Die DEK hat – wie in anderen Bereichen auch – für den
Einsatz algorithmischer Systeme einen risikoadaptierten Regulierungsansatz gewählt. Künftige Regulierung
soll sich am Schädigungspotenzial des algorithmischen
Systems ausrichten.
le). Gemeinsames Ziel ist die Befähigung der Einzelnen
zur Kontrolle über ihre personenbezogenen Daten. Die
DEK empfiehlt, Forschung und Entwicklung im Bereich
von Datenmanagement- und Datentreuhandsystemen
intensiv zu fördern.
Die DEK empfiehlt ein übergreifendes Modell zu entwickeln, nach dem algorithmische Systeme Kritikalitätsstufen zugeordnet werden (siehe Abbildung). Je größer
das Schädigungspotenzial ist, umso mehr Anforderungen sind an den Einsatz des Algorithmus zu stellen und
umso mehr Kontrollmöglichkeiten müssen vorgesehen
werden. Dies reicht von Anwendungen ohne oder mit
geringem Schädigungspotential (Stufe 1), bei denen es
weder spezieller Qualitätsanforderungen noch besonderer Kontrollmechanismen bedürfte, bis hin zu Anwendungen mit unvertretbarem Schädigungspotential (Stufe
5), die komplett oder zumindest teilweise verboten
werden müssten.
Bei fehlerhafter Ausgestaltung von PMT/PIMS besteht
allerdings die Gefahr, dass sich ihr Einsatz ins Gegenteil
verkehrt. Statt echte Selbstbestimmung zu ermöglichen,
könnten PMT/PIMS auch zur unbewussten oder sorglosen Fremdbestimmung eingesetzt werden. Die DEK
empfiehlt daher eine begleitende Regulierung von Datenmanagement- und Datentreuhandsystemen. Es bedarf der
Erarbeitung von Qualitätsstandards für PMT/PIMS sowie
ein Zertifizierungs- und Überwachungssystem.
Um das Regulierungsmodell umzusetzen, empfiehlt
die DEK der Bundesregierung eine horizontale Algorithmen-Verordnung auf EU-Ebene hinzuwirken. Diese
sollte die zentralen Grundprinzipien für algorithmische
Systeme enthalten. Wichtig sind dabei u. a. Regelungen
zur Zulässigkeit und Gestaltung algorithmischer Systeme, zu Transparenz und zu Betroffenenrechten.
Innovative Datenmanagementsysteme
Die DEK möchte mit ihren Empfehlungen nicht nur
Schranken für neue digitale Produkte aufzeigen, sondern es sollen auch Entwicklungen gefördert werden,
die einen besonderen Nutzen für die einzelnen Bürger
oder die Allgemeinheit versprechen. Die DEK spricht
sich daher für die Förderung innovativer Datenmanagement- und Datentreuhandsysteme aus.
Digitalisierung und Datenschutz stellen keine unvereinbaren Gegensätze dar. Dass digitale Innovationen
vielmehr auch einen wichtigen Beitrag zur Stärkung des
Datenschutzes leisten können, zeigen beispielsweise
neue Entwicklungen im Bereich von Datenmanagementund Datentreuhandsystemen.
Unter Datenmanagement- und Datentreuhandsystemen
werden verschiedenste Modelle verstanden. Zu den
Privacy Management Tools (PMT) werden Anwendungen
zur vereinfachten Einwilligungsverwaltung gezählt, wie
beispielsweise Dashboards, aber auch KI-Tools, die individuelle Nutzerpräferenzen automatisch umsetzen (sog.
„Datenagenten“). Daneben gibt es Personal Information
Management Systems (PIMS). Bei diesen Systemen stehen nicht die Herstellung und der Support technischer
Anwendungen im Vordergrund, sondern Dienstleistungen bis hin zu mehr oder weniger umfassender Fremdverwaltung der Nutzerdaten (sog. Datentreuhand-Model-
Damit PMT/PIMS eine hinreichende Breitenwirkung
erzielen können, sind sie auf die Kooperation aller
betroffenen Verantwortlichen angewiesen. Die datenschutzrechtlichen Verantwortlichen sollten daher –
unter sachgerechten Bedingungen – verpflichtet werden,
die Kontrolle des Zugangs zu personenbezogenen Daten
durch PMT/PIMS zu ermöglichen.
Werden diese Vorgaben eingehalten, können PMT/PIMS
die Funktion einer wichtigen Schnittstelle zwischen
Belangen des Datenschutzes und der Datenwirtschaft
einnehmen. Insbesondere können sie die Nutzung von
personenbezogenen Daten für die medizinische Forschung erleichtern.
Anonymisierung von Daten
Auch die Thematik der Anonymisierung von Daten wird
im Abschlussgutachten angesprochen. In der Praxis besteht häufig das Problem, dass unklar ist, ob es sich bei
einem Datensatz um eindeutig personenbezogene, pseudonymisierte oder anonyme Daten handelt. Je nachdem
greifen aber unterschiedliche Rechtsvorschriften, so
dass es für die datenverarbeitenden Stellen von enormer
Bedeutung ist, Klarheit darüber zu haben, wann sie mit
personenbezogenen Daten arbeiten und wann nicht.
Die DEK fordert, die Entwicklung von Verfahren und
Standards zur Anonymisierung von Daten zu intensivieren. Um mehr Rechtssicherheit zu erreichen, sollten auf
EU-Ebene handhabbare Standards zur Anonymisierung
festgelegt werden. Damit verbunden können Vermutungsregelungen sein, die bei Einhaltung der Standards
eingreifen. Dabei muss es den Datenschutzbehörden
aber möglich bleiben, die Vermutung notfalls auch zu
widerlegen, wenn die Standards von der technischen Realität überholt werden und eine Personenbeziehbarkeit
wieder möglich wird.
Weitere wichtige Themen aus dem Gutachten will ich
hier nur stichpunktartig aufführen:
Tätigkeitsbericht zum Datenschutz für 2019
37