G7 Italia 2024: La privacy nell’era dei dati

„Tutte le strade portano a Roma!“ – Anlässlich des G7-Gipfels mit dem Schwerpunkt Datenschutz vom 9. bis 11. Oktober kamen auf Einladung der italienischen Aufsicht in Rom die Aufsichtsbehörden von Kanada, Frankreich, Deutschland, Japan, dem Vereinigten Königreich, den Vereinigten Staaten, der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte zusammen.

“With our participation in the G7 DPA Roundtable this year, we aim to help shape the global debate on the importance of data protection in the development of ethical and trustworthy AI. Collaborating with our partners from like-minded G7 countries enables us also to create common approaches to privacy and data protection in this fast-moving landscape. It is a valuable opportunity to promote EU data protection standards on the world stage and build deeper cooperation based on shared values.” (so der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski)

Action Plan für 2024/2025: Aufbau auf drei Säulen

Wie im Anschluss von den Teilnehmern kommuniziert, möchte man die Bestrebungen auf drei Aspekte fokussieren:

Data Free Flow with Trust (DFFT)

Auf der Grundlage internationaler Zusammenarbeit sollen Möglichkeiten des DFFT entwickelt werden. Zentral dafür sind Transfer Tools, zur Ermöglichung eines datenschutzkonformen Datenaustausches.

Emerging Technologies

Die technologische Weiterentwicklung müsse aus datenschutzrechtlicher Sicht begleitet werden, um mehr Vertrauen bei Nutzern und Anwendern zu schaffen. Dafür benötige es so viel Wissens- und Erfahrungsaustausch wie möglich.

Enforcement cooperation

Vertrauen ist gut, Kontrolle ist besser. – Altbekannt, aber das solle nun noch intensiver gelebt werden. Eine gestärkte Zusammenarbeit in Arbeitsgruppen, die sich explizit zu Fragestellungen einer effektiven und effizienten Durchsetzung bestehender Rahmenbedingungen austauschen, sei unverzichtbar. Dadurch sollen auch bi- oder multilaterale Kooperationen ermöglicht werden.

[Niemals ohne das] Thema der Zeit: Künstliche Intelligenz

Kern sämtlicher Bemühungen um die (Weiter-)Entwicklung künstlicher Intelligenz muss die Schaffung von „Trustworthy AI“ („vertrauenswürdiger KI“) sein. Ausgehend davon, dass KI-Technologien in sämtlichen Sektoren zeitnah implementiert werden dürften, wurde erneut auf die potenziellen Risiken für die Privatsphäre und die Grundrechte hingewiesen. Dem könne allerdings aufbauend auf den Grundsätzen des Schutzes der Privatsphäre und des Datenschutzes in KI-Systemen begegnet werden. Zudem wurde die Bedeutung bestehender internationaler Vereinbarungen und Leitlinien zur Förderung einer ethischen Nutzung von KI betont. Funktionieren werde das allerdings nur bei einer effektiven Steuerung und Zusammenarbeit zwischen den Regulierungsbehörden, um sicherzustellen, dass KI die Menschenrechte, die Demokratie und die Rechtsstaatlichkeit berücksichtigt.

Dies zugrunde gelegt betone die zentrale Rolle der Datenschutzaufsichtsbehörden in Zukunft:

• DPAs are human-centric by default: DPAs already have human rights and the protection of individuals at the centre of their approach. Data protection seeks to protect people’s rights and freedoms in relation to the processing of their data, and this also includes within AI technologies;
• Many data protection overarching principles can be transposed into broader AI governance frameworks: Fairness, accountability, transparency, and security are not only principles discussed in terms of AI governance but are principles that many DPAs already operationalize;
• DPAs supervise a core component of AI: Personal data sit at the core of AI development, including within applications such as generative AI. The DPAs’ role in ensuring AI technologies are developed and deployed responsibly is critical, and many DPAs are experienced in this role;
• DPAs can help address problems at their source: DPAs can help identify and address AI issues before they grow into systematic problems by examining AI in both upstream (how it is developed) and downstream (how it is being deployed) contexts. This means DPAs already have the capability to address issues at their source, before the technology is deployed at scale;
• DPAs have experience: DPAs already have vast experience with data-driven processing and can address AI thoughtfully and efficiently given this experience.

Ein besonderes Augenmerk – mit Blick auf KI – lag außerdem auf dem potenziellen Einfluss auf die derzeitige Kinder-Generation, der „Generation Alpha“: Als erste Generation, die in einer derart technologisierten Welt aufwächst, muss ihnen besonderer Schutz zukommen. Das gelte primär bei automatisierten Entscheidungen, möglichen Manipulationsmechanismen und dem Training von KI-Modellen.

Bei der Relevanz der Themen lohnt sich auf jeden Fall ein Blick in die veröffentlichten Ressourcen:

• G7 DPAs‘ Communiqué – Privacy in the age of data
• G7 DPAs‘ Action Plan
• G7 – Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI
• G7 – Statement on AI and Children