Bei neuen Technologien den Datenschutz richtig prüfen

Privacy by Design bleibt weiterhin leider ein Fernziel

Eigentlich sollte der Datenschutz bei der Verwendung neuer Technologien keine Herausforderung darstellen. Die DSGVO fordert ganz klar einen Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Doch als Unternehmen kann man sich nicht darauf verlassen, dass zum Beispiel die auf KI (Künstliche Intelligenz) basierende Lösung wirklich den Vorgaben des Datenschutzes genügt.

Bevor eine Lösung mit einer neuen Technologie wie KI genutzt wird, sieht die DSGVO eine Datenschutzfolgen-Abschätzung (DSFA) vor. Damit tun sich aber viele Unternehmen schwer, wie bei fast jeder Risikoanalyse.

Es erscheint deshalb sinnvoll, sich einmal anzusehen, wie die Aufsichtsbehörden für den Datenschutz mit dem Thema Datenschutz und neue Technologien umgehen. Immerhin erwartet man ja von den Aufsichtsbehörden wichtige Hinweise dazu, wie Datenschutz und eine bestimmte, neue Technologie in Einklang gebracht werden können oder ob die Datenrisiken so hoch sind, dass man besser von einer Technologie die Finger lassen sollte.

Das Vorgehen der Aufsichtsbehörden bei neuen Technologien

Grundsätzlich müssen alle und damit auch neue Technologien an den Datenschutzprinzipien gemessen werden, die die DSGVO als Grundsätze der Verarbeitung personenbezogener Daten aufstellt. Dazu gehören Punkte wie Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit und Rechenschaftspflicht.

Es ist allerdings nicht einfach, dies gerade bei neuen Technologien zu beurteilen. Hier gibt es nicht von Beginn an Prüfungsleitfäden und Checklisten, die darlegen, was erfüllt sein muss, damit eine bestimmte Technologie zum Beispiel die Vorgaben zur Sicherheit der Verarbeitung erfüllt.

Letztlich geht es den Aufsichtsbehörden hier nicht anders als den Unternehmen. Die Aufsichtsbehörden nutzen deshalb möglichst viele, zuverlässige Informationsquellen, die bei der Bewertung helfen, und leiten daraus mögliche Datenrisiken und geeignete, angemessene Schutzmaßnahmen ab.

Hilfreich ist es aber, die Datenschutzfragen nach einer definierten Struktur anzugehen, einer Struktur, die sich aus der DSGVO ergibt und die den großen Komplex Datenschutz aufteilt in viele, einzelne Fragestellungen.

Sieht man sich also an, wie die Aufsichtsbehörden zum Beispiel den Datenschutz bei virtuellen Assistenten beurteilen, dann erkennt man, dass man auch als Unternehmen so an eine neue Technologie herangehen kann:

• Wie sieht es mit Rechtsgrundlagen für die Verarbeitung aus?
• Welche Datenkategorien sind betroffen? Sind darunter besondere Kategorien?
• Zu welchen Zwecken sollen die Daten verarbeitet werden?
• Wie steht es um Information zur Datenverarbeitung und Transparenz?
• Wie kann Datenminimierung sichergestellt werden?
• Kommen Dienstleister (Auftragsverarbeitung) zum Einsatz und wie steht es dabei um den Datenschutz?
• Wie steht es um Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen?
• Wie werden die Rechte der betroffenen Personen umgesetzt?
• Wie kann für die Sicherheit der personenbezogenen Daten gesorgt werden?
• Wie können Daten gelöscht werden?
• Kommt es zur Übertragung personenbezogener Daten an Dritte und wie steht es dabei um den Datenschutz?
• Kommt es zur Übermittlung personenbezogener Daten außerhalb der EU/des EWR und wie steht es dort um den Datenschutz?

Bewährtes Vorgehen nutzen, auch bei neuen Technologien

Aus gutem Grund erinnert dies an das Verzeichnis von Verarbeitungstätigkeiten, denn genau die Punkte, die dort dokumentiert werden sollen, müssen auch und gerade bei neuen Technologien ermittelt werden.

Kennt man das Vorgehen aus der Prüfung und Dokumentation anderer Verfahren, die nicht neue Technologien einsetzen, kann man ohne weiteres das eingeübte Vorgehen bei klassischen Verfahren der Datenverarbeitung auf neue Technologien übertragen.

Dann reduziert sich auch die Unsicherheit, wie man den Datenschutz bei neuen Technologien hinterfragen soll, und man traut sich eher an eine Datenschutzprüfung bei neuen Technologien heran.

Natürlich trifft man dann auf offene Fragen, wie bei neuen Technologien zu erwarten. Stellt man dann fest, dass es einem kaum möglich ist, die Fragen zu beantworten, sollte man lieber abwarten, bis von unabhängigen Expertinnen und Experten dazu Informationen veröffentlicht werden.

Es geht eben nicht darum, als erstes eine neue, noch ziemlich unbekannte Technologie zu nutzen, sondern darum, eine neue, hinsichtlich Datenschutz untersuchte Technologie ohne weitere Verzögerung einzusetzen, wenn sie Vorteile für das Unternehmen verspricht, ohne den Datenschutz zu gefährden.

Zu vielen aktuellen Technologien gibt es bereits Datenschutzhinweise von den Aufsichtsbehörden, es ist nicht so, dass man neue Technologien verpassen würde wegen des Datenschutzes.

Die Empfehlung lautet: Neue Technologien nicht überstürzt einsetzen, vielmehr den Datenschutz neuer Technologien nach bewährtem Vorgehen zu untersuchen und zu den Punkten, die man selbst nicht zu dem geplanten Verfahren der Datenverarbeitung klären kann, auf Expertenbeurteilungen zu warten. Dann ist man nicht der erste, der eine neue Technologie nutzt, aber auch nicht der erste, der damit eine Datenschutzverletzung zu antworten hat.