BVD-NEWS DAS FACHMAGAZIN FÜR DEN DATENSCHUTZ - BERUFSVERBAND DER ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Ausgabe 03/2020
BvD-NEWS
ISSN: 2194-1025
Das Fachmagazin für den Datenschutz
Berufsverband der
D
atenschutzbeauftragten
Deutschlands (BvD) e.V.
Daten sammeln
mobil - international - legal?
DATEN SAMMELN IN EINEM EUROPA DER PANDEMIE – S. 5
CLOUD UND DATENSCHUTZ – WIE KATZ‘ UND MAUS? – S. 19
DIVERSITY-UMFRAGEN IM UNTERNEHMEN – S. 28
HIGHLIGHTS IM DATENSCHUTZJAHR 2020 – S. 48
Anzeige
www.bvdnet.de
www.bvdnet.de
Der BvD:
Werden Sie Wegbereiter
Teil unseres für
die digitale
starken Zukunft
Netzwerks!
Berufsverband der
Datenschutzbeauftragten
Gemeinsam für einen starken Datenschutz: Deutschlands (BvD) e.V.
• Seminare und Workshops für einen rechtssicheren Datenschutz
Der BvD in Zahlen:
Ihre Vorteile:
im Rahmen der DS-GVO
• Informationen und Begleitung zu Gesetzesvorhaben und Gerichtsentscheidungen • gegründet 1989
•• Unterstützung
Erfahrungsaustausch
in derin Umstellungsphase
bundesweit 12 Regionalgruppen Seit über 30 Jahren vernetzt der BvD• Politik,
der Datenschutz-Grundverordnung Mitglieder: 1.100
Wirtschaft,
•• Austausch
9 BvD-Arbeitskreise zu Fachthemen und Fachforen
auf BvD-Verbandstagen Aufsichtsbehörden und Datenschutzbeauftragte – auf 330
• Firmenmitglieder:
• Kongresse und Workshops mit namhaften Referenten • bundesweit
regionaler, nationaler und europäischer Ebene. Wir10fördern
Regionalgruppen
• Vernetzung bundesweit in Regionalgruppen und Arbeitskreisen und 9 Arbeitskreise zu Fachtheme
• anerkannte Weiterbildungsmodule zum Nachweis die beruflichen Interessen unserer fast 2.000 Mitglieder und
• Materialien
der Fachkundefür die Datenschutzpraxis in Betrieben und Behörden
setzen uns aktiv für die weitere Akzeptanz des Berufsbildes
•• Rabatte bei unseren Verbandspartnern
Listung im Verzeichnis der externen Datenschutz- „Datenschutzbeauftragter“ ein – als (Stand:
einzigerMärz
Verband
2018)in
beauftragten Deutschland.
Der Berufsverband
• Arbeitshilfen der Datenschutzbeauftragten
& Materialien für den Berufsalltag Deutschlands (BvD) e.V.
fördert seit über
• Fachmagazin 25 Jahren die beruflichen InteressenWir
BvD-News derbieten
Datenschutz-
Mitgliedschaften für interne und externe Daten-
beauftragten in Behörden und Betrieben
• Politischer Dialog in Gesetzgebungsverfahren und setzt sich aktiv für diesowie für Unternehmen an.
schutzbeauftragte
weitere
• RabatteAkzeptanz des Berufsbildes
& Vergünstigungen „Datenschutzbeauftragter“
bei zahlreichen
Kooperationspartnern
ein – als einziger Verband in Deutschland. Jetzt beitreten unter:
www.bvdnet.de/mitgliedschaft
DATENSCHUTZ GESTALTEN
BERUFSVERBAND DER DATENSCHUTZBEAUFTRAGTEN DEUTSCHLANDS (BVD) E. V. | BUDAPESTER STRASSE 31, 10787 BERLIN
TELEFON: (030) 26 36 77 60 | TELEFAX: (030) 26 36 77 63 | E-MAIL: BVD-GS@BVDNET.DE | INTERNET: WWW.BVDNET.DE
Editorial
EDITORIAL
Liebe Leserinnen und Leser,
internationaler Datentransfer in Drittländer ist auch fast ein hal- BDSG wird. Schon im Vorfeld der 2021
bes Jahr nach „Schrems II“ noch eines der brennenden Themen anstehenden Evaluierung des BDSG
für Datenschutzbeauftragte und deren Kunden. Das gilt umso bringen sich die üblichen Lager
mehr vor dem Hintergrund eines drohenden harten Brexits zum in Position, um mit den altbe-
Jahresende. Auch auf unserer Herbstkonferenz und dem an- kannten Scheinargumenten
schließenden Behördentag – die wir in diesem Jahr unter dem die bewährte Benennpflicht
Motto „Daten sammeln: mobil – international – legal?“ erst- anzugreifen. Dabei gibt es
mals komplett online abgehalten haben – wurde dieses Thema viele sinnvolle Möglichkei-
in verschiedenen Facetten lebhaft diskutiert. Einen Nachbericht ten, Unternehmen zu entlas-
finden Sie in diesem Heft ebenso, wie Artikel ausgewählter Re- ten und für sie einen echten
ferenten zu ihren Kongressbeiträgen. Mehrwert zu schaffen – nicht
durch die Abschaffung des DSB,
Auch wenn mittlerweile die ersten Handreichungen seitens
sondern durch seine stärkere Einbin-
deutscher und europäischer Aufsichtsbehörden veröffentlicht
dung. Der BvD hat hierzu konkrete Vorschläge
sind, fühlten sich nach dem EuGH-Urteil viele Datenschutz-
ausgearbeitet, die wir auch im Zuge der Evaluation des BDSG
beauftragte zunächst verunsichert und alleingelassen. Was soll
einbringen werden.
man Unternehmen nach dem Urteil empfehlen? Drohen schon
jetzt Bußgelder? Gibt es denn überhaupt Alternativen zu den Ein weiteres altbekanntes Thema, das zur BDSG-Evaluierung
weitverbreiteten Produkten US-amerikanischer Anbieter oder wieder aus der Versenkung auftaucht, sind die Vorschläge, die
kann man sie so nutzen, dass die Daten nicht in die Hände der Verantwortlichkeit für die Aufsicht über die Unternehmen zu-
US-Geheimdienste fallen? künftig statt bei den Aufsichtsbehörden der Länder beim Bun-
desbeauftragten oder einer neuen Behörde zu zentralisieren.
Bei aller Verunsicherung bietet die Situation aus meiner Sicht
Gemeinsam mit der Stiftung Datenschutz bot der BvD zu die-
dennoch gleich zwei Chancen: Zum einen führt uns „Schrems
sem Thema im September eine Plattform für Expertinnen und
II“ die Notwendigkeit der digitalen Autonomie Europas vor Au-
Experten aus Politik, Aufsichtsbehörden, Wirtschaft und Daten-
gen. Das Urteil ist ein Weckruf, eine (vielleicht letzte) Gelegen-
schutzpraxis, um ihre jeweiligen Positionen darzulegen, mögli-
heit, die Vorherrschaft in diesem für die Prosperität, das Ge-
che Folgen für die Praxis zu beleuchten, Chancen für Kompro-
meinwohl und die Sicherheit Europas entscheidenden Bereich
misse zu diskutieren und Lösungsansätze zu suchen. Dabei ist
– der Digitalisierung – nicht den USA und Asien zu überlassen.
es uns, so denke ich, gelungen, die Diskussion auf eine breitere
Deutschland und Europa müssen hier entschieden handeln –
Basis zu stellen. Eine Zusammenfassung der Standpunkte fin-
und zwar jetzt. Zum anderen können sich Datenschutzbeauf-
den Sie in unserem Nachbericht ab Seite 62, außerdem einen
tragte in der jetzigen Situation einmal mehr als kompetente
Videomitschnitt der Veranstaltung in der Berliner Kalkscheune
Berater bewähren und die Unternehmen dabei begleiten, Digi-
auf der BvD-Website.
talisierung gewinnbringend und rechtskonform anzugehen be-
ziehungsweise weiterzuentwickeln – auch mit einem gesunden
en Blick für Risiken.
Trotzdem gibt es nach wie vor Stimmen, die den Datenschutz- Ich wünsche Ihnen eine anregende Lektüre.
beauftragten nicht als hilfreichen Lotsen in der Digitalisierung
wahrnehmen, sondern ihn als Personifizierung der als bürokra-
tisch wahrgenommenen Datenschutzpflichten sehen.
Ein gefährlicher Fehlschluss, der dazu führt, dass er zur Ziel- Ihr Thomas Spaeing
scheibe beim geforderten Bürokratieabbau in DSGVO und BvD-Vorstandsvorsitzender
BvD-NEWS Ausgabe 3/2020 3
Impressum | Inhaltsverzeichnis
EDITORIAL
Thomas Spaeing3
DATEN SAMMELN
Daten sammeln in einem Europa der Pandemie – Jürgen Hartz5
Datenzugang, Datenteilung, Datentreuhand – neue Instrumente der
Datenpolitik – Frederick Richter, LL.M.10
Das durchleuchtete Ich: automatisierte Entscheidungen in Personalauswahl und Personalführung –
Regina Bergdolt13
Cloud und Datenschutz – wie Katz‘ und Maus? – Tobias Birk, Gerald Boyne 19
DSGVO
Das Privacy Shield ist gescheitert – und jetzt? Was Unternehmen, Vereine und sonstige
Verantwortliche nach Schrems II jetzt wissen müssen – Dr. Michael Littger, Dr. Andreas Splittgerber,
IMPRESSUM:
Sven Schonhofen, LL.M. (New York) 24
BvD-News Diversity-Umfragen im Unternehmen – Dr. Henrik Hanßen28
Das Fachmagazin des Berufsverbandes
der Datenschutzbeauftragten
Deutschlands (BvD) e.V.
GESETZESÄNDERUNGEN UND RECHTSPRECHUNGEN
Datenschutz im Strafrecht - Ausspähen von Daten – Tolga Hircin, LL.M. 34
Herausgeber:
Berufsverband der Datenschutz
beauftragten Deutschlands (BvD) e.V. DATENSCHUTZPRAXIS
Budapester Straße 31 Nachhaltige Sicherheitskultur als Full Service – Ein Interview mit Alex Wyllie 40
10787 Berlin Digitale Angriffe auf kritische Infrastrukturen – Eberhard Oehler42
Tel: 030 26 36 77 60
Von Vereinfachungen profitieren – Rebecca Wiemer46
Fax: 030 26 36 77 63
E-Mail: bvd-gs@bvdnet.de
Internet: www.bvdnet.de AUFSICHTSBEHÖRDEN
www.xing.com/companies/ Highlights im Datenschutzjahr 2020 – Dr. Stefan Brink48
berufsverbandderdatenschutz
beauftragtendeutschlands
www.twitter.com/bvd_datenschutz GESELLSCHAFT
www.bvdnet.de/feed/ Zwischen Influencern, Videoüberwachung und Sensationsmedien – Dominik Höch52
Redaktion: Dataismus versus Freiheit – Florian Mehnert56
Christina Denz (chd)
V.i.S.d.P.: Thomas Spaeing AUS DEM VERBAND
bvd-news@bvdnet.de
Vorschläge für die Zukunft der Datenschutzaufsicht – Christina Denz62
Fotos: Regionalgruppe Ulm feiert 40. Treffen – Anton Weber 66
www.123rf.com
Lektorat: REZENSIONEN
Frank Spaeing, Regina Mühlich Rechtshandbuch Artificial Intelligence und Machine Learning – Dr. Markus Kaulartz,
Tom Braegelmann LL.M. (Hrsg.)68
Anzeigen:
Christina Denz Checklisten zur Datenschutz-Grundverordnung 70
Kooperationen: Karsten Füllhaase Übersicht Rezensionen 2020 72
(bvd-gs@bvdnet.de)
Satz, Layout & Produktion: TERMINE UND KONTAKTE
Trend Point Marketing GmbH, Termine der Regionalgruppen und Arbeitskreise des BvD 74
Breitenbachstraße 24-29, 13509 Berlin
Service 75
www.tpmarketing.de
ISSN: 2194-1025
Erscheinungsweise: 3 x jährlich, Druckauflage 4.000
Exemplare (Unsere Mediadaten erhalten Sie unter
bvdnet.de/Publikationen oder von unserer Geschäftsstelle
per E-Mail an bvd-gs@bvdnet.de) Die Redaktion behält
sich vor, Beiträge redaktionell zu überarbeiten und zu
kürzen. Namentlich gekennzeichnete Beiträge müssen
nicht die Meinung des BvD e.V. wiedergeben
4 BvD-NEWS Ausgabe 3/2020
DATEN SAMMELN
DATEN SAMMELN IN EINEM
EUROPA DER PANDEMIE
Jürgen Hartz
Rund 200 Datenschutzbeauftragte disku- Fahrwasser geraten, „das niemand haben will“
tierten auf der Herbsttagung „Wirtschaft (lesen Sie dazu auch den Beitrag von Dr. Stefan
trifft Aufsicht“ und dem Behördentag über Brink auf Seite 48).
die Chancen der Evaluierungen von DSGVO
und BDSG und einer datenschutzrechtli- Selbstkritisch räumte Brink ein: In einer Situation,
chen Rückbesinnung auf Europa. Erstmals in der von den Datenschutzbeauftragten der Bun-
fand die Tagung komplett online statt. desländer Orientierung verlangt werde, gäben die
Aufsichtsbehörden „ein Bild ab, das im Moment
Das Schrems-II-Urteil des Europäischen Gerichts- nicht vorbildlich ist“. Aber dieses Eingeständ-
hofs zum transnationalen Datentransfer beschäf- nis gehöre auch zu Wahrheit und Transparenz.
tigt uns seit seinem Bekanntwerden im Juli. Auf der
Herbstkonferenz „Wirtschaft trifft Aufsicht“ am
So fallen die Einschätzungen und Ratschläge zum
14. und 15. Oktober 2020 und dem anschließen-
Umgang mit dem Datentransfer zu US-Diensten
den Behördentag am 16. Oktober 2020 spielte die
und Unternehmen von Aufsichtsbehörde zu Auf-
Entscheidung des obersten europäischen Gerichts
sichtsbehörde sehr unterschiedlich aus – ob dies
immer wieder eine Rolle. Vor allem die Rechtsun-
Microsoft Office, die Nutzung von US-amerika-
sicherheit, die die Entscheidung nach sich zog,
nischen Programmen wie Google Analytics oder
war allenthalben zu spüren – obwohl die gemein-
der direkte Kontakt zwischen Konzernen in Euro-
same Konferenz mit den Aufsichtsbehörden in
pa und den USA betrifft. Für den Datenschutz in
Baden-Württemberg und Bayern erstmals seit
Europa werde es damit schwieriger: Wie können
ihrem Start 2016 ausschließlich online stattfand.
wir das gemeinsame Datenschutzrecht in allen
EU-Ländern gleich vollziehen, fragte Brink. Der
EU-Datenschutzausschuss habe große Schwierig-
keiten, gute und sichtbare Schritte zu machen.
Aber auch die Corona-Pandemie erhöhe den
Druck auf den Datenschutz, führte Brink aus. Im-
mer wieder höre er den Satz, dass unter Coro-
na Datenschutz eigentlich nicht mehr gehe. „Das
erstaunt mich, vor allem, wenn diese Argumen-
tation von öffentlichen Stellen kommt, die dem
Gesetz verpflichtet sind“, sagte er. Was manche
Länder oder der Bund als Verordnungen „vom
Der EUgH als Treiber für Datenschutz
Stapel lassen“, greife in die Grundrechte ein.
Neben dem BvD-Vorstandsvorsitzenden Thomas
Spaeing sprach auch Dr. Stefan Brink, Beauf- Aber auch bei Unternehmen sei der Druck auf
tragter für den Datenschutz und die Informati- manche Datenschutzbeauftragte nicht geringer.
onsfreiheit Baden-Württemberg, gleich zu Be- Manche Unternehmensleitungen wollten in der
ginn das Schrems-II-Urteil an. „Der EUgH macht Corona-Krise möglichst frei agieren. „Wir müs-
uns ordentlich Dampf“, sagte Brink in seinem sen lernen, diesem Druck standzuhalten“, sagte
Grußwort. Derzeit seien alles „noch Suchbewe- Brink, „wir müssen unsere Fahne hochhalten und
gungen“, mit dem Urteil sei die DSGVO in ein unsere Position besetzen“.
BvD-NEWS Ausgabe 3/2020 5
DATEN SAMMELN
Datenschutzbeauftragte sich viele Behörden „mit Händen und Füßen“ und
werden immer wichtiger behaupteten, es würde zu viel Aufwand bedeuten
Daten offen zu legen. „Aber Open Data bedeute-
Dabei wird deutlich, dass die Rolle der Daten-
ten keinen Mehraufwand, sondern am Ende we-
schutzbeauftragten zu- statt abnimmt. Wir als
niger Aufwand“, sagte sie.
BvD arbeiten deshalb mit Hochdruck daran, die
Zertifizierung für Datenschutzbeauftragte und
Für Esken geht es dabei um nichts weniger als
für Unternehmen, die sich datenschutzrechtlich
eine „demokratische Digitalisierung“ – dies sei die
vorbildlich verhalten, voranzutreiben.
große gesellschaftliche Debatte.
Das sprach auch BvD-Vorstandsvorsitzender
Thomas Spaeing zum Auftakt an. „Es wird
Demokratie neu erfinden
einen weltweiten Gütesiegel-Wettbewerb
geben, den Deutschland nicht verpassen Einen Mitstreiter für ein neues Demokratie-Ver-
darf! Offenbar hat der deutsche Gesetz- ständnis vor dem Hintergrund der Digitalisierung
geber das Potenzial noch nicht erkannt. fand Esken in dem langjährigen China-Korrespon-
Frankreich zum Beispiel ist hier schon denten der „Süddeutschen Zeitung“, Kai Stritt-
deutlich weiter.“ macher. Er berichtete von der „totalen Überwa-
chung“ der chinesischen Bevölkerung durch die
Statt die Rolle der Datenschutzbeauftragten Regierung – mit einem Netz aus Überwachungs-
über eine neuerliche Scheindebatte zur Benenn- kameras und der damit möglichen sozialen Kon-
grenze zu schwächen, sollte die Bundesregierung trolle und dessen Bewertung mit Punkten.
den Mut aufbringen, Datenschutzbeauftragte
stärker in Aufgaben wie Meldepflichten, Daten- Dabei gehe es bei der Entwicklung nicht um Chi-
schutz-Folgenabschätzungen und Verarbeitungs- na, „sondern letztlich um uns“, schloss Stritt-
verzeichnis einzubinden, um vor allem kleine macher. „Wenn China die Diktatur neu erfindet,
und mittlere Unternehmen zu entlasten. Im Ziel dann müssen wir die Demokratie neu erfinden“.
müsse es bei den Evaluierungen von DSGVO und Als Vorbilder nannte er Taiwan und die skandina-
BDSG darum gehen, den Nutzen von DSB zu er- vischen Demokratien, die versuchten, die Digita-
höhen und Bürokratie für die Unternehmen abzu- lisierung und das Datensammeln durch den Staat
bauen, sagte Spaeing. Vor allem die Chancen aus transparent zu gestalten.
der DSGVO für Zertifizierungen und genehmig-
te Verhaltensregeln müssen unverzüglich genutzt Entscheidungen etwa zur Beteiligung von Huawei
werden können. an der 5G-Ausschreibung müsse die Frage voran
gehen, ob die Bundesregierung der kommunisti-
schen Partei Chinas vertrauen könne? Wenn in
Open Data von Staats wegen: Fragen der nationalen Sicherheit das Argument
Die demokratische Digitalisierung zähle, dass chinesische Anbieter billiger seien,
„dann läuft was gravierend falsch“, warnte Stritt-
Auch Gastrednerin Saskia Esken, ge-
macher, der 2018 seine Recherchen in dem Buch
lernte Informatikerin, warnte vor ei-
„Die Neuerfindung der Diktatur – Wie China den
ner neuerlichen Anhebung der Benenn-
digitalen Überwachungsstaat aufbaut und uns
grenze. Das sei wirtschaftlich nicht zu
damit herausfordert“ veröffentlichte.
vertreten, da die Anforderungen aus
DSGVO und BDSG erhalten blieben,
argumentierte die SPD-Vorsitzende.
Mittelweg Datentreuhand?
Zugleich mahnte sie von Behörden und Staat Der Frage, wie Unternehmen Daten nutzen könn-
mehr Transparenz an. „Ein Staat, der alle Infor- ten ohne dabei personenbezogene Daten mit
mationen für sich behält, verkennt seine Rolle Tricks oder gegen den Willen der Betroffenen
in der modernen Informationsgesellschaft“, sag- zu ergattern, ging Frederick Richter, Vorstand
te sie. Dem Informationsfreiheitsgesetz seien alle der Stiftung Datenschutz, nach und erläuterte
öffentlichen Stellen verpflichtet. Noch wehrten Idee und Bedingungen einer möglichen Daten-
6 BvD-NEWS Ausgabe 3/2020
DATEN SAMMELN
Eine Prüfung ihrer Behörde bei 150 Kommunen
ergab, dass die meisten zu spät mit den Vorbe-
reitungen auf diese DSGVO begonnen hatte. Zu-
dem gebe es große Defizite bei der Meldung von
Datenpannen sowie bei der Datenschutz-Folgen-
abschätzung.
treuhand (einen Beitrag von Frederick Richter zur
Datentreuhand finden Sie auf Seite 10). Grundsätzlich würden Unternehmen und Behör-
den identisch geprüft, gab Thiel an. In der Regel
Verbraucherinnen und Verbraucher könnten ihre kündigten sie ihren Besuch an und gäben vorab
Daten über eine solche Treuhandstelle anonymi- Bescheid, welche Unterlagen ihre Behörde einse-
sieren lassen. Die Treuhand stärke die individuelle hen wolle und wie lange dies dauern werde.
Kontrolle über Datenflüsse und könne die Teilha-
be an wirtschaftlicher Datenverwertung fördern. Vor allem bei großen Prüfungen vor Ort hätten
Im Gegenzug könnten Unternehmen einfacher als die Unternehmen bereitwillig geantwortet, eini-
bislang mit den Daten arbeiten, erläuterte Rich- ge seien sehr höflich und entgegenkommend ge-
ter. Allerdings müsse es dafür ein ausreichendes wesen, unterstrich Thiel.
Maß an Sicherheit vor einer Re-Personalisierung
oder De-Anonymisierung geben. Wenn das si- Dagegen seien angekündigten Prüfungen bei
chergestellt sei, könnte die Datenverarbeitung in Kommunen eher auf Unverständnis gestoßen.
Behörden und Unternehmen das Datenschutz- „Dabei muss der öffentliche Bereich mit Vorbild-
recht verlassen. charakter vorangehen“, sagte Thiel. „Da hätte ich
mir ein wenig mehr Verständnis und Entgegen-
Ein Nebeneffekt: Große Plattformbetreiber hätten kommen gewünscht.“
nicht mehr die Nase vorn bei der Auswertung
von personenbezogenen Daten und könnten so Entsprechend ermutigte Gastgeber Dr. Stefan
ihre teils marktbeherrschende Stellung verlieren. Brink auf dem Behördentag am Freitag die Da-
tenschutzbeauftragten in Verwaltung und Äm-
Derzeit allerdings anonymisiere „jeder wie er tern, pragmatisch und hilfreich Datenschutz si-
kann“, sagte Richter. Was fehle seien „Best cherzustellen. „Aber lassen Sie sich nicht in die
Practice“-Beispiele, die in nachvollziehbarer und Ecke stellen und vom Entscheidertisch wegbugs-
wirtschaftlich umsetzbarer Weise zeigten, wie ieren.“ Und auch für Behörden gelte, dass Da-
die Betroffenen ein ausreichendes Maß an Sicher- tenströme in die USA nach dem EuGH-Urteil auf
heit bei der Anonymisierung zusichern könnten. den Prüfstand gehörten. „Machen Sie sich auf
Ob die Bundesregierung in ihrer seit Längerem den Weg“, rief er die behördlichen Datenschutz-
angekündigten Datenstrategie ein Treuhand-Mo- beauftragten auf. Diese sollten internationale
dell berücksichtige, ist laut Richter bislang unklar. Datenverkehre und transatlantische Dienstleister
identifizieren. „Das ist das, was wir sehen wollen
bei Kontrollen“, sagte Brink. „Wir erwarten nicht,
dass perfekte Lösungen da sind, aber dass man
sich Gedanken gemacht hat, wie man Probleme
lösen kann.“
Der Bayerische Beauftragte für den
Datenschutz, Dr. Thomas Petri, der
für den Datenschutz bei Behörden in
seinem Bundesland zuständig ist, be-
Von Behörden und Kommunen
tonte, dass es sein Haus sehr bewege,
Dass das Verständnis für Datenschutz mitunter dass die Entscheidung des EuGH zu
gerade bei Behörden noch nicht sonderlich ausge- Schrems II in die Zeit der Pandemie
prägt ist, davon berichteten Barbara Thiel, Landes- fiel, in der die Gesellschaft auf die
beauftragte für den Datenschutz Niedersachsen. Digitalisierung angewiesen sei.
BvD-NEWS Ausgabe 3/2020 7
DATEN SAMMELN
Dies berge Herausforderun- Live-Stream und das kleinste
gen, wie sein Amtskollege Kongress-Buffet der Welt
für den privaten Bereich,
Für uns als Vorstand ging damit eine brandneue
Michael Will, neuer Präsi-
Erfahrung zu Ende: Dass auch Live-Streams Dis-
dent des Bayerischen Lan-
kussionen, den Fachaustausch und das Netzwer-
desamts für Datenschut-
ken auf neue Art und Weise ermöglichen. Das war
zaufsicht, ausführte. Ob
aber nur durch den außerordentlichen und enga-
Corona-Warn-App, Gästelis-
gierten Einsatz unseres Veranstaltungsdienstleis-
ten in der Gastronomie und
ters und der BvD-Geschäftsstelle möglich. Denn
polizeiliche Aufgaben während der Pandemie –
unsere Online-Konferenz musste in wenigen Ta-
bei vielen Fragen müsse seine Behörde Auskunft
gen auf die Beine gestellt werden.
geben. Nicht immer fielen die Fragen ins Daten-
schutzrecht.
Eigentlich sollte die Herbsttagung in diesem Jahr
wieder in Stuttgart stattfinden, nachdem wir die
Christina Rölz, Leiterin des
dritte Ausgabe in Nürnberg mit überragendem
Sachgebiets Datenschutz
Erfolg abgehalten hatten. Vereinbart war für die
im Bayerischen Innenmi-
Gemeinschaftsveranstaltung von BvD mit den
nisterium, verwies auf dem
Aufsichtsbehörden in Bayern und Baden-Würt-
Behördentag auf ein weite-
temberg eine alternierende Örtlichkeit.
res Urteil des EuGH zur An-
wendbarkeit der DSGVO auf
Doch dann stiegen die Infektionszahlen erneut,
die Arbeit der Parlamente.
wir wichen auf Mannheim aus, und planten eine
Der Hessische Landtag hat-
Hybridveranstaltung aus „echten“ Vorträgen, die
te die DSGVO-Zuständigkeit für sich bislang ab-
wir ins Netzt streamen wollten. Bis die Beher-
gelehnt. Der EuGH habe diese Haltung verneint:
bergungsverbote kamen. Innerhalb weniger Tage
Artikel 23 sehe keine Ausnahmen vor.
musste wir nun den gesamten Kongress auf on-
line umstellen. Aber selbst ein Online-Catering für
die Teilnehmer gelang uns in den wenigen verblie-
Fragen an die Aufsichtsbehörden
benen Tagen noch zu organisieren.
Einer der inzwischen etablierten Höhepunkte so-
wohl auf der Herbstkonferenz als auch auf dem
Behördentag waren die „Fragen an die Aufsichts-
behörden“. Dabei spannten die Fragen einen wei-
ten Bogen: „Wohin fließen die Bußgelder?“ „Kann
ein Arbeitgeber von seinen Mitarbeitern ver-
langen sich in der Cloud zu registrieren?“ oder:
„Kann ein Gemeinderat seine Sitzung streamen?“
Und auch am Ende der drei intensiven Tage tauch-
te wieder Schrems II auf: Das Urteil habe die Rolle
der betrieblichen Datenschutzbeauftragten noch
einmal in den Mittelpunkt gerückt, sagte Micha-
el Will. Die Risikobetrachtung, das Datenverar-
beitungsverzeichnis, die Art der Daten und die Mit BvD-Rollups richteten wir in der Geschäfts-
Verarbeitungsverfahren – alles müsse nach dem stelle und bei den BvD-Vorständen, die jeden
Urteil genauer betrachtet werden, entgegnete er Fachvortrag moderierten, eine Studio-Atmo-
auf die Frage, ob ein Unternehmen mit Micro- sphäre her. Referenten und Moderatoren, alle
soft 365 in die Cloud emigrieren könne. Am Ende waren aus dem Home-Office oder aus ihren Bü-
habe die Entscheidung der Richter die Logik der ros zugeschaltet. Den letzten Verbandstag ha-
DSGVO befördert und ihr „extrem genutzt“. ben wir im BvD aufgrund von Corona, wenn
8 BvD-NEWS Ausgabe 3/2020
DATEN SAMMELN
auch eingeschränkt, noch mit eigenen Bordmit- Auch wenn die Idee der Herbsttagung ursprüng-
teln umgesetzt. Diese Veranstaltung fand mittels lich aus dem Wunsch unserer Mitglieder nach ei-
professioneller Begleitung durch einen Veranstal- ner zentralen Veranstaltung im Süden entsprang:
tungsdienstleister statt. So konnten wir alle Kom- Mit dem Online-Format haben wir die regionalen
ponenten des Herbstkongresses online abbilden. Grenzen überschritten und den BvD-Mitgliedern
bundesweit eine Plattform geboten. Trotzdem
Trotz der widrigen Umstände geriet die Konfe- hoffen wir natürlich, dass wir im nächsten Jahr
renz zu einem vollen Erfolg. Auch unsere Spon- wieder alle Präsenz zeigen können – dann eigent-
soren, die traditionell auf der Herbsttagung mit lich wieder in Nürnberg.
einem Stand vertreten sind, hatten das neue On-
line-Format angenommen, mit eigenen Vorträ-
gen und im Austausch mit den Teilnehmerinnen Die Vorträge zur Herbstkonferenz
und Teilnehmern in der extra dafür eingerichte- finden BvD-Mitglieder auf BvDnet.de
ten Event-Partner-Lounge. Die Workshops und im Mitgliederbereich unter der Rubrik
Detailthemen liefen parallel in vier Studios, zwi- Arbeitshilfen.
schen denen die Teilnehmenden wählen und mit-
unter auch springen konnten.Zum Netzwerken
hatten wir einen eigenen öffentlichen Chat-Kanal
Über den Autor
angelegt. Dort konnten die Teilnehmerinnen und
Teilnehmer weitere Fragen an die Referenten stel- Jürgen Hartz
len und sich untereinander austauschen. Stellv. Vorstandsvorsitzender des BvD
Anzeige
Führender
Gesamtlösungsanbieter PriME
im DATENSCHUTZ en
Bestell re
e
Sie unsLOSE
Datenschutzerklärungs- und
Cookie-Statement-Generatoren
N
KOSzeTlpElatzversion
Consent Manager Ein
Formular für Betroffenenanfragen
Datenschutzmanagement
Automatisierte Workflows
Plattform von
Validierung und Datenschutzexperten
Plausibilitätsprüfung
Führende Datenschutz-Software
bei mehr als 4000 Unterneh-
Austausch-Portal: Berichte, Kataloge
men im Einsatz
und Vorlagen für Online-Dienste
Neue Version 7.01
REST-API
2B Advice GmbH - the privacy benchmark | Joseph-Schumpeter-Allee 25, Bonn | 0228 926165-100 | sales.de@2b-advice.com | www.2b-advice.com
BvD-NEWS Ausgabe 3/2020 9
DATEN SAMMELN
DATENZUGANG, DATENTEILUNG,
DATENTREUHAND
Neue Instrumente der Datenpolitik
Frederick Richter, LL.M.
Bereits vor einem Jahr hatte die Bundesregierung skizziert, wie ihre für diesen Herbst angekündigte „Datenstrategie“
aussehen soll. Eines der stark betonten Ziele ist die Erleichterung des Zugangs zu Daten. Die EU-Kommission hat
in ihrer in diesem Jahr vorgelegten „Digitalstrategie“ ebenfalls die Bedeutung besserer Verfügbarkeit und intensive-
rer Nutzung von Daten hervorgehoben. In beiden Papieren werden Daten als Schlüsselressource gesellschaftlichen
Wohlstands gesehen und als Lösungshilfe für nahezu alle großen Aufgaben wie Umweltschutz, Klimaschutz, Inno-
vationen und den Zusammenhalt der Gesellschaft. Daten werden offenbar als eine Art universelles Wundermittel
betrachtet, seit wir im Datenzeitalter leben.
„Teile und herrsche Mit dem rechtspolitischen Konzept einer Daten-
(dann nicht mehr?)“ teilungspflicht unter dem griffigen und wohlklin-
genden Motto „Daten für alle“ entstand 2019
„Wissen ist Macht“ heißt es schon lange. Weil in
ein Lösungsvorschlag, der geeignet scheint Be-
der digitalen Welt vor allem Daten Wissen enthal-
wegung in die Debatte um neue Wege zur För-
ten und Macht generieren, heißt es inzwischen
derung der Datennutzung einerseits und zur
„Daten sind Macht“. Damit das allgemeine Wohl
Begrenzung von Datenmacht andererseits zu
und der Wettbewerb auf den Märkten nicht un-
bringen. Es geht dabei um Umsetzungsmöglich-
ter zu großer Machtfülle einzelner Akteure lei-
keiten und Erfolgschancen einer Regulierung von
den, müssen die richtigen Instrumente gefunden
nicht-personenbezogenen Daten zur Wettbe-
werden. Eine kartellrechtliche Zerschlagung von
werbsförderung. Eine solche Pflicht zum Teilen
Datenmonopolisten wird dabei als letztes Mit-
anonymer und anonymisierter Daten überträgt
tel angesehen. Die EU-Wettbewerbskommissa-
in gewisser Weise den im öffentlichen Bereich
rin und andere ziehen es vor, dass Daten „ge-
schon länger diskutierten Open-Data-Gedanken
teilt“ werden. Hinter dieser eher untechnischen
auf den privaten Sektor.
Begrifflichkeit verbirgt sich natürlich nicht etwa
eine Halbierung von Datenbeständen, sondern Was ist nun der Bezug zum Datenschutz – wo
eine Vervielfältigung. Im Anwendungsbereich dieser doch nun einmal die von einer etwaigen
der DSGVO würde eine Zugangsgewährung bzw. Datenteilungspflicht allein umfassten anony-
Weitergabe von Datenbeständen eine rechtfer- men Daten gar nicht erfasst? Einerseits ist die
tigungspflichtige Verarbeitung bedeuten. Ob Abgrenzung zwischen einem „Open Data im
der Anwendungsbereich des Datenschutzrechts nicht-öffentlichen Bereich“ und dem sachlichen
infolge von Personenbezug eröffnet ist, muss Anwendungsbereich des Datenschutzrechts von
daher vor allen weiteren Überlegungen zum entscheidender Bedeutung. Und andererseits
Datenteilen geklärt werden. gibt es eine Parallele in der Zielstellung: Sowohl
10 BvD-NEWS Ausgabe 3/2020DATEN SAMMELN
der Datenschutz als auch der Vorschlag zu einer Daten- bestimmbare Person zurückgeführt werden können? Der
teilungspflicht bezwecken einen Ausgleich von Machtun- Daten-für-alle-Vorschlag sieht diesbezüglich die Verant-
gleichgewichten. Zwar nennt das Datenschutzrecht selber wortlichkeit beim Unternehmen, das die Daten abgibt.
ein solches Schutzziel nicht, doch begreifen nicht wenige Das datengebende Unternehmen habe vor einer Weiter-
den Datenschutz auch als Machtausgleichsinstrument und gabe nicht-personenbezogener oder vormals personenbe-
nicht „nur“ als Mittel zum Zweck des Privatsphärenschut- zogener Daten sicherzustellen, dass auch zukünftig keine
zes. Auch durch das Datenteilen sollen Machtverzerrun- Re-Identifizierung möglich ist – eine nicht zu unterschät-
gen ausgeglichen werden – allerdings nicht mit Blick auf zende Aufgabe, selbst für die vom Vorschlag adressierten
das Individuum, sondern mit Blick auf den Wettbewerb. marktbeherrschenden Unternehmen.
Einem eher humanistisch ausgerichteten Machtausgleichs-
instrument wie dem Datenschutz steht mit der Datentei-
Wer kann Anonymität garantieren?
lung somit ein eher ökonomisch motivierter Ansatz ge-
genüber. Die Verantwortungslast bezüglich einer nachhaltigen An-
onymisierung scheuen Unternehmen auch deshalb, weil
Eine weitere Parallele findet sich innerhalb des Daten-
Orientierungspunkte für die Anonymisierung fehlen. Noch
schutzrechts und zwar mit dem Recht auf Datenübertra-
gibt es keinerlei Normen oder Standards für den relevan-
gung aus Art. 20 DSGVO. Dieses junge Betroffenenrecht
ten Vorgang des Anonymisierens. Wie eine hinreichend
sucht sogar beide zuvor genannten Ansätze zu verbinden.
belastbare Anonymisierung erreicht werden kann, dazu
Es soll sowohl die persönliche Datenkontrolle der einzel-
gibt es bislang keine offiziellen Maßgaben, keine Kurz-
nen Person steigern als auch den Wettbewerb im Daten-
papiere, Entschließungen, Orientierungshilfen oder an-
markt fördern, indem Betroffene die sie betreffenden Da-
dere Anwendungshinweise – weder von der Konferenz
ten weg von Datenmonopolisten und hin zu (bestenfalls
der deutschen Datenschutzaufsichtsbehörden noch vom
datenschutzaffineren) anderen Anbietern transferieren
EU-Datenschutzausschuss. Dies bewirkt Unsicherheiten
können. Die Idee hinter dem Portabilitäts- und Portie-
sowohl in Bezug auf das beschriebene Konzept des Da-
rungsrecht der Verbraucher erscheint sehr lobenswert. In
tenteilens als auch allgemein in Bezug auf das Nutzen
der Praxis spielt der Artikel 20 gleichwohl noch keine Rolle
anonymer Daten. Denn wenn mangels Regelung die zu
– wegen Unkenntnis in der Nutzerschaft, vor allem aber
erfüllenden Voraussetzungen für eine belastbare und
wegen (datenschutzrechtlich zulässiger) Inkompatibilität
rechtssichere Anonymisierung unklar sind, kann dies im
der digitalen Angebote. Ohne eine Pflicht zur Interopera-
Effekt dazu führen, dass Daten nicht genutzt werden,
bilität könnte die Datenportabilität ein bloßes Recht auf
obwohl von ihnen mangels Personenbezug eigentlich gar
dem Papier bleiben.
kein Risiko für Rechte und Freiheiten natürlicher Personen
mehr ausgehen kann.
Wo beginnt der Datenschutz?
Was die Datenteilung betrifft, so erscheint die Abgren- Daten zu treuen Händen?
zung zum Datenschutz zunächst trivial: Entweder sein
In der Datenstrategie der Bundesregierung spielt ein wei-
Anwendungsbereich ist durch einen Personenbezug der
teres neues Instrument eine Rolle: Das freiwillige Datentei-
zu teilenden Daten eröffnet, dann ist der Anwendungs-
len soll durch vertrauenswürdige Datentreuhänder geför-
bereich einer Datenteilungspflicht verschlossen. Oder die
dert werden. Die dazugehörigen Datentreuhandmodelle
Daten stehen mangels Personenbezug oder Personenbe-
werden im politischen Raum im Zusammenhang mit der
ziehbarkeit außerhalb des Datenschutzes und wären einer
Lösung unterschiedlicher Fragestellungen der Datenpolitik
Datenteilung bzw. Datenumverteilung zugänglich.
diskutiert. Ein Ergebnis wissenschaftlicher Auseinander-
Doch wie zukunftsfest ist diese eingängige Abgrenzung setzung mit den verschiedenen Modellen, ihren Zwecken,
angesichts stetig steigenden Rechenleistungen und immer Randbedingungen und Limitationen ist derzeit jedoch
besserer Auswertungsmöglichkeiten mit Big-Data-Metho- noch nicht verfügbar. Auch praktische Vorbilder sind noch
den, die De-Anonymisierungen durch das Übereinander- rar. In Großbritannien gibt es erste Erfahrungen mit dem
legen von Datenmustern und -rastern erleichtern? Und Instrument eines „Data Trust“. Im Rahmen dieses Projekts
wie wäre mit dem Risiko umzugehen, dass anonyme oder haben bei der UK Biobank eine halbe Million Personen frei-
anonymisierte Daten den Einflussbereich eines Verant- willig ihre Gesundheitsdaten sozusagen „zu deren treuen
wortlichen zwar ohne Bedenken verlassen, im Einfluss- Händen“ hinterlegt, damit die Einrichtung sie nach festge-
bereich eines anderen Verantwortlichen aber auf eine legten Prinzipien zu Forschungszwecken freigibt.
BvD-NEWS Ausgabe 3/2020 11DATEN SAMMELN
Ein ähnliches Konzept verfolgt aktuell das Robert-Koch-In- dung von persönlichen Daten nach den Bedürfnissen und
stitut mit seiner (nicht mit der Corona-Warn-App zu ver- persönlichen Einstellungen der Bürgerinnen und Bürger.
wechselnden) Datenspende-App. Sie organisieren die Durchsetzung persönlicher Rechte,
gewährleisten eine datensparsame Autorisierung gegen-
Zu klären sein wird jedoch zunächst, welches Problem
über Dritten (etwa auf Grundlage eines Personal Identity
mit einer Datentreuhand vornehmlich gelöst werden soll.
Management Systems) und können auch die temporäre
Denn abhängig davon, ob es um eine industrie-, wett-
Überlassung von Daten an Dritte etwa zu Forschungszwe-
bewerbs- oder datenschutzpolitische Fokussierung geht
cken organisieren.“
und davon, welchen Nutzen man sich von Datentreuhän-
dern verspricht, fällt die Definition von Datentreuhändern
unterschiedlich aus. Der Begriff der „Datentreuhand“ ist Klare Ausrichtung notwendig
nicht klar abgegrenzt und wird für ganz unterschiedli-
Datentreuhandmodelle sollen Chancen im Umgang mit
che Funktionen und Geschäftsmodelle verwendet. Eine
Daten eröffnen, indem sie das Teilen von Daten erleich-
Datentreuhand könnte verschiedene Formen haben und
tern, die Verfügung über Daten durch Datensubjekte ver-
sehr unterschiedliche Funktionen wahrnehmen:
einfachen und das Vertrauen in die Datenwirtschaft erhö-
• Stärkung individueller Kontrolle über Datenflüsse hen. Wegen des denkbar weiten Anwendungsbereichs von
Datentreuhändern und der bislang arg begrenzten prakti-
• Förderung der Teilhabe der Datensubjekte an
schen Erfahrungen wird eine Umsetzung wohl nur schritt-
wirtschaftlicher Verwertung von Daten
weise erfolgen können. Zudem müssen die Wechselwir-
• Förderung von Datenteilung und Verfügbarmachung kungen zwischen Markt, Technologie und Recht im Blick
von Daten zur Förderung von Innovation und behalten werden und natürlich stets Datenschutzkonfor-
Wettbewerb mität gewahrt sein. Ob, wann und wie eine Umsetzung
der verschiedenen datenpolitischen Ideen erfolgt, bleibt
• Bereitstellung qualitativ hochwertiger Daten
daher abzuwarten. Die Frage des Zugangs zu Daten wird
für Wissenschaft und Forschung
jedoch immer mehr in den Vordergrund rücken. Zukünf-
• Einschränkung der marktbeherrschenden Stellung tig wird es weniger darum gehen, wem Daten „gehören“,
großer Plattformbetreiber sondern vor allem, wer die Daten nutzen darf. Treuhand-
modelle scheinen durchaus geeignet, Anreize zu setzen,
• Förderung vertrauenswürdiger europäischer
um das freiwillige Teilen von Daten und die Nutzung durch
Plattformangebote
Dritte über eine neutrale Instanz zu erleichtern.
• Bildung eines Vertrauensankers und Vermittlers
zwischen Datengebern und Datennehmern
Die multifunktionale Treuhand
Welche diese Aufgaben eine kommende Datentreuhand
übernehmen soll, ist politisch noch nicht entschieden. Die
Koalitionspartner der Bundesregierung setzten in ihren
jeweiligen Positionspapieren vom Mai dieses Jahres dazu
unterschiedliche Schwerpunkte. Die Unionsfraktion sieht
in Datentreuhandmodellen vor allem eine “gute Möglich-
keit, Teilen von Daten und die Nutzung durch Dritte über
neutrale Instanz zu erleichtern und private wie unterneh- Über den Autor
merische Ansprüche geltend zu machen.“ Die SPD be- Frederick Richter, LL.M.
tont eher den verbraucherbezogenen Aspekt und zielt ab ist Vorstand der Stiftung Datenschutz.
auf den „Aufbau einer Datentreuhänderstruktur für den
Schutz persönlicher und personenbezogener Daten und https://stiftungdatenschutz.org/startseite/
eine parallele, sektorbezogene Struktur für den Austausch
und zum Teilen von nicht-personenbezogenen Datensets
zwischen unterschiedlichen Akteuren“. Die Praxis solle wie
folgt aussehen: „Datentreuhänder verwalten die Verwen-
12 BvD-NEWS Ausgabe 3/2020DATEN SAMMELN
DAS DURCHLEUCHTETE ICH:
AUTOMATISIERTE ENTSCHEIDUNGEN
IN PERSONALAUSWAHL UND
PERSONALFÜHRUNG
Plädoyer für einen aufgeklärten
Umgang mit künstlicher Intelligenz
Regina Bergdolt
Worum geht es in diesem Artikel? Ihr Ich als durchleuchteter Bewerber
Künstliche Intelligenz hat weltweit Einzug ge- Sie haben sich auf eine Fach- oder Führungs-
halten in Prozesse der Personalauswahl und position beworben; das Unternehmen lädt
Personalführung. Systeme unterstützen Re- Sie zu einem Videointerview ein – nicht un-
cruiter Bewerber anzusprechen, fördern die gewöhnlich in digitalen Zeiten. Im Vorfeld re-
Laufbahnentwicklung von Talenten oder sol- cherchieren Sie über das Unternehmen und
len das berufliche Lernen auf Lernbedürfnisse finden kritische Kommentare auf einer be-
ausrichten. kannten Arbeitgeberbewertungsplattform.
Angeblich nutzt das Unternehmen eine
Der technische Umbruch kommt häufig mit
„Analysesoftware“ auf Basis künstlicher In-
einem Versprechen: Endlich könne man nicht
telligenz, die Bewerberantworten einschätzt.
nur Prozesse wie die Personalauswahl auto-
Die künstliche Intelligenz werte Körperspra-
matisieren, sondern auch objektivieren. Im
che, Wörter, Sätze sowie Tonfall aus, lesen
Gegensatz zum Menschen, der eben immer
Sie auf der Plattform. So könne das System
subjektiv arbeite, sei Technik objektiv. Der
geeignete Bewerber auswählen.
Mensch als verstandesberaubtes Mängel-
wesen?
Um Missverständnissen vorzubeugen: Dies Die geleitete Führungskraft
ist kein Plädoyer gegen künstliche Intelligenz
Sie übernehmen eine Führungsposition; in
und digitale Technologien, im Gegenteil. Eu-
den ersten Tagen kommt der HR-Direktor auf
ropa braucht Hightech-Innovationen. Es ist
Sie zu. Er bittet Sie eindringlich, in Zukunft
ein Plädoyer für einen verantwortlichen und
den Empfehlungen einer „ganz neuen Tech-
aufgeklärten Umgang mit künstlicher Intelli-
nologie“ zu folgen. Diese analysiere die Be-
genz. Mensch und künstliche Intelligenz sind
ziehungen am Arbeitsplatz und werde helfen
keine Gegner, sondern Partner, und können
auch Ihre Arbeitsbeziehungen zu verbessern,
so einsichtige Entscheidungen treffen.
argumentiert der HR-Direktor. Die Automa-
tion gehöre jetzt zu Ihren Arbeitswerkzeu-
Künstliche Intelligenz in der Perso- gen und Ihre Aktionen dort würden auch ge-
nalführung – so könnte es für Sie trackt.
laufen
Die Beispiele sind in dieser Art fiktiv, doch
Künstliche Intelligenz in der Personalführung: ähnliche Technologien mit künstlicher Intel-
Bitte stellen Sie sich folgende Szenarien vor. ligenz sind im Einsatz. Das wirft Fragen auf.
BvD-NEWS Ausgabe 3/2020 13DATEN SAMMELN
Foto: Unsplash
der Arbeit zu finden3. Weitere „Erschwernisse“ wie
Keine Zukunftsmusik, sondern
Betreuungspflichten oder Migrationshintergrund
Alltagsrealität: Drei ganz reale Beispiele
führten zu einem kumulativen Nachteil. Im Klar-
Der Arbeitsmarktservice Österreich (AMS) ist Dienst- text: Besonders Frauen über 50, die Angehörige
leister am Arbeitsmarkt in Österreich1. 2019 nahm pflegen oder Kinder betreuen, brauchen in dieser
der AMS einen Algorithmus in den Testbetrieb, um Logik kaum auf wertige Weiterbildung zu hoffen.
die Arbeitsmarktchancen von Jobsuchenden zu be- Auch dann nicht, wenn sie motiviert und wahre
werten. Die Einführung war strittig, auch von wis- Zeitmanagementkünstlerinnen sind.
senschaftlicher Seite. 2020 stoppte die österreichi-
Auch in der Kreditvergabe, beispielsweise der Prü-
sche Datenschutzbehörde mit einem Bescheid das
fung von Ausfallrisiken, arbeiten Anwendungen mit
System. Kritiker fürchteten, dass durch die Katego-
künstlicher Intelligenz. Das betrifft Privatkunden
risierung von Arbeitslosen Menschen mit geringen
wie Geschäftskunden. So geht es darum, Muster
Jobchancen benachteiligt würden. Der Algorithmus
und Zusammenhänge zwischen bestimmten Daten
1
https://www.ams.at/ sei kein objektives Programm, viele Werturteile
organisation/ueber-ams/daten- und einer Pleitewahrscheinlichkeit zu entdecken,
und Bewertungen, über die gesellschaftlich disku-
und-fakten schrieb das „Handelsblatt“4 . Unklar bleibt, welche
2
https://www.derstandard.at/ tiert werden müsste, seien eingeflossen, zitierte
story/2000114974300/ams- Faktoren der Algorithmus wie gewichtet: „Vielleicht
algorithmus-forscher-warnen-vor- „DerStandard“2.
diskriminierung-und-bemaengeln-
liegt Ihr Betrieb in einem Viertel, in dem es häu-
fehlende-transparenz fig zu Pleiten kommt, oder Sie haben einen merk-
3
https://netzpolitik.org/2019/
streit-um-den-ams-algorithmus-
Entscheidungen haben eine Wirkung, würdig klingenden Nachnamen“, erläutert Hans-Pe-
geht-in-die-naechste-runde/
4
das zeigt sich an diesem Beispiel. ter Burghof vom Lehrstuhl für Bankwirtschaft und
https://www.handelsblatt.com/
unternehmen/leasing/rating- Finanzdienstleistungen an der Universität Hohen-
Wissenschaftlerinnen und Wissenschaftler wiesen
durch-digitale-kreditpruefer-wenn- heim.
kuenstliche-intelligenz-ueber-eine- darauf hin, dass der Algorithmus etwa Frauen of-
finanzierung-entscheidet/22593710.
html?ticket=ST-4486378-
fen benachteilige, da sie aufgrund ihres Geschlechts Besonders vielversprechend für Anbieter von Ent-
427iOJEsmUzpARNMh5Jp-ap1 niedrigere Chancen prognostiziert bekommen, wie- scheidungsalgorithmen erweist sich der Bereich
14 BvD-NEWS Ausgabe 3/2020DATEN SAMMELN
der Personalauswahl, wie der renommierte Wirt-
schaftspsychologe Professor Dr. Uwe Peter Kanning
berichtet5.
Computerprogramme suchen in sozialen Medien
selbstständig nach Bewerbern. In Interviews be-
antworten Bewerber eher belanglose Fragen, eine
Software analysiert, welche Worte beispielswei-
se wie häufig und in welcher Betonung gespro-
chen wurden – und erstellt daraus ein Persönlich-
keitsprofil. International ist die Szene mindestens
genauso bunt. Der US-amerikanische Autor Ben
Eubanks6 berichtet beispielsweise von Video-
tools für den Recruitingprozess. Ein System, so
der Autor, bewerte die Videoleistung des Kandi-
daten durch den Einsatz von maschinellem Ler- Grafik: Regina Bergdolt
nen samt ‚Beobachten von abweichenden Ver-
nem Gewebe unterscheiden sollen, so sind von An-
haltensweisen‘ (Übersetzung durch Autorin).
fang an Fachärzte eingebunden. Sie liefern das not-
Ein virtueller Lügendetektor?
wendige Wissen, um das Modell zu entwickeln und
Ergebnisse zu prüfen.
Das große Versprechen –
Interessant ist bei einigen Anwendungen künstli-
Objektivität durch Technik
cher Intelligenz, dass sie Forschung und Praxis zu
Vorurteilsfreie Behandlung auf Basis messbarer Fak- professioneller Personalauswahl unberücksichtigt
ten und automatisierter Analyse sind oft Verkaufs- lassen. Und dennoch zu guten Entscheidungen
versprechen. Das klingt fortschrittlich, doch ist dem kommen wollen. Das geht nicht zusammen.
auch so? Fest steht: Laut Voraussage wird der Um-
Im Bereich der Personalführung und vor allem der
satz mit Unternehmensanwendungen für künstli-
Personalauswahl gibt es umfassendes Forschungs-
che Intelligenz erheblich wachsen. Wird 2020 ein
und Fachwissen aus dem Bereich der Eignungsdia-
Umsatz von fast 5 Milliarden US-Dollar erwartet,
gnostik, die wiederum Teil der Wirtschaftspsycho-
so liegt die Erwartung für das Jahr 2025 bei über 31
logie ist. Zwei Qualitätskennzahlen sind entschei-
Milliarden US-Dollar – schwindelerregende Perspek-
dend; mit beiden hat jeder zu tun, der über Beset-
tiven, wie das Unternehmen Statista bereits 2016
zungen und Beförderungen entscheidet – ob er es
errechnete.
weiß oder nicht.
Es ist nicht nur legitim mit technisch innovativen
Zum einen soll Ihre Prognose treffsicher sein: Ist die
Produkten Umsatzmärkte zu erschließen, es ist so-
Person, die Sie wählen, geeignet, entspricht sie den
gar erfreulich. Verantwortlich eingesetzte künstli-
Anforderungen für die Position? Das ist die prognos-
che Intelligenz kann ein Wettbewerbsvorteil sein.
tische Validität. Genauso wichtig ist die soziale Va-
Doch halten die Systeme, was sie versprechen –
lidität: Die gesamte Auswahlsituation soll fair sein,
entscheiden sie „objektiv“?
für beide Seiten transparent. Der Bewerber erhält
alle Informationen, die er braucht, um zu entschei-
Die „objektive Entscheidung“ – den: Passt diese Stelle, dieses Unternehmen zu mir?
was macht sie aus? Das Beispiel Diesen Qualitätskriterien gerecht zu werden ist kein
Personalauswahl Hexenwerk, sondern der Alltag gut ausgebildeter
Personalentscheider. Jeder professionelle Auswahl-
In der Entwicklung künstlicher Intelligenz gibt es
prozess beginnt mit einer Anforderungsanalyse, Fo-
eine Grundregel: Fachwissen ist der Ausgangspunkt.
kus: Was braucht ein Mensch, um diese Tätigkeit in
So etwa bei Anwendungen für die Medizin. Entwi- dieser Organisation erfolgreich zu bewältigen? Dazu 5
https://www.trendreport.de/
kanning/#tab-id-2
ckelt man zum Beispiel für Bilderkennungslösungen, gehört eine klare Beschreibung der persönlichen, so- 6
Ben Eubanks (2019). Artificial
die Tumore in der Bilddiagnostik von nicht befalle- zialen und unternehmerischen Kompetenzen oder Intelligence for HR. KoganPage.
BvD-NEWS Ausgabe 3/2020 15DATEN SAMMELN
Soft Skills. Denn die unterscheiden sich erheblich tisch nach Hinweisen auf weibliche Bewerber, zum
von Position zu Position. Alle weiteren Auswahlver- Beispiel nach einer Ausbildung an Frauencolleges.
fahren beziehen sich dann genau auf diese Anforde- Dieses Machine-Learning-Modell hat seinen Auf-
rungen, Interviews sind entsprechend strukturiert. traggebern in Sachen Besetzungspraxis den Spiegel
vorgehalten.
Werden Anwendungen, die künstliche Intelligenz
2. Throughput Bias
nutzen, den Qualitätsanforderungen gerecht, wenn
sie aus Gesten, Tonfall oder gar Gesichtsform An- Diese Fehler entstehen in der Datenverarbeitung
forderungen bestimmen wollen? Urteilen Sie selbst. durch das Modell. Die Fehlerquellen sind vielfältig:
falsche Datensätze, Messfehler, falsche Auswertun-
gen, statistische Fehler. So haben Bilderkennungs-
Fazit: Über die Qualität Ihrer Auswahlprozesse ent-
programme Fehler produziert, weil sie Bilddetails
scheidet die Methode, nicht die Technik. Menschen
fehlbewertet haben – so wurde der Hund zum Wolf.
machen Auswahlfehler, weil sie ihre Menschen-
kenntnis und gefühlte Entscheidungen zu hoch ge-
Fehler gehören zur Entwicklung, doch man muss sie
wichten. Systeme mit künstlicher Intelligenz sind
finden und vermeiden. Dazu braucht es Kontrollen
zweifelhaft, wenn sie sich nicht an Anforderungen
auf zwei Ebenen. Die Ergebnisse der Anwendungen
orientieren und methodisch beliebig sind.
müssen regelmäßig inhaltlich von Fachexperten und
technisch von Data Scientists überprüft werden.
Künstliche Intelligenz „total objektiv“? –
3. Output Bias
Das Bias-Problem
Gemeint ist eine unkritische Nutzung der Ergebnis-
Systeme mit künstlicher Intelligenz sind gelegent-
se, ohne Prüfung der Folgen für Betroffene. Das ist
lich so vorurteilsbehaftet wie ihre Schöpfer. Es han-
übrigens eine valide Befürchtung der Kritiker des
delt sich um das Bias-Problem, das Problem von
schon erwähnten Systems des Arbeitsmarktservice‘
Verzerrungen oder Vorurteilen.
Österreich.
Wie kommen Vorurteile in die Technik7?
1. Input-Bias Transparenz durch künstliche Intelligenz?
Das Blackbox-Problem, ganz praktisch
Jede künstliche Intelligenz, jede Machine-Lear-
ning-Anwendung wird über Daten trainiert. Diese Viele Entscheidungen, die künstliche Intelligenz
Trainingsdaten stehen am Anfang der Entwicklung. (KI) trifft, wirken auf das Leben von Menschen; das
Sie sind entscheidend dafür, wie das Modell lernt wirft Fragen der digitalen Ethik auf. Deshalb ist es
und zu Ergebnissen kommt. Sind die Datensätze legitim nachzufragen, wie denn künstliche Intelli-
wenig repräsentativ oder fehlen Daten von Bevöl- genz zu Prognosen und Ergebnissen kommt. Tref-
kerungsgruppen, entwickelt das Modell einen „Bias“ fen Menschen Entscheidung, so kann man schließ-
– eine Schieflage, die sich in den Ergebnissen nie- lich auch nachfragen – und Widerspruch einlegen.
derschlägt. Salopper kennt man das Thema unter
Künstliche Intelligenz trägt diesen Namen, da sie
„Rubbish in – Rubbish out“.
intelligentes Verhalten quasi „nachahmt“ oder si-
Bekannt geworden ist das KI-System von Amazon, muliert. Wird herkömmliche Software nach Regeln
mit dem das Unternehmen automatisierte Bewer- programmiert, so wird KI-Technologie auf Basis von
berbeurteilungen erreichen wollte; dazu sollte das Daten „trainiert“, nicht nach festen Regeln pro-
System aus Bewerberdaten automatisch geeignete grammiert. Somit hat KI, symbolisch gesprochen,
Bewerber herausfiltern. Das System wurde auf Basis einen gewissen Freiraum, Entscheidungen zu tref-
der Daten von Bewerbern trainiert, die Amazon an- fen. Auch das macht die Technologie so spannend.
7
Begriffe nach Martin Eiermann, genommen hatte. Da Amazon in der Vergangenheit
UC Berkeley, Online-Seminar der Sogenannte „Nicht-erklärbare künstliche Intelli-
Friedrich-Naumann-Stiftung am vorwiegend Männer eingestellt hatte, entwickelte
16. Juli 2020 genz“ (non-explainable artificial intelligence) be-
das System eine „Schieflage“:
8
https://www.heise.de/ zeichnet Anwendungen, bei denen nicht nachzu-
newsticker/meldung/Amazon-
KI-zur-Bewerbungspruefung-
Es sortierte Frauen akkurat als ungeeignete Bewer- vollziehen ist, wie sie zu Ergebnissen kommen. Das
benachteiligte-Frauen-4189356.html ber aus8. Mehr noch, das System forschte systema- ist ungefähr so, als wäre die Motorhaube Ihres Au-
16 BvD-NEWS Ausgabe 3/2020DATEN SAMMELN
tos fest verschweißt – Sie können nur hoffen, dass
alles störungsfrei läuft. Diese Anwendungen sind
eine Blackbox, und deren Intransparenz ist ein Pro-
blem. In der Blackbox können technische wie lo-
gische Fehler stecken, die keiner überprüfen kann
- außer dem Hersteller.
Technisch gesehen: Transparenz ist möglich
Technisch gesehen ist Transparenz durchaus mög-
lich, wenn auch aufwändiger. Es gibt Machine-
Learning-Modelle, deren Entscheidungsgrundlagen
nachvollziehbar sind. Das gilt etwa für Anwendun-
gen wie die sogenannten Decision Trees oder sol-
che, die Regressionsmodelle nutzen. Komplizierter
wird es bei künstlichen neuronalen Netzen, eine
Grafik: Regina Bergdolt
Form der KI, die ähnlich arbeitet wie das menschli-
che Gehirn. Doch auch diese Systeme müssen kei-
ne Blackbox sein; es ist technisch möglich Teile da-
von nachvollziehbar zu gestalten oder zumindest
deren Quellen stammen, denn es ist aufwändig,
Einfluss auf Entscheidungen sichtbar zu machen.
Datenquellen zu erschließen. Im Bereich der Perso-
Dazu gibt es eine Reihe von Forschungsprojekten,
nalauswahl greifen Systeme oft auf Logiken zurück,
beispielhaft sei hier das Team „Erklärbare KI“ am
die aus ganz anderen Bereichen kommen - zum Bei-
Fraunhofer Institut für Integrierte Schaltungen IIS
spiel aus Stimm- und Stimmungsanalysen von Kon-
angeführt9.
sumenten.
Mitte Februar 2020 hat die Europäische Kommis-
Seien Sie kritisch gegenüber Forschungen, die der
sion in ihrem Weißbuch zur künstlichen Intelligenz
Anbieter selbst durchgeführt hat. Dass es irgend-
gefordert, dass selbstlernende Systeme vom Men-
welche Zusammenhänge gibt, heißt nicht, dass die
schen überprüfbar sein müssen10. Ein Weg kann
Lösung vertretbar ist. Fragen Sie im Zweifelsfall bei
sein, künstliche Intelligenz von Anfang an als erklär-
unabhängigen Forschern nach.
bare künstliche Intelligenz oder Explainable AI (XAI)
zu entwickeln – ein wesentlicher Schritt zur Trans- Die Frage nach der Datengrundlage
parenz.
Ein Machine-Learning-Modell kann nicht besser
sein als die Daten, von denen es gelernt hat. Wel-
Sie und die KI - was machen Sie daraus? che Daten hat der Anbieter erhoben? Sind sie reprä-
sentativ oder ist ein Bias schon eingebaut? Mit wel-
Wer mit künstlicher Intelligenz zu tun hat, kann
chen Daten hat man das Modell getestet?
sich an Immanuel Kant halten: „Habe Mut, dich
deines eigenen Verstandes zu bedienen.“ Mut ist Wer finanzierte die Entwicklung und wie
schon deshalb nützlich, weil es sich um eine kom- sieht das Geschäftsmodell aus?
plexe Technologie handelt. Nun können Nicht-Ex-
Fragen Sie nach, wie der Anbieter sein Geld ver-
perten selten technische Analysen durchführen.
dient. Wer hat die Entwicklung der Lösung finan-
Doch sie können Fragen stellen, die Sinn machen.
ziert, und wie erzielt der Anbieter seinen Umsatz?
Die Gretchenfrage: Haben Sie es mit einer Die Entwicklung künstlicher Intelligenz ist in der Re-
sinnvollen Anwendung zu tun? gel aufwändig und teuer; viele Unternehmen kön-
nen das nicht alleine stemmen. Wer finanziert, hat
Fragen Sie bei allen Anwendungen: macht das Prin-
auch Einfluss auf die Technologie. 9
https://www.iis.fraunhofer.de/
zip Sinn? Gibt es belastbare Forschung in der jewei- de/ff/sse/imaging-and-analysis/
ligen Fachdomain? Sie würden ja auch keinem Arzt Wer evaluiert die Ergebnisse der künstlichen eki.html
10
https://ec.europa.eu/info/
vertrauen, der Ihr Herz im Knie vermutet. Intelligenz? sites/info/files/commission-
white-paper-artificial-intelligence-
Oft greifen Systeme auf Daten zurück, die aus an- Auch eine solide entwickelte Anwendung braucht feb2020_de.pdf
BvD-NEWS Ausgabe 3/2020 17Sie können auch lesen
