1. Überblick

1.1. Künstliche Intelligenz und Datenschutz

Mit der "Hightech Agenda Bayern" hat die Bayerische Staatsregierung am 10. Oktober 2019 erhebliche Investitionen in die Entwicklung von Künstlicher Intelligenz (KI) und "SuperTech" angekündigt. Mit insgesamt rund 2 Milliarden Euro will die Staatsregierung die Beforschung und Entwicklung von Künstlicher Intelligenz und von zukunftsträchtigen Technologien wie Quantentechnologie, Luft- und Raumfahrt sowie Klimabezogene Technologien (CleanTech) fördern.

Die Hightech Agenda Bayern steht inhaltlich in einem engen Zusammenhang mit der Gründung des Bayerischen Instituts für Digitale Transformation durch die Staatsregierung im Juni 2018, das den Auftrag hat, ein fundiertes Verständnis der digitalen Transformation zu erarbeiten, auf dessen Basis bestehende Stärken Bayerns, Deutschlands und Europas in der digitalen Welt ausgebaut und neu entwickelt werden können.

Nach meiner persönlichen Überzeugung wird es keine Frage sein, ob unsere Gesellschaft künftig mit KI-Systemen leben wird - das wird sie. Vielmehr lautet die entscheidende Frage, wie unsere Gesellschaft mit KI leben soll. Angesprochen sind damit zahlreiche soziale und ethische Gesichtspunkte, die nur im Diskurs zwischen Politik, Gesellschaft und Wissenschaft geklärt werden können.

Als Bayerischer Landesbeauftragter für den Datenschutz würde ich es begrüßen, wenn der Freistaat Bayern mit seiner Initiative einen gewichtigen Beitrag zu einer Entwicklung von Künstlicher Intelligenz leistet, die auf der Grundlage europäischer Werte steht. Angesprochen sind damit vor allem die Freiheitsgewährleistungen, wie sie in der Verfassung des Freistaates Bayern, im Grundgesetz für die Bundesrepublik Deutschland und in der Charta der Grundrechte der Europäischen Union garantiert werden. Letztlich geht es darum, wie auch im Zeitalter der digitalen Transformation die Achtung der Menschenwürde gewährleistet werden kann.

Soweit mit der Anwendung von KI auch eine Verarbeitung personenbezogener Daten erfolgt, hat der Datenschutz die Aufgabe, die neuen Technikentwicklungen im Sinne des Persönlichkeitsrechtsschutzes aktiv zu begleiten. Insoweit sind der Einsatz von KI-Systemen und der Datenschutz keine Gegensätze; vielmehr ist Datenschutz eine zentrale Voraussetzung für eine menschenfreundliche KI. Dabei hat KI den datenschutzrechtlichen Regeln insbesondere der Datenschutz-Grundverordnung zu folgen. Insbesondere bei regelbasierten KI-Systemen, die in sensiblen Lebensbereichen Entscheidungen unterstützen oder selbst treffen sollen, kommt es darauf an, dass sie die Regeln transparent machen, die hauptursächlich für eine konkrete automatisierte Entscheidung oder einen Entscheidungsvorschlag gewesen sind. Insoweit dürften für die Datenschutzaufsicht kurz- und mittelfristig beispielsweise Scoring-Systeme, medizinische Diagnosesysteme und das autonome Fahren relevant werden. Nach meiner Einschätzung sind die beiden bayerischen Datenschutz-Aufsichtsbehörden gegenwärtig noch nicht in der Lage, KI-Anwendungen im Sinne des Grundrechtsschutzes effektiv zu überprüfen. Dazu müssten sie entsprechend ertüchtigt werden.

Die 97. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat eine "Hambacher Erklärung zur Künstlichen Intelligenz" verabschiedet, die einige datenschutzrechtliche Kernanforderungen an die Entwicklung von KI formuliert. Die 98. Datenschutzkonferenz hat die Hambacher Erklärung am 6. November 2019 durch Empfehlungen für eine datenschutzkonforme Gestaltung von KI-Systemen ergänzt. Die Empfehlungen in Gestalt eines Positionspapiers sind diesem Tätigkeitsbericht als Anlage 1 beigegeben.

Die datenschutzrechtlichen Grundlagen für die Entwicklung von KI werden in Abschnitt 12.1 näher beleuchtet.

1.2. Evaluierung der Datenschutz-Grundverordnung (DSGVO)

Nach Art. 97 Abs. 1 DSGVO hat die Europäische Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung der Datenschutz-Grundverordnung vorzulegen (Evaluierung). Der Europäische Datenschutzausschuss (EDSA) hat dazu am 18. Februar 2020 einen gemeinsamen Antwortbeitrag zur Evaluierung der DSGVO beschlossen. Die Europäische Kommission hatte den EDSA um einen Beitrag zum Evaluierungsverfahren gebeten. Der Ausschuss hat in seiner Antwort die Bedeutung der Datenschutz-Grundverordnung für den Schutz und die Stärkung des Grundrechts auf Datenschutz innerhalb der EU hervorgehoben. In die Stellungnahme eingeflossen war auch die Position der deutschen Aufsichtsbehörden, die im Berichtszeitraum entstanden ist und an der ich mitgewirkt habe (vgl. Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO vom November 2019, Internet: https://www.datenschutzkonferenz-online.de (externer Link), Rubrik "Infothek - Beschlüsse").

1.3. Das neue Polizeiaufgabengesetz

Im Mai 2018 hat der bayerische Gesetzgeber eine umfassende Neuordnung des Polizeiaufgabengesetzes (PAG) verabschiedet. Im Vorfeld des Inkrafttretens hatte ich mich wiederholt sehr kritisch zu einigen im Gesetzentwurf vorgesehenen neuen Befugnissen geäußert, allerdings auch auf einige positive Aspekte des Vorhabens hingewiesen. Nach wie vor halte ich beispielsweise die neuen Regelungen der Art. 37 und 38 PAG zum Einsatz von verdeckten Ermittlern und von Vertrauensleuten jedenfalls im Grundsatz für einen rechtsstaatlichen Gewinn. Meine umfassende Stellungnahme im Rahmen der Verbandsanhörung ist auf meiner Webseite https://www.datenschutz-bayern.de in der Rubrik "Themengebiete - Polizei" veröffentlicht.

1.3.1. Kommission zur Begleitung des neuen Polizeiaufgabengesetzes

Das Gesetz zur Neuordnung des bayerischen Polizeirechts wurde politisch heftig angegriffen und ist noch Gegenstand verfassungsgerichtlicher Verfahren. Vor dem Hintergrund dieser Kritik beauftragte der Ministerrat mit Beschluss vom 12. Juni 2018 den Bayerischen Staatsminister des Innern und für Integration damit, eine Kommission zur Begleitung des neuen Polizeiaufgabengesetzes (PAG-Begleitkommission) unter Vorsitz des Präsidenten des Bayerischen Verfassungsgerichtshofs a. D. Dr. Karl Huber einzurichten. Der Auftrag der Kommission bestand in einer "unabhängigen Begleitung und Prüfung der Anwendung des Polizeiaufgabengesetzes". Mit anderen Worten sollte die Kommission nicht neu eingefügte Befugnisse verfassungsrechtlich beurteilen, sondern sie sollte überprüfen, wie die Polizei die Vorschriften konkret im Vollzug handhabt.

Auch ich wurde zu einem Mitglied der PAG-Begleitkommission bestellt. Ich habe diese Bestellung als ein Ersuchen der Bayerischen Staatsregierung im Sinne des Art. 15 Abs. 3 BayDSG gewertet, zu den tatsächlichen Vollzugsgegebenheiten Stellung zu nehmen. Gleichwohl hatte ich zunächst Bedenken gegen eine solche Bestellung. Denn zum einen evaluierte die PAG-Begleitkommission nicht nur neue Bestimmungen mit Datenschutzbezügen. Vor allem aber durfte die Tätigkeit in der PAG-Begleitkommission nicht meine unabhängige Amtsführung beeinträchtigen. Deshalb machte ich gegenüber der Staatsregierung ausdrücklich einen Beitritt in dieses Gremium davon abhängig, dass die Mitgliedschaft meine unabhängige Amtsführung im Übrigen unberührt lässt. Dieses Anliegen haben die Staatsregierung und die PAG-Begleitkommission gleichermaßen vollumfänglich respektiert. Dementsprechend sind beispielsweise meine Erkenntnisse aus konkreten Bürgereingaben schon deshalb nicht in die Arbeit der PAG-Begleitkommission eingeflossen, weil ich insoweit einer Schweigepflicht unterliege.

1.3.2. Abschlussbericht der PAG-Begleitkommission

Die PAG-Begleitkommission hat ihren Auftrag mit Abgabe eines Abschlussberichts vom 30. August 2019 erfüllt. Die Empfehlungen der PAG-Begleitkommission zum Gesetzesvollzug und zur Änderung des Gesetzes habe ich sehr weitgehend mittragen können. Allerdings hatte ich bereits im Vorfeld der Kommissionstätigkeit rechtliche Stellungnahmen etwa zur drohenden Gefahr abgegeben. An diesen Stellungnahmen halte ich auch weiterhin fest, wie im Abschlussbericht auch vermerkt ist.

Insgesamt habe ich den Eindruck, dass die Arbeit der Kommission zur Versachlichung der sehr kontrovers geführten Diskussion um die Neuordnung des bayerischen Polizeirechts beitragen konnte. Deshalb würde ich es begrüßen, wenn die Staatsregierung die Empfehlungen der Kommission aufgreifen würde.

Ich mache allerdings auch darauf aufmerksam, dass die Kommission nicht alle datenschutzrechtlich problematischen Regelungen des neuen Polizeirechts evaluieren konnte. Nicht untersucht wurde beispielsweise die Durchsuchung von elektronischen Speichermedien in Art. 22 Abs. 2 PAG, die dringend strenger gefasst und unter grundsätzlichen Richtervorbehalt gestellt werden sollte.

Der Abschlussbericht der PAG-Begleitkommission ist gegenwärtig im Internet unter https://www.polizeiaufgabengesetz.bayern.de (externer Link) abrufbar.

1.4. Gesundheitseinrichtungen: Datensicherheitsvorfälle nehmen zu

Die Zahl der bekannten Pannen bei Datensicherheit und Datenschutz in Kliniken hat im Jahr 2019 deutlich zugenommen. Das zeigt: Viele Krankenhäuser setzen wichtige datenschutzrechtliche und sicherheitstechnische Vorgaben nicht ausreichend um.

Nach der Datenschutz-Grundverordnung dürfen personenbezogen Daten nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt. Und schon die Möglichkeit des Zugriffs ist als Bereitstellung personenbezogener Daten eine solche Verarbeitung. Bei Gesundheitsdaten ist zudem Art. 9 DSGVO zu beachten, der ein grundsätzliches Verarbeitungsverbot vorsieht. Solche Daten unterliegen zudem nach straf- und berufsrechtlichen Regelungen einem besonderen Vertraulichkeitsschutz.

Zur Absicherung einer rechtskonformen Verarbeitung von Gesundheitsdaten verlangt das Datenschutzrecht gemäß Art. 24, 25 und 32 DSGVO spezifische technisch-organisatorische Schutzmaßnahmen auf mehreren Ebenen: Dies betrifft zum einen die Basis-IT-Sicherheit der eingesetzten Netzwerke, Komponenten und Software, zum anderen die speziellen Anforderungen an ein datenschutzgerechtes Klinikinformationssystem. Hierzu gehört auch die beim Klinikpersonal unbeliebte Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle. Sie lässt sich vereinfacht durch das Need-to-Know-Prinzip ausdrücken: Personal, das keinen Zugang zu den Daten haben muss - weil es etwa nicht an der Behandlung von Patieninnen und Patienten beteiligt ist - darf insoweit auch keinen Zugang zu den Patientendaten erhalten. Die Klinikverantwortlichen haben diese Beschränkung auf erforderliche Zugriffe im Rahmen von Berechtigungskonzepten sicherzustellen. Sie sind ein elementarer Baustein des technisch-organisatorischen Datenschutzes und eine zentrale Voraussetzung für den Schutz der Integrität und Vertraulichkeit von Patientendaten. Der Schutz vor unbefugter Verarbeitung stellt einen zentralen Datenschutzgrundsatz dar, für dessen Beachtung der Krankenhausbetreiber verantwortlich ist.

Im Ergebnis geht es dabei nicht darum, dem Klinikpersonal Datenzugriffe zu verweigern, die es für eine effektive Behandlung benötigt. Vielmehr sollen unbefugte Zugriffe im Rahmen des technisch Möglichen erschwert werden.

Um es ausdrücklich klarzustellen: Natürlich soll Klinikpersonal gerade in Notfallsituationen möglichst schnell und vollständig auf Patientendaten im Klinikinformationssystem zugreifen können. Allerdings darf im digitalen Zeitalter dieser legitime Bedarf nicht dazu führen, dass Kliniken mehr oder weniger aus Bequemlichkeitsgründen grundlegende Datenschutz- und Datensicherheitsvorgaben gänzlich außer Acht lassen. Die eingangs genannten Beispiele verdeutlichen, dass die zentralen datenschutzrechtlichen Prinzipien "Brandschutzmauern" darstellen, die heutzutage für eine stabile klinische Gesundheitsversorgung unabdingbar sind.

Angesichts zahlreicher schwerwiegender Sicherheitsvorfälle wirkt es auf mich skurril, wenn immer noch ein angeblich zu strenges Datenschutzreglement beklagt und behauptet wird, dieses würde effektive Heilbehandlungen verhindern. Das Gegenteil ist der Fall: Letztlich trägt die Einhaltung der zentralen datenschutzrechtlichen Prinzipien dazu bei, dass auch im Zeitalter der Datenvernetzung, App-Nutzung, elektronischer Patientenakten und Künstlicher Intelligenz eine flächendeckende stabile Gesundheitsversorgung durch sichere und datenschutzgerechte IT-Systeme möglich bleibt.

Allerdings wäre es wünschenswert, wenn Krankenhäuser mit ihrer datenschutzrechtlichen Verantwortlichkeit nicht allein gelassen werden. Kliniken fehlt es oft weniger am guten Willen, sondern vielmehr an der hinreichenden finanziellen Ausstattung. Das gilt namentlich für kleinere Häuser, die nicht auf wichtige Fördermittel für IT-Sicherheit zugreifen können. Vor diesem Hintergrund habe ich im Berichtszeitraum ungeachtet erheblicher Datenschutzverstöße darauf verzichtet, Bußgelder gegen Kliniken zu verhängen, um nicht die Gelder abzuziehen, welche die betroffenen Häuser zur Ertüchtigung ihrer IT-Sicherheit dringend benötigen. Ich weise allerdings in aller Deutlichkeit darauf hin, dass diese "Schonfrist" abläuft. Knappe Ressourcen entbinden nicht von der Pflicht, das gesetzlich gebotene Mindestmaß an Datenschutz und Datensicherheit zu gewährleisten.

1.5. Schlussbemerkung

Die nachfolgenden Kapitel geben unter anderem einen Überblick über meine Beteiligung an Gesetzgebungsvorhaben und die Wahrnehmung der Datenschutzaufsicht bei den bayerischen öffentlichen Stellen im Jahr 2019.