Toolbar-Menü

Beschluss vom 27. September 2023: Positionspapier zur audiovisuellen Umgebungserfassung im Rahmen von Entwicklungsfahrten

Inhaltsverzeichnis

  1. 1. Vorbemerkung
  2. 2. Entwicklungsfahrten
    1. 2.1. Datenerfassung unter realen Verkehrsbedingungen
    2. 2.2. Art und Umfang der verarbeiteten Daten
  3. 3. Rechtmäßigkeit der Datenverarbeitung
    1. 3.1. Rechtsgrundlage
    2. 3.2. Datenschutz durch Technikgestaltung
    3. 3.3. Durchführung einer Datenschutz-Folgenabschätzung
    4. 3.4. Wahrung der Betroffenenrechte und Erfüllung der Informationspflichten
    5. 3.5. Datenschutzrechtliche Verantwortlichkeit, Datenübermittlung

1. Vorbemerkung

Dieses Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder1 (DSK) behandelt Aspekte des Datenschutzes der Verarbeitung audiovisuell erfasster Umgebungsdaten zu Entwicklungs- und Testzwecken im Zusammenhang mit der Entwicklung des autonomen Fahrens. Die Automobilhersteller und Zulieferer (im Folgenden als Hersteller bezeichnet) äußern zunehmend den Bedarf, Entwicklungs- und Erprobungsfahrten (im Folgenden kurz als „Entwicklungsfahrten“ bezeichnet) unter realen Fahr- und Verkehrsbedingungen durchführen zu können. Das dient dazu, sowohl den Nutzungsgrad bestehender oder neu zu entwickelnder Assistenzsysteme, Fahrfunktionen und damit in Kontext stehende Dienste als auch ihre Verwendung zum automatisierten Fahren bis hin zur autonomen Mobilität zu entwickeln und zu verbessern.

Bei der audiovisuellen Umgebungserfassung werden personenbezogene Daten, u. a. Kfz-Kennzeichen, von Verkehrsteilnehmenden und weiteren Personen (z. B. Insassen anderer Fahrzeuge oder Personen, die zu Fuß, mit einem Fahrrad oder Motorrad am Verkehr teilnehmen) in räumlicher Umgebung der Fahrzeuge verarbeitet. Es ist bekannt, dass die Funktions- und Fahrzeugentwicklung in diesem Bereich oft in Zusammenarbeit mit Forschungseinrichtungen, Technologiepartnern und anderen Unternehmen der Automobilindustrie erfolgt und damit eine Weitergabe dieser Daten an Dritte verbunden ist.

2. Entwicklungsfahrten

Entwicklungsfahrten im Bereich der audiovisuellen Umgebungserfassung, sei es auf einem nicht öffentlichen Testgelände oder unter realen Bedingungen, zielen darauf ab, Systeme für die aktive und passive Sicherheit und für automatisiertes und autonomes Fahren zu entwickeln oder zu verbessern. Nach Angaben der Hersteller werden dazu speziell ausgerüstete und entsprechend gekennzeichnete (vgl. Abschnitt 3.4 weiter unten) Testfahrzeuge eingesetzt, die keine Privatfahrzeuge sind.

2.1. Datenerfassung unter realen Verkehrsbedingungen

Gemäß den Informationen der Hersteller verarbeiten die Testfahrzeuge bei der (Weiter-)Entwicklung von Fahrerassistenzsystemen sowie der Erprobung des automatisierten und autonomen Fahrens die Video- und Audiodaten der Fahrzeugumgebung insbesondere, um damit Lern- und Testdaten für die Entwicklung selbstlernender Systeme zu erhalten. Für den bestmöglichen „Lernerfolg“ dieser Systeme bedürfe es der Erfassung und Verarbeitung einer Vielzahl unterschiedlichster Verkehrssituationen als Abbild der Realität. Die Hersteller betonen, dass diese Echtdaten, zu denen zwangsläufig auch personenbezogene Daten gehören, für diesen bestmöglichen Lernerfolg unerlässlich sind.

Die DSK weist darauf hin, dass die Aufzeichnungen im öffentlichen Raum nur in dem Umfang zulässig sind, wie Aufzeichnungen auf einem nichtöffentlichen Testgelände nicht ausreichend sind. Die genauen Zwecke der jeweils geplanten Datenverarbeitungen müssen für jedes Projekt festgelegt werden. Soweit die o. g. personenbezogenen Daten für die Weiterentwicklung der Algorithmen für Simulationen und Verifikationen z. B. für Folge-Generationen benötigt werden, ist für diese Verarbeitung ebenfalls der Grundsatz der Zweckbindung zu beachten.

2.2. Art und Umfang der verarbeiteten Daten

Folgende audiovisuelle Datenkategorien und dazugehörige Metadaten (GPS-Position des Erprobungsfahrzeugs mitsamt Zeitstempel, Geschwindigkeit des Testfahrzeugs usw.) werden nach Aussage der Hersteller bei der audiovisuellen Umgebungserfassung zu den oben beschriebenen Zwecken verarbeitet2:

  • Optische Umgebungserfassung durch Bild- und Videoaufnahmen oder andere bildgebende Sensorik (bis zu 360°),
  • Akustische Signale der Umgebung zwecks Erkennung von akustischen Warnsignalen.

Zur Gewährleistung einer hinreichenden funktionalen Sicherheit selbstlernender Systeme könne es je nach Zweck der Entwicklung erforderlich sein, große Datenmengen zu erfassen und dazu bis zu mehreren Millionen Testkilometer zu absolvieren. Die Verarbeitung der aufgezeichneten Daten erfolge nicht nur in den Testfahrzeugen, sondern in der Regel auch in den Entwicklungszentren der Hersteller und Entwickler.

3. Rechtmäßigkeit der Datenverarbeitung

3.1. Rechtsgrundlage

Da die Einholung von Einwilligungen aller betroffenen Personen nicht möglich erscheint, kommt als Rechtsgrundlage für die Zulässigkeit der Datenverarbeitung im Regelfall Art. 6 Abs. 1 Buchst. f DS-GVO in Betracht. Danach ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, insbesondere dann wenn es sich bei der betroffenen Person um ein Kind handelt.

Die DSK erkennt grundsätzlich an, dass Hersteller und Entwickler ein berechtigtes Interesse an der (Weiter-)Entwicklung von Fahrerassistenzsystemen, des automatisierten und autonomen Fahrens sowie der Entwicklung von Fahrfunktionen und damit in Kontext stehenden Diensten haben können. Diese Entwicklungen können der Verbesserung der Verkehrssicherheit und damit auch dem allgemeinen öffentlichen Interesse dienen.

Die Hersteller haben dargestellt, dass für die Wahrung dieses Interesses die Verwendung von Material aus dem realen Straßenverkehr unter Echtbedingungen erforderlich ist, da lediglich hierdurch ein hinreichend breites Spektrum an Fahrsituationen erlernt und getestet werden könne. Nach Aussagen der Hersteller ist zur Gewährleistung einer hinreichenden Zuverlässigkeit und Sicherheit des automatisierten und autonomen Fahrens eine hohe Quantität und Qualität der Daten erforderlich und damit die Erfassung einer möglichst großen Anzahl unterschiedlicher Verkehrssituationen.

Bei der Erzeugung von Audio- und Videodateien haben die Verantwortlichen den Anwendungsbereich von § 201 und des § 201a StGB zu beachten. Die DSK betont, dass an strafbaren Datenverarbeitungsvorgängen bereits kein berechtigtes Interesse im Sinne des Datenschutzrechts bestehen kann.

Die Datenverarbeitung ist zur Verwirklichung der festgelegten Entwicklungs- und Testzwecke nicht erforderlich, wenn diese in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden können, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen, insbesondere die durch die Artikel 7 und 8 der Charta der Grundrechte der Europäischen Union garantierten Rechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, eingreifen. Die Verantwortlichen haben daher in regelmäßigen Abständen unter Berücksichtigung des Stands der Technik zu überprüfen, ob der Eingriff in die Rechte betroffener Personen etwa durch technische Mittel ausgeschlossen oder abgemildert werden kann, beispielsweise durch die Nutzung technischer Anonymisierungsverfahren (Schwärzen, Verpixeln o. Ä.) oder eine während oder unmittelbar nach der Aufzeichnung erfolgende automatisierte Löschung von Daten, die für die festgelegten Zwecke unerheblich sind. Das Ergebnis der Prüfung ist zu dokumentieren.

Die nach Art. 6 Abs. 1 Buchst. f DS-GVO erforderliche Abwägung der berechtigten Interessen des Verantwortlichen mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Personen, insbesondere dem grundrechtlich geschützten Interesse, sich frei und unbeobachtet im öffentlichen Raum bewegen zu können, muss im Einzelfall erfolgen. Im Erwägungsgrund 47 der DS-GVO finden sich insbesondere die folgenden Kriterien, die im Einzelfall im Rahmen der Interessenabwägung anzuwenden sind3:

  1. Vernünftige Erwartung der betroffenen Personen und Vorhersehbarkeit der Datenverarbeitung / Transparenz,
  2. Interventionsmöglichkeiten der betroffenen Personen,
  3. Verkettung von Daten,
  4. Beteiligte Akteure,
  5. Dauer der Erfassung,
  6. Kreis der betroffenen Personen (beispielsweise besonders schutzbedürftige Personen),
  7. Datenkategorien,
  8. Umfang der Datenverarbeitung.

Nachstehend sind, bezogen auf diese Kriterien, beispielhaft Aspekte aufgeführt, die im Rahmen der im Einzelfall durchzuführenden Interessenabwägung zugunsten der Interessen der Hersteller und Entwickler berücksichtigt werden können. Ob die Abwägung dann zugunsten der Hersteller und Entwickler ausfällt, muss anhand der Gesamtumstände des konkreten Einzelfalls entschieden werden.

  • Die zu entwickelnden Fahrfunktionen dienen überwiegend der Verbesserung der Verkehrssicherheit und insoweit auch dem Gemeinwohl.
  • Die Erfassung zielt nicht auf eine Identifizierung von individuellen Personen oder Personengruppen ab. Es sollen vielmehr Kategorien (z. B. Fahrzeuge, Fahrradfahrer oder Fußgänger) erkannt und klassifiziert werden. Dem entsprechend werden die einzelnen Personen nicht identifiziert.
  • Die Datenerhebungen beschränken sich auf eine Erfassung realer Zustände und Abläufe im öffentlichen Verkehrsraum, wobei nur kurzzeitig, momenthaft und als Nebeneffekt auch personenbezogene Daten erhoben werden können.

Zugunsten der betroffenen Personen können im Rahmen einer Abwägung nach Art. 6 Abs. 1 Buchst. f DS-GVO insbesondere folgende Erwägungen zu berücksichtigen sein:

  • Werden Daten offensichtlich nicht am Straßenverkehr beteiligter Personen erhoben, die regelmäßig nicht damit rechnen müssen, zu den festgelegten Entwicklungs- und Testzwecken aufgenommen zu werden, wiegt der Eingriff in die Rechte auf Datenschutz und Achtung des Privatlebens besonders schwer. Offensichtlich nicht am Straßenverkehr beteiligt sind grundsätzlich Personen, die sich in von der Fahrbahn aus einsehbaren Räumlichkeiten oder anderen befriedeten Bereichen, wie beispielsweise auf der Terrasse eines Gastronomiebetriebs, auf eingezäunten Schulhöfen oder Spielplätzen, aufhalten.
  • Infolge einer Mehrfacherfassung bereits abgebildeter Straßenabschnitte kann es zu einer Wiederholung oder Vertiefung des Eingriffs in die Rechte betroffener Personen kommen. Dies gereicht dem Verantwortlichen zum Nachteil, es sei denn, eine weitere Abbildung des Verkehrsgeschehens auf dem jeweiligen Straßenabschnitt war im Hinblick auf die festgelegten Zwecke objektiv geboten, da sie etwa wesentliche neue Erkenntnisse versprach, und der Verantwortliche hat dies vor Durchführung der Entwicklungsfahrt dokumentiert.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten ist regelmäßig von hoher Eingriffsintensität und grundsätzlich gemäß Art. 9 Abs. 1 DS-GVO untersagt. Soweit das aufgezeichnete Material nicht verarbeitet wird, um besondere Datenkategorien abzuleiten, ist Art. 9 DS-GVO jedoch nicht anzuwenden (vgl. EDSA-Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Rn. 62 ff.). Allerdings stellt die Verarbeitung von anderen besonders schützenswerten sensiblen Daten auch in Fällen, in denen Art. 9 Abs. 1 DS-GVO keine Anwendung findet, einen intensiven Eingriff dar, der in der gemäß Art. 6 Abs. 1 Buchst. f DS-GVO durchzuführenden Interessenabwägung umso schwerer wiegt, wenn die Verarbeitung solcher Daten durch den Verantwortlichen objektiv zu erwarten und technisch oder organisatorisch vermeidbar war. Die Erhebung solcher Daten ist insbesondere dann objektiv zu erwarten, wenn Einrichtungen oder Veranstaltungen erfasst werden, die regelmäßig dazu bestimmt sind, durch besonders schutzbedürftige Personengruppen, wie beispielsweise Kinder, aufgesucht zu werden. Die Verantwortlichen müssen vor Durchführung der Entwicklungsfahrt begründen und entsprechend der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO dokumentieren, aus welchem Grund sich eine audiovisuelle Erfassung entsprechender Einrichtungen oder Veranstaltungen wie z. B. Spielplätze, Kindergärten, Schulen, Krankenhäuser und Einrichtungen zur Glaubensausübung als unvermeidbar darstellt. Ein möglicher Grund könnte in besonderen Ausnahmefällen etwa die Gewährleistung der hinreichenden funktionalen Sicherheit auch in Gegenwart vulnerabler Personen im Straßenverkehr und damit deren Schutz sein.

3.2. Datenschutz durch Technikgestaltung

Die Hersteller und Entwickler müssen nach Art. 25 Abs. 1 DS-GVO sowie nach Art. 32 Abs. 1 DS-GVO sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen treffen, die die Einhaltung der Datenschutzgrundsätze nach Art. 5 DS-GVO wirksam gewährleisten. Diese Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.

Die Hersteller geben an, dass eine Pseudonymisierung oder Anonymisierung der erhobenen Daten im Rahmen der Entwicklungsfahrten nicht realisierbar ist, da eine Verfälschung von Bildern mit dem Ziel, Gesichter oder Kennzeichen beispielsweise durch Unschärfe oder Schwärzen unkenntlich zu machen, das Risiko erhöhen würde, dass reale Situationen im Straßenverkehr von diesen Systemen nicht eindeutig erkannt werden können. Auch wenn diese Einschätzung nach derzeitigem Stand der Technik zutreffen sollte, müssen die Hersteller und Entwickler in regelmäßigen Abständen überprüfen, ob der Eingriff in die Rechte betroffener Personen durch andere, fortgeschrittene technische Mittel, wie etwa die Nutzung von synthetischen Daten oder durch Fahrten auf einem Testgelände, ausgeschlossen oder abgemildert werden kann.

Darüber hinaus sind in den Fahrzeugen wie auch bei der Übermittlung in die sowie der Verarbeitung in den Entwicklungszentren geeignete technische und organisatorische Maßnahmen zur Unterbindung einer zweckfremden Verwendung der Daten zu ergreifen. Dies gilt besonders, wenn Daten nicht anonymisiert oder pseudonymisiert werden konnten. Die Wirksamkeit der technischen und organisatorischen Maßnahmen muss durch Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachgewiesen werden. Dabei sind bestehende Standards, Methoden und Best Practices gebührend zu berücksichtigen.4

3.3. Durchführung einer Datenschutz-Folgenabschätzung

Im Rahmen von Entwicklungsfahrten werden in großem Umfang personenbezogene Daten verarbeitet und beim Verantwortlichen gespeichert. Aus diesem Grund muss eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchgeführt werden.

3.4. Wahrung der Betroffenenrechte und Erfüllung der Informationspflichten

Die Hersteller und Entwickler müssen als die jeweils Verantwortlichen für die Verarbeitung die betroffenen Personen über die Verarbeitung personenbezogener Daten sowie ihre Betroffenenrechte gemäß der Art. 12 ff. DS-GVO informieren und hierzu geeignete Maßnahmen treffen. Aufgrund der Vielzahl der Informationen ist es nicht zweckmäßig, diese vollständig auf einem sich bewegenden Auto anzubringen. Es ist vielmehr angezeigt, die Informationen auf mehrere Ebenen zu verteilen. Wesentliche Informationen müssen auf dem Fahrzeug angebracht werden. Da die Identität der betroffenen Personen zum Zeitpunkt der Datenerhebung in der Regel nicht bekannt ist und diese auch nicht angesprochen werden können, müssen die Hersteller und Entwickler eine Webseite mit einer Datenschutzerklärung (insbesondere Informationen zu den Betroffenenrechten) einrichten und bewerben, um der Informationspflicht gemäß der DS-GVO nachzukommen.

Um die betroffenen Personen über die Video- und Audioaufzeichnung und diese Webseite zu informieren, sind die Testfahrzeuge mit geeigneten und gut sichtbaren Piktogrammen sowie der Benennung der verantwortlichen Stelle, des Zwecks und der URL zu einer Informationsseite zu versehen:

Links: Piktogramm Videoüberwachung; rechts: Piktogramm Mikrofon.
Links: Piktogramm Videoüberwachung; rechts: Piktogramm Mikrofon.

+ Verantwortlicher5

+ Ansprechpartner

+ URL

+ Hauptverarbeitungszweck

Auf der Webseite müssen den betroffenen Personen dann alle Informationen zur Erfüllung der Informationspflichten zur Verfügung stehen.

Die Rechte betroffener Personen, insbesondere Auskunftsansprüche (Art. 15 DS-GVO) sowie das Recht auf Widerspruch (Art. 21 DS-GVO) und Löschung (Art. 17 DS-GVO), sind zu erfüllen, soweit keine Ausnahmenvorschrift greift. Da davon auszugehen ist, dass die im Fahrzeugumfeld erfassten Personen regelmäßig nicht ohne Zusatzinformationen identifiziert werden können und eine solche Identifizierung für die von den Herstellern und Entwicklern verfolgten Zwecke auch nicht erforderlich ist, sind Hersteller und Entwickler gemäß Art. 11 Abs. 1 DS-GVO nicht zu einer zusätzlichen Datenverarbeitung zum Zweck der Identifikation verpflichtet. Sofern Verantwortliche in diesen Fällen potenziellen Betroffenen nachweisen, dass sie nicht in der Lage sind, diese zu identifizieren, finden die Pflichten nach Art. 15 bis 20 DS-GVO keine Anwendung (Art. 11 Abs. 2 DS-GVO). Etwas anderes gilt nur dann, wenn betroffene Personen im Einzelfall selbst zusätzliche Informationen bereitstellen, die ihre Identifizierung ermöglichen (Art. 11 Abs. 2 Satz 2 DS-GVO). Die Hersteller und Entwickler müssen die Information über die erforderlichen Angaben für eine Identifizierung in geeigneter Weise zur Verfügung stellen.

Folgende Eckpunkte im Umgang mit Betroffenenrechten sind insbesondere zu beachten:

  • Auskunftsanspruch: Eine Auskunftserteilung über die Umstände einer Aufnahme hat zu erfolgen, wenn die betroffene Person ihrerseits Informationen bereitstellt, die ermöglichen festzustellen, ob sie Gegenstand einer Aufnahme sein könnte, indem sie z. B. den genauen Ort und den Tag mit der genauen Uhrzeit der Aufnahme nennt (Art. 11 Abs. 2 DS-GVO).
  • Löschungsanspruch bzw. Widerspruch: Die Hersteller und Entwickler müssen im Einzelfall entscheiden und dokumentieren, ob eine Löschung die Zwecke der (Weiter-)Entwicklung von Fahrerassistenzsystemen und des automatisierten und autonomen Fahrens ernsthaft beeinträchtigt (Art. 17 Abs. 3 Buchst. d DS-GVO) bzw. ein Widerspruch aufgrund zwingender schutzwürdiger Verarbeitungsgründe, die die Interessen, Rechte und Freiheiten der betroffenen Personen überwiegen, nicht in Betracht kommt (Art. 21 Abs. 1 DS-GVO).

Die Daten müssen im Einklang mit geltendem Datenschutzrecht gelöscht werden. Zur Verteidigung von Rechtsansprüchen (Produkthaftung usw.) dürfen die Daten gemäß den gesetzlichen Vorgaben ggf. länger gespeichert werden.

3.5. Datenschutzrechtliche Verantwortlichkeit, Datenübermittlung

Die Hersteller und Entwickler arbeiten nach eigenen Angaben mit technischen Entwicklungsdienstleistern, Forschungskooperationspartnern (z. B. Universitäten oder Institute der angewandten Forschung) sowie Technologiepartnern und anderen Mitgliedern der Automobilwirtschaft (Kooperationspartner) zusammen. In bestimmten Fällen würden Datensätze auch an externe Partner weitergegeben. Dies sei beispielsweise der Fall, wenn sich die Hersteller und Entwickler an öffentlich geförderten Forschungsprojekten mit akademischen Partnern beteiligen und die Daten zur Durchführung eines solchen Forschungsprojektes benötigt werden. Auch ein Austausch der Datensätze innerhalb einer Kooperation mit Technologiepartnern oder anderen Mitgliedern der Automobilwirtschaft falle darunter.

In diesem Rahmen müssen die gesetzlich vorgegebenen datenschutzrechtlichen Verantwortlichkeiten in Bezug auf die Beteiligten klar zugewiesen (Artikel 24, 26 oder 28 DS-GVO, d. h. unabhängige Verantwortliche, gemeinsam Verantwortliche, Auftragsverarbeiter) und dokumentiert werden. Dazu müssen entsprechende Verträge bestehen, die den gesetzlichen Anforderungen genügen. Die einzelnen Dienstleister oder Kooperationspartner dürfen hierfür Daten zweckbezogen in Abhängigkeit der durchzuführenden Aufgaben oder angestrebten Entwicklungsziele und unter Berücksichtigung einer Rechtsgrundlage für die Übermittlung nach Art. 6 Abs. 1 DS-GVO erhalten.

Werden personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt, sind die Anforderungen an den internationalen Datentransfer (insbesondere unter Beachtung des neuen EU-US Data Privacy Framework6) einzuhalten. Dies ist vom Verantwortlichen im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzuweisen.

1 Dieses Positionspapier basiert auf einem Austausch der Datenschutzaufsichtsbehörden des Bundes und der Länder mit dem Verband der Automobilindustrie (VDA).

2 Zur Klarstellung: Nicht in der Liste enthalten sind die Datenkategorien, die im Rahmen der Erprobung verarbeitet werden, aber keinen unmittelbaren Bezug zur Umgebungserfassung haben und somit nicht Gegenstand dieser Erklärung sind.

3 Siehe „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ (S. 16 ff.), Beschluss der DSK vom 29.03.2019 (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf), und „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“, Beschluss der DSK vom 20.12.2021 (https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf).

4 z. B. „Positionspapier der DSK zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und dem Betrieb von KI-Systemen“, Beschluss der DSK vom 06.11.2019 (https://www.datenschutzkonferenz-online.de/media/en/20191106_positionspapier_kuenstliche_intelligenz.pdf), Positionspapier „Transparenz der Verwaltung beim Einsatz von Algorithmen für gelebten Grundrechtsschutz unabdingbar“ im Rahmen der 36. Konferenz der Informationsfreiheitsbeauftragten vom 16.10.2018 (https://www.informationsfreiheit.bremen.de/sixcms/media.php/13/IFK-Positionspapier_Algorithmen_16.pdf), IT-Grundschutz-Kompendium des BSI, Standard-Datenschutzmodell (https://www.datenschutzkonferenz-online.de/media/ah/SDM-Methode-V30a.pdf) oder einschlägige ISO-Normen wie z. B. 27701.

5 Soweit der Schutz von Geschäftsgeheimnissen bei einer Offenlegung des Verantwortlichen tangiert ist, ist die Ausgestaltung der Informationspflichten im Einzelfall mit der zuständigen Datenschutzaufsichtsbehörde zu klären.

6 „Übermittlung personenbezogener Daten aus Europa an die USA – Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023“, Anwendungshinweise der DSK vom 04.09.2023 (https://datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf).

Seite drucken