Datenschutzkonferenz bezieht Position: Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 08.05.2024

Im März 2024 hat das Europäische Parlament die Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz angenommen. Nach Inkrafttreten der KI‐VO muss in Deutschland innerhalb von 12 Monaten eine behördliche Aufsichtsstruktur eingerichtet werden. Es besteht Handlungsbedarf für die Gesetzgeber in Bund und Ländern: Wer soll die Aufsicht wahrnehmen?

Weiterlesen Datenschutzkonferenz bezieht Position: Nationale Zuständigkeiten für die Verordnung zur Künstlichen Intelligenz (KI‐VO)

Datenschutzkonferenz veröffentlicht Orientierungshilfe zu Künstlicher Intelligenz – Kugelmann: „Unternehmen und öffentliche Stellen nicht alleine lassen“

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) legt eine Orientierungshilfe mit datenschutz-rechtlichen Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor. Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich an Unternehmen, Behörden und andere Organisationen. Im Sinne einer Checkliste dient das Papier als Leitfaden insbesondere für datenschutzrechtlich Verantwortliche, um KI-Anwendungen auszuwählen, zu implementieren und zu nutzen. Die Orientierungshilfe wird künftig weiterentwickelt und an aktuelle Entwicklungen angepasst.

Viele öffentliche und private Stellen fragen sich derzeit, unter welchen Voraussetzungen sie KI-Anwendungen datenschutzkonform einsetzen können. Besonderes Interesse gilt dabei den sogenannten Large Language Models (LLM), die häufig als Chatbots angeboten werden, aber auch als Grundlage für andere Anwendungen dienen können. Der Schwerpunkt der Orientierungshilfe „KI und Datenschutz“ liegt daher auf diesen KI-Anwendungen. Über die LLM hinaus gibt es jedoch zahlreiche weitere KI-Modelle und KI-Anwendungen, deren Einsatz infrage kommen kann und für die viele der Erwägungen in dem nun von der Datenschutzkonferenz veröffentlichten Papier bedeutsam sind.

Praxisnah adressiert die Orientierungshilfe Fragen, die datenschutzrechtlich Verantwortliche bei der Konzeption des Einsatzes, der Auswahl, der Implementierung und der Nutzung von KI-Anwendungen stellen und beantworten müssen. Ob Zweckbestimmung, Transparenzpflichten, Betroffenenrechte oder Richtigkeit von Ergebnissen: Die Orientierungshilfe erörtert – auch anhand von Beispielen – wichtige Kriterien entlang der Vorgaben der Datenschutz-Grundverordnung und zeigt Leitlinien für entsprechende Entscheidungen auf.

Erarbeitet wurde die Orientierungshilfe Künstliche Intelligenz und Datenschutz von der Taskforce KI unter dem Vorsitz des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Prof. Dr. Dieter Kugelmann erläutert die Motivation für das Papier: „Wir wissen und erkennen an, dass Unternehmen und Behörden sich aktuell unter Hochdruck mit dem möglichen Einsatz von KI-Anwendungen auseinandersetzen. Allerdings sind in einem hochdynamischen Umfeld tragfähige Bewertungen schwierig. Zudem werden wesentliche Fragen zur Nutzung personenbezogener Daten für das Training von KI-Anwendungen von vielen Anbietern nicht transparent beantwortet. Andererseits sollten innovative Lösungen auch mittels KI möglich sein. In dieser Situation möchten wir gerade kleine und mittlere Unternehmen sowie öffentliche Stellen nicht alleine lassen. Wir wollen ihnen ein Werkzeug an die Hand geben, um ihre Entscheidung informiert zu treffen und ihre datenschutzrechtliche Verantwortung bestmöglich wahrzunehmen.“

Die Taskforce KI der Datenschutzkonferenz hat bereits 2019 die Hambacher Erklärung zur Künstlichen Intelligenz vorgelegt und befasst sich gegenwärtig mit der datenschutzrechtlichen Prüfung des Dienstes ChatGPT.

Die Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ richtet sich mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen. Denn sie enthält Hinweise zur Auswahl datenschutzkonformer KI-Anwendungen, die auf die Gestaltung der Produkte zurückwirken. Die Entwicklung von KI-Anwendungen und das Training von KI-Modellen sind allerdings nicht Schwerpunkt dieser Orientierungshilfe.

Download:

Orientierungshilfe „Künstliche Intelligenz und Datenschutz“ (PDF)<https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Orientierungshilfen/20240506_DSK_Orientierungshilfe_KI_und_Datenschutz_web.pdf>

Wahlwerbung mit Adressdaten vom Meldeamt? Landesdatenschutzbeauftragter informiert über die Zulässigkeit der Adressweitergabe und das Widerspruchsrecht

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 30.04.2024

Im Vorfeld der Europa- und Kommunalwahlen in Rheinland-Pfalz flattern nicht nur Wahlbenachrichtigungen ins Haus. Viele Bürgerinnen und Bürger finden auch postalische Wahlwerbung von politischen Parteien in ihren Briefkästen vor. Die Adressdaten dafür kommen von den Meldeämtern. Ist das erlaubt? Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat die wichtigsten Fragen und Antworten zur Zulässigkeit der Adressweitergabe und zum Widerspruchsrecht zusammengestellt.

Weiterlesen Wahlwerbung mit Adressdaten vom Meldeamt? Landesdatenschutzbeauftragter informiert über die Zulässigkeit der Adressweitergabe und das Widerspruchsrecht

Sächsische Datenschutz- und Transparenzbeauftragte stellt Tätigkeitsbericht Datenschutz 2023 vor

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Mittwoch in Dresden ihren Datenschutz-Tätigkeitsbericht an Landtagspräsident Dr. Matthias Rößler übergeben. In der Publikation sind die Arbeitsschwerpunkte des zurückliegenden Jahres zusammengefasst. Neben besonderen Fällen aus der Datenschutzpraxis enthält der Bericht Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung und zur Rechtsprechung.

Mehr Beschwerdeverfahren (S. 194)

Im Berichtszeitraum gingen bei der SDTB rund 1.160 Beschwerden und Kontrollanregungen zu potenziellen Datenschutzverstößen ein. Das waren fast zehn Prozent mehr als im Vorjahr. Der Zuwachs betraf vor allem den nichtöffentlichen Bereich. Das heißt, es handelte sich bei den datenschutzrechtlich Verantwortlichen beispielsweise um Unternehmen oder Privatpersonen.
Hinzu kamen knapp 600 schriftliche Beratungsanfragen.

Höchststand bei gemeldeten Datenpannen (S. 178 ff.)

Eine Steigerung der Fallzahlen verzeichnete die Sächsische Datenschutz- und Transparenzbeauftragte auch bei den gemeldeten Datenpannen: »2023 teilten mir Verantwortliche rund 950 Datenschutzverletzungen mit, so viele wie noch nie«, sagt Dr. Juliane Hundert.
Zum Vergleich: 2022 erreichten die SDTB etwa 150 Meldungen weniger.
Zu den häufigsten Datenpannen gehörten der Fehlversand sowie der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität.

KI und die Prüfung von ChatGPT (S. 26 f.)

Im Berichtszeitraum kam eine breite Debatte zum Einsatz von Künstlicher Intelligenz auf – maßgeblich entfacht durch die Entwicklungen bei ChatGPT von OpenAI. Deutsche und europäische Aufsichtsbehörden hatten allerdings Zweifel, dass der Dienst alle Anforderungen des europäischen Datenschutzrechts erfüllt. In Abstimmung mit den anderen Datenschutzbeauftragten leitete auch die SDTB ein Verfahren gegen das Unternehmen ein.
Dr. Juliane Hundert: » Im Rahmen unserer Prüfung ist deutlich geworden, dass auch bei KI-Anwendungen auf die Einhaltung datenschutzrechtlicher Regelungen geachtet werden muss. Dies gilt insbesondere für die öffentliche Verwaltung. Sie nimmt öffentliche Aufgaben wahr und kann sich deshalb bei der Verarbeitung personenbezogener Daten nicht auf ein unternehmerisches Interesse berufen. Natürlich bieten neue Technologien Chancen, aber wir müssen auch auf die Risiken für die Persönlichkeitsrechte der Bürgerinnen und Bürger schauen und diese Risiken minimieren.«

Polizei und Justiz

Seit jeher gehören Polizei und Justiz wegen der hohen Eingriffstiefe in die Grundrechte zu den Schwerpunkten der Datenschutzaufsicht. Für Schlagzeilen sorgten im vergangenen Jahr die Ereignisse auf einer Demonstration in Leipzig (S. 41 ff). Am sogenannten »Tag X« kam es zu Angriffen auf Polizeibeamte und zu Sachbeschädigungen. Einsatzkräfte kesselten daraufhin über 1.300 Personen ein. Die Polizei nahm Identitätsfeststellungen vor und beschlagnahmte über 380 Mobiltelefone. Dr. Juliane Hundert: »Ich habe die Strafverfolgungsbehörden darauf aufmerksam gemacht, dass der Anteil verfahrensrelevanter Daten auf den beschlagnahmten Mobiltelefonen verschwindend gering sein dürfte. Zudem wies ich daraufhin, dass nach geltendem Recht, nicht verfahrensrelevante Daten unverzüglich gelöscht bzw. herausgegeben werden müssen. Später erfolgte aufgrund einer Allgemeinverfügung der Staatsanwaltschaft eine Freigabe bzw. Herausgabe von beschlagnahmten Mobiltelefonen, nachdem die Daten zuvor gesichert worden waren. Die Auswertung der gesicherten Datenbestände muss nun zeitnah erfolgen, damit die großen Mengen verfahrensirrelevanter, jedoch höchstpersönlicher Daten gelöscht werden können.«

Schwärzung von Sitzungsunterlagen für Gemeinderäte (S. 36 ff.)

In einem anderen Fall weigerte sich ein Bürgermeister, den Mitgliedern des Gemeinderats ungeschwärzte Sitzungsunterlagen vorzulegen. Geschwärzt wurden Firmennamen und -adressen, die zur Vorbereitung eines Zuschlagsbeschlusses für eine kommunale Vergabe an die Gemeinderäte übersandt wurden. Der Bürgermeister begründete die Schwärzung damit, dass die Bieterauswahl anonym und die Gemeinderäte objektiv entscheiden sollen.
»Allerdings wurde dabei nicht beachtet, dass die Gemeindeordnung vorsieht, dass den Ratsmitgliedern alle Unterlagen zur Verfügung gestellt werden müssen, die für die Beratung und Meinungsbildung benötigt werden. Dazu gehören selbstverständlich auch die Namen der Firmen, die sich auf eine öffentliche Ausschreibung beworben haben. Hier ist dem umfassenden Informationsbedarf der Räte Rechnung zu tragen. Diese sind wiederum verpflichtet, in bestimmten Fällen zum Schutz personenbezogener Daten Verschwiegenheit zu wahren«, sagt Sachsens Datenschutzbeauftragte.
Das Verfahren konnte 2023 noch nicht abgeschlossen werden.

Großes Themenspektrum im Berichtszeitraum

Neben den genannten Vorgängen befasste sich die SDTB mit einer Vielzahl an weiteren Sachverhalten, zum Beispiel mit der Zuverlässigkeitsüberprüfung von Personen für die Fußballeuropameisterschaft (S. 44 ff.), mit dem Beschäftigtendatenschutz bei der Vorlage von erweiterten Führungszeugnissen (S. 39 ff.), mit dem Datenschutz bei Funk-Rauchwarnmeldern (S. 86 ff.) und fernablesbaren Messgeräten (S. 88 ff.), mit Kfz-Kennzeichenerfassungssystemen (S. 61 ff.), mit der überzogenen Datenerhebung bei der Schulaufnahmeuntersuchung (S. 95 ff.) und der Aufzeichnung von Telefongesprächen durch eine Sozialbehörde (S. 107 ff.).
Weiterhin hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (S. 199 f.).

Bezug des Tätigkeitsberichts Datenschutz 2023

Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de

Datenschutzbericht 2024 – den Datenschutz mit einer Stimme vertreten

Pressemitteilung der Landesbeauftragten für Datenschutz und Landesbeauftragten für Informationszugang Schleswig-Holstein vom 23.04.2024

Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit. Eine Besonderheit im Berichtsjahr: Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.

Weiterlesen Datenschutzbericht 2024 – den Datenschutz mit einer Stimme vertreten