Definition des Ziels Ihres Projekts und der damit verbundenen Datenschutzfrag
Home » Standort- und Nachverfolgungsdaten » Chancen nutzen – Geschäftsverständnis und datenschutzplan » Definition des Ziels Ihres Projekts und der damit verbundenen Datenschutzfrag

Im Mittelpunkt der ersten Phase des Geschäftsverständnisses, die im Hinblick auf Datenschutzfragen von zentraler Bedeutung ist, steht ein präzises Verständnis der Projektziele aus geschäftlicher Perspektive, der Abbildung dieses Wissen in einer Data Mining-Problemdefinition und der anschließenden Entwicklung eines vorläufigen Plans, um die Ziele zu erreichen. Dies ist ein entscheidender Moment, da der Datenschutz durch Technikgestaltung (siehe Unterabschnitt „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ im Abschnitt „Konzepte“)) verlangt, dass die Datenschutzrisiken bei der Erstellung des Business Case berücksichtigt und während des Projektverlaufs weiterverfolgt werden. Datenschutz durch Technikgestaltung sollte in der Organisation und im Projektteam eine selbstverständliche Einstellung sein.[1]

In der Praxis bedeutet dies, dass jeder, der ein IKT-Tool unter Verwendung von Geodaten entwickeln will, sich zunächst fragen sollte, was das Ziel des Tools ist. Dies ist der Schlüssel für die Gestaltung einer Datenschutzrichtlinie. Die Entwickler des Geräts müssen von Anfang an wissen, was sie mit dem Gerät erreichen wollen. Wenn das Ziel des Geräts ohne die Verarbeitung einer unverhältnismäßig großen Menge personenbezogener Daten nicht erreicht werden kann, wenn diese Daten monatelang oder jahrelang aufbewahrt werden müssen, wenn es erhebliche Risiken für den Schutz der Privatsphäre der Nutzer birgt, wenn die erforderlichen Garantien nicht getroffen werden können usw., sollte der Entwicklungsprozess vielleicht besser unterlassen werden. Darüber hinaus kann es Ziele geben, die mit den wichtigsten Grundsätzen der DSGVO oder der EU-Charta der Grundrechte kollidieren. Dies könnte zum Beispiel der Fall sein, wenn Standort-/Begegnungsdaten verwendet werden, um versehentlich sensible Daten wie die religiösen Überzeugungen der betroffenen Person zu erfassen. Im Jahr 2017 zeigte beispielsweise eine interaktive „Global Heatmap“, die die Bewegungen von Nutzern der Fitness-App Strava anzeigt, versehentlich die Standorte von Militärangehörigen an geheimen Orten[2]. Dieser Vorfall wirft ein Schlaglicht auf einige der umfassenderen rechtlichen und ethischen Fragen im Zusammenhang mit der offenen und standardmäßigen Freigabe öffentlicher Daten. Die automatische Aktivierung der Geolokalisierung ohne menschliches Eingreifen muss sorgfältig vermieden werden, da dies zu einer unrechtmäßigen Datenverarbeitung führen würde.

Kasten 1: Beispiele für verschiedene Geräte, die Standort- oder Begegnungsdaten verwenden, und ihre Folgen in Bezug auf Datenverarbeitung und Datenschutzfragen

Es ist nicht dasselbe, ein Gerät zu entwickeln, das eine Person mit einem bestimmten Grad an Demenz schützen soll, als eines, das nur dazu dient, einen gesunden Menschen darüber zu informieren, welche Wege er in den letzten Monaten zurückgelegt hat. Erstere wird wahrscheinlich Hilfsmittel benötigen, die ihre Position sehr genau bestimmen können, während letztere sich mit einer weniger genauen Ortung zufriedengeben wird. Erstere wird detailliertere personenbezogene Daten verwenden als letztere. Ebenso wird es Produkte geben, die nicht die vom Benutzer an allen konkreten Orten verbrachte Zeit angeben müssen, während andere Technologien benötigen, die dies erfüllen (wie im Fall einer Person mit schwerer Alzheimer-Krankheit). Darüber hinaus sollte die Gestaltung des Tools immer Optionen vorsehen, die eine verhältnismäßige Nutzung der Daten ermöglichen. Selbst im Falle einer an Alzheimer erkrankten Person sollte es möglich sein, die Nutzung von Geodaten entsprechend den tatsächlichen Bedürfnissen zu staffeln. Schließlich muss ein Entwickler vom ersten Moment an wissen, ob es notwendig ist, die gesammelten Daten für längere oder kürzere Zeiträume zu speichern. Ein Gerät, das nur ermitteln soll, ob sein Nutzer an einem Ort war, an dem eine Virusvermehrung festgestellt wurde, wird wahrscheinlich nur einige Tage lang Standortdaten speichern müssen, während ein anderes Gerät, das über die in den letzten Monaten unternommenen Reisen berichten soll, die Daten viel länger speichern muss. Jede dieser Varianten wird erhebliche Auswirkungen auf den Schutz personenbezogener Daten haben. Unbestreitbar ist, dass Entwickler wohl kaum Datenschutzrichtlinien festlegen können, wenn sie das Ziel des zu entwickelnden Geräts nicht ausreichend definiert haben.

Entwickler sollten sich vor allem darüber im Klaren sein, dass jede noch so geringfügige Verbesserung der Genauigkeit der Standort- oder Kontaktnachverfolgung unter Umständen eine erhebliche Zunahme der benötigten personenbezogenen Daten erfordert.[3] So ist beispielsweise eine auf Postleitzahlen basierende Ortung viel ungenauer und greift daher weniger in die Privatsphäre ein als exakte standortbezogene Systeme. Ersteres mag ausreichen, um Personen in der Nähe Werbung für örtliche Restaurants anzuzeigen, während die zweite für einen Dienst erforderlich ist, der die kürzeste Fahrradstrecke zwischen zwei Punkten berechnet. Wenn Datenverantwortliche also eine grundlegende Änderung des Genauigkeitsgrads der erforderlichen Standortbestimmung oder -nachverfolgung in Betracht ziehen, sollten sie sorgfältig prüfen, ob dies mit dem Grundsatz der Datenminimierung vereinbar ist. Weitere Einzelheiten hierzu finden Sie im Abschnitt „Datenminimierung“ weiter unten in diesem Kapitel.

Schließlich sollten die Entwickler entscheiden, ob das Produkt einen zentralen oder einen dezentralen Ansatz verfolgt. Sofern angemessene Sicherheitsmaßnahmen getroffen werden, können beide Optionen mit den ihnen eigenen Vor- und Nachteilen in Betracht gezogen werden. In der Regel wird jedoch davon ausgegangen, dass dezentralisierte Systeme die Privatsphäre der Nutzer besser respektieren. Ausgangspunkt für die Datenverarbeitung sollten tatsächlich dezentralisierte Systeme sein, die die Verarbeitung nach Möglichkeit auf die Geräte des Einzelnen verlagern. Damit einhergehen müssen Schutzmaßnahmen und Garantien sowie Informationen und eventuell erforderliche zusätzliche Schutzmaßnahmen bei internationalen Datenübermittlungen.[4]

In der Konzeptionsphase einer Geräte- oder Systementwicklung sollten daher stets beide Optionen eingehend unter sorgfältiger Abwägung ihrer Auswirkungen auf den Datenschutz/die Privatsphäre und ihre möglichen Auswirkungen auf die Rechte des Einzelnen geprüft werden.[5] Entscheiden sich die Entwickler für ein zentralisiertes System, sollten die vom zentralen Server verarbeiteten Daten im Allgemeinen auf das absolute Minimum beschränkt sein.

Wann immer es möglich und sinnvoll ist, sollten die Stakeholder dazu konsultiert werden, welche ethischen und rechtlichen Fragen ihrer Meinung nach auf dem Spiel stehen und wie diese Fragen behandelt werden sollten. Zu den konsultierten Stakeholdern sollten Vertreter der wichtigsten Gruppen gehören, die von dem System – direkt oder indirekt – betroffen sein werden. Auf diese Weise wird ein angemessenes Spektrum an Ideen und Präferenzen in die Entwurfsentscheidungen einfließen.

Checkliste:[6]

 Die Entwickler haben die mit dem Gerät zu erreichenden Hauptziele festgelegt und die Datenschutzaspekte berücksichtigt, die mit der Entwicklung und Implementierung des Geräts verbunden sein könnten.

 Die Entwickler haben sorgfältig geprüft, ob die für die ordnungsgemäße Funktionsweise des Dienstes benötigte Datenmenge oder Art der Verarbeitung mit den Datenschutzerwägungen vereinbar ist.

 Die Entwickler können eine angemessene Umsetzung der Richtlinien in Bezug auf den Datenschutz durch Technikgestaltung gewährleisten. Sie können nachweisen, inwieweit sie sich an die DSGVO und den Rechtsrahmen für Standort- und Begegnungsdaten angepasst haben. Die zur Gewährleistung einer solchen Anpassung ergriffenen Maßnahmen sind sorgfältig dokumentiert.

 Die Entwickler haben die Vor- und Nachteile eines zentralisiertendezentralisierten Systems abgewogen und eine fundierte Entscheidung getroffen, die von der Öffentlichkeit überprüft werden kann. Zu diesem Zweck wurden Konsultationen der wichtigsten Stakeholder durchgeführt und dokumentiert.

 Die Entwickler haben die Stakeholder zu möglichen ethischen und rechtlichen Fragen konsultiert.

 

 

Quellenangaben

1JRC Technical Reports, Guidelines for public administrations on location privacy, unter: https://publications.jrc.ec.europa.eu/repository/handle/JRC103110

2Siehe: The Strava Heat Map and the End of Secrets, Wired, 2018, unter: https://www.wired.com/story/strava-heat-map-military-bases-fitness-trackers-privacy/

3Norwegische Datenschutzbehörde (2018) Artificial intelligence and privacy. Norwegische Datenschutzbehörde, Oslo, Seite 20. Verfügbar unter: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf (abgerufen am 28. Mai 2020).

4Elizabeth Denham, UK Information Commissioner, Combatting COVID-19 through data: some considerations for privacy, unter: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/04/combatting-covid-19-through-data-some-considerations-for-privacy/

5EDSA, Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19. Angenommen am 21. April 2020

6Die vorliegende Checkliste wurde auf Grundlage dieser Dokumente erstellt: http://www.oecd.org/coronavirus/policy-responses/tracking-and-tracing-covid-protecting-privacy-and-data-while-using-apps-and-biometrics-8f394636/

Skip to content