Wie auch die Vielzahl an Artikeln in unserem Blog in den letzten Monaten zeigen, gibt es kaum ein aktuelleres und mit mehr Fragezeichen behaftetes Thema als die EU-Datenstrategie mit Richtlinien wie dem Data Act (DA) oder der KI-Verordnung (KI-VO).
Die Frage, die sich hierbei meistens stellt, ist: Wie kann ich als Unternehmen sowohl den Pflichten aus diesen neuen EU-Regulierungen entsprechen und gleichzeitig die Regelungen aus der DSGVO wahren, um nicht dem Risiko eines Bußgelds ausgesetzt zu sein?
Diesem Thema widmete sich auf der Konferenz „Bildet Netze“ von netzpolitik.org am 13.09.2024 in Berlin auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI). Ihr Vortrag hatte hierbei insbesondere das Spannungsfeld zwischen DA und DSGVO im Blick, lässt sich aber auch auf die anderen Rechtsakte der EU-Datenstrategie (insbesondere Data Governance Act, KI-VO und Digital Markets Act) übertragen, sofern es zu Berührungspunkten mit der DSGVO kommt.
Problemdarstellung
Wie die Landesdatenschutzbeauftragte zu Beginn ihres Vortrags darstellte, hat die EU-Datenstrategie das Ziel, einen Datenbinnenmarkt zu schaffen. Um dies zu erreichen sei es notwendig einerseits die Sicherheit der (personenbezogenen) Daten zu garantieren und andererseits zu gewährleisten, dass Unternehmen und Behörden leicht auf große Datenmengen von hoher Qualität zugreifen könnten.
Die Frage sei daher: Wie lässt sich in diesem Rahmen der Datenschutz gewährleisten?
Die DSGVO bleibt auch im Rahmen der EU-Datenstrategie unberührt, innerhalb der Regelungen z. B. des DA und der KI-VO gibt es daher keine eigenen Rechtsgrundlagen zur Verarbeitung personenbezogener Daten.
Die BlnBDI führte weiter aus, dass sich aufgrund dieser Nichtregelung des Spannungsfeldes zwischen DSGVO und den weiteren Rechtsakten der EU-Datenstrategie daher das Problem für Unternehmen ergebe, wie sie z. B. sowohl den Datenzugangsverlangen aus dem DA und gleichzeitig den Regelungen der DSGVO genügen könnten.
Als „Heilmittel“ stellte sie folgend die Anonymisierung bzw. Pseudonymisierung der Daten in den Raum und verwies dabei auch insbesondere auf Erwägungsgrund 7 des DA, der unter anderem besagt:
„[…] Da die vorliegende Verordnung die Datenschutzrechte der betroffenen Personen nicht beeinträchtigen sollte, kann der Dateninhaber Datenzugangsverlangen in diesen Fällen unter anderem nachkommen, indem er personenbezogene Daten anonymisiert oder […] nur personenbezogene Daten des Nutzers übermittelt.“
Eine Anonymisierung von Daten liegt gem. Erwägungsgrund 26 DSGVO vor, sofern die Informationen sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Auf Verarbeitungen solcher Daten findet dann auch die DSGVO keine Anwendung mehr.
Pseudonymisierte Daten sind dagegen solche Informationen, die durch Heranziehung zusätzlicher Informationen wieder einer natürlichen Person zugeordnet werden können. Auf die Datenverarbeitung pseudonymisierter Daten findet die DSGVO weiterhin Anwendung, allerdings unterliegen diese, so auch die BlnBDI, zumindest erleichterten Verarbeitungsbedingungen im Rahmen der DSGVO (zum Beispiel bei einer anzustellenden Interessenabwägung).
Die Anonymisierung bzw. Pseudonymisierung könne daher als eine Art der „praktischen Konkordanz“ zwischen DSGVO und DA (bzw. den weiteren Rechtsakten der EU-Datenstrategie) dienen. Dies sei insbesondere auch deshalb notwendig, um den gesetzgeberischen Intentionen des DA (und der KI-VO) zur Durchsetzung zu verhelfen. Denn ansonsten würde man wohl zum Beispiel bei einer umfassenden Sammlung personenbezogener Daten für eine generative KI aufgrund der Grundsätze der Speicherbegrenzung und Datenminimierung aus der DSGVO bereits „direkt (aus der Prüfung) rausfliegen“, was aber ein Zuwiderlaufen mit dem Ziel des umfassenden Datenbinnenmarktes und damit eine starke Innovationsbremse darstellen würde.
Daher habe die Berliner Datenschutzaufsichtsbehörde als Vorsitzende Aufsichtsbehörde der DSK 2025 geplant, umfassende Leitfäden für die Pseudonymisierung und Anonymisierung auf den Weg zu bringen und so mittels klarer Handlungsempfehlungen den Dateninhabern zu helfen, den Verpflichtungen sowohl aus dem DA oder der KI-VO und der DSGVO entsprechen zu können.
Kein Allheilmittel in Sicht
Auch wenn der Ansatz der BlnBDI sicher zu begrüßen ist, dürfen doch Zweifel angebracht sein, ob die angedachte Anonymisierung/Pseudonymisierung von Daten tatsächlich als eine Art „Allheilmittel“ im Spannungsfeld von DSGVO und den weiteren Rechtsakten der EU-Datenstrategie dienen kann.
So ist gerade bei der Nutzung von KI-Systemen oftmals nicht mehr herauszufinden, welche personenbezogenen Daten einer bestimmten Person verarbeitet wurden und im KI-System enthalten sind. Dies betrifft sowohl Eingabe- bzw. Ausgabedaten bei der Nutzung als auch Trainingsdaten, insbesondere sofern man der Auffassung folgt, dass auch genutzte Trainingsdaten nach dem initialen Training weiterhin als personenbezogene Daten anzusehen sind. Die so im KI-System vorhandenen Daten dürften aufgrund dieser Unkenntnis auch nur schwer zu anonymisieren sein. Zusätzlich folgt daraus, dass eine umfassende Auskunft an die betroffene Person gem. Art.15 Abs.1 DSGVO meistens nicht umsetzbar sein dürfte. Dem kann dann auch nicht durch Leitlinien zur Anonymisierung oder Pseudonymisierung begegnet werden.
Lediglich wenn durch vorherige, umfassende Anonymisierung sichergestellt ist, dass keinerlei personenbezogene Daten beim Training des Systems oder im Betrieb verarbeitet werden, kann eine Anwendbarkeit der DSGVO ausgeschlossen werden. Dies dürfte bei der Mehrheit der KI-Systeme allerdings kaum realistisch sein.
Weiterhin ist bereits abzusehen, dass es zu Kompetenzstreitigkeiten kommen dürfte, da vermutlich die Bundesnetzagentur und nicht die Datenschutzaufsichtsbehörden zur Marktaufsichtsbehörde im Rahmen der KI-VO ernannt werden. Dadurch steht zu befürchten, dass sowohl die Bundesnetzagentur bei der Durchsetzung der KI-VO, als auch die Datenschutzaufsichtsbehörden bei Anwendbarkeit der DSGVO sich nicht „die Butter vom Brot“ nehmen lassen werden und dies zu gegenläufigen Entscheidungen führen könnte, was letztlich zur weiteren Verunsicherung der betroffenen Unternehmen beitragen dürfte.
Fazit
Die Erstellung von Leitlinien und Hilfestellungen zur Datenanonymisierung/Pseudonymisierung durch die Datenschutzaufsichtsbehörden ist im Grundsatz zwar zu begrüßen, aufgrund der Schwierigkeiten der Anonymisierung von Daten im Rahmen des KI-Einsatzes ist allerdings fraglich, ob diese tatsächlich als „Heilmittel“ zu sehen sind und nicht vielmehr zur weiteren Unsicherheit beitragen werden, indem sie völlig realitätsferne Anforderungen an Dateninhaber bzw. datenschutzrechtlich Verantwortliche stellen.
Zusätzlich ist gerade aufgrund der abzusehenden Benennung der Bundesnetzagentur zur Marktaufsichtsbehörde im Rahmen der KI-VO ein zukünftiges „Kompetenzgerangel“ bei der Durchsetzung der jeweiligen Rechtsakte nicht auszuschließen, was zu einer weiteren Bürokratisierung der Datenverarbeitungen und damit Innovationsbremse im Bereich der KI führen dürfte.
Die durch die EU gewünschte Innovationsförderung und Schaffung eines leicht zugänglichen Datenbinnenmarktes dürfte aufgrund der ungeregelten Spannungsverhältnisse zwischen DSGVO und weiteren Regelungen der EU-Datenstrategie in jedem Fall massiv gehemmt werden.