Entschließung des Europäischen Parlaments vom 14. März 2017 zu den Folgen von Massendaten für die Grundrechte: Privatsphäre, Datenschutz, Nichtdiskriminierung, Sicherheit und Rechtsdurchsetzung (2016/2225(INI))
Das Europäische Parlament,
– gestützt auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union,
– unter Hinweis auf die Artikel 1, 7, 8, 11, 14, 21, 47 und 52 der Charta der Grundrechte der Europäischen Union,
– unter Hinweis auf die Leitlinien für die Regelung personenbezogener Datenbanken der Generalversammlung der Vereinten Nationen in ihrer Resolution 45/95 vom 14. Dezember 1990,
– unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(1) und auf die Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates(2),
– unter Hinweis auf die Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 6. Mai 2015 mit dem Titel „Strategie für einen digitalen Binnenmarkt“ (COM(2015)0192),
– unter Hinweis auf das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28. Januar 1981 (SEV-Nr. 108) und sein Zusatzprotokoll vom 8. November 2001 (SEV-Nr. 181)(3),
– unter Hinweis auf die Empfehlung CM/Rec(2010)13 des Ministerkomitees des Europarats an die Mitgliedstaaten vom 23. November 2010(4) betreffend den Schutz von Personen vor der automatischen Verarbeitung personenbezogener Daten im Rahmen des Profiling,
– unter Hinweis auf die Stellungnahme 7/2015 des Europäischen Datenschutzbeauftragten vom Donnerstag, 19. November 2015, mit dem Titel „Bewältigung der Herausforderungen in Verbindung mit Big Data – Ein Ruf nach Transparenz, Benutzerkontrolle, eingebautem Datenschutz und Rechenschaftspflicht“(5),
– unter Hinweis auf die Stellungnahme 8/2016 des Europäischen Datenschutzbeauftragten vom 23. September 2016 mit dem Titel „Stellungnahme des EDSB zur kohärenten Durchsetzung von Grundrechten im Zeitalter von Big Data“(6),
– unter Hinweis auf die Erklärung der nach Artikel 29 eingesetzten Datenschutzgruppe über die Auswirkungen der Entwicklung von Big-Data-Technologien auf den Schutz natürlicher Personen im Hinblick auf die Verarbeitung ihrer personenbezogenen Daten in der EU vom 16. September 2014(7),
– gestützt auf Artikel 52 seiner Geschäftsordnung,
– unter Hinweis auf den Bericht des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (A8-0044/2017),
A. in der Erwägung, dass der Begriff „Big Data“ (Massendaten) die Erhebung, Analyse und wiederholte Ansammlung großer Mengen von Daten, einschließlich personenbezogener Daten, aus vielfältigen Quellen bedeutet, die Gegenstand einer automatischen Verarbeitung durch Computeralgorithmen und fortschrittliche Datenverarbeitungstechniken sind, bei denen sowohl gespeicherte Daten als auch Streaming-Daten verwendet werden, um bestimmte Korrelationen, Trends und Muster zu ermitteln (Massendatenanalyse);
B. in der Erwägung, dass die Verwendung von Big Data in einigen Fällen das Trainieren von Geräten umfasst, die mit künstlicher Intelligenz ausgestattet sind, wie etwa neuronale Netze und statistische Modelle, mit denen bestimmte Ereignisse und Verhaltensweisen vorhergesagt werden können; in der Erwägung, dass die zum Trainieren verwendeten Daten häufig von fragwürdiger Qualität und nicht neutral sind;
C. in der Erwägung, dass der Fortschritt bei den Kommunikationstechnologien und die allgegenwärtige Benutzung von elektronischen Geräten, Überwachungsgeräten, sozialen Medien, Interaktionen und Netzwerken im Internet, einschließlich Geräten, die Informationen ohne menschliches Zutun weitergeben, zu der Entwicklung massiver, ständig größer werdender Datenbestände geführt haben, die durch fortschrittliche Verarbeitungstechniken und -analysen beispiellose Erkenntnisse über das menschliche Verhalten, das Privatleben und unsere Gesellschaften bieten;
D. in der Erwägung, dass die Nachrichtendienste von Drittländern und Mitgliedstaaten zunehmend auf die Verarbeitung und Analyse solcher Datensätze bauen, für die entweder keinerlei Rechtsrahmen gilt oder die seit Neuestem durch Rechtsvorschriften geregelt sind, deren Vereinbarkeit mit dem Primär- und Sekundärrecht der EU Bedenken aufwirft und noch geprüft werden muss;
E. in der Erwägung, dass die Zunahme des Mobbing sowie der Gewalt gegen Frauen und wehrlose Kinder ebenfalls im Internet stattfindet; in der Erwägung, dass die Kommission und die Mitgliedstaaten alle notwendigen rechtlichen Maßnahmen ergreifen sollten, um diese Phänomene zu bekämpfen;
F. in der Erwägung, dass immer mehr Konzerne, Unternehmen, Einrichtungen und Agenturen, Regierungs- und Nichtregierungsorganisationen (sowie der öffentliche und der private Sektor allgemein), führende Politiker, die Zivilgesellschaft, Regierungen, akademische Kreise, die Wissenschaftsgemeinschaft und Bürger insgesamt solche Datenbestände und die Massendatenanalyse dazu benutzen, Wettbewerbsfähigkeit, Innovation, Marktprognosen, politische Kampagnen, zielgerichtete Werbung, wissenschaftliche Forschung und Politikgestaltung im Bereich Verkehr, Besteuerung, Finanzdienstleistungen, „intelligente Städte“, Strafverfolgung, Transparenz, öffentliche Gesundheit und Interventionen im Katastrophenfall sowie Beeinflussung von Wahlen und politischen Ergebnissen beispielsweise über zielgerichtete Kommunikation zu fördern;
G. in der Erwägung, dass der Markt für Big Data dadurch wächst, dass zunehmend davon ausgegangen wird, dass die Technologie und das Verfahren der datengesteuerten Entscheidungsfindung Lösungen bietet; in der Erwägung, dass es noch keine Methode gibt, mit der die Auswirkungen von Big Data einer faktengestützten Bewertung unterzogen werden können, dass es jedoch Anzeichen dafür gibt, dass die Massendatenanalyse beträchtliche horizontale Auswirkungen auf den gesamten öffentlichen und privaten Sektor haben kann; in der Erwägung, dass die Kommission in ihrer Strategie für einen digitalen Binnenmarkt für Europa anerkennt, dass datengestützte Technologien, Dienstleistungen und Big Data potenziell als Katalysator für wirtschaftliches Wachstum, Innovation und Digitalisierung in der EU wirken können;
H. in der Erwägung, dass die Massendatenanalyse Mehrwert in verschiedener Weise schafft, wofür es zahlreiche positive Beispiele gibt – wodurch sich den Bürgern beträchtliche Möglichkeiten eröffnen –, zum Beispiel in den Bereichen Gesundheitsfürsorge, Bekämpfung des Klimawandels, Verringerung des Energieverbrauchs, Verbesserung der Verkehrssicherheit und Ermöglichung intelligenter Städte, und dass dadurch die Effizienz und Optimierung von Unternehmen gesteigert und ein Beitrag zur Verbesserung der Arbeitsbedingungen sowie zur Aufdeckung und Bekämpfung von Betrug geleistet wird; in der Erwägung, dass Big Data einen Wettbewerbsvorteil für die Entscheidungsprozesse europäischer Unternehmen bietet und dass der öffentliche Sektor eine höhere Effizienz dank fundierterer Erkenntnisse über die verschiedenen Ebenen der sozioökonomischen Entwicklungen erreichen kann;
I. in der Erwägung, dass Big Data zwar über das vorstehend erwähnte Potenzial für Bürger, akademische Kreise, die Wissenschaftsgemeinschaft sowie den öffentlichen und den privaten Sektor verfügt, aber auch beträchtliche Risiken birgt, und zwar hinsichtlich des Schutzes von Grundrechten, wie dem Recht auf Privatsphäre, Datenschutz und Datensicherheit, aber auch des Rechts auf freie Meinungsäußerung und auf Nichtdiskriminierung, wie sie durch die EU-Charta der Grundrechte und das Unionsrecht garantiert sind; in der Erwägung, dass Pseudonymisierungs- und Verschlüsselungstechniken die Risiken im Zusammenhang mit der Massendatenanalyse verringern können und deshalb eine wichtige Rolle beim Schutz der Privatsphäre der betroffenen Person spielen und gleichzeitig Innovation und Wirtschaftswachstum fördern; in der Erwägung, dass diesen Gegebenheiten bei der derzeitigen Überarbeitung der Richtlinie über den Schutz der Privatsphäre in der elektronischen Kommunikation Rechnung zu tragen ist;
J. in der Erwägung, dass die massenhafte Verbreitung von Sensoren, eine umfangreiche routinemäßige Datenerhebung und moderne Tätigkeiten zur Datenverarbeitung nicht immer ausreichend transparent sind, was hinsichtlich der Fähigkeit von Einzelpersonen und Behörden zur Bewertung der Verfahren und des Zwecks der Erhebung, Sammlung, Analyse und Verwendung personenbezogener Daten problematisch ist; in der Erwägung, dass zu beobachten ist, wie der Unterschied zwischen personenbezogenen und nichtpersonenbezogenen Daten durch die Verwendung der Massendatenanalyse verschwimmt, was unter Umständen dazu führt, dass neue personenbezogene Daten geschaffen werden;
K. in der Erwägung, dass der Big-Data-Sektor um 40 % pro Jahr wächst, also sieben Mal schneller als der IT-Markt; in der Erwägung, dass große Unternehmen durch die konzentrierte Anhäufung großer Datensätze mittels neuer Technologien an wesentliche Informationen gelangen können, wodurch beispiellose Verschiebungen in der Machtbalance zwischen Bürgern, Regierungen und privaten Akteuren entstehen; in der Erwägung, dass eine derartige Machtkonzentration zugunsten großer Unternehmen zur Festigung von Monopolen und zu missbräuchlichem Verhalten führen und sich negativ auf die Verbraucherrechte und den lauteren Wettbewerb am Markt auswirken könnte; in der Erwägung, dass die Interessen des Einzelnen und der Schutz der Grundrechte bei Zusammenschlüssen von Unternehmen, die im Bereich Big Data tätig sind, näher geprüft werden sollten;
L. in der Erwägung, dass Big Data ein enormes ungenutztes Potenzial birgt, die Produktivität zu fördern und den Bürgern bessere Produkte und Dienstleistungen zu bieten; betont allerdings, dass die allgemeine Verwendung von intelligenten Geräten, Netzwerken und Internetanwendungen durch Bürger, Unternehmen und Organisationen nicht als Indikator für die Zufriedenheit mit den angebotenen Produkten gewertet werden kann, sondern vielmehr als verbreitete Erkenntnis, dass diese Dienste unverzichtbar für unsere Lebens-, Kommunikations- und Arbeitsweise geworden sind, obwohl es an einem Verständnis der Risiken mangelt, die sie für unser Wohlbefinden, unsere Sicherheit und unsere Rechte bergen könnten;
M. in der Erwägung, dass zwischen der Quantität und der Qualität von Daten unterschieden werden sollte, um die wirksame Verwendung von Big Data (Algorithmen und anderen analytischen Werkzeugen) zu erleichtern; in der Erwägung, dass Daten und/oder Verfahren von schlechter Qualität, die Entscheidungsprozessen und analytischen Werkzeugen zugrunde liegen, zu „biased algorithms“ (voreingenommene Algorithmen), verfälschten Korrelationen, Fehlern, der Unterschätzung der rechtlichen, sozialen und ethischen Auswirkungen, dem Risiko der Verwendung von Daten zu diskriminierenden und betrügerischen Zwecken sowie zur Zurückdrängung der Rolle des Menschen in diesen Verfahren führen könnten, was fehlerhafte Entscheidungsprozesse nach sich ziehen kann, die sich nachteilig auf das Leben und die Chancen von Bürgern und insbesondere Randgruppen auswirken, was negative Folgen für unsere Gesellschaften und Unternehmen hat;
N. in der Erwägung, dass Transparenz und Rechenschaftspflicht in Bezug auf Algorithmen bedeuten sollte, dass technische und operative Maßnahmen ergriffen werden, durch die die Transparenz und die Nichtdiskriminierung der automatisierten Entscheidungsfindung und der Berechnung der Wahrscheinlichkeit von Verhaltensweisen des Einzelnen gewährleistet werden; in der Erwägung, dass Transparenz dem Einzelnen aussagekräftige Informationen über die befolgte Logik, die Bedeutung und die beabsichtigten Folgen bieten sollte; in der Erwägung, dass dies Informationen über die Daten, die für die Schulung von Big-Data-Analytikern verwendet werden, umfassen und dem Einzelnen ermöglichen sollte, die ihn betreffenden Entscheidungen zu verstehen und zu überwachen;
O. in der Erwägung, dass Datenanalysen und Algorithmen sich immer stärker auf die Informationen auswirken, die den Bürgern zugänglich gemacht werden; in der Erwägung, dass eine missbräuchliche Verwendung derartiger Techniken die Grundrechte auf Information sowie die Freiheit und Pluralität der Medien gefährden könnte; in der Erwägung, dass der öffentlich-rechtliche Rundfunk in den Mitgliedstaaten unmittelbar mit den demokratischen, sozialen und kulturellen Bedürfnissen jeder Gesellschaft sowie mit dem Erfordernis verknüpft ist, die Pluralität der Medien zu wahren, wie es im Protokoll über den öffentlich-rechtlichen Rundfunk in den Mitgliedstaaten (11997D/PRO/09) zum Vertrag von Amsterdam festgelegt ist;
P. in der Erwägung, dass die Ausbreitung der Datenverarbeitung und -analyse, die schiere Zahl von Akteuren, die an der Erhebung, Speicherung, Verarbeitung und Weitergabe von Daten beteiligt sind, und die Kombination großer Datenbestände, die personenbezogene und nichtpersonenbezogene Daten aus vielfältigen Quellen enthalten, zwar beträchtliche Chancen bieten, aber zusammengenommen zu großer Unsicherheit sowohl bei Bürgern als auch beim öffentlichen und beim privaten Sektor bezüglich der spezifischen Anforderungen für die Einhaltung des derzeitigen Datenschutzrechts der EU führen;
Q. in der Erwägung, dass es eine Unmenge unstrukturierter Altsysteme gibt, die einen riesigen Bestand von Daten enthalten, die Unternehmen jahrelang im Rahmen unklarer Datenverwaltungssysteme erhoben haben und die systematisch in Einklang mit den Vorschriften gebracht werden sollten;
R. in der Erwägung, dass eine engere Zusammenarbeit und eine stärkere Kohärenz zwischen den verschiedenen Regulierungsstellen und Wettbewerbsaufsichts-, Verbraucherschutz- und Datenschutzbehörden auf nationaler und EU-Ebene gefördert werden sollte, um einen einheitlichen Ansatz zu den Auswirkungen von Big Data auf die Grundrechte und deren Verständnis zu gewährleisten; in der Erwägung, dass die Schaffung und Weiterentwicklung des Clearinghauses für den digitalen Sektor(8) als einem freiwilligen Netz von Durchsetzungsbehörden dazu beitragen kann, ihre Arbeit und ihre jeweiligen Durchsetzungsmaßnahmen zu verbessern, die Synergien zu mehren und den Schutz der Rechte und Interessen des Einzelnen zu stärken;
Allgemeine Erwägungen
1. betont, dass die Chancen und Möglichkeiten von Big Data nur von den Bürgern, dem öffentlichen und dem privaten Sektor, den akademischen Kreisen und der Wissenschaftsgemeinschaft in vollem Umfang genutzt wahrgenommen werden können, wenn das Vertrauen der Öffentlichkeit in diese Technologien dadurch sichergestellt wird, dass eine konsequente Durchsetzung der Grundrechte, die Einhaltung des derzeitigen Datenschutzrechts der EU und Rechtssicherheit für alle beteiligten Akteure gewährleistet werden; betont, dass die Verarbeitung personenbezogener Daten nur gemäß einer der in Artikel 6 der Verordnung (EU) 2016/679 festgelegten Rechtsgrundlagen möglich ist; hält es für ausschlaggebend, dass Transparenz und eine gute Information der betroffenen Personenkreise wesentlich für den Aufbau von Vertrauen in der Öffentlichkeit und den Schutz der Rechte des Einzelnen sind;
2. betont, dass die Einhaltung des derzeitigen Datenschutzrechts zusammen mit strengen wissenschaftlichen und ethischen Standards der Schlüssel für die Schaffung von Vertrauen in Big-Data-Lösungen und ihre Verlässlichkeit ist; betont, dass die Informationen, die sich aus einer Massendatenanalyse ergeben, keine unparteiische Übersicht über den jeweiligen Gegenstand bieten und nur so verlässlich sind, wie dies die zugrunde liegenden Daten erlauben; betont, dass durch prädiktive Analysen, die auf Big Data gestützt sind, nur eine statistische Wahrscheinlichkeit ermittelt und deshalb nicht immer eine individuelle Verhaltensweise zutreffend vorhergesagt werden kann; betont deshalb, dass strenge wissenschaftliche und ethische Standards für die Verwaltung der Datenerhebung und die Beurteilung der Ergebnisse solcher Analysen unverzichtbar sind;
3. weist darauf hin, dass sensible personenbezogene Informationen aus nicht sensiblen Daten abgeleitet werden können, wodurch die Grenze zwischen sensiblen und nicht sensiblen Daten verschwimmt;
4. betont, dass der Einzelne kaum weiß und versteht, was Big Data ist, weswegen es möglich ist, persönliche Informationen in nicht vorhergesehener Weise zu verwenden; stellt fest, dass es von entscheidender Bedeutung ist, dass in der EU eine Schulung in Grundrechten erfolgt und ein Bewusstsein für sie geschaffen wird; fordert die EU-Institutionen und die Mitgliedstaaten nachdrücklich auf, in digitale Kompetenzen zu investieren und das Bewusstsein der Bürger für digitale Rechte, Privatsphäre und Datenschutz zu stärken, auch bei Kindern; hebt hervor, dass durch diese Art der Schulung auch das Wissen über die Grundsätze/Logik von Algorithmen und automatisierten Entscheidungsprozessen gefördert werden sollte, damit ihre Funktionsweise verstanden wird und sie auf sinnvolle Weise interpretiert werden können; betont zudem, dass Schulung notwendig ist, um das Wissen darüber zu fördern, wo und wie Datenströme gesammelt werden (z. B. durch Web Scraping, das Kombinieren von Datenströmen mit Daten sozialer Netzwerke und verbundener Geräte und der Vereinigung dieser Informationen zu neuen Datenströmen);
Big Data für kommerzielle Zwecke und im öffentlichen Sektor
Privatsphäre und Datenschutz
5. weist darauf hin, dass das Unionsrecht im Bereich des Schutzes von Privatsphäre und personenbezogenen Daten sowie die Rechte auf Gleichbehandlung und Nichtdiskriminierung ebenso wie das Recht des Einzelnen, Informationen bezüglich der Logik hinter automatisierter Entscheidungsfindung und Profiling zu erhalten, und das Recht auf gerichtliche Rechtsbehelfe auf die Datenverarbeitung anwendbar sind, wenn der Verarbeitung Pseudonymisierungs- und Anonymisierungstechniken vorgeschaltet sind, oder in jedem Fall, wenn die Verwendung nichtpersonenbezogener Daten Auswirkungen auf das Privatleben oder andere Rechte und Freiheiten des Einzelnen haben kann, die zur Stigmatisierung ganzer Bevölkerungsgruppen führen können;
6. betont, dass der digitale Binnenmarkt auf verlässlichen, vertrauenswürdigen und schnellen Netzwerken und Dienstleistungen beruhen muss, bei denen die Grundrechte der betroffenen Personen auf Datenschutz und Privatsphäre geschützt und gleichzeitig Innovationen und die Massendatenanalyse gefördert werden, um ein geeignetes Umfeld und gleiche Wettbewerbsbedingungen für die Stärkung der digitalen Wirtschaft in Europa zu schaffen;
7. weist außerdem auf die Möglichkeit hin, Einzelpersonen durch die Korrelation verschiedener Arten anonymisierter Daten zu identifizieren; betont, dass das Unionsrecht im Bereich des Schutzes von Privatsphäre und personenbezogenen Daten für die Verarbeitung solcher korrelierter Daten nur gilt, wenn eine Einzelperson tatsächlich identifiziert werden kann;
8. betont, dass die vorstehend erwähnten Grundsätze als Rahmen für die Entscheidungsprozesse des öffentlichen und des privaten Sektors und anderer Akteure, die Daten verwenden, dienen sollten; unterstreicht die Notwendigkeit von sehr viel mehr Transparenz und Rechenschaftspflicht in Bezug auf Algorithmen bei der Datenverarbeitung und -analyse durch den privaten und den öffentlichen Sektor und alle sonstigen Akteure, die sich der Datenanalyse bedienen, als einem wesentlichen Hilfsmittel um sicherzustellen, dass der Einzelne in angemessener Weise über die Verarbeitung seiner personenbezogenen Daten unterrichtet wird;
9. betont die grundlegende Rolle, die die Kommission, der Europäische Datenschutzausschuss, nationale Datenschutzbehörden und andere unabhängige Aufsichtsbehörden in Zukunft spielen sollten, um Transparenz und ordnungsgemäße Verfahren, Rechtssicherheit allgemein und konkrete Standards im Besonderen zu fördern, durch die die grundlegenden Rechte und Garantien im Zusammenhang mit der Benutzung von Datenverarbeitung und -analyse durch den privaten und den öffentlichen Sektor geschützt werden; fordert eine engere Zusammenarbeit der für die Aufstellung der Verhaltensregeln im digitalen Umfeld zuständigen Regulierungsbehörden, damit es zu mehr Synergien zwischen den Regelungsrahmen für Verbraucher sowie Wettbewerbs- und Datenschutzbehörden kommt; fordert, dass solche Behörden mit angemessenen finanziellen und personellen Mitteln ausgestattet werden; ist sich außerdem der Tatsache bewusst, dass ein Clearinghaus für den digitalen Sektor geschaffen werden muss;
10. betont, dass der eigenständige Zweck von Big Data sein sollte, vergleichbare Zusammenhänge mit möglichst wenig personenbezogenen Daten zu finden; hebt in diesem Zusammenhang hervor, dass die Wissenschaft sowie Unternehmen und öffentliche Gemeinschaften den Schwerpunkt auf die Forschung und Innovation im Bereich der Anonymisierung legen sollten;
11. stellt fest, dass die Anwendung von Pseudonymisierungs-, Anonymisierungs- oder Verschlüsselungstechniken für personenbezogene Daten die Risiken für die betroffenen Personen verringern kann, wenn personenbezogene Daten in Big-Data-Anwendungen verwendet werden; hebt außerdem die Vorteile der Pseudonymisierung hervor, die in der Datenschutz-Grundverordnung als geeignete Schutzmaßnahme vorgesehen ist; erinnert daran, dass es sich bei der Anonymisierung um ein unumkehrbares Verfahren handelt, nach dem personenbezogene Daten nicht mehr allein zur Identifizierung oder zum Herausgreifen einer natürlichen Person verwendet werden können; ist der Auffassung, dass durch vertragliche Pflichten gewährleistet werden sollte, dass anonymisierte Daten nicht durch die Benutzung zusätzlicher Korrelationen durch die Kombination verschiedener Datenquellen neu definiert werden; fordert den privaten und den öffentlichen Sektor sowie andere an der Massendatenanalyse beteiligte Akteure auf, diese Risiken anhand neuer Technologien regelmäßig zu überprüfen und die Eignung ergriffener Maßnahmen zu dokumentieren; fordert die Kommission, den Europäischen Datenschutzausschuss und andere für Datenschutz zuständige unabhängige Aufsichtsbehörden auf, Leitlinien zu der Frage auszuarbeiten, wie Daten ordnungsgemäß anonymisiert werden können, um einen künftigen Missbrauch dieser Maßnahmen zu vermeiden und die Praktiken zu überwachen;
12. fordert den privaten und den öffentlichen Sektor sowie andere für die Datenverarbeitung verantwortliche Stellen auf, die durch die Datenschutz-Grundverordnung zur Verfügung gestellten Instrumente, wie etwa Verhaltenskodizes und Zertifizierungssysteme, zu nutzen, um mehr Sicherheit hinsichtlich ihrer spezifischen Verpflichtungen nach dem Unionsrecht zu erlangen und ihre Praktiken und Tätigkeiten so zu gestalten, dass sie im Einklang mit den einschlägigen rechtlichen Normen und Schutzmechanismen der EU stehen;
13. fordert die Kommission und die Mitgliedstaaten auf sicherzustellen, dass datengestützte Technologien nicht zu einem beschränkten oder diskriminierenden Zugang zu einem pluralistischen Medienumfeld führen, sondern dass sie die Freiheit und Pluralität der Medien stärken; betont, dass die Zusammenarbeit zwischen Regierungen, Bildungseinrichtungen und Medienorganisationen eine entscheidende Rolle dabei spielen wird, die Förderung der digitalen Medienkompetenz sicherzustellen, um die Bürger zu selbstbestimmtem Handeln zu befähigen und ihre Rechte auf Information und freie Meinungsäußerung zu schützen;
14. ist der Ansicht, dass die Veröffentlichung personenbezogener Daten durch öffentliche Behörden aus Gründen des öffentlichen Interesses, beispielsweise zur Vorbeugung von Korruption, Interessenkonflikten, Steuerhinterziehung und Geldwäsche, in einer demokratischen Gesellschaft zulässig sein kann, sofern die Daten nach gesetzlich festgelegten Bedingungen offengelegt werden, geeignete Schutzmechanismen vorgesehen sind und eine solche Veröffentlichung für das verfolgte Ziel erforderlich ist und ihm entspricht;
Sicherheit
15. stellt fest, dass die technologische Entwicklung einen Mehrwert besitzt, durch den zu mehr Sicherheit beigetragen wird; ist sich der Tatsache bewusst, dass einige der akutesten Risiken im Zusammenhang mit modernen Tätigkeiten der Datenverarbeitung, wie etwa Big-Data-Techniken (insbesondere im Zusammenhang mit dem „Internet der Dinge“), die dem Einzelnen Sorgen bereiten, Verstöße gegen Sicherheitsvorschriften, unberechtigten Zugang zu Daten und rechtswidrige Überwachung umfassen; meint, dass man diesen Bedrohungen ohne eine Verletzung der Grundrechte nur durch eine echte und konzertierte Zusammenarbeit zwischen dem privaten und dem öffentlichen Sektor, Strafverfolgungsbehörden und unabhängigen Aufsichtsbehörden Herr werden kann; betont in diesem Zusammenhang, dass besondere Aufmerksamkeit der Sicherheit von E-Government-Systemen sowie zusätzlichen rechtlichen Maßnahmen, wie etwa Softwarehaftung, gebührt;
16. ist der Ansicht, dass die Verwendung von End-zu-End-Verschlüsselung gemäß dem Grundsatz des Datenschutzes durch Technik gefördert und erforderlichenfalls angeordnet werden sollte; empfiehlt, dass in allen zukünftigen Rechtsrahmen hierfür ausdrücklich verboten wird, dass Verschlüsselungsanbieter, Anbieter von Kommunikationsdiensten und alle anderen Organisationen (auf allen Ebenen der Lieferkette) „Schlupflöcher“ zulassen oder ermöglichen;
17. betont, dass der Anstieg der Datengenerierung und der Datenflüsse zu neuen Schwachstellen und neuen Herausforderungen im Bereich der Informationssicherheit führen; fordert in diesem Zusammenhang den Einsatz von Techniken des „eingebauten Datenschutzes“ und der „datenschutzfreundlichen Voreinstellungen“, gegebenenfalls Anonymisierungstechniken, Verschlüsselungstechniken und verbindlich vorgeschriebene Einschätzungen der Folgen für die Privatsphäre; betont, dass solche Maßnahmen von allen an Massendatenanalyse beteiligten Akteuren im privaten und im öffentlichen Sektor sowie anderen mit sensiblen Daten befassten Akteuren, beispielsweise Anwälten, Journalisten und im Gesundheitsbereich beschäftigten Personen, angewandt werden sollten, damit sichergestellt wird, dass Big Data nicht zu größeren Risiken für die Informationssicherheit führt;
18. erinnert daran, dass die Mitgliedstaaten gemäß Artikel 15 der Richtlinie 2000/31/EG den Anbietern von Durchleitungs-, Speicher- und Hosting-Diensten keine allgemeine Verpflichtung auferlegen dürfen, die von ihnen übertragenen oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen; bekräftigt insbesondere, dass der Gerichtshof der Europäischen Union in den Rechtssachen C-360/10 und C-70/10 Maßnahmen der „aktiven Überwachung“ von praktisch allen Nutzern der betroffenen Dienste (Internet-Diensteanbieter im einen Fall, soziale Netze im anderen Fall) abgelehnt und darauf hingewiesen hat, dass jegliche dem Hosting-Anbieter auferlegte Anordnung, eine aktive Überwachung vorzunehmen, verboten ist;
Nichtdiskriminierung
19. betont, dass Big Data wegen der Datensätze und algorithmischen Systeme, die bei Beurteilungen und Prognosen in den verschiedenen Phasen der Datenverarbeitung benutzt werden, nicht nur zu einer Verletzung der Grundrechte Einzelner, sondern auch zu einer unterschiedlichen Behandlung und mittelbaren Diskriminierung von Gruppen von Menschen mit ähnlichen Merkmalen führen kann, insbesondere hinsichtlich der Fairness und Chancengleichheit beim Zugang zu Bildung und Beschäftigung, wenn Einzelne eingestellt oder beurteilt werden oder wenn die neuen Konsumgewohnheiten von Nutzern der sozialen Medien bestimmt werden;
20. fordert die Kommission, die Mitgliedstaaten und die Datenschutzbehörden auf, die Diskriminierung und Voreingenommenheit durch Algorithmen zu ermitteln und alle verfügbaren Maßnahmen zu ihrer Minimierung zu ergreifen sowie einen starken und gemeinsamen ethischen Rahmen für die transparente Verarbeitung personenbezogener Daten und die automatisierte Entscheidungsfindung zu entwickeln, an dem sich die Nutzung von Daten und die laufende Durchsetzung des Unionsrechts orientieren können;
21. fordert die Kommission, die Mitgliedstaaten und die Datenschutzbehörden auf, nicht nur den Bedarf an algorithmischer Transparenz speziell zu bewerten, sondern auch den Bedarf an Transparenz hinsichtlich der möglichen Voreingenommenheit in den Trainingsdaten, mit deren Hilfe Rückschlüsse aus Big Data gezogen werden;
22. empfiehlt, dass Unternehmen regelmäßig bewerten, wie repräsentativ Datensätze sind, prüfen, ob Datensätze von voreingenommenen Elementen betroffen sind, und Strategien zur Bewältigung dieser Voreingenommenheit entwickeln; unterstreicht die Notwendigkeit, die Genauigkeit und Aussagekraft von Prognosen anhand von Datenanalysen auf der Grundlage von Fairness und ethischen Erwägungen zu überprüfen;
Big Data für wissenschaftliche Zwecke
23. betont, dass sich die Massendatenanalyse positiv auf wissenschaftliche Forschung und Entwicklung auswirkt; vertritt die Auffassung, dass die Entwicklung und Nutzung der Massendatenanalyse für wissenschaftliche Zwecke unter Achtung der grundlegenden Werte, die in der Charta der Grundrechte verankert sind, und im Einklang mit dem geltenden Datenschutzrecht der EU erfolgen sollte;
24. erinnert daran, dass gemäß der Datenschutz-Grundverordnung aus der weiteren Verarbeitung personenbezogener Daten zu statistischen Zwecken nur aggregierte Daten entstehen dürfen, die nicht erneut auf einzelne Personen angewendet werden können;
Big Data für Zwecke der Strafverfolgung
Privatsphäre und Datenschutz
25. erinnert alle im Bereich der Strafverfolgung tätigen Akteure, die die Datenverarbeitung und -analyse nutzen, daran, dass die Richtlinie (EU) 2016/680 die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten für die Zwecke der Strafverfolgung regelt; verlangt, dass die Erhebung und Verarbeitung personenbezogener Daten zu Zwecken der Strafverfolgung stets dem Verarbeitungszweck entsprechen, maßgeblich und in Bezug auf die festgelegten, eindeutigen und rechtmäßigen Zwecke, für die sie verarbeitet werden, nicht übermäßig sind; stellt fest, dass der Zweck und die Notwendigkeit der Erhebung dieser Daten eindeutig nachgewiesen werden müssen; stellt fest, dass eine ausschließlich auf einer automatischen Verarbeitung beruhende Entscheidung — einschließlich Profiling —, die eine nachteilige Rechtsfolge für die betroffene Person hat oder sie erheblich beeinträchtigt, verboten ist, es sei denn, sie ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt und das geeignete Garantien für die Rechte und Freiheiten der betroffenen Person bietet, zumindest aber das Recht auf persönliches Eingreifen seitens der Verantwortlichen, erlaubt; fordert die Kommission, den Europäischen Datenschutzausschuss und andere für Datenschutz zuständige unabhängige Aufsichtsbehörden auf, Leitlinien, Empfehlungen und bewährte Verfahren zu veröffentlichen, um die Kriterien und Bedingungen für Entscheidungen auf der Grundlage von Profiling und den Einsatz von Big Data für die Zwecke der Strafverfolgung genauer festzulegen;
26. betont, wie wichtig die Einhaltung der Richtlinie (EU) 2016/680 hinsichtlich der Durchführung vorheriger Folgeneinschätzungen und Prüfungen ist, bei denen ethische Erwägungen berücksichtigt werden, um die Vollständigkeit, Richtigkeit und Qualität von Daten zu bewerten und sicherzustellen, dass Einzelne, an die Entscheidungen gerichtet sind, und/oder Akteure, die an den Entscheidungsprozessen beteiligt sind, in der Lage sind, die Erhebung oder Analyse sowie Muster und Korrelationen zu verstehen und anzufechten, und alle schädlichen Wirkungen auf bestimmte Gruppen oder Einzelpersonen zu verhindern;
27. weist darauf hin, dass das Vertrauen der Bürger in digitale Dienste ernsthaft untergraben werden kann, wenn es Maßnahmen der staatlichen Massenüberwachung und unberechtigte Zugriffe auf kommerzielle und andere personenbezogene Daten vonseiten der Strafverfolgungsbehörden gibt;
28. erinnert daran, dass Rechtsvorschriften, die den öffentlichen Behörden den generellen Zugang zu den Inhalten elektronischer Kommunikation gewähren, als grundlegende Verletzung des in Artikel 7 der Charta verankerten Grundrechts auf Achtung des Privatlebens zu betrachten sind;
29. betont, dass Leitlinien und Systeme geschaffen werden müssen, die in öffentliche Ausschreibungen für Datenverarbeitungsmodelle, -werkzeuge und -programme auf der Grundlage von Big Data für die Zwecke der Strafverfolgung zu integrieren sind, damit sichergestellt wird, dass der zugrunde liegende Code vor dem endgültigen Erwerb von der Strafverfolgungsbehörde auf seine Eignung, Fehlerfreiheit und Sicherheit geprüft werden kann, wobei zu berücksichtigen ist, dass Transparenz und Rechenschaftspflicht durch proprietäre Software beschränkt werden; weist darauf hin, dass bestimmte Modelle der vorausschauenden Polizeiarbeit („predictive policing“) einen besseren Schutz der Privatsphäre gewährleisten als andere, z. B. wenn Wahrscheinlichkeitsprognosen über Orte oder Ereignisse erstellt werden, nicht aber über einzelne Personen;
Sicherheit
30. unterstreicht die absolute Notwendigkeit, Datenbanken der Strafverfolgung vor Verstößen gegen Sicherheitsvorschriften und unberechtigtem Zugang zu schützen, da dies dem Einzelnen am Herzen liegt; meint deshalb, dass man diesen Risiken nur durch eine konzertierte und wirksame Zusammenarbeit zwischen Strafverfolgungsbehörden, dem privaten Sektor, Regierungen und unabhängigen Aufsichtsbehörden im Bereich des Datenschutzes begegnen kann; besteht darauf, dass gemäß der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 die angemessene Sicherheit personenbezogener Daten zu gewährleisten ist und Schwachstellen durch gesicherte und dezentralisierte Datenbankstrukturen zu minimieren sind;
Nichtdiskriminierung
31. gibt zu bedenken, dass wegen der Tatsache, dass Entscheidungen und Maßnahmen von Strafverfolgungsbehörden – auch mittels Datenverarbeitung und Datenanalyse – einschneidende Wirkungen auf das Leben und die Rechte von Bürgern haben, maximale Vorsicht geboten ist, um eine rechtswidrige Diskriminierung und Aussonderung bestimmter Einzelpersonen oder Personengruppen, die nach den Kriterien Rasse, Hautfarbe, ethnische oder soziale Herkunft, genetische Merkmale, Sprache, Religion oder Glaube, politische oder sonstige Anschauung, Vermögen, Geburt, Behinderung, Alter, Geschlecht, Ausdruck der Geschlechtlichkeit, Geschlechtsidentität, sexuelle Ausrichtung, Aufenthaltsstatus, Gesundheit oder Zugehörigkeit zu einer nationalen Minderheit bestimmt werden, was häufig durch ethnisches Profiling und intensivere Polizeiarbeit im Rahmen der Strafverfolgung erfolgt, und von Einzelpersonen zu vermeiden, die zufällig durch bestimmte Merkmale definiert werden;fordert die sachgemäße Schulung der für die Datenerhebung verantwortlichen Personen und der Benutzer der durch die Datenanalyse erhaltenen Erkenntnisse;
32. fordert die Strafverfolgungsbehörden der Mitgliedstaaten, die Datenanalysen nutzen, auf, die höchsten Standards der Ethik bei der Analyse von Daten einzuhalten und menschliche Intervention und Rechenschaftspflicht während all der verschiedenen Phasen der Entscheidungsfindung sicherzustellen, nicht nur um die Repräsentativität, Richtigkeit und Qualität der Daten zu bewerten, sondern auch um zu beurteilen, ob die Entscheidungen, die auf der Grundlage dieser Informationen getroffen werden sollen, geeignet sind;
o o o
33. beauftragt seinen Präsidenten, diese Entschließung dem Rat und der Kommission zu übermitteln.