Datenschutz: Tätigkeitsberichte verdeutlichen Sorgen um KI-Überwachungspraktiken
Die Landesdatenschützerinnen von NRW und Berlin sprechen sich anlässlich ihrer Tätigkeitsberichte gegen Überwachungspraktiken aus, die auf dem Vormarsch sind.
(Bild: Sergey Nivens/Shutterstock.com)
Die Landesdatenschutzbeauftragten von Nordrhein-Westfalen und Berlin haben ihre aktuellen Tätigkeitsberichte vorgestellt. Beide Berichte zeigen vor allem wachsende Herausforderungen durch das Thema Künstliche Intelligenz und Videoüberwachung, aber auch aufgrund einer steigenden Zahl an Datenpannen. "Zu oft höre ich, der Datenschutz sei hinderlich oder werde zu wichtig genommen. Die Menschen aber wollen, dass ihre Daten geschützt sind und müssen mit ihrem Anliegen auch politisch ernst genommen werden", so Bettina Gayk, die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW). Datenschutz sei kein Hemmschuh, sondern ein zentrales Anliegen der Menschen.
Ein neuer Trend in der Callcenter-Branche sei beispielsweise der Einsatz von KI-gestützter Emotionsanalyse, die in Echtzeit die Sprachmelodie, Intensität, Rhythmus und Klang der Stimmen der Kunden und die der Agenten analysiert. Gayk hat ein solches System bei einem Online-Marketing-Unternehmen geprüft und bewertet den Einsatz als einen massiven und nicht gerechtfertigten Eingriff in die Persönlichkeitsrechte der Betroffenen. "Die KI-gestützte Auswertung von Stimme zur Emotionserkennung stellt ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen dar, da sie weitgehende Einblicke in die Persönlichkeit zulässt", heißt es dazu im Bericht (PDF). Die Verarbeitung der Sprachdaten sei ohne rechtliche Grundlage erfolgt.
Smarte Rauchmelder und Co.
Auch Fälle wie smarte Rauchwarnmelder mit Klimamonitoring-Funktion in Vonovia-Wohnungen sorgten für Verunsicherung. In Zukunft darf die Funktion ohne Einwilligung der Mieter nicht aktiviert werden. In einem weiteren Fall hatte ein Online-Wetter-Unternehmen ohne wirksame Einwilligung Standortdaten seiner Nutzer an Dritte weitergegeben, was ebenfalls untersagt wurde. Ebenfalls prüfte die LDI Versicherungsunternehmen, die ohne Erlaubnis per E-Mail sensible Gesundheitsdaten untereinander ausgetauscht hatten.
Videos by heise
Kritisch äußerte sich Gayk zu politischen Plänen, die Datenschutzaufsicht zu zentralisieren. Sie sieht darin einen Rückschritt, der weder zu Bürokratieabbau noch zu Kosteneinsparungen führe. Die Nähe der Landesaufsicht zu kleinen und mittleren Unternehmen sei wichtig. Ein Wechsel zur Bundesaufsicht würde die Beratung erschweren und gewachsene Strukturen zerstören. Die hohe Zahl von 12.490 Eingaben im vergangenen Jahr unterstreiche die Bedeutung einer ortsnahen Aufsicht. "Angesichts dieser Zahlen, die allein NRW betreffen, müssten bei der Bundesdatenschutzbeauftragten ganze Abteilungen neu aufgebaut werden. Gleichzeitig würden gewachsene Strukturen auf Landesebene zerschlagen. Das kann niemand ernsthaft wollen", kritisiert Gayk.
Transparenzgesetz gefordert
Gayk warnt zudem auch vor einem "Abbau des Datenschutzes zugunsten neuer Sicherheitsgesetze, die im Bund wie in NRW im Gespräch sind". Als besorgniserregend bezeichnet sie die Ideen, KI zur Gesichtserkennung einzusetzen und den in NRW ins Spiel gebrachten Zugriff des Verfassungsschutzes auf private Videoüberwachungsanlagen. "Von privater Videoüberwachung wie etwa im öffentlichen Nahverkehr oder an Tankstellen sind täglich Millionen Menschen betroffen, die für ein Tätigwerden von Sicherheitsbehörden keinen Anlass gegeben haben. Wenn diese Menschen künftig hinter jeder privaten Kamera den mitbeobachtenden Verfassungsschutz vermuten müssen, ist das ein nicht gerechtfertigter massiver Eingriff in bürgerliche Freiheitsrechte."
Zudem will die LDI NRW überprüfen, ob die Staatsanwaltschaften datenschutzkonform arbeiten und beispielsweise personenbezogene Daten rechtmäßig verarbeiten, jedoch blockiert das Justizministerium laut Gayk diese Kontrolle und stellt infrage, ob die LDI NRW berechtigt ist. Gayk sieht darin eine unzulässige Einschränkung ihrer Unabhängigkeit und eine Missachtung ihrer gesetzlichen Kontrollbefugnisse. Im Bereich Informationsfreiheit fehle es Gayk zufolge an einer "erkennbaren Entwicklung des Informationsfreiheitsgesetzes NRW hin zu einem echten Transparenzgesetz", wodurch das Vertrauen in Staat und Demokratie gestärkt werden kann. "Der Landesregierung sollte eigentlich an einer proaktiven und transparenten Informationspolitik ihrer Verwaltung gelegen sein", gibt Gayk zu Bedenken.
Biometrische Gesichtserkennung betrifft viele Unschuldige
Im Fokus des Tätigkeitsberichts von Meike Kamp, der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), stehen ebenfalls Fragen zu KI, Videoüberwachung und biometrischer Gesichtserkennung. Besonders kritisch bewertet Kamp den Einsatz von Gesichtserkennungssystemen durch die Berliner Staatsanwaltschaft: Die rechtlichen Grundlagen seien unzureichend, eine Datenschutzfolgenabschätzung habe gefehlt. Sie warnt vor massiven Grundrechtseingriffen, da biometrische Merkmale unveränderlich sind und viele unbeteiligte Personen betroffen sind.
"Der Einsatz von Gesichtserkennungssystemen durch Strafverfolgungsbehörden greift intensiv in das Grundrecht auf informationelle Selbstbestimmung ein. Biometrische Merkmale sind unveränderlich. Menschen können nicht einfach ihr Gesicht absetzen", so Kamp. Sobald deren Merkmale erfasst und identifiziert werden, "schwinden jene Bereiche, in denen sie sich anonym und ohne Spuren zu hinterlassen bewegen können". Vom Einsatz solcher Systeme sind viele unverdächtige Personen betroffen. "Die bestehenden gesetzlichen Regelungen bieten hierfür keine ausreichende Grundlage", erklärt Kamp.
Nicht-dienstliche Datenabrufe durch Polizeibeamte
Viele Bußgeldverfahren betrafen erneut Polizeibeamte, die "zu nicht-dienstlichen Zwecken personenbezogene Daten von Dritten aus den polizeiinternen Datenbanken abgerufen und teilweise auch weiterverwendet haben". Auch die Videoüberwachung an der Polizeiwache Kottbusser Tor wurde als unverhältnismäßig und ohne ausreichende Rechtsgrundlage eingestuft. Die Polizei müsse mildere Alternativen prüfen, um die Grundrechte von Passanten und Hilfesuchenden zu wahren. Kamp setzt sich ebenfalls für mehr Transparenz ein: "Oftmals werden die betroffenen Personen bisher entweder gar nicht oder nicht ausreichend über die Verarbeitung ihrer Daten in KI-Systemen informiert".
Aus dem Bericht der BlnBDI geht auch hervor, dass Unternehmen personenbezogene Daten ohne ausreichende Information der Betroffenen für KI-Training nutzten. Ein Unternehmen verwendete die gesamte Kundenkommunikation für das KI-Training, ohne die Kunden zu informieren. Ein weiteres Unternehmen, eine Fotoplattform, bot ins Internet hochgeladene, personenbezogene Bilder gegen Bezahlung für das KI-Training an, ohne Betroffene zu informieren. Kamp kündigt verstärkte Prüfungen an, insbesondere im Hinblick auf Transparenz und Diskriminierungsrisiken durch verzerrte Daten. Auch in der Berliner Verwaltung soll KI datenschutzkonform eingesetzt werden – die Datenschutzbeauftragte begleitet diese Prozesse beratend.
Unerlaubte (Wahl-)Werbung
Überdies berichtet Kamp von Fällen, in denen die Dienste von Adresshändlern genutzt und in der Folge unerlaubt Werbung verschickt wurde. Ein Landesverband schickte einem Betroffenen ein Wahlwerbeheft, ohne dass er zuvor eine Zustimmung dafür gegeben hatte. Der Landesverband nutzte Adressdaten mit den Merkmalen "Performer", "konservativ-etabliert" oder "liberal-intellektuell". So wurden 130.000 Adressdaten von einem Lettershop – einem Unternehmen, das unter anderem Dienstleistungen für den massenhaften Versand von Post anbietet – genutzt, "der dann im Rahmen einer Auftragsverarbeitung das vom werbenden Unternehmen zur Verfügung gestellte Werbematerial an die vom Adresshändler übergebenen Adressen versendete".
In einem ähnlichen Fall hatte ein Unternehmen Werbung für eine Kulturveranstaltung verschickt und ebenfalls die Dienste eines Adresshändlers in Anspruch genommen. Ausgesucht und an einen Lettershop übermittelt wurden Adressen mit den Attributen "wohnhaft in Berlin“ oder "wohnhaft in Brandenburg" und "Kaufkraft stark überdurchschnittlich" oder "Kaufkraft überdurchschnittlich".
Zuständigkeit bei Doctolib
Seit 2019 ist das für sein Buchungsportal für Arzttermine bekannte Unternehmen Doctolib in den Tätigkeitsberichten der BlnBDI aufgeführt. Das lag auch an bisherigen Unklarheiten, welche Datenschutzbehörde für das aus Frankreich stammende Unternehmen zuständig ist, das ein Tochterunternehmen mit Sitz in Berlin hat. Relevant ist dabei auch, wer über "Mittel und Zwecke bestimmter Datenverarbeitungen entscheidet".
Nach widersprüchliche Informationen zur Verantwortlichkeit in der Datenschutzerklärung und den Erklärungen der deutschen Tochtergesellschaft gegenüber den Aufsichtsbehörden stellt die BlnBDI klar, dass in der Regel die französische Datenschutzaufsicht (Commission Nationale de l’Informatique et des Libertés – CNIL) für Sanktionen gegen Doctolib zuständig ist. In diesem Zusammenhang weist die BlnBDI außerdem darauf hin, dass Unternehmen "zutreffende Angaben zum Verantwortlichen für die Datenverarbeitung" machen müssen.
Für Beschwerdeverfahren gegen Doctolib, "die grenzüberschreitende Datenverarbeitungen betreffen, für die die Konzernmutter verantwortlich ist", arbeiten die beiden Aufsichtsbehörden zusammen, allerdings entscheidet die CNIL. Sie legt der BlnBDI dann einen Beschlussentwurf vor, für den die BlnBDI eine Stellungnahme verfasst, dem "gebührend Rechnung" getragen werden soll.
Höchststand an Datenpannenmeldungen
Die Zahl der Beschwerden und Datenpannen erreichten, wie in vielen anderen Bundesländern auch, Höchststände. In Berlin ist von 6.063 Beschwerden und 1.262 gemeldeten Datenpannen die Rede. Insgesamt erließ Kamp Bußgelder in Höhe von insgesamt 80.190 Euro. Allein Sicherheitslücken in Praxismanagementsoftware führten zu einem Bußgeld von 60.000 Euro. Die Sicherheitslücken ermöglichten angemeldeten Patienten "auf umfangreiche Daten anderer Patienten:innen zuzugreifen". Ein weiterer Softwarefehler sorgte zudem dafür, dass unbefugte Dritte medizinische Dokumente einsehen konnten, "die von den Arztpraxen an die Patient:innen übermittelt wurden".
(mack)
