Künstliche Intelligenz (KI): Guidelines und Whitepapers (Update)

Künstliche Intelligenz (KI) ist nicht zuletzt dank einer intensiven Berichterstattung über Phänomene wie z.B. den Chatbot ChatGPT (wieder) in aller Munde. Aus rechtlicher Sicht interessiert vor allem der zunehmende Ruf nach einer KI-spezifischen Regulierung um vermeintlich negative Auswirkungen zu verhindern.

In diesem Zusammenhang wird oft folgendem Umstand zu wenig Beachtung geschenkt: Der Einsatz von KI-Technologien ist kein Selbstzweck, sondern ein Mittel zur Erreichung bestimmter Ziele bzw. Umsetzung bestimmter Use Cases. Insbesondere Letztere entscheiden über die anwendbaren Rechtsgrundlagen: Auf die Auswertung von z.B. Personendaten im Gesundheitswesen oder der Analyse anonymisierter Verkehrsdaten gelangen jeweils unterschiedliche Gesetze zur Anwendung. Diese tragen den Eigenheiten beider Use Cases hinreichend Rechnung und zwar unabhängig von der eingesetzten (KI-)Technologie als Mittel zu deren Umsetzung. Folglich besteht die eigentliche Herausforderung viel mehr in der Ummünzung bestehender Rechtsgrundlagen in (nicht-rechtliche) Vorgaben für technisch/organisatorische Massnahmen (TOM-Vorgaben), die auch durch (neue) KI-Technologien umgesetzt werden können. Die Schaffung zusätzlicher, KI-spezifischer Rechtsgrundlagen ist in der Regel nicht zielführend.

Diese Unterscheidung gilt es auch bei der Lektüre der nachfolgenden Auswahl an Guidelines, Whitepapers etc. zu beachten:

(a) UK Information Commissioner: Updated Guidance on AI and Data Protection, 2023: Link 

(b) Deutscher Ethikrat: Mensch und Maschine – Herausforderungen durch Künstliche Intelligenz: Stellungnahme (Vorabfassung), 2023: Link 

(c) Cesluk-Grajewski Marcin, Think Tank European Parliament: Briefing: What Think Tanks are Thinking - Artificial Intelligence, 2023: Link 

(d) Swiss AI Report, 2022: Link 

(e) BAKOM: Monitoring der Leitlinien "Künstliche Intelligenz" für den Bund, 2022: Link 

(f) EDA: Künstliche Intelligenz und internationales Regelwerk, 2022: Link 

(g) Google: AI Principles Progress Update, 2022: Link 

(h) Christoph Lütge/Ellen Hohma/Auxane Boch/Franziska Poszler/Caitlin Corrigan, IEAI White Paper, TU München: On a Risk-Based Assessment Approach to AI Ethics Governance, 2022: Link 

(i) BSI/Fraunhofer-Institut für Nachrichtentechnik/Verband der TÜV e.V.: Towards Auditable AI Systems - Current status and future directions, 2021: Link   

(j) Leitlinien "Künstliche Intelligenz" für den Bund: Orientierungsrahmen für den Umgang mit künstlicher Intelligenz in der Bundesverwaltung, 2020: Link 

(k) Herausforderungen der künstlichen Intelligenz, Bericht der interdepartementalen Arbeitsgruppe "Künstliche Intelligenz" an den Bundesrat, 2019: Link 

(l) Bericht der Projektgruppe "Internationale Gremien und künstliche Intelligenz", 2019: Link 

(m) Berichte im Auftrag des SBFI: (i) Künstliche Intelligenz im Industrie- und Dienstleistungssektor, 2019: Link; (ii) Anwendung von künstlicher Intelligenz in Wissenschaft und Forschung, 2019: Link; (iii) Künstliche Intelligenz, Medien & Öffentlichkeit, 2019: Link; (iv) Automatisierte Mobilität und künstliche Intelligenz, 2019: Link 

(n) Generalsekretariat VBS: Bericht der Projektgruppe - Künstliche Intelligenz in der Cybersicherheit und Sicherheitspolitik, 2019: Link

Übrigens: Auf die Frage, ob es ein Gesetz für ChatGPT brauche, antwortete der Chatbot: "Da ChatGPT eine KI-basierte virtuelle Assistentin ist und keine eigenständige Entität mit eigenem Handeln, ist es nicht notwendig, spezifische Gesetze für ChatGPT zu erstellen".

Weitere Blog-Beiträge zu KI sind hier abrufbar. 

Michal Cichocki

Tracking-Technologien: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) analysiert Handlungsbedarf

Gemäss Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 27. September 2022 wurde offenbar in den USA eine Klage gegen Oracle America Inc. im Zusammenhang mit dem Einsatz von Tracking-Technologien eingereicht. Gegen welche rechtlichen Voraussetzungen Oracle konkret verstossen haben soll, geht aus der Medienmitteilung nicht hervor. Stattdessen wird festgehalten, dass Oracle Tracking-Technologien unter anderem zur Erhebung sowie Auswertung einer Vielzahl von Internetnutzern zwecks Erstellung einer Datensammlung einsetze und dies "sogar geräteübergreifend".

Ferner wird festgehalten, dass der EDÖB die vorgenannte Klage zur Kenntnis genommen habe, diese und allfällige Auswirkungen auf die Schweiz analysiere. Ausserdem habe der EDÖB Oracle Software (Schweiz) GmbH angeschrieben und behalte sich vor, gegebenenfalls weitere Schritte einzuleiten.

Der EDÖB fokussiert laut erwähnter Medienmitteilung seine Analyse u.a. auf folgende Aspekte:

a) Einhaltung der datenschutzrechtlichen Bearbeitungsgrundsätze der "Transparenz und der Verhältnismässigkeit".

b) "Erforderlichkeit einer ausdrücklichen Einwilligung für die Erstellung von Persönlichkeitsprofilen und die Bearbeitung von besonders schützenswerten Personendaten".

Der Fokus der Analyse des EDÖB ist in zweifacher Hinsicht überraschend:  

1) Vorab ist nicht primär das Datenschutzgesetz (DSG), sondern Art. 45c lit. b Fernmeldegesetz (FMG) für den Einsatz von Tracking-Technologien (d.h. einem Auslesen oder Übermitteln von Daten mittels fernmeldetechnischer Übertragung auf fremde Geräte) anwendbar. Bereits damit werden Transparenz (Information) sowie die Möglichkeit einer Ablehnung (sog. Opt-Out) technisch nicht notwendiger Trackings sichergestellt. Dies erfolgt unabhängig davon, ob Personendaten gemäss Art. 3 lit. a DSG bearbeitet werden oder nicht.

2) Falls im Rahmen eines Trackings Personendaten bearbeitet werden, also zwischen den fraglichen Daten ein Personenbezug ohne unverhältnismässig grossen Aufwand (sog. relative Methode) hergestellt werden kann, ist zusätzlich das DSG anwendbar. 

Im DSG gilt jedoch der Grundsatz der Erlaubnis mit Verbotsvorbehalt: Danach ist im Privatbereich weder eine datenschutzrechtliche Einwilligung noch ein anderer datenschutzrechtlicher Rechtfertigungsgrund als Voraussetzung für die Bearbeitung (z.B. Erstellung) von Personendaten erforderlich, sofern insbesondere die (i) Bearbeitungsgrundsätze (Art. 4 ff. DSG i.V.m. Art. 12 Abs. 2 lit. a DSG) eingehalten werden, (ii) keine besonders schützenswerten Personendaten oder Persönlichkeitsprofile an echte Dritte bekanntgegeben werden (Art. 12 Abs. 2 lit. c DSG) und (iii) kein ausdrücklicher Widerspruch der betroffenen Person vorliegt (Art. 12 Abs. 2 lit. b DSG).

Folglich sieht das DSG keine Einwilligung für die Erstellung von Persönlichkeitsprofilen oder die Erhebung besonders schützenswerter Personendaten vor - weder im Zusammenhang mit Tracking-Technologien noch für andere Bearbeitungen.

Dieser Grundsatz gilt auch im totalrevidierten DSG, das am 01. September 2023 in Kraft tritt.

Michal Cichocki

Totalrevision des schweizerischen Datenschutzrechts (DSG/DSV/VDSZ) abgeschlossen: Überblick über Materialien und Auslegungs- sowie Umsetzungshilfen

Am 9. Dezember 2011 nahm die Totalrevision des schweizerischen Datenschutzrechts ihren Anfang. Fast elf Jahre später wurden die Rechtsetzungsarbeiten abgeschlossen: Der Bundesrat hat am 31. August 2022 das Inkrafttreten des neuen, totalrevidierten Datenschutzgesetzes (DSG) samt Ausführungsbestimmungen (Datenschutzverordnung DSV und Verordnung über Datenschutzzertifizierungen VDSZ) per 01. September 2023 beschlossen.

Zu dieser Totalrevision gibt es mittlerweile eine Vielzahl von Publikationen; die nachfolgende Übersicht über Materialien und Auslegungs- sowie Umsetzungshilfen soll als Orientierungshilfe dienen. Sie ist eine Auswahl ohne Anspruch auf Vollständigkeit:

(i) Aktuelles Bundesgesetz über den Datenschutz (DSG)

Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 (Stand 1. März 2019)

Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23. März 1988

Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19. Februar 2003

Erläuterungen des EDÖB zu den Änderungen vom 17. Dezember 2004 und vom 24. März 2006 des Bundesgesetzes über den Datenschutz (DSG) (ohne Datum)

(ii) Aktuelle Verordnung zum Bundesgesetz über den Datenschutz (VDSG)

Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 14. Juni 1993 (Stand am 16. Oktober 2012)

Kommentar des Bundesamts für Justiz zur VDSG vom 1. Januar 2008 (VDSG) (ohne Datum)

(iii) Neues, totalrevidiertes Datenschutzgesetz (DSG)

Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) vom 25. September 2020

Botschaft über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15. September 2017

FAQ Datenschutzrecht des BJ vom 01. September 2022

Bericht der Begleitgruppe Revision DSG des BJ: Normkonzept zur Revision des Datenschutzgesetzes vom 29. Oktober 2014

Erläuternder Bericht zum Vorentwurf für das Bundesgesetz über die Totalrevision des Datenschutzgesetzes und die Änderung weiterer Erlasse zum Datenschutz vom 05. Juni 2020

Parlamentarische Beratungen zum Entwurf DSG: Link 1 und Link 2 (2017-2020)

Das neue Datenschutzgesetz aus Sicht des EDÖB vom 9. Februar 2021

Totalrevision des Datenschutzgesetzes (DSG): Übersicht des BJ zu den wichtigsten Änderungen für die Erarbeitung der Rechtsgrundlagen betreffend Datenbearbeitungen durch Bundesorgane vom 02. September 2022

(iv) Neue Datenschutzverordnung (DSV)

Verordnung über den Datenschutz (Datenschutzverordnung; DSV) vom 31. August 2022

Erläuternder Bericht zur Verordnung über den Datenschutz (Datenschutzverordnung; DSV) vom 31. August 2022

Bericht über das Ergebnis des Vernehmlassungsverfahrens: Totalrevision der Verordnung zum Bundesgesetz über den Datenschutz (VDSG) vom 31. August 2022

Vergleichstabelle des BJ zum E-VDSG – VDSG – nDSG vom 23. Juni 2021

Gegenüberstellung DSV - E-VDSG - VDSG von Hannes Meyle und Anne-Sophie Morand mit David Vasella vom 31. August 2022

(v) Neue Verordnung über Datenschutzzertifizierungen (VDSZ)

Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022

Erläuternder Bericht zur Verordnung über Datenschutzzertifizierungen (VDSZ) vom 31. August 2022

(vi) Aufsätze

David Rosenthal, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27. November 2017

David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020

David Rosenthal, Rohstoff zum revidierten Datenschutzgesetz, verfasst für den Verein Unternehmens-Datenschutz (VUD), 18. April 2020

David Rosenthal, Seraina Gubler, Die Strafbestimmungen des neuen DSG, in: SZW/RSDA 1/2021

David Vasella, Umsetzung des revidierten DSG (Stand 17.07.2022)

Michal Cichocki

Dark Patterns: Vernehmlassung zu Guidelines des Europäischen Datenschutzausschusses (EDSA) abgeschlossen

Im Mai 2022 wurde die öffentliche Vernehmlassung zu den Draft Guidelines „on dark patterns in social media platform interfaces: how to recognise and avoid them“ des Europäischen Datenschutzausschusses (EDSA) abgeschlossen.

In diesen Draft Guidelines befasst sich der EDSA mit der Frage, wann eine gezielte Beeinflussung von Nutzern auf Social Media Plattformen durch den Einsatz von grafischen Benutzerschnittstellen (GUI) sowie User Experiences (UX) zur Preisgabe zusätzlicher Personendaten noch zulässig sei und wann diese Schwelle überschritten werde.

Der EDSA ist der Auffassung, dass von einer unzulässigen Beeinflussung durch dark patterns bereits dann gesprochen werden könne, wenn das Design von GUI und UX den Nutzer zu einer "unbeabsichtigten, ungewollten sowie potenziell schädlichen Entscheidung" hinsichtlich der Verarbeitung seiner personenbezogenen Daten verleite.

Zur Konkretisierung dieser generell-abstrakten Formel werden in den Draft Guidelines verschiedene Anwendungsfälle (dark pattern categories), Beeinflussungsmittel (dark pattern types) sowie Beispiele behandelt.

Das folgende Beispiel fällt gemäss EDSA unter die dark pattern category „overloading” sowie den dark pattern type „continuous prompting“ und sei bereits unzulässig: „In the first step of the sign-up process, users are required to choose between different options for their registration. They can either provide an email address or a phone number. When users choose the email address, the social media provider still tries to convince users to provide the phone number, by declaring that it will be used for account security, without providing alternatives on the data that could be or was already provided by the users. Concretely, several windows pop up throughout the sign-up process with a field for the phone number, along with the explanation “We’ll use your [phone] number for account security”. Although users can close the window, they get overloaded and give up by providing their phone number“ (vgl. S. 14 Draft Guidelines).

Weiter werden folgende fünf dark pattern categories in den Draft Guidelines beschrieben (vgl. S. 7 f.):

Skipping: designing the interface or user experience in a way that the users forget or do not think about all or some of the data protection aspects.

Stirring: affects the choice users would make by appealing to their emotions or using visual nudges.

Hindering: an obstruction or blocking of users in their process of getting informed or managing their data by making the action hard or impossible to achieve.

Fickle: the design of the interface is inconsistent and not clear, making it hard for users to navigate the different data protection control tools and to understand the purpose of the processing.

Left in the dark: an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.

Des Weiteren führen die Draft Guidelines verschiedene DSGVO-Bestimmungen auf, die durch den Einsatz von dark patterns betroffen sein könnten: u.a. die Verarbeitungsgrundsätze (Art. 5 DSGVO), Einwilligungsbedingungen (Art. 4 Abs. 11 i.V.m. Art. 7 DSGVO), Betroffenenrechte (Art. 12 ff. DSGVO) sowie Privacy by Design and Default (Art. 25 DSGVO).

Im Rahmen der öffentlichen Vernehmlassung hat der EDSA sechsundzwanzig Eingaben verschiedener Stakeholder entgegengenommen. In diesem Zusammenhang wurde u.a. vorgebracht, dass der Begriff „Social Media Plattformen“ nicht definiert und damit der Anwendungsbereich der Guidelines unklar sei oder die Annahmen betreffend Erwartungen der Nutzer nicht „evidence-based and research-supported“ seien („as one example, the draft guidelines imply that humour easily distracts users, and that users would not expect account deletion functionalities on the bottom page of account settings“).

Next steps: Der EDSA wird die Vernehmlassungseingaben einarbeiten und die finale Version der Guidelines voraussichtlich im zweiten Halbjahr 2022 veröffentlichen.

Michal Cichocki

Deutsche Datenschutzkonferenz (DSK): Orientierungshilfe zu Direktwerbung veröffentlicht

Die deutsche Datenschutzkonferenz (DSK) veröffentlichte am 18. Februar 2022 ihre Orientierungshilfe „zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DSGVO)".

In diesem Zusammenhang wird der Begriff der „Werbung“ weit verstanden: Darunter fällt „jede Äusserung bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel, den Absatz von Waren oder die Erbringung von Dienstleistungen, einschliesslich unbeweglicher Sachen, Rechte und Verpflichtungen, zu fördern" (vgl. Art. 2 lit. a der EU-Richtlinie 2006/114/EG). Innerhalb dieser Definition gilt "die unmittelbare Ansprache der Zielperson” als Direktwerbung. Letztere kann in unterschiedlicher Form erfolgen, "z.B. postalisch, per E-Mail, Telefon, Fax oder SMS.”

Anders als unter dem Regime des schweizerischen Datenschutzgesetzes (Grundsatz der Erlaubnis mit Verbotsvorbehalt), muss sich eine Datenverarbeitung im Anwendungsbereich der EU DSGVO stets auf eine Rechtsgrundlage (vgl. Art. 6 EU DSGVO) abstützen - hier gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt.

Die Verarbeitung personenbezogener Daten zu Zwecken der Direktwerbung stützt sich regelmässig auf Art. 6 Abs. 1 lit. f DSGVO ("Wahrung berechtigter Interessen des Verantwortlichen”). Dazu enthält die Orientierungshilfe zahlreiche Ausführungen: Danach müssen die Interessen des datenschutzrechtlich Verantwortlichen sowie der betroffenen Person im Einzelfall gegeneinander abgewogen werden. Dabei spielen die "vernünftigen Erwartungen" der betroffenen Person eine Rolle. Die DSK ist, wie immer, streng und vertritt die Meinung, dass die (stets subjektiv gefärbte) Erwartung der betroffenen Person nicht durch die Pflichtinformationen (vgl. Art. 13 ff. EU DSGVO) "erweitert" werden könne. Dies hätte zur Folge, dass der Verarbeitung bestimmter, "objektiv vernünftigerweise nicht erwartbarer" Formen der Direktwerbung die Abstützung auf das berechtigte Interesse des Verantwortlichen verwehrt bliebe - trotz einer transparenten, verständlichen Orientierung darüber.

Ferner legt die DSK ihre Auffassung zur Interessenabwägung folgender "Grobkategorien" im Zusammenhang mit Direktwerbung dar (vgl. Ziff. 1.3.2 Orientierungshilfe):

i) Zusendung von Werbung nach Bestellung ohne Selektion oder nach Selektion ohne zusätzlichen
Erkenntnisgewinn (ohne Profiling): In dieser "Grobkategorie" fällt die Interessenabwägung in der Regel zu Gunsten des Verantwortlichen aus.

ii) Zusendung von Werbung nach Bestellung und Selektion (Profiling): Hier scheint sich die DSK am Profiling als "Vorleistung" für gezielte Werbung zu stören, weswegen die Interessenabwägung in der Regel zu Gunsten der betroffenen Person (und nicht des Verantwortlichen) ausfallen solle.

iii) Ansprache per Telefonanruf, E- Mail, Fax etc.: Die DSK verknüpft das Schicksal der datenschutzrechtlichen Interessenabwägung in Bezug auf die Auswahl des Kontaktmittels mit dessen Zulässigkeit gemäss (deutschem) UWG. Danach führe ein Verstoss gegen das (deutsche) UWG „automatisch“ zum Verlust des berechtigten Interesses gemäss DSGVO an der Datenbearbeitung durch den Verantwortlichen.

iv) Nutzen der E-Mail-Adressen von Bestandskunden: In dieser "Grobkategorie” fällt die Interessenabwägung in der Regel zu Gunsten des Verantwortlichen aus, sofern auch hier das deutsche UWG eingehalten werde.

v) Nutzen von Telefonnummern: Im B2C-Bereich fällt hier die Interessenabwägung gemäss DSK zu Gunsten der betroffenen Person, d.h. des Konsumenten, aus. Demnach sei Art. 7 Abs. 1 DSGVO i.V.m. 7a UWG anwendbar, weswegen eine ausdrückliche Einwilligung der betroffenen Person eingeholt werden müsse. Im B2B-Bereich, d.h. gegenüber "professionellen" Marktteilnehmern, geht die DSK von deren "mutmasslicher Einwilligung“ aus, wobei für den Anruf ein konkreter und aus dem Interessenbereich des Anzurufenden herzuleitender Grund vorliegen müsse (dies könne z. B. ein geschäftlicher Vorkontakt sein).

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Guidelines zu Art. 23 EU DSGVO (Beschränkungen von Rechten und Pflichten)

Im Nachgang zur öffentlichen Konsultation veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) am 13. Oktober 2021 seine Guidelines zu Art. 23 EU DSGVO in der Version 2.0 (Guidelines 10/2020 on restrictions under Article 23 GDPR).

Art. 23 EU DSGVO sieht die Möglichkeit vor, dass die EU Mitgliedsstaaten die Rechte und Pflichten gemäss Art. 12 bis 22 EU DSGVO (Rechte der betroffenen Personen) sowie Art. 34 EU DSGVO (Benachrichtigung bei Data Braches) und Art. 5 EU DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) unter bestimmten Voraussetzungen beschränken können.

Diese Voraussetzungen hat der EDSA mit der oben erwähnten Guideline aktualisiert und wie folgt zusammengefasst (vgl. Conclusion/Kapitel 8):

a) Article 23 GDPR allows under specific conditions, a national or Union legislator to restrict, by way of a legislative measure, the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 GDPR in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard, inter alia, important objectives of general public interest of the Union or of a Member State. 


b) Restrictions of data subjects’ rights need to observe the requirements stated in Article 23 GDPR. The Member States or the Union issuing the legislative measures setting those restrictions and the controllers applying them should be aware of the exceptional nature of these restrictions. 


c) The proportionality test should be carried out before introducing in Union or Member State law restrictions on the rights of data subjects. 


d) SAs should be consulted before the adoption of the legislative measures setting the restrictions and have the powers to enforce its compliance with the GDPR. 
 

e) Once restrictions are lifted, data subjects must be allowed to exercise their rights by the controller.

Unter Kapitel 9 wurde ausserdem eine Checkliste mit dem Titel „Article 23 GDPR in a nutshell“ publiziert.

Michal Cichocki

Europäischer Datenschutzbeauftragter (EDSB/EDPS) veröffentlicht Stellungnahme zur Revision der EU-Richtlinie über Verbraucherkreditverträge (directive on consumer credits)

Im Rahmen der Beratungen zur Revision der EU-Richtlinie über Verbraucherkreditverträge (2008/48/EG) hat der europäische Datenschutzbeauftragte (EDSB/EDPS) seine Stellungnahme abgegeben: Opinion 11/2021 on the Proposal for a Directive on consumer credits. Darin äussert er sich vor allem zu datenschutzrechtlichen Aspekten bei der Kreditprüfung und hält u.a. folgendes fest:

Die Digitalisierung im EU Consumer Credit Sector (EU-Verbraucherkreditmarkt) ziehe gemäss EDPS einen zusätzlichen Schutzbedarf für die Persönlichkeitsrechte der betroffenen Personen (Kreditnehmer) nach sich, insbesondere in den Bereichen der Peer-to-Peer Lending Platforms, Online Sales, Short-Term High-Cost Loans und Automated Decision-Making for Credit Scoring. Der EDPS empfiehlt in diesem Zusammenhang u.a. folgende Anpassungen der vorgenannten EU-Richtlinie:

(i) Von der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) solle gänzlich abgesehen werden.

(ii) Auf die Auswertung von Search Queries oder das Herauslesen von Online Browsing Activities der Kreditnehmer solle ebenfalls verzichtet werden.

(iii) Dem Kreditnehmer solle im Voraus mitgeteilt werden, welche externen Quellen (Datenbanken, Auskunfteien) beigezogen würden, welche Betroffenenrechte er ausüben könne und an welche Kontaktperson er sich hierfür wenden könne.

(iv) Der Grundsatz der Datenrichtigkeit bzw. - qualität spiele eine wichtige Rolle und müsse mit angemessenen technischen/organisatorischen Massnahmen (TOM) sichergestellt werden.

(v) Für Profiling oder andere automatisierte Bearbeitungen solle nicht nur eine Human Intervention vorgesehen, sondern ein offenbar weitergehendes Assessment durch den Kreditgeber durchgeführt werden.

(vi) Diejenigen Kategorien personenbezogener Daten, welche als Parameter für die Erstellung einer personal offer verwendet werden sollen, müssten begrenzt, klar umschrieben und zusammen mit der verwendeten Logik offengelegt werden.

(vii) Personenbezogene Daten, welche im Zusammenhang mit der Prüfung der Kreditwürdigkeit bearbeitet werden, sollen nicht für Werbe- und Marketingzwecke verwendet werden dürfen.

(viii) Die vorliegenden Überlegungen sollen im Rahmen des laufenden Rechtsetzungsverfahrens zum EU Artificial Intelligence Act, insbesondere bei der Zertifizierung von KI-Systemen, berücksichtigt und koordiniert werden.

(ix) Schliesslich ist der EDPS der Meinung, das EU-Datenschutzrecht übe eine komplementäre Rolle zum EU-Konsumentenschutzrecht aus; auf welche Rechtsgrundlage sich diese Aussage stützen soll, wird jedoch nicht erwähnt.

Michal Cichocki

Europäischer Datenschutzbeauftragter (EDPS/EDSB) und die Agencia Española de Protección de Datos (AEPD) veröffentlichen eine gemeinsame Stellungnahme zu Anonymisierung

Ende April 2021 veröffentlichten der Europäische Datenschutzbeauftragte (EDPS/EDSB) zusammen mit der spanischen Datenschutzaufsichtsbehörde (Agencia Española de Protección de Datos - AEPD) eine gemeinsame Stellungnahme zum Themenbereich Anonymisierung (von Personendaten gemäss EU DSGVO).

Darin halten die erwähnten Behörden u.a. folgende Definitionen im Zusammenhang mit „Anonymisierung“ fest:

(i) Anonymous data is “information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable”.

(ii) Datasets which include personal data may contain direct and indirect identifiers, which allow an individual to be identified or become identifiable.

(iii) A direct identifier is specific information that references to an individual, such as name or an identification number.

(iv) An indirect identifier (also called quasi-identifier) is any piece of information (e.g. a geographical position in a certain moment or an opinion about a certain topic) that could be used, either individually or in combination with other quasi-identifiers, by someone that has knowledge about that individual with the purpose of re-identifying an individual in the dataset.

(v) The re-identification likelihood is the probability in a given dataset of re-identifying an individual, by turning anonymised data back into personal data through the use of data matching or similar techniques.

Ferner gehen der EDPS/EDSB und die AEPD in ihrer gemeinsamen Stellungnahme auf folgende „top ten misunderstandings“ zur Anonymisierung ein:

Misunderstanding 1: Pseudonymisation is the same as anonymisation. Fact: Pseudonymisation is not the same as anonymisation.

Misunderstanding 2: Encryption is anonymisation. Fact: Encryption is not an anonymisation technique, but it can be a powerful pseudonymisation tool.

Misunderstanding 3: Anonymisation of data is always possible. Fact: It is not always possible to lower the re-identification risk below a previously defined threshold whilst retaining a useful dataset for a specific processing.

Misunderstanding 4: Anonymisation is forever. Fact: There is a risk that some anonymisation processes could be reverted in the future. Circumstances might change over time and new technical developments and the availability of additional information might compromise previous anonymisation processes.

Misunderstanding 5: Anonymisation always reduces the probability of re-identification of a dataset to zero. Fact: The anonymisation process and the way it is implemented will have a direct influence on the likelihood of re-identification risks.

Misunderstanding 6: Anonymisation is a binary concept that cannot be measured. Fact: It is possible to analyse and measure the degree of anonymization.

Misunderstanding 7: Anonymisation can be fully automated. Fact: Automated tools can be used during the anonymisation process, however, given the importance of the context in the overall process assessment, human expert intervention is needed.

Misunderstanding 8: Anonymisation makes the data useless. Fact: A proper anonymisation process keeps the data functional for a given purpose.

Misunderstanding 9: Following an anonymisation process that others used successfully will lead our organisation to equivalent results. Fact: Anonymisation processes need to be tailored to the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons.

Misunderstanding 10: There is no risk and no interest in finding out to whom this data refers to. Fact: Personal data has a value in itself, for the individuals themselves and for third parties. Re-identification of an individual could have a serious impact for his rights and freedoms.

Weitergehende Erläuterungen zu den einzelnen misunderstandings sind hier abrufbar.

Michal Cichocki

EU & KI: EU-Kommission veröffentlicht Entwurf zum Artificial Intelligence Act

Am 21. April 2021 veröffentlichte die EU-Kommission ihren Entwurf eines Legal Frameworks zur Regulierung von Künstlicher Intelligenz (KI): Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act).

Damit sollen die (Grund)Rechte der betroffenen Personen sowie Unternehmen gewahrt und gleichzeitig ein zukunftsgerichtetes Legal Framework für die Entwicklung von KI und generell von Innovation in der EU geschaffen werden. Dies könnte auch für die Schweiz relevant sein; im Entwurf ist mindestens derzeit folgender Anknüpfungspunkt zu finden: „(…) this Regulation should also apply to providers and users of AI systems that are established in a third country, to the extent the output produced by those systems is used in the Union“.

Der Entwurf sieht u.a. einen risikobasierten Regulierungsansatz vor. Danach werden KI-Systeme in vier Risikokategorien eingeteilt, welche sich insbesondere an bestimmten Verwendungszwecken und damit zusammenhängenden Risiken orientieren: unacceptable risk, high-risk, limited risk und minimal risk. Je nach Risikokategorie sind die Voraussetzungen an KI-Systeme strenger bzw. weniger streng:

1) Unacceptable risk: Für Zwecke, die eine Gefahr für "the safety, livelihoods and rights of people" darstellen, sollen KI-Systeme nicht genutzt werden dürfen. Darunter fallen "AI systems or applications that manipulate human behaviour to circumvent users' free will (e.g. toys using voice assistance encouraging dangerous behaviour of minors) and systems that allow ‘social scoring' by governments“.

2) High-risk: KI-Systeme, welche zu den nachfolgenden Zwecken genutzt werden, sollen unter die Kategorie high-risk fallen:
a) Critical infrastructures (e.g. transport), that could put the life and health of citizens at risk
b) Educational or vocational training, that may determine the access to education and professional course of someone's life (e.g. scoring of exams)
c) Safety components of products (e.g. AI application in robot-assisted surgery)
d) Employment, workers management and access to self-employment (e.g. CV-sorting software for recruitment procedures)
e) Essential private and public services (e.g. credit scoring denying citizens opportunity to obtain a loan)
f) Law enforcement that may interfere with people's fundamental rights (e.g. evaluation of the reliability of evidence)
g) Migration, asylum and border control management (e.g. verification of authenticity of travel documents)
h) Administration of justice and democratic processes (e.g. applying the law to a concrete set of facts)
i) In particular, all remote biometric identification systems are considered high risk and subject to strict requirements

Bevor KI-Systeme der Risikokategorie high-risk genutzt werden dürfen, sollen folgende Voraussetzungen erfüllt werden:
i) Adequate risk assessment and mitigation systems
ii) High quality of the datasets feeding the system to minimise risks and discriminatory outcomes
iii) Logging of activity to ensure traceability of results
iv) Detailed documentation providing all information necessary on the system and its purpose for authorities to assess its compliance
v) Clear and adequate information to the user
vi) Appropriate human oversight measures to minimise risk
vii) High level of robustness, security and accuracy

3) Limited risk: „(…) specific transparency obligations: When using AI systems such as chatbots, users should be aware that they are interacting with a machine so they can take an informed decision to continue or step back".

4) Minimal risk: „(…) allows the free use of applications such as AI-enabled video games or spam filters. The vast majority of AI systems fall into this category. The draft Regulation does not intervene here, as these AI systems represent only minimal or no risk for citizens' rights or safety".

Schliesslich sieht der Entwurf vor, dass u.a. die oben genannten Voraussetzungen direkt anwendbar sein und entlang eines Coordinated Plan on AI mit weiteren Regulierungsinitiativen der EU (z.B. new machinery regulation, European green deal) abgestimmt werden sollen. Das EU-Parlament und die EU-Mitgliedsstaaten werden nun über den vorliegenden Entwurf beraten.

Michal Cichocki

EDÖB: Vorgehen bei Datenabflüssen bei Sozialen Netzwerken

Im Zuge der öffentlich bekannt gewordenen Data Leaks bzw. Breaches bei Facebook, LinkedIn und Clubhouse sowie anderen Sozialen Netzwerken, veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 13.04.2021 das nachfolgende Vorgehen „um festzustellen, ob man betroffen ist und um sich zu schützen“:

1. Feststellen, ob man betroffen ist mittels Identity Leak Checker Tools wie z.B. Identity Leak Checker des Hasso-Plattner-Instituts oder https://haveibeenpwned.com
2. Instruktionen von Seiten der Betreiber der Sozialen Netzwerke befolgen
3. Passwort ändern
4. Zahlungsmittel überwachen und gegebenenfalls sperren
5. Erhöhte Vorsicht bei Anzeichen auf Missbrauch der geleakten Daten, insbesondere bei E-Mails und SMS von unbekannten Absendern

Michal Cichocki

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) veröffentlicht Leitfaden mit den wichtigsten Neuerungen des totalrevidierten Datenschutzgesetzes (revDSG)

Am 5. März 2021 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) einen Leitfaden ("Das neue Datenschutzgesetz aus Sicht des EDÖB"; datiert vom 9. Februar 2021), worin er „auf die wichtigsten Neuerungen“ des totalrevidierten Datenschutzgesetzes (revDSG) für die Privatwirtschaft und die Bundesbehörden eingeht.

Zur Vorgeschichte und den Zielen der (Total)Revision des Datenschutzgesetzes hält der EDÖB u.a. folgendes fest:

„Nebst der Stärkung der Rechte der betroffenen Personen hebt der Bundesrat in seiner Botschaft den sog. risikobasierten Ansatz als Leitlinien der Revision hervor. (…) Hohe Risiken und die zu deren Beseitigung oder Minderung getroffenen organisatorischen und technischen Massnahmen [TOM] sind zu dokumentieren“.

„Sodann fördert das revidierte DSG auch die Selbstregulierung, indem die Mitglieder von Branchen, die einen verbindlichen Verhaltenskodex erlassen, von gewissen Pflichten entbunden werden“.

„Trotz dieser Anlehnung an das europäische Recht entspricht das neue DSG der schweizerischen Rechtstradition, indem es einen hohen Abstraktionsgrad ausweist und technologieneutral formuliert ist“.

„Die Erneuerung des aus dem Jahre 2000 stammenden Anerkennungsbeschlusses der EU gegenüber der Schweiz wird für das Frühjahr 2021 erwartet“.

Ferner bezeichnet der EDÖB die nachfolgenden Themen als "wichtigste Neuerungen des totalrevidierten Datenschutzgesetzes" und erläutert rudimentär deren Regelungsinhalt:

- Nur noch Daten von natürlichen Personen
- Besonders schützenswerte Personendaten
- Privacy by Design und by Default
- Datenschutzberater und Datenschutzberaterinnen
- Datenschutz-Folgenabschätzung
- Verhaltenskodizes
- Zertifizierungen
- Verzeichnis der Bearbeitungstätigkeiten
- Bekanntgabe von Personendaten ins Ausland
- Ausgebaute Informationspflichten
- Auskunftsrecht der betroffenen Personen
- Meldepflicht bei Verletzungen der Datensicherheit
- Recht auf Datenportabilität
- Untersuchung aller Verstösse gegen Datenschutzvorschriften durch den EDÖB
- Verfügungen durch den EDÖB
- Konsultationen beim EDÖB
- Spontane Stellungnahmen und Information der Öffentlichkeit durch den EDÖB
- Gebühren für Dienstleistungen des EDÖBs
- Sanktionen

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht Strategie 2021 bis 2023

Der Europäische Datenschutzausschuss (EDSA/EDPB) veröffentlichte Ende Dezember 2020 sein Strategiepapier für den Zeitraum 2021 bis 2023. Darin fokussiert er auf seine Kernaufgaben, u.a. die (i) Sicherstellung der einheitlichen Anwendung der EU Datenschutz-Grundverordnung (DSGVO) sowie die (ii) effektive Zusammenarbeit der nationalen EU-Datenschutzaufsichtsbehörden und formuliert dazu vier strategische Ziele:

1) Einheitliche Praxis: Advancing Harmonization and Facilitating Compliance
Die DSGVO enthält zahlreiche unbestimmte Normen sowie Öffnungsklauseln, die von den einzelnen EU-Mitgliedsstaaten individuell konkretisiert, ergänzt oder modifiziert werden können. Infolgedessen gibt es eine uneinheitliche Praxis, was zu Rechtsunsicherheit führt.

Der EDSA hat sich vorgenommen, diese Rechtsunsicherheit zu verringern. Er wird die Erarbeitung von Guidelines zu Schlüsselthemen wie "concept of legitimate interest" und "scope of data subjects’ rights" weiter vorantreiben. Ferner will der EDSA vermehrt Kohärenzverfahren gemäss Art. 63 DSGVO durchführen, um ein einheitliches Verständnis der DSGVO bei den EU-Datenschutzaufsichtsbehörden sicherzustellen.

2) Bessere Zusammenarbeit: Supporting Effective Enforcement and Efficient Cooperation Between National Supervisory Authorities
Neben der uneinheitlichen Auslegung bzw. Praxis zur DSGVO sei auch die Zusammenarbeit zwischen den EU-Datenschutzaufsichtsbehörden verbesserungswürdig. Zu diesem Zweck will der EDSA folgende Neuerungen etablieren: das "Coordinated Enforcement Framework (CEF) to facilitate joint actions in a flexible but coordinated manner" sowie ein "Support Pool of Experts (SPE) on the basis of a pilot project, with a view of providing material support in the form of expertise that is useful for investigations and enforcement activities of significant common interest".

3) Bewertung datenschutzrechtlicher Aspekte neuer Technologien: A Fundamental Rights Approach to New Technologies
Der EDSA hat sich vorgenommen, die Entwicklung neuer Technologien proaktiv zu monitoren, zu bewerten und Guidelines mit seinen Ergebnissen zu veröffentlichen. Er will dabei auf Datenbearbeitungen fokussieren, die "the greatest risks to individuals’ rights and freedoms (e.g. to prevent discrimination)" darstellen. Der EDSA ist der Auffassung, dass diese Risiken insbesondere bei folgenden Technologien vorkommen: artificial intelligence (AI), biometrics, profiling, ad tech, cloud services und blockchain.

Anders als in der EU ist in der schweizerischen Rechtsordnung die unmittelbare Drittwirkung von Grundrechten in der Privatwirtschaft nicht vorgesehen. Diesem Umstand sollte bei der Analyse künftiger EDSA-Guidelines hinreichend Beachtung geschenkt werden.

Schliesslich betont der EDSA richtigerweise die Wichtigkeit des Grundsatzes von "Privacy by Design und Default" und stellt hier "clear guidance on how to implement data protection principles effectively" in Aussicht. Dabei werden rechtliche Vorgaben in nicht rechtliche Vorgaben für technische und/oder organisatorische Massnahmen (TOM) übersetzt und anschliessend implementiert.

4) Bekanntgabe von Personendaten ins Ausland: The Global Dimension
Im Lichte der aktuellen Diskussionen rund um das Urteil des EuGH i.S. "Schrems II" (C-311/18) will auch der EDSA "promote the use of transfer tools ensuring an essentially equivalent level ofprotection and increase awareness on their practical implementation".

Bei "Schrems II" geht es im Wesentlichen um die Definition, Vereinbarung und Kontrolle technischer und/oder organisatorischer Massnahmen (TOM), welche unzulässige ausländische Behördenzugriffe mit hoher Wahrscheinlichkeit verhindern sollen.

Michal Cichocki

Bundesrat plant Pflicht zur Meldung von Cyberangriffen sowie entdeckten Sicherheitslücken für Betreiber kritischer Infrastrukturen

An seiner Sitzung vom 11. Dezember 2020 beauftragte der Bundesrat das Eidgenössische Finanzdepartement (EFD) mit der Erarbeitung einer Vernehmlassungsvorlage zur Meldung von Cyberangriffen sowie entdeckten Sicherheitslücken für Betreiber kritischer Infrastrukturen bis Ende 2021. 

 

Danach soll eine zentrale Meldestelle für sämtliche Sektoren für die Entgegennahme der 
genannten Meldungen bezeichnet werden. Die Ausgestaltung der Meldepflicht 
soll dagegen unterschiedlich ausfallen, auf "sektorspezifische Gegebenheiten" angepasst und in 
unterschiedlichen Erlassen verankert werden. Ferner soll die Meldepflicht auf bereits bestehende sektorielle und (künftige) 
datenschutzrechtliche Meldepflichten abgestimmt werden. Die zentrale Meldestelle soll die 
eingegangenen Meldungen auswerten und "Frühwarnungen" absetzen (vgl. auch den Bericht "Meldepflicht für schwerwiegende Sicherheitsvorfälle bei kritischen Infrastrukturen - Rechtliche Grundlagen" des GS-EFD).

 

Bereits heute existiert eine voraussichtlich ähnliche, sektorspezifische Aufsichtsmitteilung der FINMA (vgl. Aufsichtsmitteilung 05/2020 betreffend die Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG).

 

Im geltenden Datenschutzgesetz (DSG) findet sich dagegen keine vergleichbare Vorgabe. Anders im 
totalrevidierten Datenschutzgesetz: in Art. 24 rev. DSG ist die Meldung einer Verletzung der 
Datensicherheit im Zusammenhang mit Personendaten, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit der betroffenen Personen führt (sog. Data Breach), vorgesehen. Diese hat demnach ein anderes Aufgreifkriterium und kann, muss jedoch nicht, bspw. mit einem Cyberangriff zusammenhängen. Diesfalls erfolgt die Meldung gegenüber dem Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Das rev. DSG tritt voraussichtlich 2022 in Kraft.

 

Sofern künftige Cyberangriffe oder entdeckte Sicherheitslücken bei Betreibern kritischer Infrastrukturen auch mit anderen meldepflichtigen Sachverhalten zusammenfallen sollten, stellt sich die Frage, ob eine Meldung an die geplante zentrale Meldestelle ausreichen wird (sog. One-Stop-Shop) oder ob mehrere Behörden infolge unterschiedlicher Zuständigkeiten notifiziert werden müssen.

 

Michal Cichocki 


Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK): Jubiläumskonferenz, neue Entschliessungen und Beschlüsse

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden Deutschlands (DSK) führte am 25./26. November 2020 ihre 100. Datenschutzkonferenz durch. Sie befasste sich u.a. mit den nachfolgenden Themen und veröffentlichte dazu jeweils eine Entschliessung bzw. Beschluss:

1) Datenschutzkonformer Einsatz von Windows 10 Enterprise sowie Prüfung der angekündigten Verbesserungen von Microsoft bei MS Office 365
Die DSK verweist auf Ihr "Prüfschema zum datenschutzkonformen Einsatz von Windows 10" sowie auf neue Ergebnisse einer Laboruntersuchung durch eine DSK-Arbeitsgruppe. Danach müsse ein datenschutzrechtlicher Verantwortlicher beim Einsatz der Windows 10 Enterprise-Edition die Telemetriestufe "Security" nutzen und die Übermittlung personenbezogener Telemetriedaten an Microsoft mittels technischer/organisatorischer Massnahmen (TOM) unterbinden. Dazu und zu den aus den Laboruntersuchungen verbliebenen Unwägbarkeiten wird die DSK weitere Gespräche mit Microsoft führen.

2) Initiative zur Aufweichung von Ende-zu-Ende-Verschlüsselungen zugunsten von Sicherheitsbehörden und Nachrichtendiensten in der EU
Die DSK spricht sich gegen die vorgenannte Initiative aus und hält u.a. folgendes fest: "Verschlüsselung ist ebenso ein zentrales Mittel für die Datenübermittlung in Drittländer gemäss den Empfehlungen zu ergänzenden Massnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus des Europäischen Datenschutzausschusses als Reaktion auf das "Schrems II"-Urteil des Europäischen Gerichtshofs".

3) Umsetzung der Vorgaben des BVerfG zur Ausgestaltung der manuellen Auskunft über Telekommunikationsbestandesdaten in Deutschland
Die DSK ist der Auffassung, dass insbesondere die "Übermittlungs- und Abrufregelungen" für  Telekommunikationsbestandesdaten "die Verwendungszwecke hinreichend begrenzen, mithin die Datenverwendung an bestimmte Zwecke, tatbestandliche Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz binden müssen".

4) Ausstehende Umsetzung der „ePrivacy"-Richtlinie (RL 2002/58/EG) in Deutschland
Die DSK fordert den deutschen Gesetzgeber auf, "endlich Regelungen zu erlassen, um die ePrivacy-Richtlinie vollständig und im Einklang mit der Datenschutz-Grundverordnung (DSGVO) umzusetzen".

Michal Cichocki

Datenschutz und Videokonferenzsysteme: deutsche Datenschutzaufsichtsbehörden (DSK) veröffentlichen Orientierungshilfe

Die deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte am 23. Oktober 2020 ihre Orientierungshilfe für Videokonferenzsysteme.

Darin erläutert die DSK „datenschutzrechtliche Anforderungen an die Durchführung von Videokonferenzen durch Unternehmen, Behörden und andere Organisationen“ aus der Sicht der EU Datenschutz-Grundverordnung (DSGVO) sowie der strengen deutschen Behörden- und Gerichtspraxis.

Die DSK unterscheidet dabei zwischen drei Modellen, wie ihrer Meinung nach ein Videokonferenzsystem betrieben werden könne: (i) interner Dienst, (ii) externer IT-Dienstleister und (iii) (externer) Online-Dienst (Software as a Service). Dabei geht die DSK offensichtlich davon aus, dass eine individuelle Anpassung der Videokonferenzsysteme und -services an die Bedürfnisse der datenschutzrechtlichen Verantwortlichen möglich sei.

In diesem Zusammenhang geht die DSK auf die unterschiedlichen Rollen der beteiligten Akteure, die Rechtsgrundlagen sowie die (nicht rechtlichen) Anforderungen an technische und/oder organisatorische Massnahmen (TOM) für Videokonferenzsystem ein.

Hinsichtlich der Rechtsgrundlagen als Voraussetzung für die Verarbeitung personenbezogener Daten im Rahmen von Videokonferenzsystemen ist die DSK der Auffassung, dass entweder auf eine Einwilligung, Vertragserfüllung oder berechtigte Interessen abgestützt werden könne.

Zur Einwilligung hält die DSK folgende, strenge Sicht fest: Von einer freiwilligen Einwilligung „ist nur auszugehen, wenn eine echte Wahlmöglichkeit hinsichtlich der Teilnahme an der Videokonferenz besteht. (…) In solchen Fällen kommt eine wirksame Einwilligung nur in Betracht, wenn die Freiwilligkeit durch zusätzliche Maßnahmen sichergestellt wird, etwa indem denjenigen, die nicht an Videokonferenzen teilnehmen wollen, das relevante Wissen in gleichwertiger Form auch auf anderem Wege bereitgestellt wird bzw. andere Wege der Kommunikation angeboten werden (z. B. eine Teilnahme an der Konferenz per Telefon)“.

Für die Teilnahme an Videokonferenzen aus dem Home-Office formuliert die DSK unter anderem folgende Empfehlungen: „[Es] stellt sich das Problem, dass andere Teilnehmende ohne Einwilligung der Beschäftigten keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten dürfen. Der Arbeitgeber muss daher mit technischen und organisatorischen Maßnahmen (Art. 25 Abs. 1 DS-GVO) sicherstellen, dass derartige Einblicke nicht möglich sind, etwa durch Ausrichtung der Kamera oder Bereitstellung eines Paravents oder (…) durch Einblendung eines virtuellen Hintergrunds.“

Zu den Auswirkungen des Urteils des EuGH in der Rechtssache „Schrems II“ (C-311/18) und zur Frage, welche technischen/organisatorischen Massnahmen (TOM) eingesetzt werden sollen, um insbesondere übermässige Zugriffe ausländischer Behörden zu vermeiden, hält die DSK folgendes fest: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA oder an US-Anbieter übermittelt werden können. Aus diesem Grund empfiehlt die DSK derzeit die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen. Dies gilt auch, wenn Vertragspartner eine europäische Tochtergesellschaft ist. Das gleiche gilt für europäische Anbieter, sofern sie ihrerseits personenbezogene Daten in die USA übermitteln.“

Michal Cichocki

Totalrevision des schweizerischen Datenschutzgesetzes (DSG) ist abgeschlossen

Am 9. Dezember 2011 beauftragte der Bundesrat das Eidgenössische Justiz- und Polizeidepartement (EJPD) „gesetzgeberische Massnahmen zur Stärkung des Datenschutzes zu prüfen“ und dabei die seinerzeitigen Rechtsetzungsarbeiten zur EU DSGVO sowie der Europaratskonvention 108 zu berücksichtigen. Fast neun Jahre später ist die Totalrevision des schweizerischen Datenschutzgesetzes (DSG) abgeschlossen; die Schlussabstimmung fand am 25. September 2020 statt und der finale Wortlaut des neuen DSG ist hier abrufbar.

Das neue DSG unterliegt dem fakultativen Referendum: sobald die hunderttägige Referendumsfrist ungenutzt abgelaufen ist, wird der Bundesrat über das konkrete Datum des Inkrafttretens entscheiden - dies wird aller Voraussicht nach im ersten Halbjahr 2022 der Fall sein. Zwischenzeitlich werden die zum neuen DSG dazugehörigen Verordnungen durch das Bundesamt für Justiz erarbeitet.

Der Datenschutzexperte David Rosenthal hat für den Verein Unternehmensdatenschutz (VUD) einen „Rohstoff zum neuen Datenschutz“ erstellt und legt darin die „Eckpunkte der (Total)Revision“, den (möglichen) „Handlungsbedarf“ sowie Antworten auf FAQ dar.

Michal Cichocki

NIST veröffentlicht White Paper mit Prinzipien für Nachvollziehbarkeit von Entscheidungen durch KI-Systeme

Im Rahmen der „Foundational Research on AI Systems“ untersucht das us-amerikanische National Institute of Standards and Technology (NIST) bereits seit geraumer Zeit unterschiedliche Aspekte von Systemen mit künstlicher Intelligenz (KI-Systeme). Am 20. August 2020 veröffentlichte das NIST ein White Paper als „draft report“ mit vier Prinzipien zur Nachvollziehbarkeit von Entscheidungen durch KI-Systeme. Diese Four Principles of Explainable Artificial Intelligence (Draft NISTIR 8312) lauten wie folgt:

(i) Explanation: AI systems should deliver accompanying evidence or reasons for all outputs.
(ii) Meaningful: Systems should provide explanations that are understandable to individual users.
(iii) Explanation Accuracy: The explanation should correctly reflect the system’s process for generating the output.
(iv) Knowledge Limits: The system only operates under conditions for which it was designed or when the system reaches a sufficient level of confidence in its output.

Zu diesen Prinzipien hält das NIST u.a. folgendes fest: „(…) These principles are heavily influenced by an AI system’s interaction with the human receiving the information. The requirements of the given application, the task, and the consumer of the explanation will influence the type of explanation deemed appropriate. Our four principles are intended to capture a broad set of motivations, applications, and perspectives".

Das NIST nimmt bis 15. Oktober 2020 Kommentare zum „draft report“ entgegen.

Michal Cichocki

Cloud Computing: Modell und Berechnungstool zur Risikobeurteilung eines Lawful Access durch ausländische Behörden

Am 10. August 2020 veröffentlichte der Datenschutzexperte David Rosenthal ein Modell zur Risikobeurteilung eines Lawful Access durch ausländische Behörden auf seiner Webseite. 

Das Modell basiert im Wesentlichen auf der Aussage, dass sieben Voraussetzungen für einen erfolgreichen (foreign) Lawful Access nötig sind und auf diese mit angemessenen technischen sowie organisatorischen (und damit nicht rechtlichen) Massnahmen (TOM) eingewirkt werden kann.

Ein entsprechendes Berechnungstool samt Anleitung wird von Herrn Rosenthal im Rahmen einer kostenlosen Creative Commons "Namensnennung 4.0 International" (CC BY 4.0) Lizenz zur Verfügung gestellt.

Michal Cichocki

Europäischer Datenschutzausschuss (EDSA/EDPB) veröffentlicht FAQ zu Schrems II (C-311/18)

Am 24. Juli 2020 veröffentlichte der Europäische Datenschutzausschuss (EDSA/EDPB) ein Dokument mit häufig gestellten Fragen (FAQ) zum Urteil des EuGH in der Rechtssache C‑311/18 (Schrems II). Darin werden zwölf Fragen zum vorgenannten Urteil sowie der daraus folgenden Konsequenzen beantwortet.

Hinsichtlich der Nutzung von Standard Contractual Clauses (SCC) sowie Binding Corporate Rules (BCR) als Grundlage für eine Bekanntgabe von Personendaten von der EU in die USA hält der EDSA u.a. folgendes fest (vgl. FAQ Nr. 5 & 6):

„Whether or not you can transfer personal data on the basis of SCCs [BCRs] will depend on the result of your assessment, taking into account the circumstances of the transfers, and supplementary measures you could put in place. The supplementary measures along with SCCs [BCRs], following a case-by-case analysis of the circumstances surrounding the transfer, would have to ensure that U.S. law does not impinge on the adequate level of protection they guarantee.
If you come to the conclusion that, taking into account the circumstances of the transfer and possible supplementary measures, appropriate safeguards would not be ensured, you are required to suspend or end the transfer of personal data. However, if you are intending to keep transferring data despite this conclusion, you must notify your competent SA".

Bei den erwähnten "supplementary measures“ bzw. „appropriate safeguards“ handelt es sich im Wesentlichen um technische und/oder organisatorische - und nicht um rechtliche - Massnahmen (TOM), welche die im vorgenannten EuGH-Urteil beanstandeten Zugriffe von (US-)Behörden (sog. lawful access) mit hoher Wahrscheinlichkeit verhindern sollten.

Aus schweizerischer Sicht teilte der Eidg. Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) am 16.07.2020 mit, dass das oben genannte EuGH-Urteil für die Schweiz nicht direkt anwendbar sei, er das Urteil im Detail prüfe und sich zu gegebener Zeit äussern werde.

Michal Cichocki

White Paper zu Künstlicher Intelligenz (KI): Europäische Kommission veröffentlicht Konsultationsergebnisse

Am 19.02.2020 veröffentlichte die Europäische Kommission ein White Paper und skizzierte darin die möglichen Grundlagen u.a. zur Schaffung eines künftigen regulatorischen Rahmens für den Themenbereich Künstliche Intelligenz "KI" („White Paper on Artificial Intelligence - A European Approach to excellence and trust“). Konkret wurden unterschiedliche Aspekte von KI diskutiert; bspw. wurde auf die Minimierung von Risiken für Verletzungen von Grundrechten, Datenschutz, Sicherheit sowie auf Haftungsfragen beim Einsatz von KI eingegangen.

Gleichzeitig hat die Europäische Kommission zu einer öffentlichen Konsultation zum vorgenannten White Paper aufgerufen. Die Ergebnisse dieser Konsultation wurden nun am 17. Juli 2020 veröffentlicht. Hinsichtlich einer künftigen Regulierung von KI wurden u.a. folgende Konsultationsergebnisse zusammengefasst:

(i) Main concerns: „(…) Their main concerns were related to the possibility of AI breaching fundamental rights and the use of AI that may lead to discriminatory outcomes - respectively 90% and 87% of respondents find these concerns important or very important.
The possibility that AI endangers safety or takes actions that cannot be explained were also considered as (very) important by respectively 82% and 78% of respondents. Concerns over AI’s possible lack of accuracy (70%) and lack of compensations following harm caused by AI (68%) follow“.

(ii) What kind of legislation: „(…) 42% of respondents request the introduction of a new regulatory framework on AI, another 33% think that the current legislation needs to be modified in order to address the gaps identified (…). 
Respondents seemed to agree with all the mandatory requirements proposed by the White Paper with high percentages ranging from 83% to 91% for each requirement. Clear liability and safety rules (91%), (ii) information on the nature and purpose of an AI system (89%), robustness, and accuracy of AI systems (89%). Human oversight (85%), quality of training datasets (84%) and the keeping of records and data (83%)“.

(iii) High-risk applications: „Concerning the scope of this new possible legislation, opinions are less straightforward. While 42.5% agreed that the introduction of new compulsory requirements should only be limited to high-risk AI applications, another 30.6% doubt such limitation. The remaining 20.5% had other opinions and the 6.3% had no opinion at all (…)“.

(iv) Biometric identification: „Another topic under the regulatory scope of the AI White Paper is the public use of remote biometric identification systems. Respondents had doubts on the public use of such systems with 28% of them supporting a general ban of this technology in public spaces, while another 29.2% required a specific EU guideline or legislation before such systems may be used in public spaces (…)“.

In einem nächsten Schritt wird die Europäische Kommission die Konsultationsergebnisse einer gründlichen Analyse unterziehen, ein Impact Assessment durchführen und anschliessend einen Entwurf für eine Regulierung von KI vorlegen. Zum Zeithorizont werden keine Angaben gemacht.

Michal Cichocki