Die Verarbeitung nach Treu und Glauben ist ein wesentliches Konzept des Datenschutzes (siehe Unterabschnitt „Verarbeitung nach Treu und Glauben“, Abschnitt „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz“, Kapitel „Grundsätze“ und Kapitel „Rechte der betroffenen Personen“). Es kann nur schwer erreicht werden, wenn man sich nicht bewusst ist, dass die Entwicklung von KI-Tools die Interessen, Rechte und Freiheiten der betroffenen Personen beeinträchtigen kann. Deshalb ist es sinnvoll, für die Umsetzung angemessener Garantien zu sorgen, nicht nur um unfaire Folgen zu vermeiden, sondern auch um den betroffenen Personen durchsetzbare Rechte zu gewähren, die einen angemessenen Schutz vor einer unfairen Verarbeitung gewährleisten.
In diesem Abschnitt wird untersucht, wie die in der DSGVO anerkannten Schlüsselrechte auf den KI-Entwicklungsrahmen anzuwenden sind. Zu diesem Zweck werden wir uns auf einige Rechte konzentrieren, die in diesem Bereich besonders relevant sind: (a) Recht auf Information, (b) Recht auf Auskunft, (c) Recht auf Datenübertragbarkeit, (d) Recht auf Berichtigung, (e) Recht auf Löschung und (f) Recht auf Widerspruch.
Vor der Berücksichtigung dieser Rechte sollten Forscher jedoch prüfen, ob ihre Forschung als wissenschaftliche Forschung gemäß Artikel 89 DSGVO angesehen werden kann. Dies ist äußerst wichtig. Denn in diesem Fall können die Rechtsvorschriften der EU oder der Mitgliedstaaten Ausnahmen von den in den Artikeln 15, 16, 18 und 21 genannten Rechten (Auskunft, Berichtigung, Einschränkung und Widerspruch – und indirekt auch Übertragbarkeit) vorsehen. Diese unterliegen den in Artikel 89 Absatz 1 genannten Bedingungen und Garantien, sofern diese Rechte die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen könnten und solche Ausnahmen für die Erfüllung dieser Zwecke erforderlich sind (siehe Abschnitt „Datenschutz und wissenschaftliche Forschung“ im Kapitel „Konzepte“).
a) Recht auf Information
Gemäß Artikel 13 DSGVO muss der Verantwortliche den betroffenen Personen vor der Verarbeitung personenbezogener Daten vollständige Informationen über die Verarbeitung und ihre Rechte in einem verständlichen Format zur Verfügung stellen. „Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung“ (Artikel 13 Absatz 3).
Die Verantwortlichen sind jedoch davon befreit, den betroffenen Personen Informationen bereitzustellen, wenn sich die Bereitstellung derselben als unmöglich erweist; einen unverhältnismäßigen Aufwand erfordern würde, insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke; oder wenn die Verpflichtung zur Bereitstellung der Informationen die Verwirklichung der Ziele dieser Verarbeitung voraussichtlich unmöglich machen oder ernsthaft beeinträchtigen würde. In diesen Fällen sollte der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit ergreifen. Diese Ausnahmeregelung ist jedoch an die Annahme der in Artikel 89 vorgesehenen Garantien geknüpft (siehe Abschnitt „Datenschutz und wissenschaftliche Forschung“ im Kapitel „Konzepte“).
b) Recht auf Auskunft
Das Recht der betroffenen Personen auf Auskunft über ihre Daten muss in allen Phasen des Lebenszyklus eines KI-Tools gewährleistet sein. Die Verantwortlichen sind angehalten, geeignete technische Maßnahmen zur Gewährleistung zu ergreifen, dass die betroffene Person leicht Zugang zu ihren Daten erhält. Gemäß Artikel 15 DSGVO hat die betroffene Person das Recht, Einzelheiten zu allen personenbezogenen Daten zu erfahren, die für das Profiling verwendet werden, einschließlich der zur Erstellung eines Profils verwendeten Datenkategorien. Darüber hinaus ist der Verantwortliche gemäß Artikel 15 Absatz 3 verpflichtet, die zur Erstellung des Profils verwendeten Daten zur Verfügung zu stellen und Auskunft über das Profil sowie darüber zu erteilen, in welche Segmente die betroffene Person eingeordnet wurde. Ebenso heißt es in Erwägungsgrund 63 der Datenschutz-Grundverordnung: „Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde“. Dies schließt beobachtete, aus Rückschlüssen erzeugte und hergeleitete Daten ein.[1]
Kasten 7. Das Problem der hergeleiteten Daten
Eine der dringlichsten Fragen, mit denen wir im Bereich der KI konfrontiert sind, ist der konkrete Status der hergeleiteten Daten. Dabei handelt es sich um Daten, die nicht von den betroffenen Personen bereitgestellt, sondern diesen aus verfügbaren Daten „zugewiesen“ werden, die entweder von betroffenen oder von anderen Personen stammen. Manchmal liefern diese hergeleiteten Daten Informationen über eine identifizierbare Person. Unabhängig davon, ob diese Informationen genau sind oder nicht, sind diese Daten als personenbezogene Daten zu betrachten und fallen daher unter die Datenschutz-Grundverordnung. Infolgedessen sollten die Rechte der betroffenen Personen strengstens eingehalten werden, einschließlich des Rechts auf Auskunft über diesen Daten.[2] Wie jedoch bereits an anderer Stelle in diesen Leitlinien erörtert wurde, fallen hergeleitete Daten nicht unter das Recht auf Übertragbarkeit (siehe Abschnitt „Recht auf Datenübertragbarkeit“). |
Eines der Hauptprobleme bei der Verarbeitung von KI und Big Data ist, dass das Auskunftsrecht zuweilen mit dem Interesse eines Unternehmens an der Wahrung seiner Geschäftsgeheimnisse kollidieren kann. Durch Erwägungsgrund 63 werden Verantwortliche tatsächlich geschützt, die Sorge haben, Geschäftsgeheimnisse oder Rechte des geistigen Eigentums offenzulegen, was bei Profiling besonders relevant sein könnte.[3] Allerdings können KI-Entwickler den Schutz ihrer Geschäftsgeheimnisse nicht als Rechtfertigung dafür verwenden, der betroffenen Person Auskünft über ihre Daten oder die Übermittlung von Informationen zu verweigern. Stattdessen müssen die Unternehmen pragmatische Lösungen finden.[4]
Das Recht auf Auskunft kann mehr oder weniger anwendbar sein, je nachdem, in welchem Stadium des Lebenszyklus sich die KI-Entwicklung befindet. So könnte es beispielsweise schwierig sein, einer einzelnen betroffenen Person Auskunft zu Trainingsdaten bereitzustellen, da diese in der Regel nur Informationen enthalten, die für Vorhersagen relevant sind (z. B. frühere Transaktionen, demografische Daten, Standort), aber keine Kontaktangaben oder eindeutige Kundenkennungen. Darüber hinaus werden sie häufig vorverarbeitet, um sie für die Algorithmen des maschinellen Lernens besser nutzbar zu machen. Dies bedeutet jedoch nicht, dass all diese Daten als anonymisiert betrachtet werden können. Es handelt sich somit weiterhin um personenbezogene Daten. Im Falle eines Modells zur Kaufvorhersage könnte das Training beispielsweise ein für einen Kunden spezifisches Kaufmuster enthalten. Wenn in diesem Beispiel ein Kunde eine Liste seiner letzten Einkäufe im Rahmen seiner Anfrage zur Verfügung stellt, könnte das Unternehmen möglicherweise den Teil der Trainingsdaten identifizieren, der sich auf diese Person bezieht.
Unter diesen Umständen sollten Verantwortliche auf Antrag der betroffenen Personen in Bezug auf Auskunft über sie betreffende personenbezogenen Daten reagieren, vorausgesetzt, sie haben angemessene Maßnahmen ergriffen, um die Identität der betroffenen Person zu überprüfen, und es gelten keine weiteren Ausnahmen. Wie das ICO zudem feststellt, „sollten Anträge auf Auskunft, Berichtigung oder Löschung von Trainingsdaten nicht als offensichtlich unbegründet oder übertrieben angesehen werden, nur weil sie möglicherweise schwieriger zu erfüllen sind oder die Motivation der Anfrage im Vergleich zu anderen Auskunftsanfragen, die ein Unternehmen in der Regel erhält, unklar sein könnte.“[5] Allerdings sind Unternehmen nicht verpflichtet, zusätzliche personenbezogene Daten zwecks Identifizierung der betroffenen Personen in den Trainingsdaten zu erheben oder zu speichern, nur um die Verordnung einzuhalten. Wenn die Verantwortlichen eine betroffene Person in den Trainingsdaten nicht identifizieren können und die betroffene Person keine zusätzlichen Informationen bereitstellen kann, die ihre Identifizierung ermöglichen würden, sind sie nicht verpflichtet, einem Antrag nachzukommen, der nicht erfüllt werden kann.[6]
Checkliste: Recht auf Auskunft[7]
Vorbereitung auf Auskunftsanfragen betroffener Personen ☐ Die Verantwortlichen wissen, wie eine Aufkunftsanfrage zu personenbezogenen Daten zu erkennen ist wann wann das Auskunftsrecht anwendbar ist. ☐ Die Verantwortlichen wissen, dass das Auskunftsrecht in jeder Phase des Lebenszyklus der KI-Lösung anzuwenden ist, wenn diese personenbezogene Daten verwendet. ☐ Die Verantwortlichen haben eine Richtlinie, wie sie mündliche Anfragen aufzeichnen. ☐ Die Verantwortlichen wissen, wann sie eine Anfrage ablehnen können, und kennen die Informationen, die sie den Personen in diesem Fall zur Verfügung stellen müssen. ☐ Die Verantwortlichen kennen die Art der zusätzlichen Informationen, die sie als Antwort auf eine Auskunftsanfrage zu personenbezogenen Daten bereitstellen müssen. Erfüllung von Auskunftsanfragen betroffener Personen ☐ Die Verantwortlichen verfügen über Verfahren, die sicherstellen, dass sie eine Auskunftsanfrage zu personenbezogenen Daten ohne unangemessene Verzögerung und innerhalb eines Monats nach Eingang beantworten. ☐ Die Verantwortlichen sind sich der Umstände bewusst, unter denen sie die Frist für die Beantwortung einer Anfrage verlängern können. ☐ Die Verantwortlichen wissen, dass es besonders wichtig ist, eine klare und verständliche Sprache zu verwenden, wenn sie Informationen an ein Kind weitergeben. ☐ Die Verantwortlichen wissen, was sie beachten müssen, wenn eine Anfrage Informationen über andere Personen enthält. ☐ Die Verantwortlichen wissen, wie sie das Auskunftsrecht in Trainingsphasen anwenden können. |
Zusätzliche Informationen
Artikel-29-Datenschutzgruppe (2014), Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG. Europäische Kommission, Brüssel. Verfügbar unter: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf ICO (2013), Big data, artificial intelligence, machine learning and data protection. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection.pdf ICO (kein Datum) Right of access. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ Norwegische Datenschutzbehörde. (2018), Artificialintelligenceandprivacy. Norwegische Datenschutzbehörde, Oslo. Verfügbar unter: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf |
c) Recht auf Datenübertragbarkeit
Durch Artikel 20 DSGVO wurde ein neues Recht begründet: das Recht auf Datenübertragbarkeit.[8] Dieses Recht gibt den betroffenen Personen die Kontrolle über die Verwendung ihrer Daten, indem sie diese dorthin weiterleiten, wo sie am nützlichsten sind (siehe Abschnitt „Recht auf Datenübertragbarkeit“ im Kapitel „Rechte der betroffenen Personen“). Das Recht auf Datenübertragbarkeit könnte jedoch im Bereich der KI aus mehreren Gründen schwer umzusetzen sein. Man darf die Kosten und die Durchführbarkeit der Bereitstellung extrem großer, komplexer Datensätze nicht vergessen, die sich über viele Jahre angesammelt haben. Dies könnte es einem Unternehmen schwer machen, sein Recht auf Datenübertragbarkeit zu erfüllen.
Es gibt verschiedene Arten von personenbezogenen Daten, die ein System des maschinellen Lernens verarbeiten kann. Laut der Artikel-29-Datenschutzgruppe sind einige Datenkategorien mit dem Recht auf Datenübertragbarkeit verbunden, nämlich: personenbezogene Daten, die die betroffene Person betreffen und Daten, die sie einem Verantwortlichen bereitgestellt hat.Im Allgemeinen ist die Formulierung „von der betroffenen Person bereitgestellt“ weit auszulegen. Daher schließt sie Daten ein, die das Ergebnis einer Beobachtung des Verhaltens einer Person (z. B. Rohdaten, die von intelligenten Messgeräten verarbeitet werden, Aktivitätsprotokolle oder Website-Historie) sind. Ausgeschlossen werden sollten lediglich „hergeleitete Daten“ und „aus Rückschlüssen erzeugte Daten“, die personenbezogene Daten beinhalten, welche von einem Dienstanbieter erzeugt werden (z. B. algorithmische Ergebnisse). Im Gegensatz zu beobachteten oder erhobenen Daten werden hergeleitete Daten von dem Dienst selbst auf der Grundlage der beobachteten Daten erstellt und nicht von der betroffenen Person bereitgestellt.[9]Das Recht auf Datenübertragbarkeit gilt daher nicht für Daten, die durch ein Verfahren des maschinellen Lernens hergeleitet wurden.
Checkliste: Datenübertragbarkeit[10]
Vorbereitung auf Anfragen bezüglich der Datenübertragbarkeit ☐ Die Verantwortlichen wissen, wie sie eine Anfrage auf Datenübertragbarkeit erkennen können und wann dieses Recht anwendbar ist. ☐ Die Verantwortlichen berücksichtigen das Erfordernis der Datenübertragbarkeit bereits in den frühesten Phasen der Konzeption und Gestaltung der KI-Verarbeitung. ☐ Die Verantwortlichen haben eine Richtlinie, wie sie mündliche Anfragen aufzeichnen. ☐ Die Verantwortlichen wissen, wann sie eine Anfrage ablehnen können, und kennen die Informationen, die sie den Personen zur Verfügung stellen müssen, wenn sie eine solche Ablehnung vornehmen. Erfüllung von Anfragen bezüglich der Datenübertragbarkeit ☐ Die Verantwortlichen können personenbezogene Daten in strukturierten, gängigen und maschinenlesbaren Formaten übermitteln. ☐ Die Verantwortlichen informieren die Nutzer im Voraus, wenn es technisch nicht möglich ist, das Recht auf Übertragbarkeit mittels eines Protokolls auszuüben. ☐ Die Verantwortlichen verwenden sichere Verfahren zur Übermittlung personenbezogener Daten. ☐ Die Verantwortlichen verfügen über Verfahren, die sicherstellen, dass sie auf Anfrage auf Datenübertragbarkeit ohne unangemessene Verzögerung und innerhalb eines Monats nach Eingang beantworten. ☐ Die Verantwortlichen sind sich der Umstände bewusst, unter denen sie die Frist für die Beantwortung einer Anfrage verlängern können. |
Zusätzliche Informationen
Artikel-29-Datenschutzgruppe (2016), Leitlinien zum Recht auf Datenübertragbarkeit. Europäische Kommission, Brüssel. Verfügbar unter: https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf EBF (2017) European Banking Federation’s comments to the Working Party 29 guidelines on the right to data portability. European Banking Federation, Brüssel, Seite 4. Verfügbar unter: www.ebf.eu/wp-content/uploads/2017/04/EBF_025448E-EBF-Comments-to-the-WP-29-Guidelines_Right-of-data-portabi.._.pdf ICO (kein Datum) Right to data portability. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/ N. Wallace und D. Castro (2018), The impact of the EU’s new data protection regulation on AI. Center for Data Innovation, Washington DC / Brüssel / London. Verfügbar unter: www2.datainnovation.org/2018-impact-gdpr-ai.pdf |
d) Recht auf Berichtigung
Das Recht auf Berichtigung unrichtiger Daten ist im Falle künstlicher Intelligenz besonders wichtig, da Algorithmen für maschinelles Lernen häufig Daten herleiten. Diese Daten können die betroffene Person betreffen, insbesondere wenn sie in fortgeschrittenen Stadien des KI-Lebenszyklus erzeugt werden. Unrichtige Daten, die in der Trainingsphase hergeleitet werden, sind nicht so besorgniserregend wie die in den Endphasen. Da der Zweck von Trainingsdaten darin besteht, Modelle zu trainieren, die auf allgemeinen Mustern in großen Datensätzen beruhen, ist es weniger wahrscheinlich, dass einzelne Ungenauigkeiten direkte Auswirkungen auf eine betroffene Person haben.[11] Wenn beispielsweise personenbezogene Daten, die zur Bereitstellung von Kundeninformationen verwendet werden, nicht korrekt sind (wie etwa eine falsche Telefonnummer in einem Datensatz), könnte die betroffene Person einen größeren Schaden erleiden, als wenn eine hergeleitete Telefonnummer zum Trainieren eines Modells verwendet wird. Dies bedeutet jedoch keineswegs, dass das Recht auf Berichtigung in diesem Stadium nicht gilt.
Manche konkrete Art von Algorithmen wie z. B. Support Vector Machines (SVMs) verwenden einige Schlüsselbeispiele aus den Trainingsdaten, um bei der Anwendung zwischen neuen Beispielen zu unterscheiden. Fordert die betroffene Person die Berichtigung oder Löschung dieser Daten an, wäre dies nicht möglich, ohne das Modell mit den berichtigten Daten neu zu trainieren oder das Modell ganz zu löschen.[12] Dies bedeutet jedoch nicht, dass das Recht auf Berichtigung nicht anwendbar ist.
Es ist insbesondere zu beachten, dass der Verantwortliche die Daten nicht berichtigen muss, wenn er feststellt, dass die Daten entgegen der Auffassung der betroffenen Person im Hinblick auf die Zwecke der Verarbeitung nicht unrichtig sind.[13] Die Beweislast liegt jedoch bei den Verantwortlichen. Sie müssen einen guten Grund für die Ablehnung der Berichtigung anführen, wobei es nur schwer vorstellbar ist, dass der Schaden, den dies für das KI-System bedeuten könnte, als überzeugender Grund dienen könnte. Der EDSB hat Systeme kritisiert, die nicht die Möglichkeit bieten, einzelne personenbezogene Daten zu berichtigen, ohne das gesamte System erheblich zu schädigen.[14] Entscheidet sich der Verantwortliche dafür, die Anfrage der betroffenen Person abzulehnen, muss er der betroffenen Person in jedem Fall eine Begründung für die Nichtberichtigung der Daten geben. Die betroffene Person kann sich dann auf Wunsch an die Aufsichtsbehörde wenden.[15]
Checkliste: Recht auf Berichtigung[16]
Vorbereitung auf Berichtigungsanfragen ☐ Die Verantwortlichen wissen, wie sie eine Berichtigungsanfrage erkennen können und wann dieses Recht anwendbar ist. ☐ Die Verantwortlichen haben eine Richtlinie, wie sie mündliche Anfragen aufzeichnen. ☐ Die Verantwortlichen wissen, wann sie eine Anfrage ablehnen können, und kennen die Informationen, die sie Einzelpersonen auf Anfrage zur Verfügung stellen müssen. Erfüllung von Berichtigungsanfragen ☐ Die Verantwortlichen sind darauf vorbereitet, dem Recht auf Berichtigung der Daten betroffener Personen stattzugeben, insbesondere der Daten, die durch die von der KI-Lösung erstellten Herleitungen und Profile erzeugt wurden. ☐ Die Verantwortlichen verfügen über Verfahren, die sicherstellen, dass sie Berichtigungsanfragen ohne unangemessene Verzögerung und innerhalb eines Monats nach Eingang beantworten. ☐ Die Verantwortlichen sind sich der Umstände bewusst, unter denen sie die Frist für die Beantwortung einer Anfrage verlängern können. ☐ Die Verantwortlichen verfügen über geeignete Systeme, um Informationen zu berichtigen oder zu vervollständigen bzw. eine ergänzende Erklärung abzugeben. ☐ Die Verantwortlichen verfügen über Verfahren, um alle Empfänger zu informieren, wenn sie Daten, die sie ihnen mitgeteilt haben, berichtigen. |
ZusätzlicheInformationen
R. Binns (2019), Enabling access, erasure, and rectification rights in AI systems. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ ICO (kein Datum) Right to rectification. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-rectification/ |
d) Recht auf Löschung
Die betroffenen Personen haben das ständige Recht, von dem Verantwortlichen die Löschung sie betreffender personenbezogener Daten zu verlangen. Dies kann jedoch in einigen Fällen äußerst kompliziert sein.[17] Denn gelegentlich kann es unmöglich sein, die rechtlichen Ziele des Rechts auf Löschung – auch bekannt als das Recht auf Vergessenwerden – in KI-Umgebungen zu erfüllen, da die Undurchsichtigkeit der Verarbeitung einige personenbezogene Daten für den Verarbeiter verbergen könnte (siehe „“).
Das Hauptproblem beim Recht auf Löschung besteht jedoch darin, dass es ein ganzes KI-System blockieren könnte, das auf der Grundlage der Daten trainiert wurde, deren Löschung eine betroffene Person verlangt. Einfach ausgedrückt: Algorithmen müssen die für das Training verwendet en Daten behalten. Die Löschung dieser Daten könnte dazu führen, dass die Algorithmen weniger genau sind oder sogar ganz versagen. Daher sollten die Verantwortlichen bedenken, dass die Änderung einer Datenbank, die von einer Datenlöschung ernsthaft betroffen ist, unter Umständen unmöglich sein kann.
Die Verantwortlichen könnten dies für inakzeptabel halten. Tatsache ist jedoch, dass die Datenschutz-Grundverordnung keine Ausnahme vom Recht auf Löschung aufgrund der Schädigung einer Datenbank mit personenbezogenen Daten vorsieht. Einige Autoren wie z. B. Humerick haben in diesem Zusammenhang Folgendes vorgeschlagen: „Anstatt die vollständige Löschung personenbezogener Daten zu fordern, sollten Verantwortliche und Auftragsverarbeiter in der Lage sein, Informationen bis zum Zeitpunkt der Löschung zu bewahren. Auf diese Weise würde das maschinelle Lernen der KI an dem Punkt verbleiben, an dem es fortgeschritten ist, und nicht zu einer erzwungenen Amnesie führen.“ Seiner Meinung nach könnte dies die Interessen der betroffenen Personen ausreichend schützen, ohne dass die KI einen Datenrückschritt erleidet. Es ist jedoch nicht unbedingt sicher, ob diese Lösung den Anforderungen der Datenschutz-Grundverordnung entspricht.
Jede Empfehlung sollte sich immer auf die ersten Schritte im Lebenszyklus des Produkts konzentrieren. Technisch gesehen ist es schwierig, sichere Lösungen für das Dilemma des Rechts auf Löschung zu finden, nachdem eine Datenbank erstellt wurde. Daher sollten die Verantwortlichen stets einer einfachen Schlussfolgerung folgen: Der beste Weg, um katastrophale Schäden zu vermeiden, besteht darin, sich von Anfang an auf einen möglichen Datenverlust vorzubereiten.
Schließlich muss der Verantwortliche immer die Einschränkungen des Rechts auf Löschung gemäß Artikel 17 Absatz 3 DSGVO im Auge behalten. Darüber hinaus können nationale Behörden zusätzliche Beschränkungen auferlegen, die berücksichtigt werden müssen.
Checkliste: Recht auf Löschung[18]
Vorbereitung auf Löschanfragen ☐ Die Verantwortlichen wissen, wie sie eine Anfrage auf Löschung erkennen können und wann dieses Recht anwendbar ist. ☐ Die Verantwortlichen haben eine Richtlinie, wie sie mündliche Anfragen aufzeichnen. ☐ Die Verantwortlichen wissen, wann sie eine Anfrage ablehnen können, und kennen die Informationen, die sie den Personen in diesem Fall zur Verfügung stellen müssen. Erfüllung von Löschanfragen ☐ Die Verantwortlichen verfügen über Verfahren, die sicherstellen, dass sie Löschanfragen ohne unangemessene Verzögerung und innerhalb eines Monats nach Eingang beantworten. ☐ Die Verantwortlichen sind sich der Umstände bewusst, unter denen sie die Frist für die Beantwortung einer Anfrage verlängern können. ☐ Die Verantwortlichen wissen, dass das Recht auf Löschung besonders wichtig ist, wenn sich die Anfrage auf Daten bezieht, die von Kindern erhoben wurden. ☐ Die Verantwortlichen verfügen über Verfahren, um alle Empfänger zu informieren, wenn sie Daten, die sie ihnen mitgeteilt haben, löschen. ☐ Die Verantwortlichen verfügen über geeignete Verfahren zur Löschung von Informationen. |
Zusätzliche Informationen
Ein Interview mit Tiffany Li über das Recht auf Löschung und KI finden Sie hier: www.youtube.com/watch?v=Sozg6yJJkHk R. Binns (2019), Enabling access, erasure, and rectification rights in AI systems. ICO-Blog, 15. Oktober. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ E. Fosch-Villaronga, P. Kieseberg und T. Li (2018), Humans forget, machines remember: artificial intelligence and the right to be forgotten, Computer Law & Security Review 34(2) 304–313. M. Humerick (2018), Taking AI personally: how the E.U. must learn to balance the interests of personal data privacy & artificial intelligence, 34 Santa Clara High Tech. L.J.393. Verfügbar unter: https://digitalcommons.law.scu.edu/chtlj/vol34/iss4/3 ICO (kein Datum) Right to erasure. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasure/ N. Wallace und D. Castro (2018), The impact of the EU’s new data protection regulation on AI. Center for Data Innovation, Washington DC / Brüssel / London. Verfügbar unter: www2.datainnovation.org/2018-impact-gdpr-ai.pdf |
e) Recht auf Widerspruch
Betroffene Personen haben das Recht, der Verarbeitung sie betreffender personenbezogener Daten zu widersprechen, wenn der Verantwortliche sie auf der Grundlage eines berechtigten Interesses oder für eine im öffentlichen Interesse liegende Aufgabe verarbeitet. Dies gilt nicht für Fälle, in denen die Rechtsgrundlage für die Verarbeitung die Einwilligung in Kenntnis der Sachlage war, da die betroffenen Personen in diesen Fällen einfach ihre Einwilligung widerrufen können und der Verantwortliche ihre Daten nicht mehr verarbeiten darf. Auf Anfrage der betroffenen Personen müssen die Verantwortlichen die Verarbeitung der Daten einstellen, es sei denn, sie können nachweisen, dass sie zwingende und berechtigte Gründe für die Fortsetzung der Verarbeitung haben und dass diese Gründe die Interessen, Rechte und Freiheiten der betroffenen Personen überwiegen.[19]
Sobald die Verantwortlichen einen Widerspruch gegen die Verarbeitung personenbezogener Daten erhalten, müssen sie, sofern keine Gründe für eine Ablehnung vorliegen, die Verarbeitung der Daten unverzüglich einstellen. Dies kann bedeuten, dass sie gespeicherte personenbezogene Daten löschen müssen, da die weit gefasste Definition der Verarbeitung nach der DSGVO auch die Speicherung von Daten umfasst.
Checkliste: Recht auf Widerspruch
Vorbereitung auf Widersprüche gegen die Verarbeitung ☐ Die Verantwortlichen wissen, wie sie einen Widerspruch erkennen können und wann dieses Recht anwendbar ist. ☐ Die Verantwortlichen haben eine Richtlinie, wie sie mündliche Widersprüche aufzeichnen. ☐ Die Verantwortlichen wissen, wann sie einen Widerspruch ablehnen können, und kennen die Informationen, die sie den Personen in diesem Fall zur Verfügung stellen müssen. ☐ Die Verantwortlichen haben in ihrer Datenschutzerklärung klare Informationen über das Widerspruchsrecht von Personen getrennt von anderen Informationen über deren Rechte angegeben. ☐ Die Verantwortlichen wissen, wann sie Personen zusätzlich zur Aufnahme in die Datenschutzerklärung über ihr Widerspruchsrecht informieren müssen. Erfüllung von Widersprüchen gegen die Verarbeitung ☐ Die Verantwortlichen verfügen über Verfahren, die sicherstellen, dass sie Widersprüche ohne unangemessene Verzögerung und innerhalb eines Monats nach Eingang beantworten. ☐ Die Verantwortlichen sind sich der Umstände bewusst, unter denen sie die Frist für die Beantwortung eines Widerspruchs verlängern können. ☐ Die Verantwortlichen verfügen über geeignete Verfahren, um personenbezogene Daten zu löschen, zu unterdrücken oder anderweitig die Verarbeitung einzustellen. |
ZusätzlicheInformationen
EDSB (2020) A preliminary opinion on data protection and scientific research. Europäischer Datenschutzbeauftragter, Brüssel. Verfügbar unter: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf ICO (kein Datum), The right to object to use your data. Information Commissioner’s Office, Wilmslow. Verfügbarunter: https://ico.org.uk/your-data-matters/the-right-to-object-to-the-use-of-your-data/ Norwegische Datenschutzbehörde (2018), Artificialintelligenceandprivacy. Norwegische Datenschutzbehörde, Oslo. Verfügbar unter: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf |
- ICO (2014) Big data and data protection. Information Commissioner’s Office, Wilmslow, Seiten 99–10. Verfügbar unter: https://rm.coe.int/big-data-and-data-protection-ico-information-commissioner-s-office/1680591220 (abgerufen am 28. Mai 2020). ↑
- Siehe: B. Custers, (2018), Profiling as inferred data. Amplifier effects and positive feedback loops, Seiten 112–115 in Bayamlıoğlu, E. et al. (eds) Being profiled: cogitas ergo sum. 10 years of profiling the European Citizen. Amsterdam University Press, Amsterdam. DOI 10.5117/9789463722124/CH19. Verfügbar unter: https://ssrn.com/abstract=3466857 or http://dx.doi.org/10.2139/ssrn.3466857(abgerufen am 28. Mai 2020). ↑
- Artikel-29-Datenschutzgruppe (2016), Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679. Europäische Kommission, Brüssel, Seite 17. Verfügbar unter: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053 (abgerufen am 28. Mai 2020). ↑
- Norwegische Datenschutzbehörde (2018), Artificialintelligenceandprivacy. Norwegische Datenschutzbehörde, Oslo, Seite 19. Verfügbar unter: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (abgerufen am 28. Mai 2020). ↑
- ICO (2019) Enabling access, erasure, and rectification rights in AI systems. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/(abgerufen am 28. Mai 2020). ↑
- Ibid. ↑
- ICO (kein Datum) Right of access. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-of-access/ (abgerufen am 28. Mai 2020). ↑
- Artikel-29-Datenschutzgruppe (2015), Leitlinien zum Recht auf Datenübertragbarkeit. Europäische Kommission, Brüssel. Verfügbar unter: http://ec.europa.eu/newsroom/document.cfm?doc_id=45685(abgerufen am 28. Mai 2020). ↑
- Artikel-29-Datenschutzgruppe (2015), Leitlinien zum Recht auf Datenübertragbarkeit. Europäische Kommission, Brüssel, Seite 8. Verfügbar unter: http://ec.europa.eu/newsroom/document.cfm?doc_id=45685(abgerufen am 28. Mai 2020). ↑
- ICO (kein Datum) Right to data portability. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-data-portability/(abgerufen am 28. Mai 2020). ↑
- R. Binns (2019), Enabling access, erasure, and rectification rights in AI systems. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-enabling-access-erasure-and-rectification-rights-in-ai-systems/ (abgerufen am 15. Mai 2020). ↑
- Ibid. ↑
- AEPD (2020) Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción. Agencia EspanolaProteccion Datos, Madrid, Seite 27. Verfügbar unter: www.aepd.es/sites/default/files/2020-02/adecuacion-rgpd-ia.pdf(abgerufen am 28. Mai 2020). ↑
- EDSB (2014), Leitlinien zu den Rechten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten. Europäischer Datenschutzbeauftragter, Brüssel, Seite 18. Verfügbar unter: https://edps.europa.eu/sites/edp/files/publication/14-02-25_gl_ds_rights_de.pdf (abgerufen am 10. Mai 2020). ↑
- Büro des Datenschutzbeauftragten (Ombudsmann) (kein Datum), RighttoRectification. Büro des Datenschutzbeauftragten (Ombudsmann), Helsinki Verfügbar unter: https://tietosuoja.fi/en/right-to-rectification (abgerufen am 28. Mai 2020). ↑
- ICO (kein Datum) Right to rectification. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-rectification/ (abgerufen am 28. Mai 2020). ↑
- E. Fosch-Villaronga, P. Kieseberg und T. Li (2018), Humans forget, machines remember: artificial intelligence and the right to be forgotten, Computer Law & Security Review 34(2): 304–313. ↑
- ICO (kein Datum) Right to erasure. Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/right-to-erasurerectification/ (abgerufen am 28. Mai 2020). ↑
- Norwegische Datenschutzbehörde (2018), Artificialintelligenceandprivacy. Norwegische Datenschutzbehörde, Oslo, Seite 29. Verfügbar unter: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (abgerufen am 28. Mai 2020). ↑