Verarbeitung sensitiver Personendaten

Die neue, harmonisierte Datenschutz-Grundverordnung der EU wurde am 24. Mai 2016 in Kraft gesetzt und ist ab 24. Mai 2018 ohne weitere Übergangsfrist anzuwenden. Alle in der EU tätigen Firmen unabhängig ihres Firmensitzes unterstehen der Gesetzgebung bereits, der gesetzliche Nachvollzug in der Schweiz ist bereits in Arbeit. Für uns ein Grund, die Datenschutz-Grundverordnung in einer Artikelserie näher zu untersuchen.

Besonders schützenswerte Personendaten

Daten gelten als DIE Ressource der Zukunft. Quasi als das Erdöl des digitalen Zeitalters. Wir überlassen immer mehr Entscheidungen in unserem Leben den Algorithmen. Und das in der Regel zu unserem grossen Vorteil. Gerne lassen wir unser Navigationsgerät im Auto Standort und Geschwindigkeit aufzeichnen und übermitteln, wenn dadurch die Routenführung uns noch zuverlässiger an Staus und Baustellen vorbei ans Ziel führen.

Artikel 9 der Datenschutz-Grundverordnung untersagt die Verarbeitung von als besonders kritisch eingeschätzten Informationen, gewährt jedoch einige Ausnahmen. Diese sensiblen Informationen werden unter der Bezeichnung besonderer Kategorien personenbezogener Daten geführt. In diese Kategorie fallen

  • rassische und ethische Herkunft
  • politische Meinungen
  • religiöse und weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung von Personen
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Der letzte Punkt dürfte dazu führen, dass in einigen Ländern der Zivilstand zur besonderen Datenkategorie wird, falls rechtlich beispielsweise zwischen Ehe und homosexueller Partnerschaft unterschieden wird.

In den meisten Fällen – doch nicht zwingend immer – dürfte sich diese Nutzungseinschränkung durch ausdrückliche Einwilligung durch die betroffene Person aufheben lassen. Falls im Einzelfall nicht möglich, bestehen einige Ausnahmen für ganz bestimmte Zwecke die angewendet werden könnten sofern bestimmte Garantien erbracht werden. Zu nennen wäre etwas die Nutzung im Rahmen der Gesundheitsvorsorge.

Ist das selektive Schützen von Einzelmerkmalen noch zeitgemäss?

Aus rechtlicher Sicht mag es so scheinen, dass die besonders schützenswerten Informationen sich relativ einfach anhand der genannten Kriterien identifizieren und verbieten lassen. Doch dank der heutigen Möglichkeiten greift in der Praxis das klassifizieren einzelner Datenattribute als gut oder böse zu kurz. Viele persönliche Daten geben wir laufend unbewusst und indirekt Preis. In einer Studie der Universität Standford konnte beispielsweise ein Algorithmus fünf grundlegende Persönlichkeitsfaktoren anhand von lediglich 10 Facebook-Likes dieser Person bereits besser bestimmen als dessen Arbeitskollegen. Wiesen die Facebook-Profile 70 Likes auf, liess der Algorithmus bereits gute Freunde und Mitbewohner hinter sich. 150 Likes reichten im Schnitt um die Familie zu schlagen. Und um mit den Ehepartnern gleichzuziehen brauchte der Algorithmus 300 Likes. Mit 88% Wahrscheinlichkeit ermittelte ein Algorithmus auch die sexuelle Orientierung von Männern lediglich aufgrund ihrer Position in einem Facebook-Freundschaftsnetzwerk und ermittelte mit 85% Wahrscheinlichkeit ob die an der Studie beteiligten Amerikaner Demokraten oder Republikaner wählen.

Die genannten Beispiele zeigen, dass es heute in einem System viel weniger als früher die gespeicherten und verarbeiteten Daten bezüglich des Datenschutzes die zu prüfenden Objekte darstellen, sondern in erster Linie die eingesetzten Algorithmen. Insofern ist der Datenschutz zwar durchaus aktueller den je, als Wortbildung vermittelt es jedoch ein zunehmend antiquiertes Bild. Denn mehr und mehr zeigt sich, dass weniger die verarbeiteten Daten im Zentrum stehen, sondern was man damit anstellt. Mit der Datenschutz-Grundverordnung wird dieser Aspekt nun adressiert.

Diese – in der Praxis sehr nützlichen, aber von Datenschützern gefürchteten – Algorithmen werden unter dem Begriff Profiling zusammengefasst. Profiling wird in Art. 4 wie folgt definiert: „Im Sinne dieser Verordnung bezeichnet der Ausdruck … Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“

Schwer zu erfüllende Auflagen zum Profiling

Erstens gelten beim Profiling besondere Bestimmungen bezüglich dem Recht auf Information und Auskunft sowie dem Recht auf Widerspruch. Insbesondere bestehen zu verschiedenen Zeitpunkten im Prozess bestimmte Informationspflichten die nicht vergessen werden dürfen. Dies erscheint soweit machbar.

Zweitens darf jederzeit eine Überprüfung und Korrektur verlangt werden. Dies ist schon wesentlich komplizierter. Denn es liegt in der Natur moderner Machine Learning-Algorithmen, dass diese ähnlich wie unsere biologischen Denkvorgänge oft nicht klar definieren können, weshalb sie genau zu ihrer Schlussfolgerung kamen. Ein Mensch würde es so sagen: „Es fühlte sich richtig an.“. Wir müssen uns mit dem unbequemen Gedanken abfinden, dass heute auch Computer ihre Schlüsse mit einer guten Prise Intuition fällen. Dies jedoch so gut und treffsicher, dass es sich lohnt, uns auf die Algorithmen zu verlassen.

Der einschränkendste Artikel ist jedoch Art. 22 Abs. 1: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Es geht also darum, dass explizit keine vollautomatischen Entscheide getroffen werden dürfen. Die Überlegung dahinter ist, dass jedes Profiling-Verfahren nur einen beschränkten Kontext an Informationen einbeziehen kann, welcher möglicherweise nicht alle relevanten Fakten umfasst. Die Verfasser hoffen hier also, dass ein Mensch vielleicht weitere Informationen kennt und berücksichtigt. Inwiefern diese Hoffnung in welchen Fällen gerechtfertigt ist, lassen wir an dieser Stelle einmal offen. Doch es darf wohl bezweifelt werden, dass zum Beispiel einem durchschnittlichen Versicherungs-Sachbearbeiter wesentlich mehr Informationen vorliegen, wenn er die hundertste Arztabrechnung eines Versicherten an diesem Tag prüft.

Anfechtbarkeit von Entscheiden als Lösungsansatz

Profiling und automatisierte Entscheidungen im Einzelfall sind erlaubt wenn dies zur Erfüllung eines Vertrags mit der betroffenen Person notwendig ist oder diese ihr ausdrückliches Einverständnis gegeben hat. Es muss dabei in erster Linie sichergestellt werden, dass die betroffene Person die automatische Entscheidung wirkungsvoll anfechten kann. Aus IT-Sicht gehört zu den zweifelhafteren Aspekten der Grundverordnung, dass diese auf der zunehmend überholten Vorstellung aufbaut, dass Menschen scheinbar grundsätzlich besser entscheiden könnten.

 

 

„It’s never going to be perfect. … But if the car is unlikely to crash in a hundred lifetimes, or a thousand lifetimes then it is probably ok. … There is some chance that anytime a human driver gets in the car that they will have an accident that is their fault. It’s never zero. … The key threshold for autonomy is: how much better does autonomy need to be than a person before you can rely on it.“
— Elon Musk, Ted 2017

 

Eine universelle, künstliche Intelligenz zu schaffen, die in jeder Situation besser als ein Mensch abschneidet, ist wohl noch länger nicht realisierbar. Eine künstliche Intelligenz zu entwickeln, die in wenigen bestimmten Aufgaben den Menschen übertrifft, ist dagegen sehr wohl heute möglich. Die Frage ist heute daher eher, wie viel besser beispielsweise ein Computer besser Autofahren können muss, bis er bezüglich der Sicherheit gefühlt als ebenbürtig mit einem Menschen wahrgenommen wird.

 

„We operate internally with the assumption that an autonomous car needs to be 100 times better than a human.”
— Axel Nix, senior engineer in Harman International‘s autonomous vehicle team, The Observer

 

Besonders anspruchsvoll ist in der Datenschutz-Grundverordnung die Kombination aus Profiling und besonders sensitive Datenkategorien. Hier lauern zusätzliche, teils massive Einschränkungen. Doch eine vertiefte Diskussion kann fast nur noch im Rahmen ganz spezifischer Einzelfälle erfolgen, weshalb wir hier darauf verzichten müssen. Eine gründliche Abklärung ist jedenfalls zwingend erforderlich.

Für berechtigte Interessen kann jedoch fast immer auch eine Lösung gefunden werden kann. Es erfordert einfach eine gründliche Konzeption und möglicherweise ein iteratives Vorgehen bei der Lösungsfindung mit regelmässiger Abstimmung mit dem Datenschutz. Als kleiner Trost lässt sich vielleicht sagen, dass wenn Sie diese Hürden einmal überwunden haben, Sie über einen gewissen Wettbewerbsvorteil gegenüber der Konkurrenz verfügen der nicht ohne erheblichen Zeitaufwand aufzuholen ist.

Unsere Artikelserie zum Thema


Über den Autor

Stefan Haller ist IT-Experte mit Spezialisierung auf Risikomanagement, Informationssicherheit und Datenschutz bei linkyard. Er unterstützt Unternehmen und Behörden bei der Risikoanalyse in Projekten, der Konzipierung und Umsetzung von Compliance-Vorgaben in Softwarelösungen sowie bei der Erstellung von IT-Sicherheits- und Berechtigungskonzepten. Er verfügt über eine Zertifizierung in Risk Management und hat über 10 Jahre als internal Auditor zahlreiche Sicherheitsaudits auf Basis des ISO-Standards 27001 durchgeführt.
Haben Sie Fragen zur Umsetzung in Ihrem Unternehmen? stefan.haller@linkyard.ch | +41 78 746 51 16