31. Oktober 2023
Die Gruppe der sieben größten demokratischen Volkswirtschaften (G7) hat am 30.10.2023 einen wegweisenden Schritt unternommen, um die Verwendung von Künstlicher Intelligenz (KI) sicherer zu gestalten. Die Staats- und Regierungschefs der G7-Länder setzen neue Leitlinien für KI, die die Notwendigkeit betonen, Risiken im Zusammenhang mit dieser aufstrebenden Technologie zu reduzieren und die Menschen vor missbräuchlicher Nutzung zu bewahren.
Inhalt der Leitlinie
In der gemeinsamen Erklärung wurden elf Leitprinzipien erarbeitet. Diese sollen unteranderem einen freiwilligen Verhaltenskodex für KI-Anbieter wie OpenAI, Microsoft und Google darstellen. Ziel ist es die Sicherheit und Vertrauenswürdigkeit dieser neuen Technologien voranzubringen. KI-Betreiber werden aufgefordert, potenzielle Gefahren und Schwachstellen von KI-Anwendungen herauszuarbeiten und regelmäßig hierüber zu berichten. Darüber hinaus sollen effektive Maßnahmen ergriffen werden, um KI-Inhalte beispielsweise durch spezielle Kennzeichen zu markieren.
Aktuelle rechtliche Entwicklungen
Die Europäische Kommission äußerte sich positiv gegenüber der Erklärung der G7-Länder. Die Leitlinien würden zu international geltenden Regeln beitragen, die gerade im KI-Bereich im Vergleich von regionalen Gesetzen zu bevorzugen seien. Diese Aussage überrascht nicht vor dem Hintergrund, dass die EU zurzeit selbst an einer KI-Verordnung arbeitet, die noch bis Ende des Jahres fertiggestellt werden soll. Der schwierige Gesetzgebungsprozess verdeutlicht, welche Hürden die Legislative bei der Regelung dieser neuen Technologie zu meistern hat. Dabei ist vor allem von entscheidender Bedeutung, einen ausgewogenen Ansatz zu finden, der die Entwicklung von KI nicht erstickt, sondern sicherstellt, dass sie zum Wohl der Gesellschaft eingesetzt werden kann.
Zudem gibt es auch in den USA entsprechende Bestrebungen. So hat US-Präsident Joe Biden ein Dekret erlassen, dass KI-Betreiber zu Tests verpflichtet, wenn Gefahren für die nationale Sicherheit und die öffentliche Gesundheit und Sicherheit bestehen. Zudem sind hierin auch Standards für den Datenschutz vorgesehen.
Fazit
KI bietet das Potenzial, in verschiedenen Bereichen einen wichtigen Beitrag zu leisten, einschließlich Klimaschutz, Energieeffizienz, Gesundheitsvorsorge und selbst Datenschutz. Gleichzeitig ist es jedoch erforderlich, die Verwendung von KI zu regulieren, um Missbrauch und Risiken zu verhindern. Das bezieht sich nicht zuletzt auf die Gefahren, die KI-Systeme wie ChatGPT auf den Schutz personenbezogener Daten haben kann.
Die G7-Länder setzen nun neue Leitlinien für KI. Die gemeinsame Erklärung ist ein bedeutender Schritt in Richtung sicherer KI-Anwendungen auf internationaler Ebene. Sie zeigt die Notwendigkeit des verantwortungsvollen Umgangs mit dieser zukunftsweisenden Technologie, ohne zu hohe Hürden für die KI-Entwicklung zu stellen.
30. Oktober 2023
Die Debatte um Datenschutz und Künstliche Intelligenz (KI) geht weiter. Diesmal wurden Fragen von Landesdatenschutzbeauftragten an das KI-Sprachmodell ChatGPT gesendet. Sowohl Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel sendeten Fragebögen zur Datenverarbeitung an OpenAI, den Betreiber des Chatsystems. Der Fragenkatalog enthält 79 Fragen und wurde innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Er baut auf einem ersten Auskunftsersuchen auf, das die DSK bereits im April 2023 erarbeitet hatte.
Datenschutzrechtliche Relevanz des Auskunftsersuchens
Kugelmann betont am 26.10.2023, dass die Prüfung des KI-Systems von Bedeutung ist, um sicherzustellen, dass die Datenschutz-Grundverordnung (DSGVO) und das informationelle Selbstbestimmungsrecht bei der Datenverarbeitung durch ChatGPT eingehalten werden. Roßnagel gab am 24.10.2023 an, dass OpenAI auf den ersten Fragebogen bereits im Juni ausführlich und kooperativ eingegangen ist. Dennoch sind sich beide einig, dass die Auswertung der Antworten verdeutlicht, dass es weiteren Klärungsbedarf gibt.
Weitere Prüfung notwendig
Trotz der umfangreichen Beantwortung der ursprünglichen Fragen bestehen für Roßnagel weiterhin Zweifel an der Rechtmäßigkeit der Datenerhebung aus dem Internet für das KI-Training. Deswegen will er weitere Erkenntnisse über das KI-System sammeln, um die Gewährleistung des Datenschutzes sicherzustellen. Auch laut Kugelmann ist es erforderlich die Hintergrundprozesse des Programms transparent begreifen zu können. Der neue Fragebogen solle nun zu mehr Nachvollziehbarkeit dessen führen, was hinter der Oberfläche passiere.
Beide wollen dabei den besonders sensiblen Datenkategorien gemäß Art. 9 DSGVO besondere Aufmerksamkeit widmen, die unter anderem Informationen zur Religion, politischen Meinung oder sexuellen Orientierung betreffen. Ebenso kontrolliere man die Umsetzung der Rechte der Betroffenen, wie das Auskunfts- oder Löschungsrecht. Die Landesdatenschutzbeauftragten wollen auch erfahren, inwieweit persönliche Daten während des Trainings und bei der Chatverwendung als solche identifiziert und entsprechende Schutzvorkehrungen getroffen werden.
Laut Roßnagel sollen durch die Fragen Datenschutzmissachtungen identifiziert und im Anschluss durch entsprechende Maßnahmen verhindert und gegebenenfalls bestraft werden. Er verlangt von amerikanischen KI-Betreibern die gleiche datenschutzrechtliche Sorgfalt wie von europäischen Unternehmen.
Zuständigkeit für rechtliche Bewertung
Solange OpenAI keine Niederlassung in der EU hat, bleiben sämtliche europäischen Datenschutzaufsichtsbehörden in ihrem jeweiligen örtlichen Zuständigkeitsbereich verantwortlich. Auch wenn der Betrieb in Zukunft eine Niederlassung in der EU eröffnen sollte, würde die datenschutzrechtliche Prüfung nicht enden, da die Kontrolle die aktuellen und vergangenen Verhältnisse betrifft. Selbst für zukünftige Situationen würden deutsche Datenschutzbehörden zuständig bleiben, solange ChatGPT weiterhin in Deutschland angeboten wird. Allerdings würde die Kontrolle dann in Zusammenarbeit mit der Behörde am Ort der Hauptniederlassung in der EU erfolgen. Aktuell ist es denkbar, dass dies die in letzter Zeit stark kritisierte irische Data Protection Commission werden könnte.
Fazit
Im Mittelpunkt der Untersuchungen steht der Schutz der Privatsphäre und die Einhaltung der DSGVO. Mit dem Senden der Fragen an ChatGPT durch die Landesdatenschutzbeauftragten ist man erneut bestrebt, sicherzustellen, dass solche KI-Systeme transparent und nachvollziehbar sind. Die Prüfung und der Dialog mit KI-Unternehmen sind wichtig, um Datenschutz im Zeitalter von KI zu gewährleisten und gleichzeitig technischen Fortschritt nicht zu behindern. Interessant bleibt hierbei insbesondere die Frage, wie sich der Umfang der Behördenprüfung verändern wird, falls sich OpenAI in Irland niederlässt.
26. Oktober 2023
Wir freuen uns über die erneute Top-Platzierung im aktuellen Ranking der Kanzleimonitor*-Studie 2023-24 und bedanken uns bei allen Mandanten, die uns empfohlen haben!
Im Datenschutzrecht (Themenfelder: Erfassung & Verwertung von Informationen, Telekommunikation, Datenverarbeitung, Cloud-Computing, Social Media) haben wir es abermals deutschlandweit in die Top 10 geschafft. Mit zahlreichen Empfehlungen belegen wir den 6. Platz und können uns damit neben diversen Großkanzleien (u.a. Taylor Wessing) weiterhin in der Spitzengruppe der führenden Kanzleien im Datenschutz behaupten.
Es freut uns zudem, dass mit Dr. Karsten Kinast und Benjamin Schuh zwei unserer Rechtsanwälte als „Führende Anwälte Datenschutz“ gelistet werden.
Das positive Ergebnis in dieser Studie ist für unsere Kanzlei besonders wichtig, weil es sich hier um eine Bewertung aus dem Mandantenkreis handelt und zudem eine Einstufung durch die eigene Berufsgruppe der Juristen erfolgt.
Vielen Dank an alle Mandanten, die uns (wieder) empfohlen haben!
*Der Kanzleimonitor (kanzleimonitor.de – Empfehlung ist die beste Referenz) stellt jährlich ein umfassendes Ranking der 100 am häufigsten empfohlenen Anwälte und Kanzleien in jedem Rechtsgebiet zur Verfügung. Diese Übersicht soll Unternehmensjuristen aller Branchen als Auswahlkriterium für die Mandatierung von Wirtschaftskanzleien dienen.
25. Oktober 2023
Auch im Gesundheitswesen sind Datenschutz und die Weitergabe von sensiblen Patientendaten an Dritte von großer Bedeutung. Dabei müssen bestimmte datenschutzrechtliche Voraussetzungen beachtet werden, um den Schutz der Patientendaten zu gewährleisten.
Datenweitergabe im medizinischen Bereich
Datenschutz im medizinischen Bereich ist grundsätzlich ein anspruchsvolles Thema. Wenn es darum geht, Patientendaten an Dritte weiterzugeben, wird die Situation komplexer. Deshalb stellt sich die Frage, inwieweit Berufsgeheimnisträger wie Ärzte dies dürfen. Dies betrifft nicht nur die Übermittlung von Patientenakten an andere Kliniken oder Praxen, sondern auch die Versendung von Blutproben an ein Labor oder die Weitergabe von Informationen zu Abrechnungszwecken.
Bedeutung von Patientendaten im Datenschutz
Patientendaten umfassen eine Vielzahl sensibler Informationen, wie etwa die Krankengeschichte, Blutwerte und die Art konkreter Beschwerden. Diese Daten gelten als Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO und genießen deshalb einen besonderen Schutz. Zusätzlich unterliegen sie der ärztlichen Schweigepflicht. Selbst pseudonymisierten Daten sind weiterhin personenbezogene Daten.
Erfordernis einer Rechtsgrundlage für die Datenweitergabe
Aufgrund der Datenschutzbestimmungen und der ärztlichen Verschwiegenheitspflicht, darf man Patientendaten nur in Ausnahmefällen an Dritte übermitteln. Eine Datenübermittlung ist ohne die ausdrückliche Einwilligung des Patienten oder eine andere gesetzliche Erlaubnis nicht gestattet.
Gesetzliche Rechtsgrundlagen
Wenn eine gesetzliche Rechtsgrundlage vorliegt, bedarf es keiner zusätzlichen Einwilligung der Patienten. Dies gilt in begrenztem Umfang in den folgenden Fällen:
- Abrechnung bei Krankenkassen für Versicherte
- Prüfung der Arbeitsfähigkeit durch den Medizinischen Dienst der Krankenversicherung (MDK)
- Sozialleistungsträger
- Berufsgenossenschaften bei Berufskrankheiten
- Gesundheitsämter
- Datenschutzbehörden
- Polizei oder Staatsanwaltschaft zur Verhinderung von Straftaten.
Ausdrückliche Patienteneinwilligung
In Fällen ohne gesetzliche Erlaubnis, ist die Einwilligung der Patienten erforderlich (Art. 6 Abs. 1 lit. a i. V. m. Art. 7 DSGVO). Dann müssen die Patienten transparente und umfassende Informationen über den Zweck der Datenübertragung und die jeweiligen Empfänger erhalten. Die Einwilligung sollte klar, eindeutig und idealerweise schriftlich erfolgen.
Die Privatärztlichen Verrechnungsstellen (PVS)
PVS sind Dienstleister, die Laboren, Arztpraxen und Krankenhausverwaltungen bei der Abrechnung medizinischer Leistungen helfen. In einigen Fällen wird angenommen, dass der Behandlungsvertrag als ausreichende Rechtsgrundlage dient (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG). Dies ist allerdings umstritten und aktuell noch nicht abschließend geklärt. Aus diesem Grund raten wir, sich auch in solchen Fällen um eine Einwilligung der Patienten zu bemühen.
Konsequenzen einer rechtswidrigen Datenweitergabe
Wenn keine Rechtsgrundlage für die Datenweitergabe besteht und trotzdem Daten übertragen werden, handelt es sich um einen Datenschutzverstoß. Dies kann schnell zu Bußgeldern auf Grund von Datenschutzrecht oder zur Geltendmachung von Schadensersatzansprüchen durch die Patienten führen. Darüber hinaus kann es sich auch um einen Verstoß gegen das Berufsgeheimnis handeln, woraus gemäß § 203 StGB eine Geld- oder Freiheitsstrafe folgen kann.
Fazit
Die Weitergabe von sensiblen Patientendaten ist und bleibt ein anspruchsvolles Thema. Es ist von großer Bedeutung, die datenschutzrechtlichen Prozesse in Arztpraxen und Krankenhäusern entsprechend anzupassen. In den meisten Fällen empfiehlt es sich, Einwilligungen für die erforderliche Datenweitergabe einzuholen, um Bußgelder oder sogar strafrechtliche Konsequenzen zu vermeiden. Wir als Externer Datenschutzbeauftragter helfen Ihnen gerne beim Implementieren entsprechender Prozesse weiter.
23. Oktober 2023
Die Bekämpfung von Finanzkriminalität und Geldwäsche ist von großer Bedeutung, doch wie weit dürfen wir dabei in die Privatsphäre der Bürger eindringen? Im Zentrum dieser Diskussion steht der Gesetzentwurf zur Verbesserung der Bekämpfung von Finanzkriminalität (Finanzkriminalitätsbekämpfungsgesetzes). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kritisiert das geplante Finanzkriminalitätsbekämpfungsgesetzes (FKBG). In einer Pressemitteilung vom 18. Oktober 2023 äußert er datenschutz- und verfassungsrechtliche Bedenken.
Das geplante Bundesamt zur Bekämpfung von Finanzkriminalität (BBF)
Der FKBG-Gesetzentwurf präsentiert ein umfassendes Maßnahmenpaket zur Bekämpfung von Geldwäsche. Das Herzstück des FKBG ist die Schaffung eines eigenständigen Bundesamts zur Bekämpfung von Finanzkriminalität (BBF). Dieses soll bereits am 1. Januar 2024 dem Bundesfinanzministerium unterliegend eingerichtet werden. Das neue Amt soll Datenanalyse, straf- und verwaltungsrechtliche Ermittlungen sowie geldwäscherechtliche Aufsicht miteinander verknüpfen, um die Finanzkriminalität nachhaltig zu bekämpfen. Besonderes Augenmerk liegt auf dem neu geschaffenen Ermittlungszentrum Geldwäsche innerhalb des BBF. Dieses Zentrum erhält weitreichende polizeiliche Befugnisse und umfassende Datenverarbeitungsberechtigungen, die tief in die Privatsphäre der Bürger eingreifen könnten. Man wolle die Kompetenzen des Bundeskriminalamtes hierdurch nicht beschränken.
Neue Ermittlungsberechtigungen und niedrigerer Verdachtsgrad
Das neue Gesetz soll zusätzliche Ermittlungsbefugnisse einführen und den bisher zur Aufnahme von Ermittlungen erforderlichen Verdachtsgrad reduzieren.
Aktuell sind in diesem Bereich strafrechtliche Untersuchungen nur zulässig, wenn ein Anfangsverdacht vorliegt. Das ist der Fall, wenn hinreichende tatsächliche Anhaltspunkte für eine verfolgbare Straftat vorliegen. Nach der neuen Regelung sollen Ermittlungsbefugnisse schon dann entstehen, wenn Unklarheit über den wirtschaftlich Befugten oder die Herkunft eines relevanten Vermögensgegenstandes existiert. Das erhöht die Ermittlungsbefugnisse signifikant, da Verdachtsmomente für eine rechtswidrige Herkunft von Vermögen im Vergleich zu Anhaltspunkten für eine konkrete Straftat sehr oft vorkommen.
Im Übrigen ist eine Erweiterung der prozessrechtlichen Befugnisse vorgesehen. So sollen Telekommunikationsüberwachung und Online-Durchsuchungen in Zukunft unabhängig davon erlaubt sein, aus welcher konkreten Vortat das rechtswidrig erlangte Vermögen herrührt. Momentan existieren diese Befugnisse nur bei besonders schweren Vortaten. So reicht aktuell einfacher Betrug nicht aus, während man bei Straftaten im Bereich des Drogen- und Menschenhandels diese strafprozessrechtlichen Instrumente heranziehen darf.
Bedrohte Privatsphäre und Doppelzuständigkeiten laut BfDI
Die Ressortabstimmung hat einige der Kritikpunkte des BfDI berücksichtigt, was er positiv anerkennt. Andererseits weist er darauf hin, dass der aktuelle Gesetztesentwurf massive neue Eingriffsbefugnisse etabliert. Das geschehe ohne, dass die im Koalitionsvertrag bis Ende 2023 vorgesehene Kontrolle der Sicherheitsgesetze im Rahmen einer Überwachungsgesamtrechnung stattgefunden hat. Ohne eine vollständige Bewertung bestehender Sicherheitsmaßnahmen riskiere man massive neue Eingriffe, deren Konsequenzen man nur schwer rückgängig machen könne.
Besonders besorgniserregend sei zudem die mangelnde Abgrenzung zur Zuständigkeit des Bundeskriminalamtes im Bereich der Geldwäschebekämpfung. Der BfDI betont, dass durch solche Doppelzuständigkeiten das Risiko übermäßiger und doppelter Datensammlung gesteigert wird. Insgesamt läge hierin eine wachsende Gefahr für die Rechte und Freiheiten der Bürger.
Fazit
Es steht außer Frage, dass die Bekämpfung von Finanzkriminalität von größter Bedeutung ist. Zu begrüßen ist auch, dass die Koalition mit dem Gesetzesentwurf einen weiteren Punkt des Koalitionsvertrages in Angriff nimmt. Allerdings darf dies nicht auf Kosten des Datenschutzes und der Privatsphäre gehen. Hingegen sollten Datenschutz und Finanzkriminalitätsbekämpfung Hand in Hand gehen, um eine gerechte und sichere Gesellschaft zu schaffen. Der BfDI kritisiert insofern zu Recht das geplante FKBG. Die von ihm geforderte gründliche Prüfung des geplanten Gesetzes, ist nötig, um sicherzustellen, dass die vorgeschlagenen Maßnahmen den verfassungsrechtlichen Anforderungen und dem Datenschutz der Bürger gerecht werden. Dabei sollten die entsprechenden Vorgaben bereits im Rahmen des Gesetzgebungsverfahrens beachtet werden, anstatt wie so oft voreilig ein ungenügendes Gesetz zu erlassen, dass im Anschluss korrigiert werden muss. Welche konkreten Regelungen das finale Gesetz enthalten wird, bleibt abzuwarten.
20. Oktober 2023
Was sind Telemetrie- und Diagnosedaten?
Telemetrie ist in der heutigen Welt allgegenwärtig. Unsere Apps und Betriebssysteme sammeln eine Fülle von Informationen über unsere Nutzungsgewohnheiten, oft ohne, dass wir es merken. Häufig haben diese Daten einen wirtschaftlichen Wert und dienen Unternehmen als zusätzliche Einnahmequelle. Als Telemetrie- und Diagnosedaten zählen zum Beispiel Angaben darüber, wie oft bestimmte App-Funktionen genutzt werden oder zu welchen Zeiten und an welchen Orten dies geschieht. Selbst Erkenntnisse über die Häufigkeit und Art von Systemabstürzen werden erhoben.
Datenschutzrechtlichen Relevanz
Bei all diesen Arten von Informationen kann es sich um personenbezogene Daten handeln. Das gilt unabhängig davon, ob der Zweck der Datenerhebung rein technischer Natur ist (z. B. Performanceverbesserung oder Troubleshooting) oder sich auf die Entwicklung neuer Anwendungen und Geräte bezieht. Selbst bei einer Pseudonymisierung ohne Absicht der Identifizierung, sind datenschutzrechtliche Grundsätze einzuhalten. Nur auf Informationen, die dem primären Zweck des Geräts dienen (z. B. bei einem Herzschrittmacher), bezieht sich das Arbeitspapier zu Telemetrie nicht.
Herausgearbeitete Risiken
Die IWGDPT hat verschiedene Risiken identifiziert, die eine Gefahr für die Datensicherheit bedeuten könnten. Zunächst seien viele Hersteller sich schon gar nicht bewusst, dass die erhobenen Daten überhaupt einen Personenbezug aufweisen. Laut der Berlin Group befolgen sie dementsprechend auch keinerlei datenschutzrechtlichen Regeln
Bei der Erhebung der Daten werden oft Informationspflichten über das Sammeln, die Art und die bezweckte Nutzung der Daten außer Acht gelassen. Auf der Gegenseite seien sich auch die Nutzer häufig weder über die Erhebung noch über deren Umfang bewusst. Das führe zu fehlender Transparenz, die es dem Nutzer ermöglichen könne, der Datensammlung zu widersprechen. Selbst wenn eine entsprechende Information stattfinde, gäbe es keine (ausreichenden) Möglichkeiten für die Nutzer die Datenerhebung zu limitieren oder zu verhindern. Auch wenn es technische Möglichkeiten gäbe, die Sammlung zu minimieren, komme es sehr selten vor, dass sie komplett verweigert werden könne.
Weiterhin würden oft Daten provisorisch und in großen Mengen erhoben. Das führe zu einer Verletzung des Grundsatzes der Datenminimierung und verstoße gegen die Zweckbindung. Parallel dazu gebe es auch keine zeitlichen Aufbewahrungsgrenzen.
Zuletzt würden die Maßnahmen zur Sicherung der Vertraulichkeit der Daten immer wieder nicht den gesetzlichen Anforderungen genügen.
Datenschutzfreundlichere Lösung
Die Berlin Group appelliert, dass man sich bewusst machen muss, dass auch in diesen Fällen die Grundsätze des Datenschutzes zu beachten sind. Dabei erkennt sie die Bedeutung dieser Datengruppe für die Qualitätssicherung an. Trotzdem müssten Gesetzgeber entsprechende gesetzliche Regeln sicherstellen und ggf. sogar geeignete Standards einführen. Auf der Seite der Hersteller müsse das Sammeln von personenbezogenen Daten anerkannt, dokumentiert und die Nutzer entsprechend informiert werden. Man müsse die Datenerhebung angepasst an die Zwecke in Art, Umfang und Zeit limitieren. Automatisch dürfe man nur Daten erheben, die per Gesetz einwilligungsfrei erhoben werden können. Weiterhin fordert sie flexible Einstellungsmöglichkeiten für die Nutzer hinsichtlich der Datenerhebung. Man müsse zudem Systeme einrichten, um die Daten zu pseudonymisieren und um die Sicherheit der Daten zu gewährleisten.
Fazit
Die Funktionen der Telemetrie sind entscheidend für eine verlässliche Qualitätssicherung. Nichtsdestotrotz werden auch hierbei persönliche Daten erhoben, denen ein entsprechender Schutz zu kommen muss. Die Realität zeigt, dass in vielen Anwendungen datenschutzrechtliche Vorkehrungen fehlen oder zumindest nicht hinreichend ausgestaltet sind. Das Arbeitspapier zu Telemetrie zeigt, dass es möglich ist, diese Analysesysteme datenschutzkonform zu gestalten, ohne dabei den Nutzen der Funktionen zu vernachlässigen. Herstellern solcher Anwendungen wird empfohlen auch hier datenschutzrechtliche Vorgaben zu befolgen, um das Risiko von Bußgeldern zu minimieren.
19. Oktober 2023
Die Planung von Regulierungen für künstliche Intelligenz (KI) müsse innovationsorientiert bleiben. Das verdeutlichte die Bundesregierung in einem heise online vorliegenden Positionspapier von Bundesministerien für Justiz und Wirtschaft im Rahmen der Debatte über die Entwürfe aus dem EU-Parlament und dem Ministerrat für eine Verordnung für Systeme mit KI. Während das EU-Parlament strengere Regeln für KI-Systeme wie ChatGPT vorschlägt, warnt die Bundesregierung davor hierdurch die KI-Entwicklung zu behindern.
Innovationsfreundliche und differenzierte Regulierung
Die Bundesregierung unterstreicht die Bedeutung einer KI-Regulierung, die Innovationen fördert, auf die Zukunft ausgerichtet und ausgeglichen ist. Sie fordert, die Definitionen in den Regeln präzisiert und differenziert auszugestalten. Insbesondere könne man nicht allgemeine KI-Anwendungen mit mehr Entwicklungsfreiraum mit Spezialanwendungen gleichsetzen. Letzteres erfordere speziell zugeschnittene und detailliertere Vorschriften.
Besonders wichtig ist es der Bundesregierung, die Ergebnisse sogenannter „General Purpose AIs“ – wie etwa ChatGPT – sicherzustellen. General Purpose AIs zeichnen sich dadurch aus, dass sie mittels Sprach- oder Bilderkennung ohne besonderes Fachwissen der Nutzer eine breite Palette von Aufgaben erfüllen können. Beim Training dieser KIs ist das zu erwartenden Aufgabenspektrum häufig weder bekannt noch vorhersehbar. Die Ausgestaltung der Regeln solcher KIs müsste weiterhin ihre Funktionsfähigkeit gewährleisten.
Regulierungsvorschläge im Bund
Die Bundesregierung fordert für KI-Anwendungen mit allgemeinen Zwecken eindeutige Regelungen. Zum einen sei an eine Risikobewertung hinsichtlich des Datenmanagements und der Transparenz zu denken. Auch eine Informationspflicht sei wünschenswert. Dabei müsse man Auskünfte über die Datengrundlage, den Trainingsprozess, den Schutz der Privatsphäre und das Urheberrecht geben. Nützlich könnten laut des Positionspapiers auch Erklärungen über die Funktionalität des KI-Systems und Auswirkungen auf die Umwelt sein. Zudem zöge man Kennzeichnungspflichten für Deepfakes in Betracht, wobei es Ausnahmetatbestände zum Beispiel für Sicherheitsbehörden geben solle. Warnhinweise sollten auch in besonders sensiblen Bereichen wie Medizin existieren. Weiterhin wurde ein Anspruch auf Berichtigung angedacht. Für kleine und mittlere Unternehmen, zivilgesellschaftliche und dem Gemeinwohl dienende Organisationen sowie akademische Verwender sollten Ausnahmen in Betracht gezogen werden.
Strengerer Ansatz der EU
Das EU-Parlament strebt einen anderen Ansatz an, der nicht zwangsläufig mit dem der Bundesregierung über innovationsfreundliche KI-Regeln übereinstimmt. So hatte es bereits im Juni seinen Standpunkt zum geplanten “AI Act” festgelegt und besonders strenge Regeln für KI-Systeme wie ChatGPT verlangt. Betreiber von KI-Anwendungen, die mit einer sehr großen Menge unsortierter Daten trainiert wurden, müssten sie auf besondere Risiken prüfen und bei Bedarf Abwendungsmaßnahmen treffen.
Fazit
Die Debatte über die Zukunft der KI-Regulierung in der EU bleibt komplex. Es treffen hier verschiedene berechtigte Interessen und Ansichten aufeinandertreffen, die sorgfältig abgewogen werden müssen. Die Bundesregierung warnt zurecht davor, die KI-Entwicklung durch übermäßige Regulierung nicht zu beeinträchtigen. Das Anfordern einer sehr detaillierten Auflistung der verwendeten Trainingsdaten könnte die Entwicklung von KI-Systemen im schlimmsten Fall totregulieren. Insbesondere könnte dies dazu führen, dass Deutschland oder Europa als Niederlassungsstandort nicht mehr attraktiv bleibt und KI-Unternehmen ins Ausland abwandern. Insofern ist der Ansatz der Bundesregierung, innovationsfreundliche KI-Regeln zu fordern, zu begrüßen.
18. Oktober 2023
Die Verfassungsmäßigkeit der Steuer-ID
Die Verfassungsmäßigkeit der Steueridentifikationsnummer (Steuer-ID) in Verbindung mit dem neuen Identifikationsnummerngesetz (IDNrG) war schon vor dessen Inkrafttreten fraglich. Zweifelhaft ist insbesondere, ob die aktuelle Verwendung der Steuer-ID mit den Grundsätzen des Datenschutzes und des Rechts auf informationelle Selbstbestimmung im Einklang steht. Nun haben sich am 10. Oktober 2023 Experten im Rahmen einer Online-Veranstaltung der Europäischen Datenschutz Akademie (EAID) intensiv mit diesem Thema beschäftigt.
Die allgemeine Personenkennziffer
Die Steuer-ID wurde 2007 als ein Instrument zur eindeutigen Identifikation von Steuerzahlern eingeführt. Damals versicherte der damalige Finanzminister Peer Steinbrück noch, dass sie niemals als allgemeine Personenkennziffer dienen sollte. Vor diesem Hintergrund überrascht das neue IDNrG, dass die neue Verwendungsform der Steuer-ID gerade als solches normiert. Hierdurch hat man die Verwendung der Steuer-ID erheblich erweitert.
Eine Nutzung dieser Nummer ist heute in 51 bundesweiten Registern zulässig. Sie wird vom Melderegister über das Fahrzeugregister bis hin zum Register für ergänzende Hilfe zum Lebensunterhalt herangezogen. Nach dem Plattformentransparenzgesetz müssen ab Januar 2024 auch Plattformen, die bestimmte Verkäufe und Vermietungen abwickeln, mittels der Steuer-ID relevante Transaktionen dem Bundeszentralamt für Steuern melden. Banken müssen sogar Verfahren implementieren, bei denen die IBAN bei Erhalt öffentlicher Gelder der Steuer-ID zugeordnet wird (§ 139b Abs. 10-13 AO).
Neue Verwendungsform verfassungsgemäß?
Das Ziel der neuen Regelung ist der (von vielen gewünschte) Bürokratieabbau und die Reduzierung des Verwaltungsaufwandes. So erfordern Verwaltungsprozesse häufig das Abgleichen von Kontaktdaten und sogar das Vorlegen der Geburtsurkunde. Die Steuer-ID soll hierbei als eindeutiges Identifikationsmerkmal dienen. Ein Zugriff auf Steuerdaten selbst soll es hierdurch hingegen nicht geben.
Bei der Diskussion über die Verfassungsmäßigkeit geht es darum, ob der Verwendungsumfang das Recht auf informationelle Selbstbestimmung unzulässig einschränkt. Die Mehrheit der Teilnehmer der EAID-Veranstaltung war skeptisch. Viele drückten sogar ihre Ansicht aus, dass der aktuelle Verwendungsumfang einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung darstellt.
Gegen eine Verfassungskonformität sprechen auch die engen Schranken, die für Personenkennzeichen grundlegend im Volkszählungsurteil festgelegt wurden. Da die Legislative zudem keine ausreichenden Vorkehrungen geschaffen hat, um die Bildung von Bürgerprofilen zu verhindern, stuften etliche Veranstaltungsteilnehmer die Verwendung als verfassungswidrig ein.
Alternativmodell: besonderes Personenkennzeichen
Vor dem Hintergrund der Verfassungsmäßigkeit ist fraglich, ob es nicht ein milderes Mittel für die Zwecke des IDNrG gibt, dass die „Erforderlichkeit“ entfallen lässt. Ein alternatives Modell könnte, das bereits in Österreich verwendete, “besondere Personenkennzeichen” sein. Auch hier wird eine feste Identifikationsnummer jedem Bürger zugeordnet. Allerdings pseudonymisiert ein kryptografisches Einwegverfahren die Stammzahl zunächst für jeden einzelnen Verwendungszweck. Erst im Anschluss wird diese bereichsspezifische Kennziffer dem jeweiligen Empfänger zugänglich gemacht. Die Vorteile dieses Ansatzes sind aus datenschutzrechtlicher Sicht offensichtlich. Eine Profilbildung der Bürger wird verhindert, da Empfänger niemals die eigentliche Identifikationsnummer erhalten, sondern nur das für sie generierte Pseudonym, während andere Stellen eine andere Nummer erhalten.
Fazit
In Anbetracht der erheblichen Ausweitung des Anwendungsbereichs der Steuer-ID sieht es danach aus, als sei die ursprüngliche Zusicherung, dass sie niemals als allgemeine Personenkennziffer verwendet werden würde, nicht mehr gültig. Im Ergebnis fiel auch das Urteil der Veranstaltungsteilnehmer nicht gut aus. Die meisten werten die aktuelle Ausprägung der Steuer-ID mit hoher Wahrscheinlichkeit als nicht verfassungskonform.
Egal wie sehr ein Bürokratieabbau in Deutschland auch gewünscht ist, durch die Implementierung einer verwaltungsübergreifenden Identifizierungsnummer wächst das Risiko einer missbräuchlichen Verknüpfung personenbezogener Daten und der Erstellung von Bürgerprofilen. Die Gewährleistung des Rechts auf informationelle Selbstbestimmung sollte stets an erster Stelle stehen, während gleichzeitig die legitimen Bedürfnisse und Anforderungen der Gesellschaft berücksichtigt werden müssen.
Es bleibt spannend, wie die Debatte weitergehen wird. Ob die aktuellen Entwicklungen zu einer Neubewertung der Verfassungsmäßigkeit der Steuer-ID und damit zu einer Nachfolgeentscheidung des Volkszählungsurteil führen werden, wird die Zukunft zeigen.
17. Oktober 2023
Chatkontrolle sei anlasslose Massenüberwachung
Die Europäische Union plant die Einführung der sogenannten „Chatkontrolle“. Hierunter versteht man technische Maßnahmen zur Überwachung der elektronischen Kommunikation, um Kindesmissbrauch im Internet zu verfolgen oder vorzubeugen. Konkret stehen Beratungen im Rat der Europäischen Union bevor. Deswegen hat am 17. Oktober 2023 die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Entschluss zur geplanten Chatkontrolle verabschiedet. Darin fordert sie den EU-Gesetzgeber auf sich an die Grundsätze der Rechtsstaatlichkeit, Erforderlichkeit und Verhältnismäßigkeit zu halten.
Kindesmissbrauchsbekämpfung als Ziel
Die EU-Kommission legte den Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Mai 2022 vor. Anbieter von Online-Kommunikationsdiensten (z.B. E-Mail- oder Chat-Dienste wie WhatsApp) würden hierdurch verpflichtet, die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs oder den Kontakt zu Minderjährigen mittels gewisser Kriterien zu identifizieren.
Unverhältnismäßige Massenüberwachung
Die von der EU-Kommission vorgeschlagene Maßnahme sieht vor, sämtliche Kommunikation, einschließlich E-Mails und Chatnachrichten, auf Darstellungen sexuellen Kindesmissbrauchs zu überwachen. Diese Kontrolle würde unterschiedslos und verdachtsunabhängig stattfinden und auch die sensibelsten Lebensbereiche der Nutzer betreffen. Weiterhin wäre auch Ende-zu-Ende verschlüsselte Kommunikation umfasst. Dies würde, die Verschlüsselung, die in den letzten Jahren als ein Eckpfeiler der Privatsphäre etabliert wurde, aufbrechen. Durch einen solchen Abbau von Sicherheitsmechanismen erhöhe sich das ohnehin bestehende Risiko für missbräuchliche Einsichtnahme in private Kommunikation erheblich. Dies gefährde den elementaren Grundsatz der Vertraulichkeit der elektronischen Kommunikation.
Die DSK beschreibt die gewählten Mittel als „äußert zweifelhaft“. Insofern meint sie, dass es sich um eine „anlasslose Massenüberwachung“ handelt, die nicht in Einklang mit den Grundrechten der Achtung des Privat- und Familienlebens, der Vertraulichkeit der Kommunikation und des Schutzes personenbezogener Daten zu bringen ist. Durch die Chatkontrolle sammle man eine enorme Menge an persönlichen Informationen von Nutzern, ohne dass auch nur der Verdacht einer Straftat vorliege. Deswegen warnt die DSK ausdrücklich davor, den Wesensgehalt der Grundrechte zu berühren.
Fazit
Unstreitig ist die Bedeutung der Bewahrung von Kindern vor sexuellem Missbrauch. Allerdings ist es ist Aufgabe des Gesetzgebers eine Lösung zu finden, die dieses Ziel erreicht, ohne die Privatsphäre der Nutzer unverhältnismäßig einzuschränken. Wie von der DSK richtig erkannt, sind hierbei die Prinzipien der Rechtsstaatlichkeit zu wahren. Maßnahmen zur Bekämpfung schwerster Kriminalität müssen in einem angemessenen und verhältnismäßigen Rahmen stattfinden. In welcher konkreten Ausprägung die Verordnung schlussendlich in Kraft treten wird, bleibt abzuwarten.
13. Oktober 2023
Niedersachsens Datenschutzbeauftragter, Denis Lehmkemper, der erst am 15.09.2023 ernannt wurde, betritt das Parkett mit klaren Ansichten zur Rolle von Künstlicher Intelligenz (KI) in der modernen Gesellschaft. Bereits nach seiner Ernennung betonte er, dass er einen Schwerpunkt darin sehe „die rasante Entwicklung der Digitalisierung von Wirtschaft, Gesellschaft und Verwaltung – getrieben von Zukunftsthemen wie Künstliche Intelligenz – im Interesse der Bürgerinnen und Bürgern in Niedersachen zu begleiten. In einem Interview mit der Deutschen Presse-Agentur äußerte er nun seine Bedenken hinsichtlich des Einsatzes von KI und betonte die Notwendigkeit einer öffentlichen Diskussion über klare Regeln und Leitlinien.
Die Herausforderungen des KI-Einsatzes
Lehmkemper erkennt die vielfältigen Fragen und Unsicherheiten, die mit dem wachsenden Einsatz von KI verbunden sind. Klar ist für ihn, dass dies in Zukunft ein relevantes Thema in seiner Behörde sein wird. Ein Szenario, das er aufwarf, war die Möglichkeit, dass KI-Systeme über die berufliche Zukunft von Bewerbern oder Arbeitnehmern entscheiden könnten. In solchen Fällen scheinen die datenschutzrechtlichen Hindernisse zu hoch, weshalb viele Unternehmen auf den Einsatz von KI gänzlich verzichten. Laut Lehmkemper, verdeutlicht gerade das Beispiel aus dem Arbeitsleben den Bedarf an klaren und robusten Regeln.
Eine breite Debatte
Auch wenn die Auseinandersetzung mit dem Thema KI zunächst beunruhigend sein kann, warnte der Behördenchef davor, sich bei der Beantwortung der Frage nach Leitlinien von Ängsten leiten zu lassen. Man müsse die Problematik und die konkrete Ausarbeitung der Vorgaben in der gesamten Gesellschaft diskutieren. Dabei will er das Parlament, die Wirtschaft, die Gewerkschaften und sogar die Kirchen einbinden.
Lösungsansatz
Lehmkemper fordert „Regeln“ und „Leitplanken” und ggf. sogar ein spezielles “Gesetz”. Er betonte zum einen, die Wichtigkeit eines hohen Schutzstandards, andererseits dürfe man nicht technischen Fortschritt behindern.
Ein aktuelles vom Bundesministerium für Bildung und Forschung gefördertes Whitepaper der Plattform Lernende Systeme zeigt technische Instrumente, die Privatsphäre und Datenschutz bei der Anwendung von KI-Systemen gewährleisten könnten. Statt Verbote aufzustellen solle man vielmehr Handlungsräume mit gewissen Begrenzungen für die Unternehmen schaffen, die ihnen Rechtssicherheit bieten. Die Autoren fordern, dass diese Verfahren als Ausnahme in die Datenschutzgrundverordnung (DSGVO) einbezogen werden. Für die verschiedenen Methoden sollten zudem Standards und Zertifizierungsmöglichkeiten implementiert werden
Beispielhaft wird etwa das Privacy-Preserving Machine Learning (PPML) empfohlen. Hierbei wird schon bei der Entwicklung des KI-Systems der Datenschutz sichergestellt z. B. durch Anonymisierung oder Verschlüsselung personenbezogener Daten. Eine Alternative sei die Verwendung von Personal Information Management Systemen (PIMS), bei denen der Einzelne die Verfügungsbefugnis über seine Daten behält und sogar von deren wirtschaftlichem Nutzen profitieren könnte.
Fazit
Denis Lehmkemper fordert zu Recht klare Regeln und Leitlinien für den Umgang mit KI. Er hat erkannt, dass KI eine entscheidende Rolle in unserer Zukunft spielen wird, auf die man nicht verzichten sollte. Zum Schutz der Bürger bedarf es allerdings gleichzeitig entsprechender Regeln. Die Entwicklung von KI schreitet schnell voran und ist so komplex, dass es schon jetzt kaum möglich ist, ebenso schnell gesetzliche Regulierungen zu schaffen. Bislang gibt es kaum konkrete begrenzende Gesetze. Die Ansätze des Whitepapers der Plattform Lernende Systeme könnten hierfür gute Impulse geben. Ob und welche Regelungen diesbezüglich tatsächlich kommen werden, bleibt abzuwarten.
Pages: 1 2 ... 10 11 12 13 14 ... 275 276 
