Data Protection Intensive 2023
06.10.2023
Zusammenfassung
Kurz vor Beginn des Münchner Oktoberfests fand die "Data Protection Intensive: Deutschland 2023" der iapp statt. In der Eröffnungsrede betonte der Präsident und CEO Trevor Hughes den aktuellen Themenschwerpunkt. Dieser lag besonders auf dem Bereich der Künstlichen Intelligenz. Deutsche Aufsichtsbehörden betonen die Wichtigkeit von Accountability, Transparency und Fairness in Bezug auf KI. Allerdings gibt es Bedenken, ob ein "one size fits all"-Ansatz für alle KI-Anwendungen praktikabel ist.
4 Minuten Lesezeit
Kurz vor dem Anstich des Münchner Oktoberfests lud die iapp (International Association of Privacy Professionals) zur Data Protection Intensive: Deutschland 2023.
Bereits in der Eröffnungsrede des Präsidenten und CEO der iapp, Trevor Hughes, wurde ersichtlich, worin insbesondere ein derzeitiger Themenschwerpunkt läge: Künstliche Intelligenz.
„The futures of privacy, AI and trust in society are tied more closely together every day and highlight the imperative to develop AI governance skills at scale, and quickly.“ (Trevor Hughes)
Bei KI scheitert der „One size fits all“-Ansatz
Auch in deutschen Aufsichtsbehörden wird das Thema heiß diskutiert und debattiert. Grundprinzipien der Datenschutzgrundverordnung wie insbesondere Accountability, Transparency und Fairness seien unerlässlich im Rahmen der Entwicklung und des Einsatzes künstlicher Intelligenz. – Im Zuge dessen wurde allerdings die Problematik aufgeworfen, dass die Anwendungen künstlicher Intelligenz derart unterschiedlich seien, dass ein wie aus der DSGVO bekannter Ansatz wie „one size fits all“ kaum praktikabel sein dürfte.
Lösung in Sicht: Der Begriff „personenbezogenes Datum“
Nicht zuletzt aufgrund eines Urteils des Gerichts der Europäischen Union aus dem Mai kam die Diskussion auf, inwieweit ein Datum tatsächlich Personenbezug aufweise. Während das Urteil zum Entschluss kommt, man müsse dies in Relation zu den Möglichkeiten des Empfängers sehen („Identifizierbarkeit“) vertreten Aufsichtsbehörden weiterhin eine strenge Auslegung. So einfach sei das nicht, den Anwendungsbereich der Datenschutzgrundverordnung zu verlassen.
Eine andere Debatte ging sogar noch ein Stückchen weiter und stellte in Frage, inwieweit eine IP-Adresse tatsächlich Personenbezug aufweise. Welche Möglichkeiten der Identifikation bestünden denn und reiche es wirklich aus, dass man im Notfall, nämlich bei einem Cyberangriff, über Abfragen beim Internet Service Provider Rückschlüsse auf die Person hinter der IP-Adresse ziehen kann?
„Man kann Cybersecurity ohne Datenschutz haben, aber keinen Datenschutz ohne Cybersecurity!“
Ein Thema, das vielen Unternehmen unbarmherzig aufzeigt, wie wichtig es ist, in der heutigen Zeit sicher aufgestellt zu sein, zeigt die Cybersicherheit, die als Grundprinzip der Datenschutzgrundverordnung noch weiter mit dem Datenschutz verschmolzen wurde.
In Hinblick auf diese gilt klar der risikobasierte Ansatz: „Cybersecurity ist aktive Threat-Intelligence!“ – Wo sind meine individuellen Risiken als Unternehmen? Worauf muss ich besonders achten?
Dass es umfassende Sicherheit nicht geben kann, ist mittlerweile jedem bewusst. Dass Cybersecurity jedoch nicht nur aus aktueller Firewall und einem 10-stelligen Passwort besteht, hätte sich noch nicht überall herumgesprochen.
Überblick der Zertifizierungslandschaft im Datenschutz
Ebenfalls diskutiert wurde die aktuelle Zertifizierungslandschaft im Datenschutz. Neben der Möglichkeit einer Zertifizierung nach ISO27701 (Datenschutz-Management-System) wurden auch die Angebote dargestellt, einzelne Verarbeitungstätigkeiten einer Zertifizierung nach DSGVO unterziehen zu können.
Unter diesem Link können die Folien der Vorträge heruntergeladen werden.