Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Anmerkung des Herausgebers: Von Zeit zu Zeit hebt ComplexDiscovery öffentlich verfügbare oder privat käufliche Ankündigungen, Inhaltsaktualisierungen und Forschungsergebnisse von Cyber-, Daten- und Legal Discovery-Anbietern, Forschungsorganisationen und Mitgliedern der ComplexDiscovery-Community hervor. ComplexDiscovery hebt diese Informationen zwar regelmäßig hervor, übernimmt jedoch keine Verantwortung für inhaltliche Behauptungen.

    Wenden Sie sich noch heute an uns, um Empfehlungen zur Berücksichtigung und Aufnahme in die Cyber-, Daten- und rechtlichen Discovery-zentrierten Service-, Produkt- oder Forschungsankündigungen von ComplexDiscovery einzureichen

    Hintergrundhinweis: Am 17. Mai 2022 veröffentlichte das Future of Privacy Forum einen umfassenden Bericht, in dem die Rechtsprechung im Rahmen der Allgemeinen Datenschutzverordnung (DSGVO) analysiert wurde, die auf reale Fälle mit automatisierter Entscheidungsfindung (ADM) angewendet wird. Der Bericht basiert auf umfangreichen Recherchen zu mehr als 70 Gerichtsurteilen, Entscheidungen von Datenschutzbehörden (DPAs), spezifischen Leitlinien und anderen politischen Dokumenten, die von den Aufsichtsbehörden herausgegeben wurden. Laut der Ankündigung dieses neuen Berichts enthält die DSGVO eine besondere Bestimmung, die für Entscheidungen gilt, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten, einschließlich Profiling, beruhen und rechtliche Auswirkungen auf eine Person haben oder diese Person in ähnlicher Weise betreffen: Artikel 22. Diese Bestimmung verankert eines der „Rechte der betroffenen Person“, insbesondere das Recht, keinen Entscheidungen dieser Art zu unterliegen (d. h. „qualifizierender ADM“), das von den Datenschutzbehörden eher als Verbot denn als Vorrecht interpretiert wurde, das Einzelpersonen ausüben können. In dem Bericht wird jedoch behauptet, dass der Schutz der DSGVO für Einzelpersonen vor Formen der automatisierten Entscheidungsfindung (ADM) und Profilerstellung deutlich über Artikel 22 hinausgeht. Angesichts der potenziellen Datenschutzprobleme von ADM kann dieser Bericht für Experten in den Bereichen Cybersicherheit, Information Governance und Rechtsberatung von Vorteil sein, die die potenziellen Datenschutzprobleme und aktuelle Überlegungen zur Rechtsprechung im Zusammenhang mit ADM besser verstehen möchten.

    Forschungsbericht über die Zukunft des Datenschutzforums

    Automatisierte Entscheidungsfindung im Rahmen der DSGVO: Praktische Fälle von Gerichten und Datenschutzbehörden

    Von Sebastião Barros Vale und Gabriela Zanfir-Fortuna

    Berichtsextrakt — Hintergrund und Überblick

    Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) legt eine ihrer grundlegenden Gründe in Erwägungsgrund 4 fest und besagt, dass „die Verarbeitung personenbezogener Daten darauf ausgelegt sein sollte, der Menschheit zu dienen“. Dies bezieht sich auf jede Verarbeitung personenbezogener Daten, von der Erfassung bis zu ihren verschiedenen Verwendungszwecken, so einfach wie das Führen von Aufzeichnungen über die Einkäufe in ihrem bevorzugten Lebensmittelgeschäft und so komplex wie die Verwendung personenbezogener Daten für eine automatisierte Entscheidungsfindung, z. B. die Vorabprüfung von Kandidaten für eine Stelle mithilfe von Algorithmen , oder dass personenbezogene Daten aus einer komplexen Verarbeitung resultieren, z. B. das Erstellen eines Kundenprofils eines Lebensmittelgeschäfts auf der Grundlage seiner Kaufhistorie. Die gleiche Begründung der DSGVO gilt, wenn personenbezogene Daten in irgendeiner Weise im Rahmen einer Anwendung für künstliche Intelligenz (KI) oder maschinelles Lernen (ML) verarbeitet werden - entweder als Eingabe oder Ausgabe einer solchen Verarbeitung.

    Während alle Bestimmungen der DSGVO für eine derart komplexe Verarbeitung personenbezogener Daten gelten - von der Verpflichtung des für die Verarbeitung Verantwortlichen, über einen rechtmäßigen Grund für die Verarbeitung zu verfügen, über die Verpflichtung, sicherzustellen, dass die Verarbeitung fair und transparent erfolgt, bis hin zu technischeren Verpflichtungen wie der Sicherstellung einer angemessenen Grad der Datensicherheit und um sicherzustellen, dass der Schutz personenbezogener Daten in die Gestaltung eines Verarbeitungsvorgangs integriert ist, gilt eine bestimmte Bestimmung der DSGVO speziell für Entscheidungen, „die ausschließlich auf der automatisierten Verarbeitung [personenbezogener Daten - n.] beruhen, einschließlich Profilerstellung, die rechtliche Auswirkungen hat “ eine Person betreffen „oder diese Person in ähnlicher Weise betrifft“: Artikel 22.

    Diese Bestimmung verankert eines der „Rechte der betroffenen Person“, insbesondere „das Recht, keiner Entscheidung zu unterliegen, die ausschließlich auf einer automatisierten Verarbeitung beruht“, die eine rechtliche oder ähnlich bedeutende Auswirkung auf die Person hat. Alle automatisierten Entscheidungen (ADM), die diese in Artikel 22 DSGVO definierten Kriterien erfüllen, werden in diesem Bericht als „qualifizierender ADM“ bezeichnet.

    Auch wenn sie offenbar in die DSGVO aufgenommen wurde, um auf das aktuelle Zeitalter der Algorithmen, KI- und ML-Systeme zu reagieren, existierte diese Bestimmung tatsächlich unter der früheren EU-Datenschutzrichtlinie von 1995 und hat ihre Wurzeln in einer ähnlichen Bestimmung des ersten französischen Datenschutzgesetzes, das Ende der 1970er Jahre verabschiedet wurde. Es wurde jedoch nach früherem Recht kaum durchgesetzt. Die Fälle nahmen nach der Anwendbarkeit der DSGVO im Jahr 2018 zu, auch wenn man bedenkt, dass automatisierte Entscheidungsfindung im täglichen Leben allgegenwärtig ist, und es sieht nun so aus, als ob Einzelpersonen zunehmend daran interessiert sind, dass ihr Recht gemäß Artikel 22 angewendet wird.

    In diesem Bericht wird dargelegt, wie nationale Gerichte und Datenschutzbehörden (DPAs) in der EU/im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich die einschlägigen DSGVO-Bestimmungen zu ADM bisher ausgelegt und angewendet haben, sowie die bemerkenswerten Trends und Ausreißer in dieser Hinsicht. Um den Bericht zusammenzustellen, haben wir öffentlich zugängliche Gerichts- und Verwaltungsentscheidungen sowie regulatorische Richtlinien in allen EU/EWR-Gerichtsbarkeiten und dem Vereinigten Königreich untersucht, das bis Dezember 2020 Mitglied der EU war und dessen ADM-Regeln zum Zeitpunkt der Erstellung dieses Berichts noch eine Umsetzung der DSGVO darstellen. Um die Fakten der diskutierten Fälle zu ergänzen, haben wir uns auch mit Pressemitteilungen, Jahresberichten und Medienberichten befasst. Diese Recherche beschränkt sich auf Dokumente, die bis April 2022 veröffentlicht wurden, und stützt sich auf mehr als 70 Fälle — 19 Gerichtsurteile und mehr als 50 Vollstreckungsentscheidungen, individuelle Stellungnahmen oder allgemeine Leitlinien von Datenschutzbehörden — aus 18 EWR-Mitgliedstaaten, dem Vereinigten Königreich und dem Europäischen Datenschutzbeauftragten (EDSB). Die wichtigsten Fälle und Dokumente, die als Referenz dienen, sind in Anhang I aufgeführt. Der Bericht enthält in erster Linie Fallzusammenfassungen sowie relevante Richtlinien, wobei die im Detail untersuchten Fälle einheitlich nummeriert sind, sodass alle Hinweise zu einem bestimmten Fall im gesamten Dokument leicht identifiziert werden können (z. 3 wird in verschiedenen Abschnitten mehrmals erwähnt).

    Die von uns identifizierten Fälle stammen häufig aus Situationen des täglichen Lebens, in denen ADM zunehmend eine wichtige Rolle spielt. Ein Fallcluster sieht beispielsweise Studenten und Bildungseinrichtungen vor. Diese Fälle reichen von der Verwendung von Live-Gesichtserkennungstechnologien zur Verwaltung des Zugangs zu den Schulgebäuden und zur Aufzeichnung der Anwesenheit über die Online-Überwachung bis hin zur vollautomatischen Bewertung auf der Grundlage des individuellen Profils eines Schülers, aber auch des Profils seines Schulbezirks als Ersatz für hohe Schulabschlussprüfungen während der COVID-19-Pandemie.

    Ein weiterer bedeutender Cluster von Fällen betrifft den Kern der Situation der Gig-Worker und die Art und Weise, wie sie über ihre jeweiligen Plattformen verteilt werden, Verschiebungen, Auftritte, Einnahmen und Strafen. Eine erhebliche Anzahl von Fällen stellt die automatisierte Kreditbewertung in Frage. Die Art und Weise, wie Regierungen Sozialleistungen wie Arbeitslosigkeit verteilen und mit Steuervermeidung und potenziellem Betrug umgehen, ist zunehmend Gegenstand von Fällen - individuellen Anfechtungen oder Ermittlungen von Amts wegen. Wir stießen auch auf Fälle, in denen das zugrunde liegende ADM in Situationen wie der Erteilung von Waffenlizenzen, dem Abkratzen öffentlich verfügbarer Quellen zum Aufbau eines FR-Produkts oder der Profilerstellung potenzieller Kunden durch eine Bank in Frage gestellt wurde.

    Unsere Analyse wird zeigen, dass die DSGVO als Ganzes für ADM-Fälle relevant ist und in solchen Fällen wirksam angewendet wurde, um die Rechte von Einzelpersonen zu schützen, auch in Situationen, in denen der fragliche ADM die in Artikel 22 DSGVO festgelegte hohe Schwelle nicht erreicht und das Recht, nicht ausschließlich Eine automatisierte Entscheidungsfindung ist nicht anwendbar. Zum Beispiel, ohne auch nur zu analysieren, ob Artikel 22 in diesen Fällen gilt, haben Gerichte und Datenschutzbehörden festgestellt, dass die Bereitstellung von Live-FR-Anträgen zur Verwaltung des Zugangs zu Schulräumen und zur Überwachung des Anwesenheits nach anderen Bestimmungen der DSGVO rechtswidrig war, da sie keinen rechtmäßigen Grund für die Verarbeitung hatte eingeführt wurden und die Erfordernisse der Notwendigkeit und Verhältnismäßigkeit nicht eingehalten wurden, wodurch die Rechte der Studierenden in Frankreich und Schweden geschützt wurden (siehe Rechtssachen 30 und 31).

    Eine vergleichende Lektüre relevanter Fälle wird auch zeigen, wie komplexe Transparenzanforderungen in der Praxis betrachtet werden, was effektiv in das Recht des Einzelnen umgesetzt wird, eine allgemeine Erklärung über die Parameter zu erhalten, die zu einer individuellen automatisierten Entscheidung über sie geführt haben oder wie Profilerstellung auf sie angewendet.

    Die Grundsätze der Rechtmäßigkeit und Fairness werden in ADM-bezogenen Fällen getrennt angewendet, wobei der Grundsatz der Fairness bei der Durchsetzung an Bedeutung gewinnt. In einem der jüngsten Fälle, die im Bericht verankert sind, stellte die niederländische Datenschutzbehörde beispielsweise fest, dass das von der Regierung verwendete algorithmische System zur automatischen Aufdeckung von Betrug bei Anträgen auf Sozialleistungen gegen den Grundsatz der Fairness verstieß, da die Verarbeitung als „diskriminierend“ angesehen wurde Berücksichtigung der doppelten Staatsangehörigkeit der Personen, die Kinderbetreuungsleistungen beantragen

    Ein weiterer wichtiger Punkt, der aus unseren Untersuchungen hervorgegangen ist, ist, dass bei der Beurteilung der Anwendbarkeitsschwelle für Artikel 22 („ausschließlich“ automatisiert und „rechtliche oder ähnlich signifikante Auswirkung“ von ADM auf Einzelpersonen) die verwendeten Kriterien mit zunehmender Rechtsprechung immer ausgefeilter werden. Zum Beispiel betrachten Gerichte und Datenschutzbehörden das gesamte Organisationsumfeld, in dem ein ADM stattfindet, von der Organisationsstruktur über die Berichtslinien bis hin zur effektiven Schulung des Personals, um zu entscheiden, ob eine Entscheidung „ausschließlich“ automatisiert war oder eine sinnvolle menschliche Beteiligung hatte. In ähnlicher Weise prüfen die Vollstrecker bei der Bewertung des zweiten Kriteriums für die Anwendbarkeit von Artikel 22, ob die Eingabedaten für eine automatisierte Entscheidung Rückschlüsse auf das Verhalten von Personen enthalten und ob die Entscheidung das Verhalten und die Entscheidungen der betroffenen Personen beeinflusst, unter anderem mehrschichtige Kriterien.

    Schließlich sollten wir hervorheben, dass die Datenschutzbehörden in praktisch allen Fällen, in denen ein ADM-Prozess für rechtswidrig befunden wurde, über die Verhängung von Bußgeldern hinausgegangen sind, sondern auch spezifische Maßnahmen angeordnet haben, die sich in ihrem Umfang unterschieden: Anordnungen zur Einstellung von Praktiken, Anordnungen zur Löschung illegal erhobener personenbezogener Daten, Verbotsanordnungen weitere Erfassung personenbezogener Daten.

    Alle Abschnitte des Berichts werden von Zusammenfassungen der Fälle und einer kurzen Analyse begleitet, in der Gemeinsamkeiten und Ausreißer aufgezeigt werden. Der Bericht untersucht zunächst den Kontext und die wichtigsten Elemente von Artikel 22 und anderen relevanten DSGVO-Bestimmungen, die in ADM-Fällen angewendet wurden, und spiegelt sich alle in konkreten Beispielen wider (Abschnitt 1). Anschließend wird untersucht, wie der in Artikel 22 DSGVO geforderte zweigleisige Schwellenwert in der Praxis ausgelegt und angewendet wurde (Abschnitt 2). Schließlich wird in Abschnitt 3 dargelegt, wie Gerichte und Datenschutzbehörden Artikel 22 in sektoralen Bereichen angewendet haben, nämlich in den Bereichen Beschäftigung, Live-Gesichtserkennung und Kreditbewertung. In der Schlussfolgerung werden einige der identifizierten rechtlichen Auslegungen und Anwendungstrends dargelegt, die sich aus unseren Untersuchungen ergeben, und die verbleibenden Bereiche der Rechtsunsicherheit hervorgehoben, die in Zukunft von den Aufsichtsbehörden oder dem EuGH geklärt werden könnten (Abschnitt 4).

    Lesen Sie die ursprüngliche Ankündigung.

    Vollständiger Bericht - Automatisierte Entscheidungsfindung nach der DSGVO: Praktische Fälle von Gerichten und Datenschutzbehörden (PDF) - Mouseover to Scroll

    FPF-ADM-Bericht — Mai 2022

    Lesen Sie den Originalbericht.

    *Geteilt mit Genehmigung unter Creative Commons, Attribution 4.0 International Lizenz.

    Zusätzliche Lektüre

    Unterschiede akzeptieren? Zusammenspiel der digitalen Forensik in eDiscovery

    Cyber Discovery definieren? Eine Definition und ein Framework

    Quelle: ComplexDiscovery

    Die Spitze des Eisbergs? Neuer ENISA-Bericht zur Bedrohungslandschaft für Ransomware-Angriffe

    According to ENISA, this threat landscape report analyzed a total of...

    Verbraucher zahlen den Preis? Laut neuem IBM-Bericht erreichen die Kosten einer Datenschutzverletzung ein Rekordhoch

    According to IBM Security, the annual Cost of a Data Breach Report...

    ePHI schützen? NIST aktualisiert Leitlinien für Cybersicherheit im Gesundheitswesen

    This new NIST Special Publication aims to help educate readers about...

    Bedrohungsakteuren entgegenwirken? Nutzung der Analyse sozialer Netzwerke für Cyber Threat Intelligence (CCDCOE)

    According to the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE)...

    Gegenwind beim Umsatz? KLDiscovery Inc. gibt Finanzergebnisse für das zweite Quartal 2022 bekannt

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    Über den Umsatz hinaus? DISCO gibt Finanzergebnisse für das zweite Quartal 2022 bekannt

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    Lebe bei Leeds? Exterro schließt Rekapitalisierung von über 1 Milliarde US-Dollar ab

    According to the press release, with the support of a group...

    TCDI schließt Übernahme der eDiscovery-Praxis von Aon ab

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Unterwegs? 2022 eDiscovery-Marktkinetik: Fünf Interessenbereiche

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Dem Prozess vertrauen? 2021 eDiscovery-Verarbeitungsaufgaben-, Ausgaben- und Kostendaten

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Das Jahr im Rückblick? 2021 eDiscovery Review Aufgaben-, Ausgaben- und Kostendatenpunkte

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Ein Blick auf die eDiscovery-Erfassung für 2021: Aufgaben-, Ausgaben- und Kostendatenpunkte

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Fünf großartige Lesungen zu Cyber, Daten und Legal Discovery für Juli 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Fünf großartige Lesungen zu Cyber, Daten und Legal Discovery für Juni 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Fünf großartige Lesungen zu Cyber, Daten und rechtlichen Ermittlungen für Mai 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Fünf großartige Lesungen zu Cyber, Daten und rechtlichen Erkenntnissen für April 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Flexion oder Ablenkung? Ein Gesamtüberblick über acht halbjährliche eDiscovery-Preiserhebungen

    Initiated in the winter of 2019 and conducted eight times with...

    Wechselnde Ströme? Achtzehn Beobachtungen zum eDiscovery-Geschäftsvertrauen im Sommer 2022

    In the summer of 2022, 54.8% of survey respondents felt that...

    Herausfordernde Varianten? Probleme, die sich auf die Geschäftsleistung von eDiscovery auswirken: Ein Überblick über

    In the summer of 2022, 28.8% of respondents viewed increasing types...

    Downshift-Zeit? Betriebsmetriken von eDiscovery im Sommer 2022

    In the summer of 2022, 65 eDiscovery Business Confidence Survey participants...

    Dröhnt weiter? Konfliktbewertungen in der Ukraine in Karten (3.—7. August 2022)

    According to a recent update from the Institute for the Study...

    Not lindern? Konfliktbewertungen in der Ukraine in Karten (29. Juli — 2. August 2022)

    According to a recent update from the Institute for the Study...

    Momentum-Herausforderungen? Konfliktbewertungen in der Ukraine in Karten (24.-28. Juli 2022)

    According to a recent update from the Institute for the Study...

    Port-Unterstützung? Konfliktbewertungen in der Ukraine in Karten (19. — 23. Juli 2022)

    According to a recent update from the Institute for the Study...