausgeschlossen, scheide eine Verarbeitung hingegen aus.6 2.3. Verantwortlicher Liegt eine Verarbeitung personenbezogener Daten vor, gilt es zudem, einen Verantwortlichen zu bestimmen. Der Begriff bezeichnet nach Art. 4 Nr. 7 DSGVO: „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“. Bei Systemen „Künstlicher Intelligenz“ wird im Einzelfall zu bestimmen sein, welche Person über die Datenverarbeitung entscheidet. Je nach System kommen dabei auch verschiedene Verantwortliche in Betracht.7 4 Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl. 2017, Rn. 309. 5 Für eine grundsätzlich weite Auslegung des Verarbeitungsbegriffes vgl. nur: Ernst, in: Paal/Pauly, DS-GVO BDSG 2. Auflage 2018, Art. 2 DSGVO Rn. 5. 6 Klink-Straub/Straub, NJW 2018, 3201 (3202). 7 Vgl. zur Bestimmung des Verantwortlichen in Bezug zum automatisierten Fahren: Klink-Straub/Straub, NJW 2018, 3201 (3202 f.). Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 156/19 Seite 5 3. Voraussetzungen für eine rechtmäßige Verarbeitung Die Voraussetzung einer rechtmäßigen Verarbeitung von personenbezogenen Daten finden sich insbesondere in Art. 6 Abs. 1 DSGVO. Die Norm enthält ein Verbot mit Erlaubnisvorbehalt. Eine Verarbeitung personenbezogener Daten ist demnach nur zulässig, wenn sie sich auf einen entsprechenden Erlaubnistatbestand stützen lässt.8 Ausgangsnorm hierbei ist Art. 6 Abs. 1 DSGVO. Eine rechtmäßige Verarbeitung setzt alternativ voraus: – Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (lit. a); – die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen (lit. b); – die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (lit. c); – die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (lit. d); – die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (lit. e); – die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt (lit. f). Darüber hinaus gelten für die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO gesteigerte Anforderungen. Dies betrifft Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 Abs. 1 DSGVO). 8 Umfassend zu den Rechtmäßigkeitsvoraussetzungen: Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 1. Aufl. 2017, Rn. 470 ff. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 156/19 Seite 6 4. Besondere Anforderungen an eine automatisierte Entscheidung im Einzelfall Nach Art. 22 Abs. 1 DSGVO hat eine betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ausgeschlossen werden soll damit ein Verfahren, das von der Datenerfassung bis zur Entscheidung ohne jegliches menschliches Eingreifen erfolgt.9 Die Vorschrift enthält jedoch in Abs. 2 Ausnahmen insbesondere aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, sodass das Verbot entsprechender Entscheidungen bereits gesetzgeberisch relativiert wird.10 Der nationale Gesetzgeber hat die Möglichkeit zur Schaffung von Ausnahmen mit der Regelung in § 37 des Bundesdatenschutzgesetzes (BDSG) insbesondere für die Leistungserbringung nach einem Versicherungsvertrag genutzt.11 5. Pflichten des Verantwortlichen Ein Verantwortlicher unterliegt sämtlichen datenschutzrechtlichen Pflichten, die ihm nach den unionsrechtlichen und nationalen Vorschriften auferlegt werden. Bei der Nutzung künstlicher Intelligenz ist insbesondere hervorzuheben, dass Verantwortliche nach Art. 24 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen haben, um eine rechtmäßige Datenverarbeitung sicherzustellen. Nach Art. 32 Abs. 1 DSGVO sind zudem TOMs zu ergreifen, um ein dem Risiko angemessenes Schutzniveau bei der Datensicherheit zu gewährleisten. Hierzu nennt Art. 32 Abs. 2 DSGVO nicht abschließend mögliche Maßnahmen. Zu diesen zählen etwa die Pseudonymisierung und Verschlüsselung von Daten.12 Ein Verantwortlicher hat zudem nach Art. 25 DSGVO die Grundsätze eines Datenschutzes durch Technikgestaltung (privacy by design) sowie datenschutzfreundlicher Voreinstellungen (privacy by default) zu beachten. Hierbei sollen die datenschutzrechtlichen Vorgaben bereits bei der technischen Ausgestaltung des Verarbeitungsprozesses berücksichtigt werden. Weiterhin soll das System so voreingestellt sein, dass lediglich Daten verarbeitet werden, deren Verarbeitung auch erforderlich ist.13 9 Hoeren/Niehoff RW 2018 Heft 1, 47 (52). 10 Vgl. umfassend zu den Ausnahmen nach Abs. 2: v. Lewinski, in: Wolff/Brink, 28. Edition Stand: 01.05.2019, Art. 22 DSGVO Rn. 42 ff. 11 Vgl. vertiefend zu dieser Vorschrift: Paschke/Scheurer, in: Gola/Heckmann, 13. Auflage 2019, § 37 BDSG Rn. 1 ff. 12 Vgl. auch den Sachstand der Wissenschaftlichen Dienste zum Thema: ''Technische und organisatorische Maßnahmen '', Az. WD 3 - 3000 - 126/19. 13 Klink-Straub/Straub, NJW 2018, 3201 (3205). Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 156/19 Seite 7 6. Betroffenenrechte Gegenüber einem Verantwortlichen bestehen zudem bestimmte Betroffenenrechte. Um einen Betroffenen in die Lage zu versetzen, diese auch auszuüben, sind dabei zunächst die Informationspflichten nach Art. 13 und Art. 14 DSGVO zu beachten.14 Einem Betroffenen stehen insbesondere folgende Rechte zu: – Auskunftsrecht nach Art. 15 DSGVO, – Recht auf Berichtigung nach Art. 16 DSGVO, – Recht auf Löschung und Vergessenwerden nach Art. 17 DSGVO, – Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, – Recht auf Datenübertragbarkeit nach Art. 20 DSGVO, – Widerspruchsrecht nach Art. 21 DSGVO.15 Zur Durchsetzung der Betroffenenrechte bestehen die Beschwerde- bzw. Klagerechte nach Art. 77 ff. DSGVO. Verantwortliche unterliegen zudem der Aufsicht durch die unabhängigen Aufsichtsbehörden nach Art. 51 ff DSGVO. Jeder Betroffene hat nach Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde über eine ihn betreffende Verarbeitung personenbezogener Daten zu beschweren. *** 14 Vgl. hierzu auch das DSK Kurzpapier Nr. 10 über die „Informationspflichten bei Dritt- und Direkterhebung“, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_10.pdf (Stand: 19.06.2019). 15 Ein Überblick über den Inhalt dieser Rechte findet sich im Merkblatt der IHK Rheinhessen zu den Betroffenenrechten , abrufbar unter: https://www.rheinhessen.ihk24.de/blob/mzihk24/fairplay/downloads /3878452/d548b77cae083a2aa03c895814bdad20/Merkblatt-EU-DS-GVO-Betroffenenrechte-data.pdf; vgl. zum Auskunftsanspruch und zum Löschungsrecht zudem die DSK-Kurzpapiere Nr. 6 und Nr. 11, abrufbar unter: https://www.datenschutzkonferenz-online.de/kurzpapiere.html (Stand jeweils: 19.06.2019).