Outsourcing und Verantwortung

Article Thematique

Outsourcing und Verantwortung

Outsourcing ist der Inbegriff der arbeitsteiligen Welt. Und im Umfeld von Datenbearbeitungen: die Auftragsdatenbearbeitung. Ich verwende diesen Begriff, weil er besser auf das zutrifft, was gemeint ist, als beispielsweise der im Bundesdatenschutzgesetz verwendete Begriff der Auftragsbearbeitung: Es soll ja nicht einfach ein Auftrag bearbeitet werden, sondern es sollen (Personen-)Daten im Auftrag bearbeitet werden.

Auftragsbearbeitung im Privatbereich

Article Thematique

Auftragsbearbeitung im Privatbereich

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.

Wenn die Rechtsauslegung «nebulös» wird

Article Thematique

Wenn die Rechtsauslegung «nebulös» wird

Beim «Cloud-Computing» handelt es sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung im Auftrag. Der Grundsatz, dass das öffentliche Organ vollumfänglich für die Datenbearbeitungen verantwortlich bleibt, gilt auch hier. Das «Cloud-Computing» hat indessen andere und zusätzliche Risiken. Konkrete Regulierungen Cloud-spezifischer Risiken wären für ein einheitliches Schutzniveau bei der Verwendung dieser Technologie im öffentlich-rechtlichen Bereich zu begrüssen. Solange dies nicht der Fall ist, steht die Risikoanalyse im Vordergrund. Es sind Massnahmen zu treffen, die auch beim «Cloud-Computing» den Schutz der Grundrechte gewährleisten, wie wenn die Datenbearbeitungen «inhouse» erfolgen würden.

Kinderrechte in der digitalen Welt

Article Thematique

Kinderrechte in der digitalen Welt

Der Schutz von Kindern und Jugendlichen in der digitalen Welt hat bislang wenig Beachtung erfahren. Die Empfehlungen des Europarates CM/Rec(2018)7 schliessen diese Lücke. Insbesondere die Empfehlungen zum Schutz der informationellen Selbstbestimmung zeigen, dass Politik, Eltern und Wirtschaft gleichermassen in der Verantwortung stehen: Kinder und Jugendliche dürfen nicht länger als unmündige «Datenquellen» angesehen werden, sondern als Grundrechtsträgerinnen und -träger.

Technische Gestaltung von Informed Consent

Article Thematique

Technische Gestaltung von Informed Consent

Die gesetzlichen Anforderungen an eine Einwilligung sind sehr hoch. Zudem gab es in den letzten zehn Jahren kaum Fortschritte in ihrer technischen Realisierung. Noch immer beruht das der Einwilligung zugrunde liegende Modell auf Transaktionen mit einen begrenzten Zweck und klar definierten Zeitpunkten für den Informationsaustausch. Die Identität der Organisationen, mit denen man es zu tun hatte, die gesammelten Informationen und wie die Informationen verwendet werden sollten, war bekannt. Im Gegensatz sind digitale Assistenten, mit denen wir reden, proaktiv und merken sich, was ihre Gesprächspartner schätzen. Dazu benötigen sie Informationen, die sie aus dem persönlichen Kalender, Telefonaten und Interaktionen in sozialen Netzwerken gewinnen. Sie werden für die unterschiedlichsten Aufgaben eingesetzt, was es für den Auftraggeber schwierig macht zu wissen, welche Unternehmen ihre Daten verarbeiten und für welche Zwecke. Dies stellt zusätzliche Herausforderungen an die technische Umsetzung von Einwilligungen.

Fähigkeiten der Gesichtserkennung

Article Thematique

Fähigkeiten der Gesichtserkennung

Mit den Fortschritten bei neuronalen Netzen hat die maschinelle Gesichtserkennung eine bis dato unerreichte Genauigkeit erlangt. Mit der Fähigkeit, menschliche Gesichter zu erkennen, zu unterscheiden, zu verifizieren und zu verstehen, hat sie Eingang in ein breites Spektrum von Anwendungen in den Bereichen zivile Sicherheit, Strafverfolgung und innere Sicherheit gefunden. Es sind aber immer noch erhebliche technische Hürden bei der Genauigkeit dieser Systeme zu überwinden, insbesondere in uneingeschränkten Umgebungen, zurückzuführt auf verzerrende Faktoren in Bezug auf Pose, Auflösung, Beleuchtung, Verdeckung und Blickwinkel. Auch sollten die Ergebnisse nicht für unterschiedliche Personen oder Bevölkerungsgruppen variieren, abhängig von den Daten, mit denen die Algorithmen trainiert wurden.

Klar, dich kenn‘ ich doch!

Article Thematique

Klar, dich kenn‘ ich doch!

Zu wissen, wer sich an einem bestimmten Ort aufhält (oder aufgehalten hat) – ein Traum für viele. Etwa für die Werbung. «Lieber Peter Muster! Schön, dass Sie uns wieder besuchen!». Wieviel freundlicher ist das doch, beim Eingang ins Warenhaus so begrüsst zu werden, statt einfach vor der Rolltreppe zu stehen und zu versuchen, auf einer Übersichtstafel herauszufinden, wo es Socken zu kaufen gibt. Vielleicht wird auch gleich: «Sie haben letztes Mal einen Freizeitanzug gekauft – wir hätten heute das passende Hemd dazu ...», und, weil ich ja ein guter Kunde bin: «... für Sie zum unschlagbaren Sonderpreis von 79 Franken!».

Gesichtserkennung im Supermarkt?

Article Thematique

Gesichtserkennung im Supermarkt?

Gesichtserkennung könnte dem stationären Handel ermöglichen, datentechnisch zum Online-Handel aufzuschliessen. Sie funktioniert offline so, wie es ein Cookie online tut: Ein Kunde kann wiedererkannt werden, ohne dass er etwas dafür tun muss – oder nur schon etwas davon mitbekommt. Das ist einem Grossteil der Bevölkerung nicht geheuer: Für zwei Drittel der Kunden wäre Gesichtserkennung ein Grund, das betreffende Geschäft zu meiden. Diese fehlende gesellschaftliche Akzeptanz ist einer der Gründe, weshalb Gesichtserkennung hierzulande im Detailhandel noch kaum eingesetzt wird. Ein anderer sind hohe datenrechtliche Anforderungen. Die Mehrzahl der Anwendungen von Gesichtserkennung setzt eine Einwilligung voraus und muss somit als Opt-in-Modell ausgestaltet werden – jedenfalls wenn die DSGVO zugrunde gelegt wird. Das führt zur Prognose, dass anonymes Einkaufen noch lange möglich sein wird.

E-Persönlichkeit für Algorithmen?

Article Thematique

E-Persönlichkeit für Algorithmen?

Künstlich intelligente Algorithmen prägen in zuvor nie da gewesener Weise unser Leben. Sie treffen Entscheidungen und führen Handlungen aus, die bislang den Menschen vorbehalten waren. Dies wirft unter anderem die Frage auf, ob die entstehende Verantwortungslücke mit einem speziellen rechtlichen Status für diese künstlich intelligenten Algorithmen, die E-Persönlichkeit, geschlossen werden kann und soll.

Gesichtserkennung auf dem Vormarsch

Article Thematique

Gesichtserkennung auf dem Vormarsch

Biometrische Merkmale, wie z.B. das Gesicht, ermöglichen die Identifikation und die Verifikation von Personen. Die Gesichtserkennungstechnik ist heute unterschiedlich ausgestaltet und bereits in diversen Lebensbereichen einsetzbar. Obwohl die dabei erhobenen Daten besonders sensibel sind, werden sie gemäss der aktuellen Gesetzgebung nicht adäquat geschützt. Aufgrund des technischen Fortschritts ist jedoch davon auszugehen, dass die Gesichtserkennung zukünftig vermehrt eingesetzt werden wird. Um die Grundrechte angemessen zu schützen, erscheint deshalb eine Gesetzesänderung notwendig. Zentral ist dabei, dass der Anwendungsbereich der Gesichtserkennungstechnik klar definiert wird, die Bearbeitung der Daten auf den Zweck abstellt und die betroffenen Personen Auskunft über ihre Daten sowie deren Löschung verlangen können.