Kommentar zu Art. 22 DSG «Datenschutz-Folgenabschätzung»

11/2023

Art. 22 Datenschutz-Folgenabschätzung

1. Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden.

2. Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

a. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;

b. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

3. Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte.

4. Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind private Verantwortliche, wenn sie gesetzlich zur Bearbeitung der Daten verpflichtet sind.

5. Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er ein System, ein Produkt oder eine Dienstleistung einsetzt, das oder die für die vorgesehene Verwendung nach Artikel 13 zertifiziert ist, oder wenn er einen Verhaltenskodex nach Artikel 11 einhält, der die folgenden Voraussetzungen erfüllt:

a. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung.

b. Er sieht Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Person vor.

c. Er wurde dem EDÖB vorgelegt.

IN KÜRZE

Art. 22 DSG regelt die Voraussetzungen zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Der Artikel ist an die Bestimmungen der Art. 35 f. DSGVO angelehnt. Mithilfe der datenschutzrechtlichen Risikoanalyse soll bei einer geplanten Datenbearbeitung, welche voraussichtlich zu hohen Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen führt, vorgängig eine Bewertung dieser Risiken vorgenommen werden. Damit sollen vor Beginn der Datenbearbeitung angemessene Massnahmen zur Risikominimierung definiert und ergriffen werden. Ein hohes Risiko liegt gemäss Gesetz insbesondere bei (i) der umfangreichen Bearbeitung besonders schützenswerter Daten (z.B. Gesundheitsdaten) oder (ii) der systematischen umfangreichen Überwachung von öffentlichen Bereichen (z.B. der Installation von Überwachungskameras in einem Park) vor. Die Liste der in Art. 22 genannten hohen Risiken ist jedoch nicht abschliessend. Typischerweise werden sich hohe Risiken durch den Einsatz neuer Technologien und Prozesse ergeben, wie z.B. algorithmische Systeme («Künstliche Intelligenz»), DLT-Systeme oder Big Data Analytics. Die geplante Bearbeitungstätigkeit kann jedoch auch aufgrund anderer Faktoren als hohes Risiko für die Persönlichkeit oder für die Grundrechte der betroffenen Personen eingestuft werden, z.B. weil Kinder betroffen sind, automatisierte Einzelentscheide gefällt oder Personendaten an ein komplexes Netzwerk von Auftragsbearbeitern weitergeben werden. Direkt strafbewehrt ist die Verletzung der Pflicht nach Art. 22 jedoch nicht.

I. ALLGEMEINES

A. Überblick

Das revidierte DSG sieht im Gegensatz zur DSGVO keine allgemeine Rechenschaftspflicht vor. Eingeführt wurde jedoch die Pflicht, eine Datenschutz-Folgenabschätzung (DSFA) für Datenbearbeitungen mit hohen Risiken durchzuführen, was im Endeffekt eine Rechenschaftspflicht für bestimmte Datenbearbeitungen darstellt. Die DSFA ist nicht nur auf Bundesebene, sondern auch in zahlreichen Kantonen gesetzlich verankert. In Zürich findet sich die entsprechende Pflicht beispielsweise in § 10 Abs. 1 IDG, in Verbindung mit einer Vorabkontrolle (vgl. zum Vorabkonsultationsverfahren auf Bundesebene die Kommentierung zu Art. 23).

Die DSFA wird mit der Revision im Schweizer Datenschutzgesetz für alle Verantwortlichen verankert – für private Verantwortliche sowie für Bundesorgane. Aus diesem Grund umfasst der Wortlaut der Bestimmung sowohl hohe Risiken für die Persönlichkeit (für die Datenbearbeitung durch private Verantwortliche) als auch für die Grundrechte (für die Datenbearbeitung durch Bundesorgane) der betroffenen Personen. Die DSFA dient dazu, die potenziellen Risiken einer geplanten Datenbearbeitung frühzeitig zu erkennen, zu bewerten und risikomindernde Massnahmen zu definieren sowie zu implementieren. Diese Schritte müssen vorgenommen werden, bevor mit der geplanten Datenbearbeitung begonnen wird (siehe zum Zweck weitergehend N. 8 ff.). Die Anwendung des Art. 22 ist Ausfluss des risikobasierten Ansatzes des DSG, der in der Umsetzung der Art. 22 und 23 besonders deutlich in Erscheinung tritt.

Der DSFA wird eine steigende Bedeutung zugesprochen. Begründet wird dies vor allem mit der zunehmenden Verbreitung von fortgeschrittenen algorithmischen Systemen oder vergleichbaren neuen Technologien in allen Lebensbereichen, wie z.B. Distributed-Ledger-Technologien oder dem Internet der Dinge. Bei zahlreichen der genannten Anwendungen sind Personendaten betroffen und es ist nicht auszuschliessen, dass die Persönlichkeit oder die Grundrechte der betroffenen Personen beim Einsatz dieser Technologien hohen Risiken ausgesetzt sind. In diesen Fällen wird somit eine DSFA erforderlich. Der oder die Verantwortliche wird dazu angehalten, sich vorgängig analytisch mit der geplanten Datenbearbeitung auseinanderzusetzen.

Gleichzeitig ist zu beachten, dass insbesondere bei algorithmischen Systemen bestimmte Vorgänge kaum nachvollziehbar sind und ihr Potenzial nicht abschliessend definierbar ist (sog. «Black Box» Problematik). Entsprechend lassen sich die bearbeiteten Personendaten und Bearbeitungszwecke im Einzelfall ggf. nicht klar definieren und abgrenzen, zumal oftmals viele Auftragsbearbeiter und andere Dritte zur Bearbeitung der Daten hinzugezogen werden und die den Systemen zugrundliegenden Big Data-Analysen ein noch nicht absehbares Potenzial bieten. So kann es sich bei der DSFA in diesen Fällen durchaus um ein «ambitiöse(s) Unterfangen» handeln, deren Durchführung jedoch umso ernster genommen werden muss. Je besser dies gelingt, desto eher kann ein vertrauenswürdiger und transparenter Einsatz von solchen Technologien gewährleistet werden.

B. Entstehungsgeschichte

Das Schweizer DSG sah vor der Totalrevision keine explizite Pflicht für private Datenbearbeiter vor, eine DSFA durchzuführen. Bundesorgane waren jedoch bereits unter dem alten DSG verpflichtet, dem internen Datenschutzverantwortlichen oder dem EDÖB Projekte zu melden, welche die automatisierte Bearbeitung von Personendaten zum Inhalt hatten (Art. 20 Abs. 2 aVDSG). Diese Meldung war damit verbunden, dass die jeweiligen Bundesbehörden für die geplante Datenbearbeitung ein Informationssicherheits- und Datenschutz-Konzept («ISDS-Konzept») erstellen mussten. Dieses Vorgehen war gemäss Botschaft mit der DSFA vergleichbar.

Für private Verantwortliche wurde die DSFA in Einzelfällen u.U. auf Art. 7 aDSG gestützt. Zudem erforderten die Datenbearbeitungsgrundsätze schon immer, dass die Folgen einer Datenbearbeitung stets mitberücksichtigt werden müssen. Ausserdem verlangte der EDÖB im Rahmen seiner Beratung von privaten Datenbearbeitern in bestimmten Fällen bereits in der Vergangenheit die Vorlage einer DSFA, insbesondere wenn es sich um risikoreiche Datenbearbeitungen handelte. Bedingt wurde die Einfügung der Pflicht zur Durchführung einer DSFA nicht zuletzt durch EU-weite Vorgaben gemäss Art. 8^bis E-SEV 108 sowie Art. 27 f. der Richtlinie (EU) 2016/680. Art. 35 f. DSGVO enthält analoge Vorschriften für Verantwortliche, die in den Anwendungsbereich der DSGVO fallen, aber die Schweiz im Rahmen der Rechtssetzung nicht direkt verpflichten.

International baut das Instrument auf einer langjährigen Vorgeschichte auf, die bis in die 1990er Jahre zurückreicht. In diesem Zeitraum wurden sowohl in der EU-Datenschutzrichtlinie (Art. 20, Richtlinie 95/46/EG), welche von der DSGVO abgelöst wurde, als auch im angelsächsischen Raum erste «Privacy Impact Assessments» entwickelt. Weitere EU Mitgliedstaaten wie Frankreich und Deutschland haben aufgrund der Richtlinie 95/46/EG entsprechende Empfehlungen herausgegeben. Diese unverbindlichen Vorgaben zielten darauf ab, mögliche Risiken von vornherein zu minimieren oder wenn möglich auszuschliessen, zumal sich eine solch präventive Ausrichtung stets als einfacher und kostengünstiger erwies, als die Prozesse z.B. nachträglich zu einer Untersuchung durch die kompetente Aufsichtsbehörde anzupassen.

Diese Ziele sollten u.a. durch eine Beschreibung der «Information Flows», den Einbezug von und den Diskurs mit «Stakeholdern» sowie durch Verfassen von Reports erreicht werden. Beispielhaft können zudem die Vorschriften des ehemaligen Bundesdatenschutzgesetzes (aBDSG) in Deutschland genannt werden, das in § 3 Abs. 9 aBDSG einen erhöhten Schutz für besondere Arten von Daten vorsah. Bei diesen besonderen Daten handelte es sich u.a. um Daten über die politische Meinung oder die Gesundheit. Bevor diese Daten von Organisationen bearbeitet werden durften, musste der zuständige Beauftragte für Datenschutz eine sog. «Vorabkontrolle» vornehmen, um den sachgemässen Umgang sicherzustellen (§ 4d Abs. 5 aBDSG).

An all diese Entwicklungen knüpfte der Gesetzgebungsprozess in der Schweiz offenbar an, indem in allen Vorversionen zum totalrevidierten DSG eine DSFA vorgesehen war. Im Vorentwurf waren Art. 22 und der dazugehörige Art. 23 DSG in einem Artikel 16 VE-DSG zusammengefasst. Art. 16 Abs. 3 VE-DSG war jedoch strenger gefasst als die nun geltende Vorschrift. Der Artikel sah vor, dass sowohl das Ergebnis als auch die ergriffenen Massnahmen von jeder DSFA dem EDÖB gemeldet werden müssen. Im E-DSG wurde die Folgenabschätzung sodann in zwei Artikel gefasst und an die Struktur von Art. 35 DSGVO angepasst. Die Liste von Bearbeitungen mit hohem Risiko, welche somit zwingend die Durchführung einer DSFA voraussetzen, umfassten im Entwurf ebenfalls das Profiling (Art. 20 Abs. 2 lit. b E-DSG). Dieser Bearbeitungsprozess wurde im finalen Gesetzestext aufgrund der parlamentarischen Beratungen und im Einklang mit der geltenden Gesetzessystematik jedoch wieder aus der Liste von Datenbearbeitungen mit hohem Risiko gestrichen. Dieser Schritt ist zu begrüssen, zumal in vielen Fällen das Profiling nicht als besonders heikel einzustufen sein wird und eine DSFA somit nicht gerechtfertigt wäre.

Die DSFA wird nunmehr in Art. 22 DSG normiert und ist sowohl auf private Verantwortliche als auch Bundesorgane anwendbar. Damit geht die Gesetzesnorm über die zuvor bestehende Pflicht für Bundesorgane aus Art. 20 Abs. 2 VDSG hinaus und weitet sie aus. Im Rahmen der mit der Totalrevision neu eingeführten Norm fehlt es – mit Ausnahme von Art. 14 DSV zur Aufbewahrungspflicht von zwei Jahren – an weiteren Ausführungsbestimmungen, welche die Umsetzung in der Praxis vereinfachen könnten.

C. Normzweck

Die Einhaltung der Voraussetzungen des Art. 22 dient dazu sicherzustellen, dass eine geplante Datenbearbeitung nicht zu einer Verletzung des DSG führt. Die DSFA soll beim Verantwortlichen ein erhöhtes Bewusstsein für Datenbearbeitungen mit hohem Risiko, wie z.B. beim Einsatz von algorithmischen Systemen («Künstliche Intelligenz») oder Big Data Analytics, bei der Nutzung von Gesichtserkennungssoftware, bei der Einführung einer Patientendatenbank oder im Rahmen von Profiling mit hohem Risiko, schaffen. Es handelt sich mithin um eine «datenschutzrechtliche Selbstbeurteilung» bei besonders risikoreichen Datenbearbeitungen. Art. 22 ist Ausfluss der Datenschutzgrundsätze sowie des Grundsatzes von Datenschutz durch Technik und datenschutzfreundlicher Voreinstellungen (Art. 7). So geht es darum, Risiken in einem ersten Schritt zu erkennen und diese in einem zweiten Schritt analytisch zu bewerten. Der Verantwortliche soll dabei eine Prognose über die möglichen Folgen einer geplanten Datenbearbeitung für die betroffenen Personen machen.

Dabei kommt es darauf an, wie und in welchem Umfang sich die geplante Datenbearbeitung auf die betroffenen Personen auswirkt. Schliesslich zielt die Norm darauf ab, ausgehend von den Ergebnissen der durchgeführten Analyse, angemessene Massnahmen zu entwickeln und zu implementieren, um (i) die identifizierten Risiken der geplanten Datenbearbeitung zu mildern, (ii) langfristige Schlüsse daraus zu ziehen sowie (iii) sich insgesamt datenschutzkonform zu verhalten.

Gelingt dies, bietet die DSFA zudem die Möglichkeit, die Einhaltung von Vorschriften aus dem Datenschutzrecht gegenüber dem EDÖB nachzuweisen und langfristig Kosten zu sparen. In diesem Sinne fordert der Art. 22 vom Verantwortlichen ein selbständiges Weiterdenken und Prüfen der sich ergebenden Risiken in Bezug auf die geplante Datenbearbeitung: Ist die geplante Datenbearbeitung mit den Vorgaben der Datenschutzgesetzgebung im Einklang? Werden die allgemeinen Datenschutzgrundsätze eingehalten? Ist die Datenbearbeitung verhältnismässig? Ist die Datensicherheit durch die geplante Bearbeitung gefährdet? Ergeben sich weitere Risiken für die Persönlichkeit oder Grundrechte der betroffenen Personen? Diesen Fragen ist dabei ungeachtet der Höhe des Risikos nachzugehen, wodurch der Gesetzgeber zu einem Grossteil auf eine «Hands-on-Mentalität» setzt. Dies soll dazu dienen, die mit der Datenbearbeitung zusammenhängenden Risiken auf ein als angemessen empfundenes Niveau zu senken.

Die Dokumentations- und die Aufbewahrungspflicht nach Art. 14 DSV ergänzen die Pflicht eine DSFA bei Datenbearbeitungen mit hohen Risiken durchzuführen. So wird der Verantwortliche verpflichtet, eine durchgeführte DSFA zu dokumentieren und nach Beendigung der Datenbearbeitung während mindestens zwei Jahren aufzubewahren. Dadurch sieht sich der Verantwortliche im Falle einer Untersuchung durch den EDÖB in der Lage, die risikoreiche Datenbearbeitung zu rechtfertigen und aufzuzeigen, wie den hohen Risiken entgegnet wird. Aus dieser Bestimmung geht der Charakter der DSFA als ergänzende Rechenschaftspflicht sowohl gegenüber dem EDÖB als auch gegenüber betroffenen Personen hervor.

II. INHALT

A. Adressaten

Art. 22 adressiert vor allem zwei Akteure: Bundesorgane sowie private Verantwortliche, da es sowohl um eine Risikoeinschätzung der betreffenden Datenbearbeitung in Bezug auf die Persönlichkeit als auch die Grundrechte der betroffenen Personen geht. Bundesorgane hatten bereits im aDSG eine ähnliche Pflicht. Private Verantwortliche wie auch Bundesorgane sind von dieser Pflicht betroffen, wenn sie gem. Art. 3 Abs. 1 in den Anwendungsbereich des DSG fallen. Dies bedeutet, dass auch private Verantwortliche mit Sitz im Ausland dieser Pflicht unterliegen, sofern sich ihre Datenbearbeitungstätigkeit gem. dem Auswirkungsprinzip in der Schweiz auswirkt und die weiteren Voraussetzungen von Art. 22 erfüllt sind (vgl. zum Auswirkungsprinzip ausführlich die Kommentierung zu Art. 3).

Auftragsbearbeiter sind zu Recht nicht von der Pflicht zur Durchführung einer DSFA erfasst, zumal sie die Daten im Auftrag eines Verantwortlichen bearbeiten und der Verantwortliche grundsätzlich über den Zweck und die Mittel einer Datenbearbeitung entscheidet. Die Risikoeinschätzung liegt somit grundsätzlich nicht in ihrer Sphäre. Während im DSG im Gegensatz zu Art. 28 Abs. 3 lit. f DSGVO keine Unterstützungspflicht der Auftragsbearbeiter gegenüber den Verantwortlichen bei der Durchführung einer DSFA verankert ist, kann eine Unterstützungspflicht der Auftragsbearbeiter jedoch auch in ihrem Sinne sein. In der Praxis wird eine entsprechende Pflicht häufig Bestandteil der vertraglichen Abreden zwischen dem Verantwortlichen und dem Auftragsbearbeiter sein. Aus den Datenschutzgrundsätzen in Art. 6 lässt sich jedoch eine Pflicht für Auftragsbearbeitende ableiten, sicherzustellen, dass die ihnen übertragene Datenbearbeitung im Einklang mit den Datenschutzgrundsätzen erfolgt. Trifft dies nicht zu, ist der Verantwortliche darüber in Kenntnis zu setzen, dass die Datenbearbeitungstätigkeit angepasst werden sollte. Gegebenenfalls sollte gar die Durchführung einer DSFA vorgeschlagen werden.

B. Das hohe Risiko

Abs. 2 sieht vor, dass die DSFA in jedem Fall durchzuführen ist, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person anzunehmen ist. Dementsprechend ist nicht für jede Datenbearbeitung eine DSFA durchzuführen. Dies entspricht dem risikobasierten Ansatz des DSG, wobei vorliegend die Risiken für die betroffenen Personen spezifisch im Vordergrund stehen und nicht Risiken, die sich für die Verantwortlichen ergeben.

Das hohe Risiko ergibt sich aus der Art, dem Umfang und den Umständen sowie dem Zweck der Datenbearbeitung. Diese Kriterien sind vergleichbar mit den Risiken, die im Rahmen der Festlegung von Datensicherheitsmassnahmen gemäss Art. 1 Abs. 3 DSV berücksichtigt werden müssen. In diesem Sinne liegt das hohe Risiko insbesondere dann vor, jedoch nicht ausschliesslich, wenn neue Technologien eingesetzt werden. Je umfangreicher und sensitiver diese Handlungen und Datenbestände sind, desto eher kann vom Vorliegen eines hohen Risikos ausgegangen werden. Die geplante Datenbearbeitung muss u.a. im Hinblick der Einwirkung auf die Identität, Selbstbestimmung oder Würde der betroffenen Person untersucht werden. Das hohe Risiko muss sich nicht effektiv manifestieren: Es geht darum potenzielle Risiken zu erkennen und zu bewerten, die im Rahmen der Datenbearbeitung auftreten könnten.

Gemäss den lit. a und lit. b liegt ein hohes Risiko im Sinne einer Fiktion dann vor, wenn (i) besonders schützenswerte Personendaten umfangreich bearbeitet (z.B., wenn Strafregisterinformationen in einem öffentlichen Register publiziert werden, beim Einsatz von Gesundheitsapplikationen, die Auswertungen der Daten vornehmen und Diagnosen erstellen, oder bei klinischen Versuchen) oder (ii) öffentliche Bereiche umfassend und systematisch überwacht werden (z.B. die Überwachung eines öffentlichen Spielplatzes oder Parks oder die systematische Überwachung der Internetnutzung von Mitarbeitenden). Das Gesetz listet keine weiteren Datenbearbeitungen auf, für welche zwingend eine DSFA durchgeführt werden muss. Im Gegensatz dazu sieht die DSGVO bspw. weitergehend vor, dass Aufsichtsbehörden Listen über Datenbearbeitungen publizieren müssen, welche zwingend einer DSFA bedürfen.

Weder das Profiling mit hohem Risiko noch die automatisierte Einzelentscheidung werden gemäss Wortlaut von Art. 22 Abs. 2 als Datenbearbeitungstätigkeit eingestuft, die zwingend eine DSFA verlangen. Dies erscheint auf den ersten Blick überraschend, zumal das Profiling mit hohem Risiko per Definition ein hohes Risiko für die betroffene Person mit sich bringt und die automatisierten Einzelentscheide zu Rechtsfolgen oder anderen Folgen führen, welche die betroffene Person erheblich beeinträchtigen. Vor diesem Hintergrund ist für ein Profiling mit hohem Risiko stets eine DSFA durchzuführen. Bei automatisierten Entscheiden stellt sich die Lage hingegen anders, komplexer dar, zumal eine DSFA die Datenbearbeitung an sich bewertet, welche bei diesen automatisierten Einzelentscheidungen nicht zwingend heikel ist. Heikel ist hier primär das Ergebnis der Entscheidung, welche in Art. 21 geregelt ist. Eine DSFA ist dennoch durchzuführen, wenn die Datenbearbeitung, die zur automatisierten Einzelentscheidung führt, an sich ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person führen könnte.

In der Botschaft werden weitere Datenbearbeitungen aufgeführt, die zu einem hohen Risiko führen könnten, namentlich im Falle der Bearbeitung grosser Datenmengen, der Übermittlung von Daten in Drittstaaten (in diesem Zusammenhang ist auf das sog. Data Transfer Impact Assessment hinzuweisen; vgl. die Kommentierung zu Art. 16 f.) oder sofern eine grosse Vielzahl an Personen auf die Daten zugreifen können. Im Einzelfall ist jedoch stets zu prüfen, ob tatsächlich ein hohes Risiko vorliegt.

Weder das DSG noch die DSV enthalten genauere Vorgaben in Bezug auf die Bestimmung des hohen Risikos. So muss stets anhand der konkret geplanten Datenbearbeitung geprüft werden, ob eine DSFA durchzuführen ist. Als Hilfestellung können dabei die EU-Leitlinien dienen, welche für die Regelung in Art. 35 f. DSGVO neun Kriterien vorsehen, nach welchen die Ermittlung eines hohen Risikos erfolgen kann.

Sobald eine geplante Datenbearbeitung zwei dieser neun Kriterien erfüllt, soll gemäss der Leitlinie die Pflicht bestehen, eine DSFA durchzuführen. Die neun Kriterien lauten wie folgt:

Bewertung oder Einstufung von Personen oder Persönlichkeitsaspekten mithilfe von Daten;
Automatisierte Entscheidungsfindung mit Rechtswirkung gegenüber natürlichen Personen oder ähnlich bedeutsamer Wirkung;
Systematische Überwachung;
Bearbeitung von vertraulichen oder höchstpersönlichen Daten;
Datenbearbeitung in grossem Umfang;
Abgleichen oder Zusammenführen von verschiedenen Datensätzen, sofern nicht damit zu rechnen war;
Datenbearbeitung von schutzbedürftigen Personen (z.B. Kinder, Arbeitnehmenden oder Patienten);
Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (z.B. künstliche Intelligenz, Big Data Analytics oder Blockchain-basierte Technologien), da deren datenschutzrechtliches Risiko oft noch nicht genau eruiert worden ist; und
Fälle, in denen die Datenbearbeitung die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert.

Während die Leitlinien aus der EU in der Schweiz nicht anwendbar sind, können sie aufgrund der vergleichbaren gesetzlichen Voraussetzungen zur Durchführung einer DSFA im Schweizer und EU-Datenschutzrecht beigezogen werden. Es ist zudem nicht auszuschliessen, dass der EDÖB ähnliche Leitlinien publizieren oder die Listen von Datenbearbeitungsvorgängen der verschiedenen EU-Aufsichtsbehörden gem. Art. 35 Abs. 4 DSGVO, welche zwingend eine DSFA verlangen, analog auf die Schweiz anwenden wird. Die Praxis wird in Bezug auf die Beurteilung des hohen Risikos für mehr Rechtssicherheit sorgen.

C. Durchführung der DSFA

1. Einführung

Art. 22 macht klare Vorgaben, in welchen Fällen der Verantwortliche eine DSFA durchführen muss und was bei der Durchführung zu beachten ist. Dazu gehört, dass die Risikobewertung strukturiert durchgeführt und dokumentiert werden muss. Die Dokumentation muss zudem der Konsultation des EDÖB standhalten, wenn trotz der implementierten Massnahmen die Datenbearbeitung weiterhin ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen zur Folge hat (Art. 23 Abs. 1; vgl. hierzu ausführlich die Kommentierung zu Art. 23).

2. Ablauf

Die DSFA ist von dem Verantwortlichen vor Aufnahme einer neuen oder aktualisierten Datenbearbeitungstätigkeit durchzuführen. Dies dient dazu, die Risiken der geplanten Datenbearbeitung vorgängig zu erkennen und entsprechende Massnahmen zu implementieren, bevor es zu Rechtsverletzungen kommt. Dabei gilt: je früher, desto besser. Die einmalige, anfängliche Durchführung des DSFA reicht indes nicht aus. Vielmehr sind auch während des jeweiligen Projekts weitere Durchläufe erforderlich, um zu überprüfen, ob etwaig vorgenommene Anpassungen der Datenbearbeitungen zu einer anderen Einschätzung führen und somit andere Massnahmen sachgemässer oder gar obsolet erscheinen.

Inhaltlich setzt die DSFA drei Schritte voraus, die in Abs. 3 definiert werden. Dies ist, erstens, die Vorbereitungsphase, in welcher die Bearbeitung der Daten möglichst präzise beschrieben wird. Zweitens werden in der Bewertungsphase die Risiken bewertet, um darauf aufbauend in einem dritten Schritt, Massnahmen zum Umgang mit bzw. zur Bewältigung dieser Risiken zu treffen.

Bevor diese drei Schritte ausgeführt werden, sollten private Verantwortliche jedoch prüfen, ob sie gesetzlich zur Datenbearbeitung verpflichtet sind. Sofern eine gesetzliche Bearbeitungspflicht besteht, sind sie von der Pflicht zur Durchführung einer DSFA ausgenommen (Art. 22 Abs. 4). Ausserdem sollte die Bundesbehörde oder der private Verantwortliche zuerst eine Vorabeinschätzung durchführen. Dabei handelt es sich um eine allgemeine, eher oberflächliche Risikoeinschätzung, zur Prüfung, ob potenziell ein hohes Risiko bei der geplanten Datenbearbeitung vorliegen könnte (vgl. zum hohem Risiko N. 12 ff.). Auf diese Weise lässt sich vorab klären, ob eine DSFA überhaupt notwendig ist.

Kommt der Verantwortliche zum Schluss, dass die geplante Datenbearbeitung voraussichtlich nicht zu einem hohen Risiko führen wird, ist keine DSFA erforderlich. Ein solcher Entscheid sollte jedoch zu Beweiszwecken dokumentiert und aufbewahrt werden. Sofern der Verantwortliche jedoch aufgrund dieser Vorabeinschätzung zum Schluss gelangt, dass die betreffende Datenbearbeitung zu einem hohen Risiko führen könnte, ist die DSFA grundsätzlich durchzuführen. Eine Ausnahme liegt nur in den Fällen des Art. 22 Abs. 5 vor.

Die Vorbereitungsphase umfasst eine detaillierte Darstellung der (geplanten) Datenbearbeitungstätigkeit. Das Gesetz legt weder fest, was diese Beschreibung umfassen, noch wie detailliert sie ausfallen muss. Je nach Komplexität der geplanten Datenbearbeitungstätigkeit kann die DSFA somit länger oder kürzer ausfallen. Die Beschreibung sollte jedoch mindestens die Art der bearbeiteten Daten und Kategorien der betroffenen Personen, die Darlegung des verfolgten Zwecks, die Aufbewahrungsdauer, die Bearbeitungsvorgänge, die Empfänger sowie den Ort der Bearbeitung und Aufbewahrung umfassen. Eine vollständige Risikoabschätzung ist andernfalls nicht möglich. Aus dieser Beschreibung sollte hervorgehen, warum welche Personendaten wie bearbeitet werden sollen. Im Rahmen dieser Darstellung ist auf die zugrundeliegenden Technologien und Systeme einzugehen sowie auf relevante Rechtsgrundlagen, damit darauf aufbauend ein möglicher gesetzgeberischer Handlungsbedarf frühzeitig erkannt und umgesetzt werden kann.

Daran schliesst die Bewertungsphase, während der die Notwendigkeit und Verhältnismässigkeit der Datenbearbeitung in Bezug auf die möglichen Risiken in Relation gesetzt werden. Bewertet werden damit die negativen Folgen der Datenbearbeitung für die Persönlichkeit oder Grundrechte der betroffenen Person. Hohe Risken oder negative Auswirkungen der Datenbearbeitung können sich hierbei auf unterschiedliche Weise manifestieren: So kann eine Datenbearbeitung zu einer Rufschädigung führen oder aber die Bearbeitung falscher Daten zur Folge haben, dass fehlerhafte Prognosen oder Diagnosen im medizinischen Umfeld erstellt werden. Vorstellbar sind auch Situationen, in denen eine Person ungerechtfertigt entlassen wird oder Vertrauensverluste gegenüber Behörden, dem privaten Verantwortlichen oder gegenüber Freunden und Familie entstehen. Zudem kann sich die Datenbearbeitung auch finanziell auswirken. Diese und vergleichbare Risiken gilt es in der Bewertungsphase auf ihre Wahrscheinlichkeit und Schwere hin zu analysieren.

Bei der Bewertung der Risiken sind die Datenschutzgrundsätze – vor allem jene der Datenminimierung, des Datenschutzes durch Technik sowie der datenschutzfreundlichen Voreinstellungen – zu beachten (siehe dazu N. 4). Der informationellen Selbstbestimmung der betroffenen Person kommt ebenfalls eine besondere Wichtigkeit zu, nicht jedoch den Interessen des Verantwortlichen. Eine Interessenabwägung im Hinblick auf die zu ergreifenden Massnahmen zwischen den Interessen der betroffenen Person (Datenschutzinteresse, Interesse an der Verfügungsfreiheit über die eigenen Daten) und des Verantwortlichen (Datenbearbeitungsinteresse) darf jedoch zu einem späteren Zeitpunkt erfolgen.

Obschon es sich bei den für die DSFA relevanten Daten nicht zwingend um «besonders schützenswerte» handeln muss, ist die «heikle Natur» der Daten im Rahmen der jeweiligen DSFA und der zu ergreifenden Massnahmen zu berücksichtigen. Entsprechend sind die Anzahl sowie die Sensitivität der Daten in dieser Phase zu berücksichtigen. Die Bewertungsphase umfasst die Einschätzung der Schwere der Risiken und Wahrscheinlichkeit des Eintritts dieser Risiken. Obwohl in dieser Phase ein potenziell hohes Risiko erkannt werden soll, können sich die Risiken auch erst im Anschluss an die Durchführung des DSFA ergeben. In diesem Sinne lassen sich die drei genannten Phasen nicht strikt voneinander abgrenzen.

Nachdem in der Bewertungsphase beurteilt wurde, ob die Bearbeitung der Daten mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person einhergeht, werden in der dritten Phase Massnahmen zur Risikoverminderung definiert. Der Verantwortliche muss sich in dieser Phase somit nicht nur im Klaren darüber sein, welche Risiken bestehen, sondern muss eine Entscheidung treffen, wie diesen Risiken entgegengetreten wird. Bei den Massnahmen kann es sich um organisatorische, technische oder rechtliche bzw. vertragliche Massnahmen handeln. Der Verantwortliche muss analysieren, wie die geplante Datenbearbeitungstätigkeit angepasst werden kann, damit das hohe Risiko auf ein angemessenes Mass reduziert wird. Solche Massnahmen können z.B. die Einschränkung der Datenkategorien, die Beschränkung der Zugriffe auf die Daten, die Verschlüsselung von Daten, der Wechsel eines involvierten Auftragsbearbeiters, die Änderung des Bearbeitungsortes, die Aufnahme bestimmter Pflichten in den Verträgen mit Dritten in Bezug auf die Datenbearbeitung, usw. sein. Die Massnahmen müssen aber geeignet sein, die spezifisch identifizierten Risiken zu mindern und können nicht per default, d.h. allgemein in Bezug auf alle Risiken von Datenbearbeitungstätigkeiten, welche eine DSFA erfordern, angewendet werden. Sie müssen einzelfallabhängig definiert werden.

Das DSG bestimmt nicht, ob die Durchführung einer DSFA nur einmalig oder regelmässig erfolgen muss. Dies hängt von der Datenbearbeitungstätigkeit ab: Ist sie einmalig, reicht eine einmalig durchgeführte DSFA aus. Wird die Datenbearbeitung jedoch über einen längeren Zeitraum hinweg ausgeführt und ergeben sich aufgrund veränderter Umstände neue oder höhere Risiken, sollte die DSFA wiederholt werden. Grundsätzlich sollte die DSFA jedoch in etwa alle drei Jahre wiederholt werden. Ob sich diese Empfehlung angesichts schnell voranschreitender und immer umfassenderer technologischer Neuerungen langfristig bewährt, bleibt abzuwarten, erscheint aus derzeitiger Perspektive jedoch eher unwahrscheinlich.

Zeitlich ist zudem noch die Aufbewahrungsfrist zu beachten. Gemäss Art. 14 DSV ist die erforderliche Dokumentation der DSFA für zwei Jahre aufzubewahren. Die Frist beginnt mit dem Ende der Datenbearbeitung zu laufen.

3. Durchführung einer gemeinsamen DSFA

Der Verantwortliche hat das Recht bei mehreren vergleichbaren Datenbearbeitungsvorgängen eine gemeinsame DSFA durchzuführen. Dies gilt jedoch nur dann, wenn sowohl die Risiken als auch die Gegenmassnahmen ähnlich sind. Diese Möglichkeit dient dazu, den Aufwand und die Kosten für den Verantwortlichen zu reduzieren. Ob dieses Recht tatsächlich zu einer Entlastung der Verantwortlichen führen wird, ist jedoch zweifelhaft; es sei denn eine bestimmte Bearbeitungsplattform oder Anwendung wird in verschiedenen Sektoren oder Projekten eingesetzt.

4. Organisation

Die Durchführung einer DSFA obliegt nicht nur einer bestimmten Person, Stelle oder Abteilung beim Verantwortlichen. Wie jede andere Risikoanalyse handelt es sich um einen Prozess, an dem mehrere Personen, Stellen und Abteilungen übergreifend beteiligt werden müssen. Innerhalb eines Unternehmens werden für die DSFA üblicherweise die Projektleitung, die IT-Abteilung und/oder der Chief Information Security Officer, die Datenschutzstelle oder der Datenschutzberater, die Rechtsabteilung, die Risiko- und Compliance-Abteilung sowie andere Schlüsselpersonen beigezogen. Jede beteiligte Person ist für bestimmte Schritte der DSFA essenziell. So ist die Projektleitung für die Vorbereitungsphase besonders wichtig, weil sie die (geplante) Datenbearbeitung am besten beschreiben kann. Der Datenschutz- und Rechtsabteilung obliegt es, die Risiken gemäss Datenschutz und anwendbarem Recht zu beurteilen.

Andere Abteilungen sind für die Bestimmung der risikomindernden Massnahmen von besonderer Relevanz. Auftragsbearbeiter, die bei dem geplanten Datenbearbeitungsvorgang eingesetzt werden, sollten im Rahmen der DSFA auch mit einbezogen werden. Wie bei jedem Projekt ist es besonders bedeutsam, dass eine Person, Stelle oder Abteilung die Leitung der DSFA übernimmt und den Überblick über den gesamten Prozess behält. Diese Leitung übernimmt in der Regel die Datenschutzberaterin oder die Projektleiterin auf operativer Ebene. Auftragsbearbeiter, die bei dem geplanten Datenbearbeitungsvorgang eingesetzt werden, sollten im Rahmen der DSFA miteinbezogen werden.

Aus Sicht des Verantwortlichen ist es deshalb sinnvoll eine Stelle oder Abteilung zu definieren, welche die rechtlichen Anforderungen an eine DSFA kennt und über die notwendigen Fachkenntnisse zur Durchführung einer DSFA verfügt. Dies ist in der Regel die für den Datenschutz zuständige Stelle oder Abteilung. Je nach Fokus oder Businessmodell der Verantwortlichen, kann es hilfreich sein, eine Vorlage inkl. Anleitung für die Durchführung einer DSFA zu erstellen, auf die im Einzelfall zurückgegriffen werden kann. Auf diese Weise werden die rechtlichen Anforderungen eingehalten, ohne dass bestimmte Aspekte vergessen gehen.

D. Ausnahmen

Neben der allgemeinen Pflicht zur Durchführung einer DSFA in Fällen, in denen eine Datenbearbeitung zu einem hohen Risiko für die betroffenen Personen führt, definieren Abs. 4 und 5 einige Ausnahmen.

Art. 22 Abs. 4 sieht vor, dass private Verantwortliche in Einzelfällen von der Pflicht zur Durchführung der DSFA ausgenommen sein können, sofern sie gesetzlich zur Bearbeitung der Daten verpflichtet sind. Im Gesetzgebungsprozess wurde diese Ausnahme damit begründet, dass mögliche Risiken in diesen Fällen bereits abgewogen wurden und somit kein weitergehender Bedarf zur Durchführung einer DSFA besteht.

Zu Recht wird jedoch darauf hingewiesen, dass sich der Ausnahmetatbestand einzig auf die Frage der Zulässigkeit der Datenbearbeitung bezieht, nicht auf die Art und Weise der jeweiligen Bearbeitung von Daten. So ist die DSGVO in dieser Hinsicht strenger und verlangt, dass die im Rahmen der Gesetzgebung durchgeführte Risikoanalyse sich auf die konkrete Bearbeitungstätigkeit beziehen muss, damit die Ausnahme greift (vgl. N. 40). Darüber hinaus sind auch diejenigen Fälle zu beachten, in denen die Bearbeitung von Daten nicht ausschliesslich zur Erfüllung der jeweiligen gesetzlichen Pflicht erfolgt. Gesetzliche Pflichten zur Bearbeitung von Daten durch Private finden sich z.B. im Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung (Art. 30 GwG) oder die Weitergabe von Mitarbeiterdaten durch einen Arbeitgeber zur Erfüllung sozialversicherungsrechtlicher Pflichten (Art. 84 KVG). Es liegt auf der Hand, dass Bundesbehörden von dieser Ausnahmeregelung nicht umfasst sind: Sie dürfen Daten stets nur gestützt auf eine gesetzliche Grundlage bearbeiten.

Art. 22 Abs. 5 sieht sodann eine weitere Ausnahme vor. Demzufolge können private Verantwortliche von der Erstellung der DSFA absehen, wenn bestimmte Voraussetzungen in Bezug auf die Zertifizierung einer Datenbearbeitung oder die Einhaltung genehmigter Verhaltenskodizes erfüllt sind. Diese Ausnahmen gelten nicht für Bundesbehörden. Zum einen ist dies der Fall, wenn der Verantwortliche ein System, Produkt oder eine Dienstleistung einsetzt, welche(s) für die Verwendung nach Art. 13 zertifiziert ist (siehe hierzu ausführlich die Kommentierung zu Art. 13 DSG). Zum anderen entfällt die Pflicht in den Fällen, in denen der Verantwortliche einen Verhaltenskodex i.S.v. Art. 11 einhält, (i) der auf einer DSFA beruht, (ii) spezifische Massnahmen zum Schutz der Persönlichkeit und der Grundrechte der betroffenen Personen trifft und (iii) dem EDÖB vorgelegt wurde.

Derzeit existieren keine solchen Verhaltenskodizes in der Schweiz. Vorstellbar sind solche jedoch für Branchen, in denen die Branchenteilnehmerinnen eng zusammenarbeiten und standardisierte Prozesse gemeinsam entwickeln, wie z.B. bei Banken und Versicherungen, in Technologie- oder Medienunternehmen oder in der Werbebranche. In der EU richtet sich die Erarbeitung vergleichbarer Verhaltenskodizes bzw. – regeln nach Art. 40 DSGVO, wobei aktuell u.a. der EU Cloud Code of Conduct, welcher als harmonisierter Verhaltenskodex für die Cloud-Industrie innerhalb der EU dient, bekannt ist.

III. VERLETZUNG DER PFLICHT ZUR DURCHFÜHRUNG EINER DSFA

Führt ein Verantwortlicher keine DSFA durch, obwohl gemäss Art. 22 eine entsprechende Pflicht bestünde, ist Art. 51 Abs. 3 lit. d zu beachten. Diesem Artikel zufolge kann der EDÖB unter Strafandrohung verfügen, dass der Verantwortliche eine DSFA vornehmen muss. Im Gegensatz dazu haben betroffene Personen jedoch keinen Anspruch, die Durchführung einer DSFA klageweise durchzusetzen.

Stellt der EDÖB im Rahmen einer Untersuchung fest, dass eine Datenbearbeitung zu einem hohen Risiko führt, kann er verfügen, dass die Datenbearbeitung angepasst, suspendiert oder ganz abgebrochen wird, bis eine DSFA durchgeführt wurde (Art. 51 Abs. 1 i.V.m. Art. 49 f). Dies kann zu erheblichen Verzögerungen beim Verantwortlichen führen, was wiederum hohe Kosten und zusätzlichen Aufwand für den Verantwortlichen mit sich bringt. Da die Ergebnisse einer Untersuchung vom EDÖB zudem veröffentlicht werden können (Art. 57 Abs. 2), bestehen zudem erhebliche Reputationsrisiken für den Verantwortlichen.

Die Verletzung der Pflicht zur Durchführung einer DSFA wird nicht eigenständig einer Busse unterstellt. Diese Regelung erscheint vor dem Hintergrund, dass es sich bei dieser Pflicht primär um eine Sorgfaltspflicht (bestehend aus einer Dokumentations- und Rechenschaftspflicht) handelt, sinnvoll. In der EU wird dies hingegen anders gehandhabt. Es ist jedoch davon auszugehen, dass Verantwortliche ihre Pflichten gemäss DSG dennoch einhalten werden. Zum einen da Behörden bereits unter dem aDSG eine solche Pflicht berücksichtigen mussten. Zum anderen führten auch private Verantwortliche, insbesondere Konzerne, vor Inkrafttreten des totalrevidierten DSG ebenfalls DSFAs durch, z.B. weil die betreffende Datenbearbeitung unter die DSGVO fiel oder der EDÖB dies verlangt hatte.

IV. HERAUSFORDERUNGEN UND PRAKTISCHE RELEVANZ

Mit dem Inkrafttreten des neu gefassten Art. 22 zeigt sich, dass die normativen Voraussetzungen für eine DSFA einen hohen Komplexitätsgrad aufweisen. Dies gilt insbesondere bei der Umsetzung durch kleine und mittlere Unternehmen (KMU), denen in der Schweiz eine wirtschaftliche nicht zu unterschätzende Bedeutung zukommt. Für sie dürfte es sich als herausfordernd erweisen, die einzelnen Schritte im Einklang mit Art. 22 durchzuführen. Dies gilt insbesondere für die Vorbereitungs- sowie die Massnahmenphase, welche sich allein schon aufgrund der notwendigen analytischen Vorgehensweise als zeitaufwendig gestalten. Dies dürfte in Einzelfällen erhebliche Kosten generieren. Es ist entsprechend davon auszugehen, dass der Bedarf an Vorlagen, Beratung und Hilfestellungen seitens des EDÖB zeitnah in hohem Masse zunehmen wird. In dieser Hinsicht ist die Pflicht der europäischen Aufsichtsbehörden Listen zu publizieren, in denen definiert wird, wann eine DSFA zwingend notwendig ist, als Schritt in diese Richtung zu beurteilen (Art. 35 Abs. 4 DSGVO).

Mit dem zunehmenden Einsatz von algorithmischen Systemen und anderen Anwendungen wird auch die DSFA an Bedeutung gewinnen. Verantwortliche müssen im Einzelfall genau abwägen, welche Risiken angemessen erscheinen und ob sich der Einsatz solcher Systeme lohnt. Diese analytische Herangehensweise vor dem eigentlichen Projektstart dürfte vor allem für grosse Unternehmen nicht neu sein, zumal bereits vor der Totalrevision entsprechende Privacy Impact Assessments durchgeführt wurden und sie auf EU-Ebene durch die DSGVO vergleichbare Pflichten kennen dürften.

Die DSFA macht zudem deutlich, dass sich im Bereich neuer disruptiver Technologien die verschiedenen Rechtsbereiche überschneiden und eine zunehmende Vermengung von rechtlichen Fragen und solcher bzgl. der eingesetzten Technologie zu beobachten ist. Ein Beispiel für diese Entwicklung sind die Diskussionen rund um den Artificial Intelligence Act («AI Act»). Vergleichbar mit der DSFA nach Art. 22 DSG, liegt dem zuletzt diskutierten Text ein stark risikobasierter Ansatz zugrunde, wonach zwischen einem begrenzten, hohen und inakzeptablem Risiko differenziert wird. So ist vor allem bei hochriskanten Anwendungen, die im Anhang III des AI Acts definiert werden, nach Art. 43 AI Act ein Konformitätsbewertungsverfahren durchzuführen, das sich u.a. nach Anhang VI richtet. Diese Vorgaben sind wie die DSFA gemäss dem DSG als präventiver, fortlaufender Prozess zu verstehen, der sowohl rechtliche als auch technische Aspekte beinhaltet sowie weitergehend der Transparenz und damit dem Vertrauen der Nutzerinnen dient.

V. VERGLEICH MIT DEM EU-RECHT

Im Allgemeinen ist die Durchführung der DSFA gemäss dem DSG mit den EU-weiten Vorgaben der DSGVO vergleichbar. Gleichzeitig sind Art. 22 f. DSG weniger strikt ausgestaltet als Art. 35 f. DSGVO. In der EU ist eine DSFA etwa auch durchzuführen, wenn eine Datenbearbeitung zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen kann. Im Gegensatz zu Art. 22 DSG sieht Art. 35 Abs. 3 lit. a DSGVO zudem eine DSFA explizit für automatisierte Einzelentscheide vor.

Die lit. a bis d von Art. 35 Abs. 7 regeln vergleichbare Schritte wie Art. 22 DSG, welche berücksichtigt werden müssen, wenn eine DSFA durchgeführt wird. So ist die vorbereitende Phase mit lit. a vergleichbar, die Phase der Bewertung mit den lit. b und c sowie die Phase der Implementierung der Massnahmen mit lit. d. Obschon in der Schweiz ebenfalls davon auszugehen ist, dass eine DSFA im Rahmen der Datenbearbeitung aufgrund veränderter Umstände gegebenenfalls nochmals durchgeführt werden muss, sieht dies Art. 35 Abs. 11 DSGVO in bestimmten Fällen sogar explizit vor.

Während Art. 35 Abs. 2 DSGVO eine Pflicht zur Konsultation des Datenschutzbeauftragten («Data Protection Officer») beinhaltet, jedenfalls sofern ein solcher ernannt wurde, sieht Art. 35 Abs. 9 DSGVO sogar vor, dass der Verantwortliche bei der Durchführung der DSFA die betroffenen Personen konsultieren kann. Eine solche Bestimmung enthält das DSG nicht. Die Konsultation des Datenschutzbeauftragten hat auf die DSFA inhaltlich keinen Einfluss, zumal die Rolle des Datenschutzbeauftragten nicht konkretisiert wird. Die Einholung des Standpunktes der betroffenen Personen hingegen hat die Transparenz seitens des Verantwortlichen sowie die Selbstbestimmung der betroffenen Personen zum Ziel. Diese Konsultationen verstärken den Sinn und Zweck der DSFA, indem nochmals aufgezeigt wird, dass die zu beurteilenden Risiken, solche der Datenbearbeitung für die betroffenen Personen und somit nicht in erster Linie Risiken für den Verantwortlichen sind.

Anders als in der Schweiz schreibt Art. 35 Abs. 4 DSGVO den Aufsichtsbehörden vor, eine Liste über die Verarbeitungsvorgänge zu führen, bei denen eine DSFA in jedem Fall durchzuführen ist (sog. Positivlisten). Dem Grunde nach statuiert der europäische Verordnungsgeber damit eine faktische Pflicht zur Durchführung einer DSFA in den von den Aufsichtsbehörden definierten Fällen. Ausserdem werden Aufsichtsbehörden ermächtigt fakultativ auch Listen von Datenbearbeitungstätigkeiten zu führen, für die keine DSFA erforderlich ist (sog. Negativlisten; Art. 35 Abs. 5 DSGVO). Diese Listen unterstehen dem Kohärenzverfahren, wenn sie «Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten» (Art. 35 Abs. 6 DSGV). Eine Pflicht zur Führung von Positiv- oder Negativlisten sieht das DSG nicht vor, obschon dies der Rechtssicherheit zuträglich wäre.

Während Art. 22 Abs. Abs. 5 DSG explizit besagt, dass eine DSFA nicht durchgeführt werden muss, wenn ein Verhaltenskodex gem. Art. 11 DSG eingehalten wird und die zusätzlichen Voraussetzungen nach Abs. 5 erfüllt sind, sind solche Verhaltensregeln gemäss DSGVO nur im Rahmen der Beurteilung der Auswirkungen der betreffenden Datenbearbeitung in der DSFA zu berücksichtigen. Sie entbinden den Verantwortlichen jedoch nicht von der Pflicht, eine DSFA durchzuführen, wenn diese gesetzlich zwingend erforderlich ist.

Schliesslich sieht Art. 35 Abs. 10 DSGVO, ähnlich wie Art. 22 Abs. 4 DSG, vor, dass keine DSFA durchgeführt werden muss, wenn eine Datenbearbeitung auf einer gesetzlichen Grundlage beruht. Die Ausnahme in der DSGVO ist jedoch enger gefasst: Die Ausnahme greift nur, wenn eine DSFA im Rahmen des Erlasses der Rechtsgrundlage durchgeführt wurde und die Rechtsgrundlage den konkreten Bearbeitungsvorgang bzw. die konkreten Bearbeitungsvorgänge regeln. Die praktische Bedeutung dürfte sich somit in Grenzen halten. Ausserdem besteht eine Ausnahme gem. Art. 35 Abs. 10 DSGVO, sofern die Datenbearbeitung in Erfüllung von öffentlichen Interessen oder in Ausübung öffentlicher Gewalt ausgeführt wird.

Die DSGVO sieht für die Verletzung der Pflicht zur Durchführung einer DSFA Bussen bis zu € 10 Mio. oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (Art. 83 Abs. 4 lit. a DSGVO). Diese Busse steht im Gegensatz zum DSG, das für eine solche Verletzung keine Busse vorsieht (vgl. N. 35).

Zur einfacheren Lesbarkeit wurden die Quellen- und Literaturverweise entfernt.

Rehana C. Harasgama/Dario Haux, Kommentierung zu Art. 22 DSG, in: Thomas Steiner/Anne-Sophie Morand/Daniel Hürlimann (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz – Version: 20.08.2023: https://onlinekommentar.ch/de/kommentare/dsg22 (besucht am 25. Oktober 2023),

DOI: https://doi.org/10.17176/20230820-140438-0.

http://creativecommons.org/licenses/by/4.0/

Kategorie: Datenschutz | Künstliche Intelligenz

Beitrag teilen:

Diskriminierungsfreie KI

11/2023

Datenschutzrechtliche Anforderungen an diskriminierungsfreien KI-Einsatz

Die Funktionsweise der KI steht im kaum auflösbaren Spannungsverhältnis mit den wesentlichen Grundprinzipien des Datenschutzrechts. Damit steht dieses Rechtsgebiet zwar nicht alleine – auch Urheberrecht, Straßenverkehrsrecht, allgemeines Gleichbehandlungsrecht usw. sind nicht wirklich kompatibel mit den bahnbrechenden neuen technischen Möglichkeiten. Der Datenschutz ist jedoch das aktuelle Thema unserer Zeit, weil (nur) in diesem Rechtsgebiet momentan eine echte Regulierung künstlicher Intelligenz stattfindet. Das momentan bedeutsamste Tool ChatGPT wurde in der Folge in Italien wegen Datenschutzverstößen für rund einen Monat gesperrt. Wesentlicher Grund für dieses robuste Enforcement waren bereits Unvereinbarkeiten mit grundlegenden Anforderungen der Datenschutz-Grundverordnung (DSGVO). Ein weiterer Antrieb für die staatliche Untersagung bildeten diskriminierende Ergebnisse sowie diskriminierungsfördernde Intransparenz.

Grundlegende Anforderungen des Datenschutzrechts am Beispiel ChatGPT

Ende März 2023 hat die Datenschutzbehörde Garante per la Protezione dei Dati Personali (GPDP) angeordnet, dass der Dienst in Italien vorerst nicht mehr nutzbar gemacht werden durfte. Die verantwortliche Stelle OpenAI ist der Verpflichtung nachgekommen, indem sie den Zugang gesperrt hat für Rechner, die anhand ihrer IP-Adresse als italienisch erkannt wurden. Die Anordnungsgründe lauteten:

Keine klar erkennbare Rechtsgrundlage für massenhafte Datenerhebung und Verarbeitung zum Training der KI
Verarbeitung unrichtiger Daten, da mitunter unrichtige Ergebnisse bei An fragen zu natürlichen Personen ausgegeben werden
Keine Datenschutzinformationen, weder für Nutzer*innen noch für Personen, deren Daten im Datenbestand sind
Unzureichende Beachtung von Betroffenenrechten z.B. auf Auskunft, Lö schung und Berichtigung
Verstöße gegen Jugendschutz wegen teilweise unangemessener Antworten des Chatdienstes (die italienische Datenschutzaufsicht ist zugleich für Jugendschutz im Internet zuständig)

Nach rund einem Monat nahm die GPDP die Anordnung vorläufig zurück, nachdem OpenAI zahlreiche Sofortmaßnahmen ergriffen hatte. Mit der Rücknahme ist weder eine Bestätigung der Rechtmäßigkeit verbunden noch ist gewährleistet, dass ChatGPT damit dauerhaft angeboten werden darf. Vielmehr hat die Aufsichtsbehörde damit bestätigt, dass ein für die Dauer der Detailermittlungen zunächst tolerabler Zustand hergestellt wurde. Die Zugeständnisse von OpenAI umfassen öffentliche Datenschutzinformationen inklusive einer detaillierten Beschreibung der Funktionsweise, Widerspruchsformulare gegen die Verwendung der Nutzeranfragen zu Trainingszwecken sowie gegen die Verwendung der Daten von EU-Bürger*innen für die Antworten des Chatdienstes sowie die Möglichkeit der Löschung unrichtiger Rohdaten.

Jede europäische Datenschutzbehörde ist in ihrem Territorium zuständig, weil der Anbieter keine Niederlassung im Europäischen Wirtschaftsraum hat.

Ebenfalls Prüfungen eingeleitet haben mehrere europäische Datenschutzaufsichten sowie Behörden in den USA und Kanada. Die deutschen Landesdatenschutzbehörden haben eine gemeinsame Prüfaktion mit einheitlichen Fragen an OpenAI gestartet und der Europäische Datenschutzausschuss hat eine Taskforce zur koordinierten Rechtsdurchsetzung eingesetzt.

Rechtsgrundlage für die Verarbeitung

Im Rahmen ihrer zunächst summarischen Prüfung geht die italienische GPDP davon aus, dass keine Rechtsgrundlage im Sinne des Art. 6 DSGVO existiert, die den Dienst ChatGPT legitimiert. Künstliche Intelligenz nennt die DSGVO zwar an keiner Stelle, sie ist jedoch zumeist auf solche Dienste anwendbar. Soweit eine KI personenbezogene Daten automatisiert verarbeitet, ist der Anwendungsbereich eröffnet und eine Rechtsgrundlage notwendig. Dies betrifft sowohl das Training der KI als auch die spätere Nutzung. Dient also eine KI lediglich der Wettervorhersage oder beispielsweise der Auswertung von Wellenbewegungen zur Tsunami-Warnung, sind keine personenbezogenen Daten involviert. Dann bedarf es keiner weiterer datenschutzrechtlicher Überlegungen. Auch anonyme Trainingsdaten unterfallen nicht der DSGVO, weshalb teilweise synthetische Daten für die Entwicklung von KI-Systemen verwendet werden, um den Anwendungsbereich zu umgehen. Zumeist erfolgt das Training jedoch anhand von Echtdaten bzw. solchen, die zumindest einen mittelbaren Personenbezug aufweisen.

Ist der Anwendungsbereich eröffnet, greift das datenschutzrechtliche Verbotsprinzip. Wenn eine KI personenbezogene Daten verarbeitet, ist das vom Grundsatz her verboten, solange keine Ausnahme greift. Eine solche Ausnahme kann in einer Einwilligung oder einer gesetzlichen Grundlage bestehen. Es existiert keine spezifische Rechtsgrundlage für künstliche Intelligenz, sodass letztlich auf die allgemeinen Erlaubnistatbestände des Art. 6 DSGVO zurückgreifen muss, die eine umfassende Einzelfallbetrachtung voraussetzen.

Die Hambacher Erklärung der deutschen Datenschutzbehörden unterstreicht die Bedeutung des Zweckbindungsgebots der jeweiligen Rechtsgrundlage. Da nach haben Verwender*innen von Daten bereits bei Erhebung festzulegen und zu dokumentieren, wofür konkret die Daten benötigt werden. Von dieser Zweckbestimmung darf nur im Ausnahmefall anhand der Kriterien des Art. 6 Abs. 4 DSGVO abgewichen werden. Die Zweckbindung gehört zu den „Tragenden Säulen des Datenschutzrechts“, stellt dabei aber eine besondere Herausforderung für KI dar. Sie ist schon konzeptionell unvereinbar mit dem Grundkonzept von Big Data, bei dem zunächst eine große Datenbasis aufgebaut wird, ohne dabei festzulegen, welche Schlüsse daraus gezogen werden sollen. Schließlich ist es in der Entwicklungsphase unvorhersehbar, welche Fragestellungen ein Dienst wie ChatGPT in der späteren Nutzungsphase zu bearbeiten hat. Art. 6 Abs. 4 DSGVO ermöglicht durchaus eine Zweckänderung, wenn der neue Zweck mit dem bisherigen vereinbar ist. Das kann jedoch nicht pauschal bejaht werden, sondern erfordert Einzelfallbetrachtung der konkreten Daten und der konkreten Zwecke. Dieses differenzierte Vorgehen ist regelmäßig problematisch, wenn eine Anwendung jedermann zur freien Verfügung steht und zudem nicht transparent ist, woher und aus welchem Zusammenhang die Daten stammen.

Richtigkeit

Art. 5 Abs. 1 lit. d DSGVO untersagt Diskriminierung durch verzerrte Datensätze. Auch unwahre Daten zu einer Person sind personenbezogene Daten. Dabei ist die informationelle Selbstbestimmung in besonderem Maße verletzt, wenn nicht nur Daten, sondern zugleich auch Unwahrheiten über ein Individuum im Umlauf sind. Falsch sind Ergebnisse, wenn sie objektiv nicht der Wahrheit entsprechen; wenn Ergebnisse unangemessen und dadurch diskriminierend sind, hilft das Gebot der Datenrichtigkeit nicht. Zudem verlangt die Vorschrift auch Aktualität des Datenbestands. Verantwortliche Stellen sind verpflichtet, angemessene Maßnahmen zur Gewährleistung der Datenqualität zu ergreifen, sowohl aktiv durch Überprüfung und Aktualisierung als auch passiv durch Berücksichtigung von Hinweisen. Bekanntermaßen ist der Dienst Chat- GPT-4 nicht durchgehend in der Lage, korrekte Aussagen zu Personen zu machen und baut für seine Antworten auf einem Datenbestand von Ende 2021 auf.

Eine Umsetzung des Gebots der Datenrichtigkeit ist im Nachhinein kaum möglich, weil sich selbstlernende Systeme eigenständig weiterentwickeln. Wenn fehlerhafte Ergebnisse ausgeworfen werden, lässt sich bei einer KI nicht immer nachvollziehen, welcher Entwicklungsschritt zu korrigieren wäre. Es besteht allenfalls die Option, die Rohdaten zu überprüfen und gegebenenfalls zu korrigieren. Fehler passieren aber nicht notwendigerweise durch unrichtige Rohdaten, sondern auch im Rahmen des Trainings etwa durch ungeeignete Parameter oder nicht repräsentative Gewichtungen.

Transparenz

ChatGPT hielt bis zu den Verhandlungen mit der italienischen Aufsicht keine brauchbaren Datenschutzinformationen vor. Wenn jedoch Daten zu Trainingszwecken übermittelt und genutzt werden – und das ist bei KI-Anwendungen so gut wie immer der Fall – dann ist das klar zu benennen. Die Hambacher Erklärung der deutschen Datenschutzbehörden zeigt daher die aus Art. 5 Abs. 1 lit. a, Art. 12 ff. DSGVO folgende Anforderung auf, dass KI transparent, nachvollziehbar und erklärbar sein muss.

Diese sehr eindeutig im Datenschutzrecht verankerte Anforderung ist für Betreiber*innen von KI kaum umsetzbar. Dies ist in ihrer Funktionsweise begründet. Wesensmerkmal einer KI ist die sehr selbständige Analyse, ohne dass Datenanalysten und Betreiber exakt nachvollziehen können, wie ein Ergebnis zustande gekommen ist. Letztlich ist eine komplexe KI eine „black box“, bei der das Zustandekommen einer Entscheidung wenig oder gar nicht erklärbar ist. Der große Mehrwert solcher Maschinen ist gerade das Erkennen von Zusammenhängen im Datenbestand, die Menschen nicht ohne weiteres gesehen hätten. Sie gibt jedoch für gewöhnlich nur das Ergebnis aus, nicht notwendigerweise die Herleitung dorthin. Zudem ist die rechtlich gebotene Information „zum Zeitpunkt der Erhebung“ (Art. 13 Abs. 1 DSGVO) kaum umsetzbar. In der Regel ist dieser Zeitpunkt während der Trainingsphase des KI-Modells, in dem nicht feststeht, welche Schlüsse die KI künftig durch Verkettung von Roh daten ziehen wird.

Auch die inhaltlichen Anforderungen an die Datenschutzinformationen einer KI sind hoch. So ist in einfachen Worten adressatengerecht zu erklären, wie die KI arbeitet. Dabei ist nicht erforderlich, dass die Funktionsweise so verstanden wird, dass der Leser*innen die Software nachbauen könnten. Es geht vielmehr darum, die involvierte Logik abstrakt zu erklären, so dass die Gefahren deutlich werden. Raji vergleicht dies anschaulich mit der Funktionsweise des elektrischen Stroms: Dessen Grundidee, Gefahren und Vorsichtsvorkehrungen lassen sich auch für Laien erklären, ohne dass auf sich abstoßende Elektronen eingegangen werden muss. Ähnlich sind die Anforderungen an die Erklärung einer KI. Es muss nachvollziehbar sein, warum ein bestimmter Input zu einem bestimmten Output führt. Nutzer*innen und Betrachtungsobjekte der KI müssen daraufhin abschätzen können, welche Verhaltensänderungen beispielweise einer KI zur Erkennung der Kreditwürdigkeit zu einer positiveren Einschätzung verhelfen würden.

Neben der öffentlichen Datenschutzinformation ist eine interne Datenschutz-Folgenabschätzung erforderlich. Dieses Risiko-Assessment ist unter anderem verpflichtend bei der Einführung neuer Technologien (Art. 35 Abs. 1 Satz 1 DSGVO). Dies beinhaltet insbesondere Konstellationen, bei denen die gesellschaftlichen Auswirkungen noch nicht voll absehbar sind. Auch an sich etablierte Techniken sind neu, wenn sie verbessert oder auf neue Art eingesetzt wer den. Zudem ist eine Datenschutz-Folgenabschätzung notwendig bei systematischer und umfassender Bewertung von Individuen auf Grundlage einer automatisierten Vereinbarung (Art. 35 Abs. 3 lit. a DSGVO). Dabei ist nicht entscheidend, ob Profile in Form von Datensätzen zu einzelnen Personen vorgehalten werden. Es genügt, dass während der einzelnen Verarbeitung verschiedene Angaben zu einer Person zusammengeführt werden.

Betroffenenrechte

Herr seiner Daten ist nur, wer nachvollziehen kann, was an welchem Ort über ihn gespeichert ist, und wer dabei Unwahrheiten korrigieren kann. Hinsichtlich der Datenrichtigkeit sind Löschung und Berichtigung besonders wichtig. Erneut stößt das Grundkonzept der KI unauflösbar auf klare Anforderungen des Datenschutzrechts. Sind die Rohdaten in ein KI-Modell eingeflossen, ist kaum mehr nachvollziehbar, an welcher Stelle ein Fehler passiert ist, der durch nachträgliche Löschung oder Berichtigung getilgt werden könnte. Bereits die Auskunft auf alles, was über die Trainings-Rohdaten hinaus geht, ist in der Umsetzung problematisch. Auskünfte zu personenbezogenen Daten nach erfolgten Verarbeitungen sind nicht umsetzbar, wenn nicht nachvollziehbar ist, wie die KI zu ihren Ergebnissen gelangt. Dadurch sind die Betroffenenrechte nicht ausreichend auf das Szenario künstlicher Intelligenz abgestimmt.

Nach Art. 15 Abs. 1 lit. h DSGVO umfasst der Auskunftsanspruch auch Aussagen über involvierte Logik. Dies betrifft jedoch nur die abstrakte Funktionsweise, sodass die Risiken und grundlegenden Entscheidungsfaktoren nachvollziehbar sind. Nicht offengelegt werden muss der Algorithmus in der Weise, das wirklich nachvollzogen und vorhergesagt werden kann, welche Entscheidung die KI bei welcher Frage treffen wird. Diese Detailtiefe wäre ein geschütztes Geschäftsgeheimnis entsprechend der langjährigen Rechtsprechung zur Schufa. Diese Einschränkung ist auch mit der DSGVO vereinbar, weil deren ErwGr 63 Satz 5 Geschäftsgeheimnisse und Urheberrechte an Software als Grenze anerkennt. Einblick kann zwar in die Rohdaten verlangt wer den, aber nicht in den Entscheidungsprozess an sich. Zudem besteht nur eine Auskunftsanspruch über die eigenen Daten. Um die Arbeitsweise einer KI wirklich nachzuvollziehen, müssten alle Rohdaten vorliegen, aber die Gesamtheit der Rohdaten unterliegt dem Vertraulichkeitsinteresse der übrigen Betroffenen und der Geschäftsgeheimnisinhaber*innen.

Diskriminierungsbeschränkende Regelungen

Die Ausführungen unter A. zeigen, dass KI-Dienste wie ChatGPT bereits mit den grundlegenden Kernanforderungen des Datenschutzrechts im kaum auflösbaren Konflikt stehen. Soweit Datenrichtigkeit und Transparenz betroffen sind, hat dies schon mittelbare Bezüge zu Diskriminierung. Die DSGVO weist jedoch auch konkrete Regelungen auf, die auf die Verhinderung von Diskriminierung gerichtet sind, jedoch nicht Gegenstand der italienischen Anordnung zu ChatGPT gewesen sind. Diskriminierungsbekämpfung ist zwar nicht der zentrale Gesetzeszweck des Datenschutzrechts, aber dennoch an diversen Stellen punktuell mitgeregelt.

Ausstrahlung anderweitiger Diskriminierungsverbote auf das Datenschutzrecht

Zunächst haben Diskriminierungsverbote aus anderen Rechtsbereichen direkte Auswirkungen auf die Rechtmäßigkeit der zugrunde liegenden Datenverarbeitungen. Die meisten datenschutzrechtlichen Erlaubnisnormen enthalten Tatbestandsmerkmale wie „erforderlich“ oder „notwendig“ oder setzen wie Art. 6 Abs. 1 lit. f DSGVO eine direkt benannte Güterabwägung voraus. Wenn eine KI diskriminiert, dann steht das der Abwägung im Rahmen der Rechtsgrundlage entgegen. Ist eine Verarbeitung beispielsweise diskriminierend im Sinne des § 1 AGG, darf sie nicht erfolgen. Sie ist damit auch nicht erforderlich, not- wendig oder verhältnismäßig im Sinne der jeweiligen datenschutzrechtlichen Rechtsgrundlage. Dasselbe gilt für Diskriminierungsverbote aus Grundrechten. Da die DSGVO unionsrechtliches Sekundärrecht ist, sind für ihre Auslegung die Grundrechte der GRCh heranzuziehen, konkret Art. 20-23 GRCh.

Die im vorangegangenen Beitrag von Yakar dargestellten Diskriminierungsverbote haben daher unmittelbar auch datenschutzrechtliche Verarbeitungsverbote zur Folge. Wenn eine ohnehin verbotene Diskriminierungshandlung zugleich auch nach der DSGVO verboten ist, folgt daraus ein entscheidender Mehrwert: Im Datenschutzrecht existieren funktionierende, staatliche Regulierungsstrukturen, sodass eine flächendeckende Rechtsdurchsetzung möglich ist. Anderen Bereichen wie dem AGG oder den Gleichheitsgrundrechten stünde ohne die Annexfolge der DSGVO nur die individuelle Rechtsdurchsetzung im Einzelfall offen.

Schutz besonderer Datenkategorien

Besonders diskriminierungsgeeignete Daten sind besonders geschützt. Art. 9 Abs. 1 DSGVO statuiert ein nur unter engen Voraussetzungen zu durchbrechendes Verbot für die Verarbeitungen von Informationen zur rassischen und ethnischen Herkunft, zu politischen Meinungen, religiösen oder weltanschauli chen Überzeugungen, Gewerkschaftszugehörigkeiten, genetischen Daten, biometrischen Daten, Gesundheitsdaten, zum Sexualleben und zur sexuellen Orientierung. Nur die direkte Anknüpfung an die Artikel-9-Daten ist verboten, nicht aber die mittelbare Anknüpfung. Scheinbar neutrale Kriterien, die in engem Zusammenhang mit den eigentlich verbotenen Kategorien stehen, aber nicht unmittelbar die Kategorie selbst betreffen, dürfen unter den normalen Vo raussetzungen der DSGVO verwendet werden. So ist es unzulässig, Angaben zur Zugehörigkeit einer ethnischen Volksgruppe zu verarbeiten, während Informationen zum Geburtsort oder der Staatsangehörigkeit möglich sind. Das Verarbeitungsverbot klingt nachvollziehbar, um Diskriminierungen zu verhindern, bringt aber auch sinnvolle Dienste regelmäßig an ihre Grenzen. Soll beispielsweise eine KI wirksam Hate Speech erkennen – zum wünschenswerten Zweck der Eindämmung von Diskriminierung – dann muss sie Gesprächsinhalte inhaltlich analysieren, anstatt nur Schlüsselworte zu suchen. Hate Speech enthält jedoch regelmäßig Angaben über politische und weltanschauliche Anschauungen oder zur (vermeintlichen) sexuellen Orientierung oder Ethnie.

Erlaubnistatbestände des Art. 9 Abs. 2 DSGVO

Art. 9 Abs. 2 DSGVO enthält einen Katalog von Erlaubnistatbeständen für die Verarbeitung von Daten der besonders geschützten Kategorien, doch die Ausnahmen sind eng und der Katalog abschließend. Danach ist stets die Erforderlichkeit für im Gesetz spezifisch benannte Zwecke Voraussetzung. Das kann bei einem frei verwendbaren KI-System, dem jede:r Fragen stellen kann, nicht gewährleistet werden.

Einwilligung

Der einzige für alle Zwecke und Bereiche breit einsetzbare Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO ist die spezifische Einwilligung. Willigen die Betroffenen einer KI-Verarbeitung sensibler Daten ein, erlaubt das die Entscheidungsfindung durch die KI auch anhand diskriminierungsgeeigneter Kategorien. Auch die ggfs. ungewollte Diskriminierung ist dann von der legalisierenden Wirkung der Einwilligung umfasst. Wenn also beispielsweise in ein Analysetool zum Recruiting eingewilligt wurde, dann verhindert Art. 9 nicht mehr die mögliche Ausländerdiskriminierung der KI.

Es genügt jedoch nicht die Einwilligung der Person, die der KI Fragen stellt. Auch alle Betroffenen müssten einwilligen. Das ist der entscheidende Punkt, warum die Einwilligung für KI-Systeme meist als Rechtfertigungstool nicht in Frage kommt. Nur in abgegrenzten Projekten mit klarem Zweck und erreichbarem Betroffenenkreis ist die Einwilligung praktikabel. Wenn beispielsweise Patient*innen in die KI-gestützte Tumorerkennung einwilligt, dann lässt sich dies gut auf eine Einwilligung stützen. In einer solchen Konstellation ist es auch unproblematisch möglich, nach der Erlaubnis zu fragen, ob Röntgenbilder zum Training der KI per Einwilligung gespendet werden sollen. Wenn aber ein Programm wie ChatGPT sich autonom in frei verfügbaren Quellen bedient, dann müssten die dort Betroffenen einwilligen. Das sind im Zweifel alle noch leben den Menschen, über die Ende 2021 Informationen im Internet abrufbar gewesen sind. Das wird nicht umsetzbar sein. Ein weiteres Praxisproblem der Einwilligung ist ihre jederzeitige und voraussetzungsfreie Widerrufbarkeit. Entscheiden sich einzelne Betroffene, ihre Einwilligung zurückzuziehen, sind deren Daten ex nunc nicht mehr zu verwenden. Das ist in der Umsetzung problematisch, weil in einem KI-Modell kaum nachvollziehbar ist, inwiefern die Trainingsdaten tatsächlich eingeflossen sind.

Verzicht auf besondere Datenkategorien

Wenn kein Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO greift, weil insbesondere die Einwilligung keine praktische Option darstellt, dann dürfen die sogenannten besonderen personenbezogenen Daten nicht verarbeitet werden. Diese simpel anmutende Lösung ist in der Praxis jedoch ebenfalls kaum oder nur mit hohem Aufwand realisierbar, weil viele besonders geschützte Daten in harmlos erscheinenden Datensätzen mitschwingen. So enthalten beispielsweise Fotografien von Personen stets auch implizit die Angabe, ob es sich um Brillen träger*innen handelt oder welche Hautfarbe sie aufweisen. Daraus lassen sich Informationen zum Sehvermögen, also zum Gesundheitszustand, sowie zur ethnischen Herkunft ableiten. Als Beiwerk ist dies nicht zu beanstanden. Die Verwendung von Portraitbildern durch eine KI ist deshalb nicht pauschal verboten. Wichtig ist aber, dass die KI dieses Informations-Beiwerk nicht zur Grundlage seiner Mustererkennung und Entscheidung macht. Wenn die besonderen Kategorien in einem Kontext verwendet werden, in dem es speziell auf sie ankommt (z.B. Werbung an bestimmte Volksgruppe) oder speziell auf das Detail abgestellt wird (z.B. Liste mit Einwohner*innen dunkler Hautfarbe), ist dies eine Verletzung des Art. 9 Abs. 1 DSGVO. Die KI muss davon abgehalten werden, die geschützten Merkmale für eine Mustererkennung zu verwenden, um daraus Schlüsse zu ziehen, dass z.B. Brillenträger*innen bevorzugt einzustellen sind o der die Hautfarbe ein Kriterium für die Bonität sein könnte. Es kommt also beim „Beifang“ auf den Kontext der Verarbeitung an, während direkte Angaben der besonderen Kategorien wie z.B. Diagnosen (Sehstärke, Erkältung, HIV) steht Gesundheitsdaten sind.

Die KI hat folglich sehr komplexe Differenzierungen vorzunehmen, wenn sie die unzulässige Verarbeitung von Daten besonders geschützter Kategorien zu unterlassen hat. Ihr dies anzutrainieren, ist durchaus möglich. Es erfordert jedoch engmaschige Steuerung beim Training.

Automatisierte Entscheidungsfindung

Art. 22 DSGVO richtet sich gegen automatisierte Entscheidungen mit Rechtswirkungen für Individuen. Zweck ist eher die Verhinderung von Diskriminierung als der Schutz personenbezogener Daten. Die Vorschrift richtet sich bei aller Technikoffenheit insbesondere an KI-Systeme. Es ist nicht der Inhalt einer Entscheidung, den Art. 22 DSGVO reguliert, sondern nur das Ver fahren, wie die Entscheidung zustande kommt. Zugleich wird auch nicht das komplette Verfahren Schranken unterworfen, sondern nur die abschließende Entscheidung selbst, also der letzte Schritt der Entscheidungsfindung. Insofern beschränkt Art. 22 DSGVO nicht die KI selbst, sondern nur das, was mit dem Output der KI geschieht. Eine KI wird durch die Vorschrift also nicht daran gehindert, Personen zu diskriminieren. Wenn sie aber schon diskriminiert werden, dann soll das durch den Willen des Gesetzgebers nicht ausschließlich durch eine „kalte“ Maschine erfolgen, sondern durch einen Menschen „mit Herz“.

Der Unionsgesetzgeber bringt mit Art. 22 DSGVO ein reines Unbehagen gegenüber nichtmenschlichen Entscheidungen zum Ausdruck, regelt dabei aber nur seltene Extremfälle der völlig autonomen Entscheidung mit Rechtswirkung für einzelne Menschen. Er greift damit eine empirisch nicht belegte, aber doch angenommene weit verbreitete Algorithmenphobie auf. Dabei lässt sich durchaus infrage stellen, ob menschliche Entscheidungen tatsächlich vorzugswürdig sind gegenüber von Menschen trainierte künstliche Intelligenzen. Ob eine KI vorurteilsfreier agieren kann als Einzelpersonen, hängt entscheidend von der Qualität der Trainingsdaten und dem Engagement beim KI-Training ab. Art. 22 DSGVO differenziert insofern jedoch nicht, sondern erklärt alle automatisierten Entscheidungen für problematisch, soweit sie den Rechtsstatus von Menschen betreffen.

Verbot automatisierter Entscheidung mit Rechtswirkung

Aus Art. 22 Abs. 1 DSGVO folgt das subjektive Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen werden zu müssen. Jedenfalls darf eine solche Entscheidung nicht ungeprüft und unkorrigierbar erfolgen. Entscheidendes Kriterium ist, ob sie gegenüber einzelnen Menschen rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Beispiele für solche Rechtswirkungen sind der Abschluss, die Ablehnung oder die Kündigung eines Vertrags, nicht aber die automatisierte Preisdifferenzierung. Auch staatliche Entscheidungen haben rechtliche Wirkung, wenn beispielsweise eine KI eine Baugenehmigung erteilt bzw. ablehnt, über eine Einbürgerung beschließt, Sozialleistungen gewährt oder ablehnt oder ein gerichtliches Urteil fällt.

Praktisch relevante Anwendungsfälle ergeben sich oft bei der Ablehnung eines Vertrags im Internet, weil eine KI einen Betrugsversuch vermutet. So nehmen KI-Systeme mitunter diskriminierende Wertungen vor, indem sie beispielsweise Auslandsabrufe oder auch ungewöhnliches Surfverhalten bedingt durch gesundheitliche Einschränkungen oder hohes Alter als kriminelle Attacke einstufen. Wird zunächst nur der Zugang gesperrt und per Mail aufgefordert, das Passwort neu zu vergeben, ist der rechtliche Status unangetastet. Wird hingegen ein Nutzungsvertrag dauerhaft gekündigt oder eine Leistung verweigert, ist Art. 22 DSGVO einschlägig. Dasselbe gilt bei Alarmierungen wegen auffälliger Kamerabilder, bei denen eine Analyse-KI kriminelles Verhalten vermutet. Soweit lediglich menschliche Security alarmiert wird, ist der rechtliche Status unverändert; wenn eine Tür automatisiert verschlossen wird, mag das im Einzelfall anders sein.

Ausnahmen für zulässige automatisierte Entscheidung

Automatisierte Entscheidungen sind nicht in jedem Fall verboten. So sind beispielsweise Smart Contracts zumeist erlaubt, weil sie im B2B-Bereich keine Entscheidungen über Individuen beinhalten. Darüber hinaus sieht Art. 22 Abs. 2 DSGVO Ausnahmen vom Verbot vor, wenn die Automatisierung durch Einwilligung, durch Vertrag oder durch mitgliedstaatliche Rechtsgrundlage vorgesehen ist. Diese Ausnahmen sind in ihrer Wirkung weitreichend, indem sie algorithmische Diskriminierung alleine dadurch erlauben, dass sie von vorneherein vorgesehen ist.

Praktisch wichtigster Ausnahmefall ist die Erforderlichkeit der automatisierten Entscheidungsfindung zur Vertragsbegründung. Dies ist hoch relevant für durch KI abgelehnte Vertragsabschlüsse beim Massengeschäft im Internet. Die automatisierte Entscheidung muss auch nicht den Hauptleistungsgegenstand der Vereinbarung bilden, sondern kann die Vertragsdurchführung erleichtern. Das Kriterium ist dahingehend eng auszulegen, ob weniger invasive Verfahren möglich sind. Ein typisches Beispiel ist die Zahlartensteuerung, ob im Einzelfall Rechnungskauf angeboten wird, oder auch die Betrugsprävention im Internet. Es wäre nicht im Kundeninteresse, wenn der Kauf erst getätigt werden kann, nachdem die nächste freie Servicekraft verfügbar ist und Gelegenheit hatte, sich ein ernsthaftes Bild von der Ausfallwahrscheinlichkeit eines Kredits oder der Redlichkeit einer Käuferin zu machen. Wenn hier eine KI binnen Sekunden eine Entscheidung trifft, ist das zunächst im beiderseitigen Interesse. Wer durchs Raster fällt, dem bleibt das Recht auf Nachprüfung durch ein Individuum gemäß Art. 22 Abs. 3 DSGVO. In dem zwingend anzubietenden Verfahren besteht die Möglichkeit, dem fallbearbeitenden Menschen einen ergänzenden Standpunkt vorzutragen.

Menschliche Letztentscheidung

Die Praxisrelevanz des Art. 22 DSGVO ist bislang überschaubar. Die strengen Anforderungen lassen sich nämlich relativ leicht aushebeln, indem zur Letztentscheidung stets ein Mensch eingesetzt wird. Vorbereitende Systeme fallen nicht in den Anwendungsbereich der KI, solange sie nur eine Entscheidung empfehlen, ohne sie abschließend automatisiert zu fällen. In der Praxis vertrauen weder Staat noch Unternehmen gewichtige Entscheidungen z.B. über das Personal ausschließlich einer Maschine an, ohne eine Fachkraft zumindest zu involvieren.

Wichtig ist jedoch, dass die Mitwirkung des Menschen keine bloße Förmelei sein darf. Es muss genug Spielraum für den Menschen geben, von der Maschine abzuweichen. Dafür muss die Person, die eine inhaltliche Bewertung des maschinellen Vorschlags vornimmt, entsprechend befugt und fachkompetent sein. Sie benötigt auch die notwendigen zeitlichen Ressourcen, um den Entscheidungsfall tatsächlich überprüfen zu können. Wer nur wenige Minuten pro Sachverhalt zur Verfügung hat, wird keine andere Wahl haben, als stets auf „ok“ zu klicken.

Selbst dann, wenn die Entscheidungskraft qualifiziert und entscheidungsbefugt ist, unterliegt sie oftmals dem sogenannten Phänomen „automation bias“, bei dem der Maschine ein so hohes Vertrauen entgegengebracht wird, dass die Individuen ihre Ergebnisse kaum anzweifeln. Das Phänomen wird verstärkt, wenn der Lösungsweg einer KI nicht offengelegt wird, sondern aus Big Data eine nicht näher begründete Schlussfolgerung abgeleitet und ausgegeben wird. Dann fehlt es der letztentscheidenden Person faktisch an den notwendigen Informationen, um das Ergebnis qualifiziert anzuzweifeln. Kommt beispielsweise eine KI nach Analyse des kompletten Internets zu der Annahme, ein Kreditantragsteller werde trotz gutem Schufa-Score voraussichtlich seine Schulden nicht vollständig tilgen, dann hat die KI dafür eine größere Datenlage zur Verfügung als die sachbearbeitende Person jemals wird kognitiv erfassen können. Wenn die Person weiß, auf welche Information die Annahme fußt, seien es gesundheitliche Mutmaßungen, seien es ein bevorstehender Militäreinsatz, Drogenkonsum oder eine bevorstehende Scheidung – dann kann sie sich eine eigene Meinung bilden. Auch diskriminierende Kriterien kann die Person dann wieder

„herausrechnen“. Wenn ihr hingegen die Entscheidungsgrundlage fehlt, wird sie gegebenenfalls das KI-gestützte Ergebnis mittragen müssen.

Der Anwendungsbereich des Art. 22 DSGVO könnte sich durch eine bevorstehende Entscheidung des EuGH gegenüber der bisherigen Praxis deutlich ausweiten. Hintergrund sind die Schlussanträge des Generalanwalts Pikamäe hinsichtlich der Einstufung der Schufa. Bisweilen war allgemein davon ausgegangen worden, dass die Errechnung eines prozentualen Wahrscheinlichkeitswertes für einen Zahlungsausfall für sich genommen nicht unter Art. 22 Abs. 1 DSGVO fallen kann, weil die Auskunftei dabei nichts entscheidet. Sie gibt nicht einmal eine Empfehlung ab, ob ein Kredit vergeben werden soll. Jedes Kreditinstitut, das die Schufa nutzt, entscheidet eigenständig, bei wieviel Prozent seine „Schmerzgrenze“ liegt. Der Generalanwalt hat nun seinen Standpunkt mitgeteilt, der Schufa-Score beeinträchtige betroffene Personen in einer in Weise, die einer rechtlichen Wirkung ähnlich sei. Der Wert, den die Schufa errechnet, sei demnach auch eine Entscheidung, die nicht zwingend rechtlich sein müsse, sondern auch wirtschaftlicher Natur sein könne. Das Scoring der Auskunftei bestimme die spätere Kreditablehnung vor und sei damit bereits als eigenständige Entscheidung einzustufen. Folgt der EuGH der Wertung seines Generalanwalts, ist die Score-Berechnung der Schufa künftig als automatisierte Entscheidung anzusehen, weil dritte Wirtschaftsteilnehmer*innen nach ständiger gelebter Praxis den Wert für die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses zugrunde legen, ohne ihn nennenswert zu hinterfragen.

Daraus folgt für KI-Dienste, dass sie durchaus erlaubt sind, man ihnen aber nicht ohne weiteres die Letztentscheidung über Individuen überlassen darf. Bereits dann, wenn eine intransparente KI faktisch großen Einfluss hat, nimmt sie Entscheidungen über Menschen vor, die nur andere Menschen treffen dürfen.

Scoring

Nach § 31 Abs. 1 BDSG darf ein Wahrscheinlichkeitswert über künftige Ver haltensweisen zur Vertragsbegründung oder -beendigung nur unter besonderen Bedingungen genutzt werden. Faktisch geht es um Bonitätsauskünfte von Auskunfteien mit Punktwerten für die Zahlungsausfallwahrscheinlichkeit eines Kredits oder Rechnungskaufs. Aber auch andere Prognosen sind tatbestandlich umfasst. Damit sind genau die Mustererkennungen vom Anwendungsbereich des § 31 BDSG umfasst, für die KI prädestiniert ist. Es handelt sich um ein zusätzliches Verbot, eine Rechtsgrundlage (vgl. oben A.I.) wird darüber hinaus benötigt. Normadressat ist nicht die Stelle, die den Score berechnet, sondern wie schon bei Art. 22 DSGVO die verwendende Stelle, die darauf rechtliche Schritte aufbaut. Auch hier handelt es sich also um keine Beschränkung dessen, was eine KI machen darf, sondern lediglich eine Beschränkung dessen, wie Menschen das Ergebnis nutzen.

Der Wahrscheinlichkeitswert muss unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens ermittelt worden sein. Die Datenlage hat also inhaltlich richtig und aktuell zu sein und das darauf aufbauende Verfahren hat nachweisbar korrekte Prognosen zu erstellen. Das wird eigentlich als sehr niedrige Hürde angesehen, die nur eine Selbstverständlichkeit abbildet. Es ist aber hoch problematisch für „black boxes“ und fehler anfällige, nicht ausgereifte KI.

Konkret verboten ist nach § 31 Abs. 1 Nr. 3 BDSG darüber hinaus reines Geoscoring ausschließlich auf Basis der Wohnanschrift einer Person. Verstöße sind selten, weil das Verbot leicht umgangen werden kann. Schon das Hinzufügen eines weiteren Attributs genügt. Wenn Auskunfteien zu einer Person kaum weitere Merkmale als Namen und Anschrift kennen, dann wird im Zweifel der Wohnort mit dem Alter und Geschlecht kombiniert. Und wenn Alter und/oder Geschlecht unbekannt sind, werden beide Merkmale aus dem Vornamen abgeleitet. Der Vorname ist dafür zwar nur bedingt geeignet, aber es ist handelt sich auch nur um einen Wahrscheinlichkeitswert in Form einer geschätzten Prognose, für die eine KI, die ausschließlich aus Erfahrungswerten Schlüsse zieht, technisch gut geeignet ist. Diskriminierungen aufgrund des Vornamens werden durch § 31 BDSG nicht verhindert; hier besteht Reformbedarf.

Fazit

In besonderen Konstellationen kann das Datenschutzrecht Diskriminierung verhindern. Dies betrifft spezifische Analysen mittels Geoscoring, Gesundheitsdaten oder rein maschinellen Entscheidungen. Dabei handelt es sich jedoch nur um enge Schlaglichter in außergewöhnlichen Fällen; flächendeckende Diskriminierungsverhinderung kann der Datenschutz nicht gewährleisten. Ob das Recht auf menschliche Entscheidung tatsächlich vorurteilsfreiere Ergebnisse er zielt, kann auch bezweifelt werden.

Datenschutzrecht ist schlichtweg nicht primär als Waffe gegen Diskriminierung gedacht. Zum aktuellen Stand ist es das schlagkräftigste Rechtsgut, das gegen diskriminierende KI existiert. Ausreichend ist es jedoch nicht. Der Gesetzgeber ist hier, insbesondere bei der Ausgestaltung der KI-Verordnung, ge fragt, adäquate Regelungen für faire intelligente Systeme zu schaffen.

Zur einfacheren Lesbarkeit wurden die Quellen- und Literaturverweise entfernt.

Jens Ambrock in: Diskriminierungsfreie KI; digital | recht, Schriften zum Immaterialgüter-, IT-, Medien-, Daten- und Wettbewerbsrecht; Universität Trier, Trier; 2023

https://creativecommons.org/licenses/by-nd/4.0/deed.de

DOI: 10.25353/ubtr-xxxx-476a-12bf

Kategorie: Awareness | Datenschutz | Künstliche Intelligenz

Beitrag teilen: