Das Internet ist aus unserem Alltag nicht mehr wegzudenken. Es ermöglicht den Einsatz immer leistungsstärkerer und effizienterer Dienste und Technologien – deren Nutzung aber häufig mit der Preisgabe personenbezogener Daten verbunden ist. Wir überwachen, dass sich Dienstleister an die bestehenden Vorgaben halten. Wenn Sie eine Website besuchen oder eine App benutzen, begegnen Sie häufig Technologien, die es ermöglichen, personenbezogene Daten über Sie zu sammeln. Cookies sind aktuell (noch) das praxisrelevanteste Beispiel solcher Technologien. Hinzu kommen z.B. Webstorage und Browser-Fingerprinting. 

Nutzende müssen unerwünschte oder unnötige Zugriffe auf ihre Geräte (z. B. PC, Tablet oder Handy) nicht ungefragt hinnehmen. Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) und die Datenschutzgrundverordnung (DSGVO) geben vor, dass personenbezogene Daten in diesen Fällen grundsätzlich nur mit Einwilligung verarbeitet werden. Diese wird in der Regel durch Consent- bzw. Cookie-Banner eingeholt, an die aus rechtlicher Sicht eine Reihe von Anforderungen zu stellen sind. Während das TTDSG den Zugriff auf jegliche Informationen auf Endgeräten schützt, finden die Vorschriften der DSGVO dann Anwendung, wenn es sich um personenbezogene Daten handelt, die von den Anbietern oder von Dritten erhoben und im Weiteren verarbeitet werden.

Internet-Plattformen steuern ihre Inhalte inzwischen über Algorithmen. Dabei folgen die meisten Plattformen und Dienste einem werbebasierten Geschäftsmodell, das am besten funktioniert, wenn die Interessen der einzelnen Nutzenden möglichst präzise bekannt sind und Menschen möglichst viel Zeit auf der Plattform verbringen, während ihnen personalisierte Werbung präsentiert wird. Daher ist es für Plattformen attraktiv, so viele Daten wie möglich über den persönlichen Hintergrund, die Interessen, das Nutzungsverhalten und das soziale Netzwerk der Personen, die es nutzen, zu sammeln und für die Auswahl personalisierter Inhalte zu verwenden (Profiling). Dabei müssen personenbezogene Daten rechtmäßig und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Dies erfordert insbesondere eine transparente und diskriminierungsfreie Verarbeitung, bei der die Informationen über den Prozess der Verarbeitung leicht zugänglich und verständlich sein müssen.

Künstliche Intelligenz

Die DSGVO gilt auch für die Entwicklung und den Einsatz von Systemen Künstlicher Intelligenz (KI), in denen personenbezogene Daten verarbeitet werden. Dies betrifft sowohl die Frage der Verwendung von Daten zum Training der KI als auch die Nutzung solcher Systeme. Vollständig automatisierte Entscheidungen oder das Profiling durch KI-Systeme sind daher nur eingeschränkt zulässig. Der europäische Gesetzgeber berät momentan über ein ergänzendes Regelwerk speziell für KI-Systeme, die sog. KI-Verordnung. Die bisherigen Entwürfe verfolgen einen risikobasierten Ansatz: KI-Anwendungen sollen umso stärker reguliert werden, je höher die Risiken sind, die von ihnen ausgehen. Bestimmte Anwendungsfälle sollen aufgrund ihres unannehmbaren Risikos per se verboten sein, z. B. die Gesichtserkennung in öffentlichen Räumen. Aus Sicht des Datenschutzes besteht die Herausforderung darin, den gesellschaftlichen Nutzen der Künstlichen Intelligenz mit einem hohen Niveau für die Privatsphäre in Einklang zu bringen.