Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Automatisierte Entscheidungen: Wie wird die DSGVO umgesetzt?

Legal Watch Nr. 47 – Mai 2022

Automatisierte Entscheidungen: Wie wird die DSGVO umgesetzt? Am 17. Mai veröffentlichte das Future of Privacy Forum einen ausführlichen Bericht zum Thema automatisierte Entscheidungen.

In diesem Bericht werden über 70 Dokumente analysiert, die Aufschluss darüber geben, wie Artikel 22 der DSGVO von Gerichten und Tribunalen, europäischen und britischen Datenschutzbehörden sowie in mehreren Leitlinien und Empfehlungen der Regulierungsbehörden zu diesem Thema umgesetzt wird.

Während automatisierte Entscheidungen bereits in der europäischen Richtlinie 95/46/EG geregelt waren, hat das Prinzip seit Inkrafttreten der DSGVO eine neue Dimension erhalten.

Es ist daher in vielfältigeren und häufigeren Kontexten wie denen der künstlichen Intelligenz anwendbar und die APDs verfügen nun über die Mittel, das Gesetz durchzusetzen.

Diese Art von Entscheidungen findet man vor allem in folgenden Bereichen:

  • Zugangs- und Anwesenheitskontrolle in Schulen mithilfe von Gesichtserkennungstechnologien
  • Online-Monitoring an Hochschulen und automatisierte Benotung von Studierenden
  • Automatisierte Filterung von Bewerbungen
  • Algorithmisches Management von Plattformarbeitern
  • Verteilung von Sozialleistungen und Aufdeckung von Steuerbetrug
  • Automatisierte Bonitätsprüfung
  • Entscheidungen zur Inhaltsmoderation in sozialen Netzwerken

Erinnern wir uns kurz an das Prinzip: Artikel 22 der DSGVO gibt Einzelpersonen das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht, einschließlich Profiling, rechtliche Auswirkungen auf sie hat oder sie in ähnlicher Weise erheblich beeinträchtigt.

In diesem Zusammenhang sei darauf hingewiesen, dass der Europäische Datenschutzausschuss klargestellt hat, dass die für die Datenverarbeitung Verantwortlichen die Anwendung von Artikel 22 nicht dadurch umgehen können, dass sie einen Menschen die von der Maschine getroffenen Entscheidungen lediglich abstempeln lassen, ohne über die tatsächliche Befugnis oder Kompetenz zu verfügen, das Ergebnis zu ändern.

Wenn der betreffende automatisierte Prozess hingegen nur Daten für eine Entscheidung liefert, die letztlich von einem Menschen getroffen wird, fällt die zugrunde liegende Verarbeitung nicht in den Anwendungsbereich von Artikel 22.

Nach Artikel 22 Absatz 2 sind automatisierte Entscheidungen weiterhin möglich, wenn sie für die Erfüllung eines Vertrags erforderlich sind, gesetzlich vorgesehen sind oder auf der ausdrücklichen Einwilligung der betroffenen Person beruhen.

In solchen Fällen trifft der Verantwortliche dennoch angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, sowie ihr Recht, zumindest das Eingreifen einer Person seitens des Verantwortlichen zu erwirken, ihren Standpunkt darzulegen und die Entscheidung anzufechten.

Diese strikte Beschränkung automatisierter Entscheidungen muss im breiteren Kontext der DSGVO gesehen werden, insbesondere im Hinblick auf deren Anforderungen hinsichtlich der Rechtmäßigkeit jeglicher Verarbeitung, des Vorhandenseins einer Rechtsgrundlage und der Vorschriften zu sogenannten sensiblen Daten – einschließlich biometrischer Daten.

Die analysierten Dokumente zeigen, dass die Aufsichtsbehörden und Gerichte diese Grundsätze strikt anwenden.

Sie bestehen insbesondere auf den folgenden Elementen:

  • Die Verpflichtung zur Transparenz hinsichtlich der Parameter, die zu einer automatisierten Entscheidung führen;
  • Die Anwendung des Loyalitätsprinzips, um Diskriminierung zu vermeiden;
  • Die strengen Voraussetzungen für die Einholung der Einwilligung der betroffenen Person.

Um zu entscheiden, ob eine Entscheidung ausschließlich automatisiert erfolgt, wird außerdem der gesamte Kontext des Entscheidungsprozesses berücksichtigt: Organisationsstruktur des Managers, hierarchische Linien, Bewusstsein der Mitarbeiter.

Um die Auswirkungen der Entscheidung auf den Einzelnen zu beurteilen, prüfen die Behörden insbesondere, ob die Eingabedaten einer automatisierten Entscheidung Rückschlüsse auf das Verhalten von Einzelpersonen enthalten und ob die Entscheidung das Verhalten und die Entscheidungen der betroffenen Einzelpersonen beeinflusst.

In Frankreich ist eine der Referenzentscheidungen die der CNIL in der Clearview-Datei, zum Thema Gesichtserkennung: Die Kommission hat Clearview AI angewiesen, innerhalb von zwei Monaten keine Gesichtsbilder von Personen in Frankreich mehr aus dem Internet zu sammeln, um die Datenbank zu füllen, mit der seine Gesichtserkennungssoftware trainiert wird, und zuvor gesammelte Bilder zu löschen.

Italien und das Vereinigte Königreich haben ähnliche Entscheidungen bezüglich desselben Unternehmens getroffen.

Ein im Februar 2020 vom Verwaltungsgericht Marseille erlassenes Urteil hob eine Entscheidung der Region Provence-Alpes-Côte d'Azur auf, zwei Pilotprojekte zur Gesichtserkennung an Schuleingängen aus Nizza und Marseille.

Während der Fall noch anhängig war, äußerte die CNIL angesichts der Zielgruppe (Kinder) und der Sensibilität der betroffenen biometrischen Daten Bedenken hinsichtlich der Implementierung eines solchen Systems.

Die Entscheidung des Gerichts, die Pilotprojekte für nichtig zu erklären, beruhte auf der Begründung, dass die von den Schülern eingeholte Zustimmung nicht freiwillig, konkret, informiert und eindeutig erteilt worden sei und dass den Schulen weniger einschneidende Mittel zur Verfügung stünden, um den Zugang ihrer Schüler zu ihren Räumlichkeiten zu kontrollieren (beispielsweise die Kontrolle von Ausweisen und Personalausweisen in Kombination mit Videoüberwachung).

Wir möchten hinzufügen, dass der Verantwortliche in den meisten Fällen nicht in der Lage sein wird, eine Wirkungsanalyse, wie in Artikel 35 der DSGVO vorgesehen, wenn die Entscheidung ein Profiling mit erheblichen Auswirkungen auf die Person betrifft: beispielsweise in Italien die jüngste Entscheidung der Datenschutzbehörde bezüglich des Unternehmens Deliveroo: Das Unternehmen hätte eine Auswirkungsanalyse seines Algorithmus durchführen müssen, wobei die Verarbeitung innovative Technologien nutzt, in großem Umfang erfolgt (sowohl hinsichtlich der Anzahl der Radfahrer – 8.000 – als auch hinsichtlich der Art der verwendeten Daten), schutzbedürftige Personen betrifft (Arbeitnehmer in der „Gig Economy“, die nach Aufgaben bezahlt werden) und eine Bewertung oder Beurteilung der Letzteren beinhaltet.

Und auch

Frankreich:

Die CNIL veröffentlicht ihren Tätigkeitsbericht für das Jahr 2021: Zu den bemerkenswerten Aktivitäten zählen die Erneuerung der Unterstützungspolitik, eine verstärkte Mobilisierung im Bereich der Cybersicherheit und die Verschärfung repressiver Maßnahmen.

Darüber hinaus veröffentlicht sie eine Reihe von Kriterien zur Beurteilung der Rechtmäßigkeit von Wall-Cookies.s (Leuchtspurwände).

Es liefert Informationen, die die Rechtmäßigkeit der "Paywalls", die vom Internetnutzer, der Cookies ablehnt, die Zahlung eines Geldbetrags für den Zugriff auf die Site verlangen.

Der Herausgeber, der eine Paywall einführen möchte, muss die Angemessenheit der angebotenen finanziellen Vergütung begründen und nachweisen können, dass seine Cookie-Wall auf die Zwecke beschränkt ist, die eine faire Vergütung für den angebotenen Dienst ermöglichen.

Die französische Regierung wird ein System einführen, das es den Bürgern ermöglicht, sich online zu authentifizieren, indem sie ihren Personalausweis mit ihrem Smartphone scannen.

Im Amtsblatt wurde das Dekret Nr. 2022-676 vom 26. April 2022 veröffentlicht, das die Erstellung einer elektronischen Identifizierungsanwendung namens „Digital Identity Guarantee Service“.

Diese Anwendung wird mit dem neuen, mit einem Chip ausgestatteten Personalausweis verknüpft und ermöglicht die Speicherung seiner Daten auf einem Mobiltelefon.

Europa:

Am 12. Mai Europäischer Datenschutzausschuss zwei Leitlinien verabschiedet, eine zu Methoden zur Berechnung von Bußgeldern gemäß der DSGVO und die andere zur Gesichtserkennung.

Der Ausschuss plädiert dafür, dass Instrumente zur Gesichtserkennung nur unter strikter Einhaltung der europäischen Polizei-Justiz-Richtlinie eingesetzt werden sollten.

Dort Europäische Kommission veröffentlichte am 11. Mai seinen Vorschlag für eine Verordnung zur Verhütung und Bekämpfung von Darstellungen sexuellen Kindesmissbrauchs (CSAM).

Die Auswirkungen auf Unternehmen wie WhatsApp und Instagram, die verpflichtet sind, private Kommunikation zu überwachen und zu löschen oder sie an die Strafverfolgungsbehörden weiterzuleiten, bereiten der Zivilgesellschaft Sorgen.

Europäische Kommission veröffentlicht Fragen und Antworten zu neuen Standardvertragsklauseln für internationale Datenübertragungen

Der „Data Act“ der Europäischen Kommission hat auch eine Reaktion des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten (EDSB) hervorgerufen. : In einer gemeinsamen Stellungnahme äußern sie Bedenken hinsichtlich des Umfangs der Verordnung.

Obwohl es sich hauptsächlich um Daten handelt, die von verbundenen Objekten übertragen werden, sind auch sensible personenbezogene Daten betroffen.

Die Behörden fordern klare Beschränkungen für die Verwendung von Daten für Direktmarketing oder Werbung, Mitarbeiterüberwachung, Versicherungsprämien und Kreditauskünfte.

Die spanische Datenschutzbehörde hat Google LLC mit einer Geldstrafe von 10 Millionen Euro belegt. wegen der unrechtmäßigen Übermittlung personenbezogener Daten an Dritte und wegen der Verhinderung der Ausübung des Rechts auf Löschung.

Auch in Großbritannien wird Google wegen illegaler Nutzung medizinischer Daten verklagt von 1,6 Millionen Menschen: DeepMind, das künstliche Intelligenzsystem des Unternehmens, erhielt diese Daten Berichten zufolge 2015 vom Royal Free NHS Trust in London, um eine mobile Anwendung zu testen.

Google – hat sich nach der Verurteilung durch die CNIL und ihre europäischen Kollegen schließlich dazu entschlossen, die Ablehnung aller Cookies in seiner Suchmaschine und auf YouTube zu vereinfachen. Die Option „Anpassen“ wird daher durch zwei gleich geformte Schaltflächen „Alle akzeptieren“ und „Alle ablehnen“ ersetzt, begleitet von einer dritten „Weitere Optionen“.

Laut der belgischen Datenschutzbehörde Das Senden einer E-Mail mit der Empfängerliste in CC statt BCC wird nicht als Sicherheitsverletzung angesehen, solange nur eine kleine Gruppe von Personen (16 Personen) betroffen ist.

Die dänische Behörde erwägt, gegen eine Behörde des Justizministeriums eine Geldstrafe in Höhe von 100.000 DKK zu verhängen, weil ein unverschlüsselter USB-Stick verloren gegangen ist und die Sicherheitsverletzung nicht der Datenschutzbehörde gemeldet wurde.

Das irische Berufungsgericht ist der Auffassung, dass die durch ein Videoüberwachungssystem zum Zwecke der Verhütung von Straftaten gesammelten Daten nicht dazu verwendet werden dürfen, Arbeitnehmer zu überwachen und Disziplinarverfahren gegen sie einzuleiten, da dieser Zweck mit dem ersten unvereinbar ist.

Die norwegische Datenschutzbehörde beabsichtigt, der Arbeitsverwaltung eine Geldstrafe in Höhe von 486.700 Euro aufzuerlegen, weil sie ohne Rechtsgrundlage die Lebensläufe von 1.800.000 Personen im Internet verbreitet hat.

Internationales:

Der Europäische Datenschutzbeauftragte äußerte in einer Stellungnahme vom 18. Mai seine Besorgnis über die Teilnahme der Europäischen Union an der Konvention der Vereinten Nationen zur Computerkriminalität.

Er weist auf die Gefahr einer Schwächung der Grundrechte hin, da viele Länder mit unterschiedlichen Rechtssystemen betroffen seien.

Die Datenschutzbehörde von Hongkong hat am 12. Mai seine Leitlinien zur Verwendung von Vertragsklauseln für internationale Datenübertragungen veröffentlicht.

Datenschutzbehörde von Singapur veröffentlicht einen Leitfaden zur Datenanonymisierung

Twitter erzielt Einigung mit dem US-Justizministerium und der Federal Trade Commission für 150 Millionen US-Dollar und verpflichtet sich zur Umsetzung eines Compliance-Programms im Hinblick auf Verstöße gegen die Vertraulichkeit nicht öffentlicher Daten seiner Abonnenten.

Ein Bericht des Irish Council for Civil Liberties stellt fest, dass die Echtzeitgebote, Das System, das die Bereitstellung zielgerichteter Werbung ermöglicht, ist für den größten jemals weltweit registrierten Datendiebstahl verantwortlich.

Zahlen zufolge verfolgt und teilt die Branche, deren Wert mehr als 110 Milliarden Euro beträgt, in den USA und Europa 178 Milliarden Mal pro Jahr die Online-Aktivitäten und realen Standorte von Einzelpersonen und gibt diese weiter.

In Europa werden durch RTB 376 Mal am Tag persönliche Daten offengelegt. und Google sendet pro Minute, die deutsche Internetnutzer online sind, 19,6 Millionen Meldungen über ihr Online-Verhalten.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT