Datenverarbeitung durch die dazu befugten Behörden
unerlässlich. Die Wirkung von aktuellen ML-Verfahren
wird definitionsgemäß wesentlich bestimmt durch Qua‑
lität und Systematik der Trainingsdaten in der Entwick‑
lungsphase des jeweiligen Softwareprodukts.
Insbesondere die Verwendung von Trainingsdaten für die
Entwicklung ist für den Datenschutz ein Problem: Das
Trainieren von ML-Modellen mit Echtdaten kann je nach
Inhalt schon eine Verarbeitung personenbezogener Daten
sein. Gleichzeitig könnte je nach angewandter Methode
auch im späteren Wirkbetrieb eine Rückschau auf die un‑
ter Umständen lange zurückliegende Trainingsphase zum
Verständnis und zur Beurteilung des IT‑Systems notwen‑
dig werden. Wie in einem solchen Fall die Dokumentati‑
on der Entwicklungsprozesse und der Arbeitsweise der
einzelnen Systeme auszugestalten ist, um datenschutz‑
konform zu sein und die geforderte effektive Datenschutz‑
kontrolle zu ermöglichen, muss in einem frühen Stadium
des jeweiligen Projekts definiert werden.
Bis heute hat mich noch keine der hier tätigen Behörden
über die Verarbeitung personenbezogener Daten im
Rahmen der Entwicklung neuer IT-Systeme zum Zweck
des Trainings von ML-Modellen informiert oder betei‑
ligt. Zukünftig wird bei derartigen technischen Systemen
aber ein Augenmerk des Datenschutzes auf der Herkunft
der Trainingsdaten liegen müssen. Bei diversen Bera‑
tungs- und Informationsbesuchen im Berichtszeitraum
klang dieses Thema in verschiedenen Zusammenhängen
bereits an. Bei Tests im Rahmen von Entwicklungen
und Produktabnahmen von IT-Systemen unterliegt die
Nutzung von Echtdaten aufgrund ihrer engen Zweckbe‑
grenzung strengen Vorgaben. Ich habe in Gesprächen
wiederholt darauf hingewiesen, dass dies genauso beim
Training von ML-Modellen gelten muss. Ein möglicher
Weg wäre etwa die Bereitstellung synthetischer Daten,
die aus vielen Gründen für die Entwicklung und den
Test konventioneller und ML-basierter IT die beste Wahl
sind. Diese technologisch sicherlich anspruchsvolle
Aufgabe würde tatsächlich nachhaltig und von Beginn
an die Probleme bei der Einführung zukünftiger auf ML
basierender IT-Verfahren vermeiden helfen.
9.2.5 Effektiver Datenschutz nach dem „Stand der
Technik“
Ziel der DSGVO ist es, die Rechte des Betroffenen
bestmöglich zu schützen. Wichtiger Baustein hierfür
ist eine datenschutz- und datensicherheitskonforme
Technikgestaltung. Die DSGVO fordert hierfür – neben
weiteren Vorgaben – u. a. den „Stand der Technik“ zu
berücksichtigen. Wie ist dieser „Stand der Technik“
definiert?
Gleich an mehreren Stellen der DSGVO findet sich der
Verweis auf den „Stand der Technik“, so etwa im Zusam‑
menhang mit der zentralen Pflicht zur Gewährleistung von
Datensicherheit in Artikel 32 DSGVO. Verantwortliche und
Auftragsverarbeiter im Sinne der DSGVO müssen geeigne‑
te technische und organisatorische Maßnahmen treffen,
um einen Schutz etwa vor unbefugter Kenntnisnahme,
unrechtmäßiger Verarbeitung oder dem unbeabsichtigten
Verlust der Daten zu gewährleisten. Der Stand der Technik
ist aber auch nach Art. 25 Absatz 1 DSGVO zu berücksich‑
tigen, der sich dem Datenschutz durch Technikgestaltung
und durch datenschutzfreundliche Voreinstellungen wid‑
met. Auch in den Erwägungsgründen 78 und 83 wird Bezug
auf den Stand der Technik genommen: Die Hersteller von
Produkten, Diensten und Anwendungen sollen ermutigt
werden, das Recht auf Datenschutz und den Stand der
Technik gebührend zu berücksichtigen. Maßnahmen, wie
etwa Verschlüsselungsverfahren, sollen unter Berück‑
sichtigung des Stands der Technik und der Implementie‑
rungskosten ein Schutzniveau gewährleisten, das den von
der Verarbeitung ausgehenden Risiken und der Art der zu
schützenden personenbezogenen Daten angemessen ist.
Durch die Klausel „Stand der Technik“ soll in all diesen
Fällen sichergestellt werden, dass die in der Praxis beste
verfügbare Technik zum Einsatz kommt. Gemeint sind
Erfolgsmodelle, die auf gesicherten Erkenntnissen beru‑
hen und ausreichend zur Verfügung stehen, um ange‑
messen umgesetzt zu werden. Hierbei sind insbesondere
einschlägige internationale, europäische und nationale
Normen und Standards heranzuziehen, aber auch an‑
dere Vorgehensweisen, die in der Praxis bereits erprobt
wurden. Die Verpflichtung schließt also die Möglichkeit
eines neuen bzw. anderen Vorgehens nicht aus, wenn
hierbei ein ebenso effektiver Schutz gewährleistet wird.
Die nationalen und europäischen Datenschutzaufsichts‑
behörden müssen zusammenarbeiten, um zu klären,
welche technisch-organisatorische Maßnahmen dem
Stand der Technik entsprechen und um einheitliche
Vorgaben für Wirtschaft und öffentliche Verwaltung zu
gewährleisten. Nur so kann ein einheitliches europäi‑
sches Datenschutzniveau für die in der Regel weltweit
verfügbaren Produkte, Dienste und Anwendungen
sichergestellt werden.
9.2.6 Vorgaben für die Auftragsverarbeitung bei den
IT-Dienstleistern des Bundes
Mit dem Wirksamwerden der DSGVO zum 25. Mai 2018
haben sich auch die Anforderungen an Dienstleister
verändert, die personenbezogene Daten für einen
Verantwortlichen im Auftrag verarbeiten. Die zentrale
Vorschrift für Auftragsverarbeiter ist Artikel 28 DSGVO.
Im Hinblick auf die geänderten Anforderungen hat der
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
73