Sensoren und der Datenschutz. Dr. Thilo Weichert Netzwerk Datenschutzexpertise

Transkript

1 Sensoren und der Datenschutz Dr. Thilo Weichert Netzwerk Datenschutzexpertise VoGIS Fachforum 2017 Alles misst Landesamt für Vermessung und Geoinformation, Feldkirch

2 Inhalt Technische Rahmenbedingungen Ökonomischer und sozialer Rahmen Sensorik und Big Data Grundrechtsschutz Datenschutz Europäische Datenschutz-Grundverordnung Technische und organisatorische Maßnahmen, Rechtsschutz Anforderungen an Sensorik und Schlussfolgerungen 2

3 Rahmenbedingungen Aktueller Stand: Mobile Social Cloud Analytics Tracking, Scoring, Profiling, Personalizing Globalisierung der (Verbraucher-) Informationsverarbeitung Entwicklungen Industrie 4.0 mit Sensorik und Robotic Automatisierte Entscheidungen (sog. künstliche Intelligenz) Perspektive Verschmelzung von Biologie (Gentechnik) und Informationstechnik 3

4 Einsatzszenarien der Sensorik Werbung und Konsum Bedürfnismanipulation Spieleindustrie Digitale Unterhaltung Medizin Echtzeitdiagnose mit integrierter Behandlung, Behebung von Handicaps Pflege Ambient Assisted Living Verkehr Autonomes Fahren Sicherheitsbehörden u. -industrie Überwachung Arbeitswelt (Mensch als intelligente Verlängerung der Maschine) 4

5 Wirtschaft/Industrie 4.0 Personenbezogene Daten als Rohstoff/Öl/Zahlungsmittel des 21. Jahrhunderts > BITKOM/deutsche Bundesregierung: Primat der Wirtschaft, - Zurückdrängung des Datenschutzes - Datenreichtum statt Datensparsamkeit - Multifunktionale Datennutzung statt Zweckbindung > Konkurrenzfähigkeit gegenüberusa/süd-ost-asien 5

6 Globale Herausforderungen individuelle Lösungen? Umweltverschmutzung und -zerstörung Klimaveränderung Welternährung Frieden/Aufbau u. Wahrung sozialer Solidarität Dazu kann v. a. nicht-personenbezogene Sensorik Beitrag leisten, personenbezogene Sensorik dient insbesondere Profit, Produktivitätserhöhung, Wettbewerbsfähigkeit Komfortverbesserung, individueller Konsum Erhöhung individueller Sicherheit 6

7 Effekte von Big Data Volume, Variety, Velocity > Value Verlust an Transparenz für Alle (Unternehmen, Anwender, Betroffene, Gewerbe- u. Finanzaufsicht, Sicherheitsbehörden, Politik, Wirtschaft, Parlamente, Verbraucher, Beschäftigte Vollerfassung des personalen und impersonalen Lebens möglich Personale Beeinflussung (Diskriminierung, Manipulation) Kollektivkontrolle bei zeitgleichem kollektivem Kontrollverlust Verstärkung struktureller Machtgefälle (IT-Unternehmen-Anwender, Arbeitgeber-Beschäftigter, Wirtschaft-Verbraucher, Wirtschaft-öffentliche Hand) Code is law (Lessig 2000) > IT übernimmt Regiment 7

8 Besonderheiten von Sensorik und automatisierter Mensch-Maschine-Kommunikation Erfassung von Gedanken Erfassung von Gefühlen Erfassung und Interpretation von Verhalten Schicksalhaftigkeit sensorisch erfasster Umstände (Pseudo-)Wissenschaftlichkeit Intransparenz, Fehlen direkter menschlicher Sensorik 8

9 Lokalisierungssensorik Methoden GPS, Mobilfunk, RFID/NFD, Beacons Zwecke Telekommunikation Arbeit (Logistik, Ablauforganisation, Fuhrpark, Arbeitszeitkontrolle) Werbung (lokalisierte Angebote, Touristik) Verkehrslenkung (anonym und car2car/car2x, auch ÖNPV u. a.) Sicherheit (elektronische Fußfessel, gefährdete Orte) Nothilfe (Notruf, AAL, Medizin, Pflege) Forschung 9

10 Digitalisierung des Grundrechtsschutzes Spezifischer Vertrauensschutz (Berufsausübung, Post), Privatheitsschutz (v. a. Intimsphäre) Allgemeines Persönlichkeitsrecht Grundrecht auf informationelle Selbstbestimmung/Datenschutz (seit BVerfG U. v BvR 209/83 u. a.) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG U. v BvR 370/07 u. 1BvR 595/07) 10

11 Datenschutz und vertrauliche Kommunikation in Europäischer Grundrechte-Charta (2009) Artikel 7 GRCh - Achtung des Privat- und Familienlebens Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation. Artikel 8 GRCh - Schutz personenbezogener Daten (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht. 11

12 Schutz: Kernbereich privater Lebensgestaltung Ständige Rechtsprechung seit Elfes-Urteil deutsches BVerfG v , 1 BvR 253/56: letzter unantastbarer Bereich menschlicher Freiheit Dogmatischer Ansatz: Würdeschutz und Wesentlichkeitstheorie > absolutes rechtliches Tabu Aspekte: Intimsphäre, Gefühle+Gedanken, Objektivierung des Menschen Prozedurale Vorkehrungen zur Verhinderung des Tabubruchs 12

13 Verbot von Persönlichkeitsbildern Deutsches BVerfG B. v BvL 19/63 (Mikrozensus): Es widerspricht der menschlichen Würde, den Menschen zum bloßen Objekt im Staat zu machen. Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren. 13

14 Konzept des Datenschutzes Personenbezogene Datenverarbeitung ermöglicht Manipulation und Diskriminierung (Beschränkung der Freiheiten) der Menschen Es gibt kein unsensibles persönliches Datum: Angaben über Konsum, Finanzverhältnisse, politische Betätigung Jede Verarbeitung von personenbezogenen Daten bedarf einer Legitimation, entweder durch Einwilligung (selbstbestimmt) Vertrag (selbstbestimmt) oder Gesetz (fremdbestimmt nach Interessenabwägung) 14

15 Gesetzgebungsgeschichte Europäische Datenschutz-Grundverordnung (DSGVO) 1970 Weltweit erstes Datenschutzgesetz in Hessen/Deutschland 1983 deutsches Bundesverfassungsgericht: Grundrecht auf informationelle Selbstbestimmung (Volkszählungsurteil) 1996 Europäische Datenschutz-Richtlinie (musste durch nationale Gesetze umgesetzt werden) 2009 Vertrag von Lissabon mit Art. 8 GRCh (Grundrecht Datenschutz) Inkrafttreten DSGVO, ab direkte Anwendbarkeit deutsches Bundesdatenschutzgesetz (BDSG) zur Ergänzung der DSGVO 15

16 Zielsetzungen der DSGVO Einheitliche verbindliche Regelungen zur Verarbeitung von Verbraucherdaten Marktortprinzip One-Stop-Shop (eine zuständige Aufsicht) Transparenz für Betroffene Privacy by Design/Privacy by Default Risikofolgenabschätzung Verbindlicher und rechtssicherer Drittland-Datentransfer Verbesserungen bei Beschwerden und Rechtsschutz Wirksame Sanktionen 16

17 7 Regeln des Datenschutzes Rechtmäßigkeit (Art. 6 DSGVO) Verbot mit Erlaubnisvorbehalt Einwilligung (Art. 7 DSGVO) Zweckbindung (Art. 5 I lit. c DSGVO) Erforderlichkeit und Datensparsamkeit (Art. 5 I lit. c, e DSGVO) Transparenz und Betroffenenrechte (Art. 12 ff. DSGVO) Technisch-organisatorischer Datenschutz (v. a. Art. 25, 32 DSGVO) Kontrolle (Art. 51 ff. DSGVO) 17

18 Allgemeine Erlaubnistatbestände (Art. 6, 9) Einwilligung Vertragsabwicklung Rechtliche Verpflichtung der verantwortlichen Stelle Lebenswichtige Interessen einer Person Aufgabenerfüllung im öffentlichen Interesse (bei Privaten) berechtigtes Interesse nach Abwägung Weite Öffnungsklauseln für öffentlichen Bereich, sensible Daten und Berufsgeheimnisse, Meinungsäußerung, Informationsfreiheit 18

19 Profiling (Art. 4 Nr. 4) Profiling = jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen 19

20 Automatisierte Einzelfallentscheidung einschließlich Profiling (Art. 22) (1) Betroffenenrecht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (2) Ausnahmen: Abschluss u. Erfüllung v. Vertrag, Rechtsvorschrift, explizite Einwilligung (3) Angemessene Schutzmaßnahmen sind nötig (incl. Eingreifen einer Person u. Darlegung d. eigenen Standpunkts, Entscheidungsanfechtg.) (4) Verbot bzgl. sensitiver Daten, wenn keine angemessenen Maßnahmen gemäß Art. 9 Abs. 2 20

21 Angemessene Garantien (z. B. in Art. 6 I lit. f, 9 II, III, 22 III, IV DSGVO) - Materielle Regelungen (Ge- u. Verbote, Zweckbindung) - Prozedurale Maßnahmen (Anhörung, Genehmigung, Veto) - Technisch-organisatorische Vorkehrungen (Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nichtverkettbarkeit, Datenminimierung) - Verarbeitung durch Fachpersonal mit Berufsgeheimnis 21

22 Technisch-organisatorische Sicherungen (25, 32 DSGVO, 22 II BDSG-neu) Risikoorientierte Betrachtung (vgl. Datenschutz-Folgenabschätzung, Art. 35) Pseudonymisierung/Anonymisierung, Verschlüsselung Sicherung v. Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit Datenminimierung, Speicherbegrenzung Regelüberprüfung, Bewertung, Evaluation Zweckbindungssicherung (Nichtverknüpfbarkeit) Privacy by Design/Privacy by Default (Voreinstellungen) 22

23 Anonymisierung/Pseudonymisierung Löschung od. Ersetzung von Identifikatoren durch Pseudonyme Aggregierung von Datensätzen (K-Anonymität) Einstreuen von Fehlerdaten Bestehende Instrumente (insbes. im Medizinbereich) Krankheitsregister (z. B. Krebs) mit Treuhänder Mehrschichtige Pseudonymisierungsverfahren (z. B. in Biobanken) 23

24 Technisch-organisatorische Schutzziele Vertraulichkeit (z. B. Verschlüsselung) Integrität, Authentizität (z. B. Signatur) Verfügbarkeit (z. B. Backup, Stromversorgung) Intervenierbarkeit (Löschen, Sperren, Korrektur) Transparenz, Revisionsfähigkeit (Protokoll, Dokumentation) Nichtverkettbarkeit (z. B. Abschottung) 24

25 Defizite der bisherigen Regelung Es fehlen Standards für Wissenschaftlichkeit Es fehlen Zertifikatsregelungen Es fehlt eine effektive Kontrolle/Aufsicht Korrelation statt Kausalität Betriebs- u. Geschäftsgeheimnisse contra Transparenz Nur eingeschränkte Diskriminierungsverbote Unklarheit bei Zweck/en 25

26 Problem Algorithmenkontrolle (Big Data) Auskunfteien berufen sich auf Betriebs- und Geschäftsgeheimnisse in Bezug auf Score-Berechnung (aktuelle Verfassungsbeschwerde) Nutzer der Scores (z. B. Banken) kennen zumeist Grundlagen der Scoreberechnung (von Auskunfteien) nicht Überprüfung der mathematisch-statistischen Wissenschaftlichkeit faktisch kaum möglich: Korrelation ist nicht Kausalität Beim Einsatz von Künstlicher Intelligenz: Verarbeitung wird nicht protokolliert; Logik und Ergebnisse sind nicht nachvollzieh- und überprüfbar 26

27 Betroffenenrechte (DSGVO) Transparenz Grundsätze, Schutz der Betroffenenrechte > 12 Informations- u. Benachrichtigungspflichten > 13, 14 Auskunftsanspruch über Zweck, Datenkategorien, Empfänger, Speicherdauer, Betroffenenrechte, Herkunft, evtl. automatisierte Entscheidung, Auslandstransfer > 15 Datenkorrektur Berichtigung > 16, Löschung > 17, Sperrung > 18 Sonstige Portabilität > 20, Widerspruch > 21, Automatisierte Entscheidung > 22, Beschwerde bei Datenschutzaufsicht > 77, Schadenersatz > 82 27

28 Aufsichtsbehörden (DSGVO) Unabhängigkeit > 51, 52, Angemessene Ausstattung > 52 IV Demokratische Legitimation, Qualifikation > 53 Aufgaben: Kontrolle und Sanktion, Öffentlichkeitsarbeit, Beratung, Beschwerdebearbeitung, Kooperation, Genehmigungen u. Akkreditierungen > 57 Befugnisse: Untersuchung, Sanktion (Rüge, Anordnung, Bußgeld), Information > 58 aber teils faktisch schlechte Ausstattung 28

29 Rechtsschutz Rechtsschutzgarantie: Art. 47 GRCh Klagebefugnis gg. Datenschutzaufsicht > 78 DSGVO Klagebefugnis gg. verarbeitende Stelle > 79 DSGVO Klagevollmacht f. Verband u. Verbandsklagemöglichkeit > 80 DSGVO Deutsches Unterlassungsklagegesetz (UKlaG) 2016, Verbraucherverband klagt für alle Betroffenen Annullierung von EU-Entscheidungen durch EuGH > Art. 263 Vertrag über die Arbeitsweise der EU (AEUV); EuGH-Vorlageverfahren durch nationale Gerichte > Art. 267 AEUV (Bewährungsprobe Privacy Shield) 29

30 Sanktionen Rüge > 58 Anordnung > 58 Geldbußen bis max. 10 Mio. od. 2% vom Umsatz bei weltweiten Unternehmen bei minderen u. formellen Verstößen, bis max. 20 Mio. od. 4% bei grdl. materiellen Verstößen u. Missachtung von Anordnungen > 83 zusätzlich national geregelte Sanktionen > 84 30

31 Anforderungen an Sensorik allgemein Spezifische Definition unantastbarer Bereiche (persönlichkeitsrechtlicher Kernbereich, Persönlichkeitsbild) Transparenz (konkret/abstrakt, Betroffene/Fachpublikum/Behörden/Öffentlichkeit Wahlfreiheit, Skalierbarkeit, jederzeitige Abstellbarkeit Diskrimierungsfreiheit Qualitätssicherung durch Audits/Zertizierungen > Es besteht bereichsspezifischer Regulierungsbedarf 31

32 Spezialanforderungen Lokalisierungssensorik Ziele Vermeidung von Bewegungsprofilen Vermeidung von Detailprofilen (durch Kombination mit Zusatzwissen) Instrumente Privacy by Default Leichte Veränderbarkeit Icon-Anzeige des Betriebsstatus, Anzeige der Partnergeräte Neue Regulierung in eprivacy-verordnung 32

33 Schlussfolgerungen Daten sind nicht Informationen Computer können rechnen, nicht verstehen Vertraulichkeit und Datenschutz sind nicht obsolet Datenschutzkonforme Big-Data-Lösungen sind möglich Regulierung kann Wissens- und IT-Standort Europa stärken Demokratische Instanzen und Betroffene müssen digitale Souveränität durch Regulierung zurückerlangen 33

34 Sensoren und der Datenschutz Thilo Weichert Waisenhofstr. 41, Kiel