Rechtmäßigkeit
Home » KI » Allgemeine Ausstellung » Schutz der Privatsphäre und Datenqualitätsmanagement » DSGVO » Rechtmäßigkeit

Die Rechtmäßigkeit ist ein wesentlicher Grundsatz des Datenschutzes. Er besagt, dass die Verantwortlichen sicherstellen müssen, dass sie über eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Anderenfalls darf die Verarbeitung nicht durchgeführt werden.[1] Die Rechtsgrundlagen für die Verarbeitung von Daten, einschließlich besonderer Datenkategorien, sind in Artikel 6 und 9 DSGVO beschrieben. Im Falle der künstlichen Intelligenz werden in der Regel folgende Rechtsgrundlagen zur Rechtfertigung der Verarbeitung herangezogen: Einwilligung, berechtigtes Interesse, vertragliche Notwendigkeit, rechtliche Verpflichtung oder lebenswichtiges Interesse. Die Verarbeitung im öffentlichen Interesse kann ebenfalls eine Rechtsgrundlage sein. Wr werden uns hier jedoch nicht darauf konzentrieren, da wir dieses Thema im Abschnitt „Datenschutz und wissenschaftliche Forschung“ im Kapitel „Konzepte“ ausführlich behandeln. Im Mittelpunkt hier stehen daher die vier aufgeführten Rechtsgrundlagen.

a) Einwilligung

Die Datenverarbeitung beruht häufig auf der Einwilligung der betroffenen Personen (siehe Abschnitt „Einwilligung“ im Kapitel „Konzepte“). Die Einwilligung passt jedoch nicht gut zum Wesen der meisten KI-Entwicklungen, und zwar aus einem einfachen Grund: Die Einwilligung ist von Natur aus an einen genau definierten, konkreten Zweck gebunden.[2] Im Fall der künstlichen Intelligenz entsteht durch die Verwendung von Big Data und die Aggregation, gemeinsame Nutzung oder Neuausrichtung von Daten ein Szenario, das nicht zu den zugrundeliegenden Grundsätzen des Konzepts der Einwilligung und dem Grundsatz der Zweckbindung passt.

Die Einwilligung kann eine nützliche Rechtsgrundlage für die Datenverarbeitung im Rahmen einer KI-Entwicklung sein, insbesondere wenn die Verantwortlichen eine direkte Beziehung zur betroffenen Personen haben, die die erforderlichen Daten für das Training, die Validierung und den Einsatz des Modells bereitstellt.[3] Wenn das KI-Tool beispielsweise darauf abzielt, Diagnosen von Lungenentzündungen zu erstellen, und Ärzte Daten von Patienten in ihrer Gesundheitseinrichtung erhalten, könnte die Einwilligung als Rechtsgrundlage für die Verarbeitung gut geeignet sein. Beinhaltet die Verarbeitung jedoch den Einsatz eines komplexen KI-Tools, das die Daten umfassender verwenden kann (beispielweise, wenn Profiling und automatisierte Entscheidungsfindung unbeabsichtigt erfolgen könnten, Daten wahrscheinlich während der Verarbeitung hergeleitet werden, diese hergeleiteten Daten für verschiedene Zwecke verwendet werden können usw.), ist es schwer vorstellbar, wie eine einzige Einwilligung die gesamte Verarbeitung rechtfertigen könnte. Zu diesem Zweck müssen die Verantwortlichen die Leitlinien der Artikel-29-Datenschutzgruppe zur Einwilligung sorgfältig beachten[4] (siehe auch Abschnitt „Einwilligung“ im Kapitel „Konzepte“).

Im Rahmen der wissenschaftlichen Forschung (siehe Abschnitt „Datenschutz und wissenschaftliche Forschung“ im Kapitel „Konzepte“) sieht die DSGVO spezifische Ausnahmen von den Einwilligungsattributen vor, anhand der die Verantwortlichen eine breite Einwilligung als Rechtsgrundlage für die Verarbeitung verwenden können. Die breite Einwilligung ist im Zusammenhang mit Erwägungsgrund 33 der Datenschutz-Grundverordnung zu verstehen, in dem es heißt: „Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht.“

Die breite Einwilligung ist jedoch keine pauschale Einwilligung oder gleichbedeutend mit einer offenen Einwilligung. Sie ist ein außergewöhnliches Instrument, das nur bei Vorliegen mehrerer Bedingungen akzeptabel sein kann. Wenn eine breite Einwilligung für besondere Datenkategorien verwendet wird, sollten die Verantwortlichen sicherstellen, dass ihre nationalen Vorschriften dies zulassen. Sie sollten sich auch über die zu treffenden Sicherheitsvorkehrungen im Klaren sein. Die Verhältnismäßigkeit zwischen dem Ziel der Forschung und der Verwendung besonderer Kategorien von Daten muss gewährleistet sein. Darüber hinaus müssen die Verantwortlichen sicherstellen, dass die Vorschriften ihrer Mitgliedstaaten genetische, biometrische und Gesundheitsdaten nicht durch die Einführung zusätzlicher Bedingungen oder Beschränkungen schützen, da dies nach der Datenschutz-Grundverordnung zulässig ist.

Wenn eine breite Einwilligung zum Erreichen des Forschungszwecks verwendet wird, sollten außerdem einige wesentliche Maßnahmen erwogen werden, um die abstrakte Definition des Forschungszwecks auszugleichen. Die Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung gemäß Erwägungsgrund 33 der Datenschutz-Grundverordnung scheint für diesen Zweck besonders wichtig zu sein.

Kasten 3: Breite Einwilligung und zusätzliche Sicherungsmaßnahmen

Die deutsche Datenschutzaufsichtsbehörde hat vor Kurzem einige zusätzliche Sicherungsmaßnahmen aufgelistet, die im Falle einer breiten Einwilligung zu treffen sind.[5] Diese sind:

1. Zusätzliche Sicherungsmaßnahmen zur Gewährleistung von Transparenz:

  • Verwendung einer für den Einwilligenden zugänglichen Nutzungsordnung oder eines einsehbaren Forschungsplanes, der die geplanten Arbeitsmethoden und die Fragen, die Gegenstand der Forschung sein sollen, beleuchtet
  • Ausarbeitung und Dokumentation im Hinblick auf das konkrete Forschungsprojekt, wieso in diesem Fall eine nähere Konkretisierung der Forschungszwecke nicht möglich ist
  • Einrichten einer Internetpräsenz, durch die die Studienteilnehmer über laufende und künftige Studien informiert werden

2. Zusätzliche Sicherungsmaßnahmen zur Vertrauensbildung:

  • Positives Votum eines Ethikgremiums vor der Nutzung für weitere Forschungszwecke
  • Prüfung, ob das Arbeiten mit einem „dynamicconsent“ möglich ist bzw. Einräumung einer Widerspruchsmöglichkeit vor der Verwendung der Daten für neue Forschungsfragen

3. Zusätzliche Garantiemaßnahmen zur Datensicherheit:

  • Keine Datenweitergabe in Drittländer mit geringerem Datenschutzniveau
  • Gesonderte Zusagen zur Datenminimierung, Verschlüsselung, Anonymisierung oder Pseudonymisierung
  • Spezifische Vorschriften für die Begrenzung des Zugriffs auf die erhobenen Daten

In jedem Fall müssen die Forschungsteilnehmer die Möglichkeit haben, ihre Einwilligung zurückzuziehen und sich für oder gegen bestimmte Forschungsarbeiten oder Teile davon zu entscheiden. Sie müssen sich auch sicher sein, dass ihre Rechte durch die Einhaltung der ethischen Standards der wissenschaftlichen Forschung gewahrt werden.[6] Mitunter kann dies der KI-Lösung schaden oder die Verantwortlichen zu komplexen Maßnahmen zwingen. Daher sollten die Verantwortlichen prüfen, ob alternative Rechtsgrundlagen besser geeignet sind, um das Tool unter Einhaltung der Gesetze zu entwickeln.

Zusammenfassend lässt sich sagen, dass die Verantwortlichen bei der Verwendung der Einwilligung als Rechtsgrundlage der Datenverarbeitung Vorsicht walten lassen sollten, denn die Einwilligung befreit sie nicht von ihren Pflichten in Bezug auf Gerechtigkeit, Notwendigkeit und Verhältnismäßigkeit der Verarbeitung.[7] Darüber lässt es sich im Fall der künstlichen Intelligenz, die Big Data verwendet, oft nur schwer rechtfertigen, dass die Einwilligung alle notwendigen Anforderungen erfüllt: freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben sowie eine klare bestätigende Handlung seitens der betroffenen Person. Generell gilt: Je mehr Dinge die KI-Entwickler mit den Daten machen wollen, desto schwieriger ist es sicherzustellen, dass die Einwilligung wirklich spezifisch und in Kenntnis der Sachlage erfolgt. Dies alles sollte bei der Wahl der Einwilligung als Rechtsgrundlage für die Datenverarbeitung berücksichtigt werden.

Kasten 4. Einwilligung als Rechtsgrundlage: der Fall OkCupid

2016 veröffentlichte eine Gruppe dänischer Forscher einen Datensatz von etwa 70.000 Nutzern. Diese Daten stammten von der Online-Dating-Website OkCupid[8] und umfassten Datenkategorien wie Nutzernamen, Alter, Geschlecht, Standort, die Art der Beziehung (oder des Geschlechts), an der die betroffenen Personen interessiert waren, ihre Persönlichkeitsmerkmale usw.

Die Forscher waren der Ansicht, dass allein die Tatsache, dass diese Daten öffentlich zugänglich waren (auf den Dating-Profilen der Nutzer), eine Rechtsgrundlage für die weitere Verarbeitung darstellte. Dies ist ein hervorragendes Beispiel für die schrecklichen Folgen des Arguments, dass die Daten bereits öffentlich sind“. Die personenbezogenen Daten der betroffenen Personen wurden ohne deren Einwilligung verarbeitet und sehr sensible Informationen der Öffentlichkeit zugänglich gemacht.

Leider ist diese Verknüpfung zwischen öffentlichen und offenen Daten immer noch zu weit verbreitet. Forscher sollten sich darüber im Klaren sein, dass eine für eine konkrete Verarbeitung erteilte Einwilligung keine Rechtsgrundlage für weitere Verarbeitungen darstellt und dass „öffentlich zugänglich“ nicht gleichbedeutend ist mit „offenen Daten“, d. h. mit Daten und Inhalten, die von jedermann zu jedem Zweck frei verwendet, geändert und weitergegeben werden können, wie vom Open Data Institute definiert.[9]
Checkliste: Einwilligung

☐ Die Verantwortlichen haben geprüft, ob dieEinwilligungdie am besten geeignete Rechtsgrundlage für die Verarbeitung ist.

☐ Die Verantwortlichen holen die Einwilligung der betroffenen Personen freiwillig, für einen konkreten Fall, nach ausreichender Information und unmissverständlich ein.

☐ Eine breite Einwilligung wird nur dann verwendet, wenn es schwierig oder unwahrscheinlich ist, vorherzusehen, wie diese Daten in Zukunft verarbeitet werden.

☐ Die für die Verarbeitung besonderer Datenkategorien verwendete breite Einwilligung ist mit den nationalen Vorschriften vereinbar.

☐ Wenn eine breite Einwilligung verwendet wird, haben die betroffenen Personen die Möglichkeit, ihre Einwilligung zu widerrufen und zu entscheiden, ob sie an bestimmten Forschungsarbeiten oder Teilen davon teilnehmen wollen oder nicht.

☐ Die Verantwortlichen stehen in einer direkten Beziehung zu der betroffenen Person, die die Daten für die das Training, die Validierung und den Einsatz des IA-Modells zur Verfügung stellt.

☐ Es besteht kein Machtgefälle zwischen den Verantwortlichen und den betroffenen Personen.

☐ Die Verantwortlichen fordern die Personen auf, aktiv zuzustimmen.

☐ Die Verantwortlichen verwenden keine Markierungskästchen oder eine andere Art von Standardeinwilligung.

☐ Die Verantwortlichen verwenden eine klare, einfache und leicht verständliche Sprache.

☐ Die Verantwortlichen geben an, wozu sie die Daten benötigen und was sie mit ihnen vorhaben.

☐ Die Verantwortlichen bieten separate („granulare”) Optionen zur Einwilligung in verschiedene Zwecke und Arten der Verarbeitung.

☐ Die Verantwortlichen teilen den betroffenen Personen mit, dass sie ihre Einwilligung widerrufen können und wie sie dies tun können.

☐ Die Verantwortlichen stellen sicher, dass die betroffenen Personen ihre Einwilligung ohne Nachteile verweigern können.

☐ Die Verantwortlichen vermeiden es, die Einwilligung zur Vorbedingung für einen Dienst zu machen.

b) Berechtigte Interessen

Das berechtigte Interesse kann als Rechtsgrundlage für die Verarbeitung zum Zwecke der KI-Entwicklung verwendet werden, sofern das Ergebnis der Abwägungsprüfung dies rechtfertigt. Dies kann bedeuten, dass das Ziel der KI-Verarbeitung zu Beginn festgelegt und zudem sichergestellt werden muss, dass der ursprüngliche Zweck der Verarbeitung neu bewertet wird, wenn das KI-System ein unerwartetes Ergebnis liefert, sodass entweder die verfolgten berechtigten Interessen ermittelt oder eine gültige Einwilligung der betroffenen Personen eingeholt werden kann.[10] Die Abwägungsprüfung sollte in den Aufzeichnungen über die Verarbeitung angemessen dokumentiert werden. In einigen Fällen kann es jedoch sein, dass das berechtigte Interesse für die Zwecke der KI-Verarbeitung nicht ausreicht. Wenn die Verantwortlichen beispielsweise planen, eine beträchtliche Menge personenbezogener Daten „für den Fall der Fälle“ zu sammeln, sollten sie das berechtigte Interesse nicht als Rechtsgrundlage für die Datenverarbeitung in Betracht ziehen, da die Abwägung zwischen der Notwendigkeit der Verarbeitung und den möglichen Auswirkungen der Verarbeitung auf Personen dies kaum rechtfertigen würde.[11]

Checkliste: Berechtigtes Interesse als Rechtsgrundlage

☐ Die Verantwortlichen haben geprüft, ob das berechtigte Interesse die am besten geeignete Grundlage ist.

☐ Die Verantwortlichen sind sich ihrer Verantwortung für den Schutz der Interessen der betroffenen Personen bewusst.

☐ Die Verantwortlichen führen Aufzeichnungen über die getroffenen Entscheidungen und die ihnen zugrunde liegenden Überlegungen, um sicherzustellen, dass sie ihre Entscheidung rechtfertigen können.

☐ Die Verantwortlichen haben die relevanten berechtigten Interessen ermittelt.

☐ Die Verantwortlichen haben sich vergewissert, dass die Verarbeitung notwendig ist und dass es keinen weniger in die Privatsphäre eingreifenden Weg gibt, um das gleiche Ergebnis zu erzielen.

☐ Die Verantwortlichen haben eine Abwägung vorgenommen und sind zuversichtlich, dass die Interessen des Einzelnen diese berechtigten Interessen nicht überwiegen.

☐ Die Verantwortlichen verwenden die Daten von Personen nur in einer Weise, die diese vernünftigerweise erwarten würden, es sei denn, die Verantwortlichen haben einen triftigen Grund.

☐ Die Verantwortlichen verwenden die Daten von Personen nicht in einer Weise, die diese als in die Privatsphäre eingreifend empfinden würden oder die ihnen Schaden zufügen könnte, es sei denn, die Verantwortlichen haben einen sehr triftigen Grund.

☐ Wenn die Verantwortlichen Daten von Kindern verarbeiten, achten sie besonders darauf, dass die Interessen der Kinder geschützt werden.

☐ Die Verantwortlichen haben Garantien in Betracht gezogen, um die Auswirkungen nach Möglichkeit zu verringern.

☐ Die Verantwortlichen haben geprüft, ob sie ein Opt-out anbieten können.

☐ Die Verantwortlichen haben geprüft, ob sie zudem eine Datenschutz-Folgenabschätzung durchführen müssen.

c) Erfüllung eines Vertrags

Die Erfüllung eines Vertrags, bei dem die betroffene Person Vertragspartei ist, oder die Durchführung von Maßnahmen auf Antrag der betroffenen Person vor Abschluss eines Vertrags kann als Rechtsgrundlage für die Verarbeitung dienen, wenn die Verwendung künstlicher Intelligenz für einen dieser Zwecke objektiv erforderlich ist. Dies könnte bei Entwicklern der Fall sein, die betroffene Personen einstellen, um deren personenbezogenen Daten in der Trainingsphase des Systems zu verwenden. Der Verantwortliche, der interessierten Dritten einen die KI-Lösung umfassenden Dienst anbietet, könnte die Daten dieser Personen auch im Rahmen des Dienstleistungsvertrags verwendet.[12]Dieser Rechtsgrund sollte jedoch nach dem Grundsatz der Zweckbindung nicht für andere Zwecke (wie z. B. Systemverbesserung o. ä.) verwendet werden, da die zur Vertragserfüllung verwendeten Daten für diese alternativen Ziele nicht erforderlich sind.[13] So können Verantwortliche Daten, die für die Erfüllung eines Vertrags unabdingbar sind, laut dieser Rechtsgrundlage verarbeiten, wenn sie für die Erfüllung des Vertrags objektiv erforderlich sind, nicht aber für andere Zwecke.[14] Zusammenfassend lässt sich sagen, dass es nur schwer vorstellbar ist, wie die Erfüllung eines Vertrags als Rechtsgrundlage für KI-Forschung und -Innovation dienen könnte.

d) Rechtliche Verpflichtung oder lebenswichtiges Interesse

Gemäß Artikel 6 Absatz 1 Buchstabe d DSGVO können Daten verarbeitet werden, wenn die „Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“. Ebenso ist die Verarbeitung rechtmäßig, wenn sie „zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“ (Artikel 6 Absatz 1 Buchstabe c). Wenn es sich um besondere Datenkategorien handelt, gibt es alternative rechtliche Gründe für die Verarbeitung, wie in Artikel 9 Absatz 2 dargelegt. Auch hier ist es schwierig, sich einen einzigen Fall vorzustellen, in dem eine dieser Grundlagen zum jetzigen Zeitpunkt eine Rechtsgrundlage für das Training eines KI-Systems darstellen könnte, auch wenn sich dies durch die Überarbeitung bestehender Vorschriften auf nationaler und europäischer Ebene in Zukunft ändern könnte. Für das Training potenziell lebensrettender KI-Systeme wäre es in jedem Fall besser, sich auf andere Rechtsgrundlagen zu stützen, wie etwa die Einwilligung oder das öffentliche Interesse.[15]

Kasten 5. Beispiele für ein lebenswichtiges Interesse als Rechtsgrundlage für die Datenverarbeitung durch ein KI-Tool

Stellen Sie sich vor, ein Unternehmen entwickelt während der COVID-19-Pandemie ein KI-Tool, das die Krankheit mithilfe der Radiologie diagnostizieren kann. In solchen Fällen könnten die Daten von Patienten auf der Grundlage eines lebenswichtigen Interesses verarbeitet werden, wie in Artikel 9 Absatz 2 Buchstabe c DSGVO festgelegt. Allerdings könnten alternative Rechtsgründe wie etwa ein erhebliches öffentliches Interesse (Artikel 9 Absatz 2 Buchstabe g oder i), angemessener sein.
ZusätzlicheInformationen

AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia EspanolaProteccion Datos, Madrid, Seite 20. Verfügbarunter: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf

Artikel-29-Datenschutzgruppe (2014), Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG. Europäische Kommission, Brüssel. Verfügbar unter: www.dataprotection.ro/servlet/ViewDocument?id=1086

CIPL (2020) Artificial intelligence and data protection. How the GDPR regulates AI. Centre for Information Policy Leadership, Washington DC / Brüssel / London. Verfügbarunter: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf

EDSA (2019), Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen. Europäischer Datenschutzbeauftragter, Brüssel. Verfügbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf

EDSA (2020), Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.1, angenommen am 4. Mai 2020 Verfügbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

EDPS (2017) EDSB (2017), Beurteilung der Erforderlichkeit von Maßnahmen, die das Grundrecht auf Schutz personenbezogener Daten einschränken: Ein Toolkit. Europäischer Datenschutzbeauftragter, Brüssel. Verfügbar unter: https://edps.europa.eu/data-protection/our-work/publications/papers/necessity-toolkit_en

Weitere Informationen über das berechtigte Interesse, mit praktischen Fällen und mehreren Verweisen auf die Urteile des Gerichtshofs der Europäischen Union, finden Sie in den nachstehenden Dokumenten.

Future of Privacy Forum (no date) Processing personal data on the basis of legitimate interests under the GDPR. European Judicial Training Network, Brüssel.Verfügbar unter: www.ejtn.eu/PageFiles/17861/Deciphering_Legitimate_Interests_Under_the_GDPR%20(1).pdf

ICO (kein Datum) How do we apply legitimate interests in practice? Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/

ICO (kein Datum) Lawful basis for processing. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/

A. Kuyumdzhieva, (2018), Ethical challenges in the digital era: focus on medical research, Seiten 45–62 in: Z. Koporc (ed.), Ethics and integrity in health and life sciences research. BingleyEmerald.

Norwegische Datenschutzbehörde (2018), Artificialintelligenceandprivacy. Norwegische Datenschutzbehörde, Oslo. Verfügbar unter: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

 

  1. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, Seite 20. Agencia EspanolaProteccion Datos, Madrid. Verfügbar unter: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (abgerufen am 15. Mai 2020).
  2. International Bioethics Committee (2017) Report of the IBC on big data and health, Seite 20. UNESCO. Verfügbar unter: http://unesdoc.unesco.org/images/0024/002487/248724e.pdf (abgerufen am 13. März 2020).
  3. ICO (kein Datum) How do we apply legitimate interests in practice? Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-practice/ (abgerufen am 15. Mai 2020). Darüber hinaus muss die Bewertung der Art dieser Beziehung eine Untersuchung des Machtgefälles zwischen der betroffenen Person und dem Verantwortlichen umfassen.
  4. Artikel 29-Datenschutzgruppe, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679. Europäische Kommission, Brüssel, Seite 29. Verfügbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf (abgerufen am 5. Mai 2020).
  5. DSK, Beschluss der 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu Auslegung des Begriffs „bestimmte Bereiche wissenschaftlicher Forschung“ im Erwägungsgrund 33 der DS-GVO 3. April 2019, unter: www.datenschutzkonferenz-online.de/media/dskb/20190405_auslegung_bestimmte_bereiche_wiss_forschung.pdf (abgerufen am 20. Mai 2020). Eine englische Zusammenfassung dieser Maßnahmen finden Sie hier: www.technologylawdispatch.com/2019/04/privacy-data-protection/german-dpas-publish-resolution-on-concept-of-broad-consent-and-the-interpretation-of-certain-areas-of-scientific-research/
  6. A. Kuyumdzhieva, (2018), Ethical challenges in the digital era: focus on medical research, Seiten 45–62 in: Z. Koporc (ed.) Ethics and integrity in health and life sciences research. Bingley Emerald.
  7. Artikel 29-Datenschutzgruppe, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679. WP259. Europäische Kommission, Brüssel, Seite 3. Verfügbar unter: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (abgerufen am 15. Mai 2020).
  8. www.okcupid.com (abgerufen am 5. Mai 2020).
  9. http://opendefinition.org/abgerufen am 5. Mai 2020)
  10. CIPL (2020) Artificial intelligence and data protection. How the GDPR regulates AI. Centre for Information Policy Leadership, Washington DC / Brüssel / London, Seite 5. Verfügbar unter: www.informationpolicycentre.com/uploads/5/7/1/0/57104281/cipl-hunton_andrews_kurth_legal_note_-_how_gdpr_regulates_ai__12_march_2020_.pdf(abgerufen am 15. Mai 2020).
  11. AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia EspanolaProteccion Datos, Madrid, Seite 22. Verfügbar unter: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf (abgerufen am 15. Mai 2020).
  12. Ibid., Seite 20.
  13. Artikel-29-Datenschutzgruppe (2014), Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG. Europäische Kommission, Brüssel, Seiten 16–17. Verfügbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (abgerufen am 16. Mai 2020).
  14. EDSA (2019), Leitlinien 2/2019 für die Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO im Zusammenhang mit der Erbringung von Online-Diensten für betroffene Personen. Europäischer Datenschutzbeauftragter, Brüssel, Seite 14. Verfügbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_de_0.pdf (abgerufen am 15. Mai 2020).
  15. Artikel-29-Datenschutzgruppe (2014), Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG. Europäische Kommission, Brüssel, Seite 20. Verfügbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (abgerufen am 15. Mai 2020).

 

Skip to content