Nachricht

May 27, 2023

Regulatorische Fragen

Artikel durchsuchen

Artikel durchsuchen

Persönlich identifizierbare Neurodaten gelten unabhängig vom Verwendungszweck immer als personenbezogene Daten. Es gibt jedoch keine explizite Definition von Neurodaten als spezifische Form personenbezogener Daten oder als Daten einer besonderen Kategorie gemäß der britischen DSGVO. Daher müssen Organisationen beides sorgfältig abwägen:

Zu den größten Herausforderungen gehören:

Wenn Neurodaten beispielsweise für medizinische Zwecke erhoben und verarbeitet werden, handelt es sich wahrscheinlich um Gesundheitsdaten einer besonderen Kategorie (Special Category Health Data, SCD) gemäß Artikel 9 Absatz 1 der britischen DSGVO. Es erfordert daher eine Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 und die Erfüllung einer Bedingung für die Verarbeitung von Daten besonderer Kategorie gemäß Artikel 9. Organisationen können eine geeignete Grundlage für die Verarbeitung ermitteln, und die Einwilligung kann die geeignete Rechtsgrundlage und Bedingung für eine Sonderkategorie sein.

Einige Gruppen, wie zum Beispiel die Neurorights Foundation des Privatunternehmens, haben empfohlen, in jedem Fall eine ausdrückliche Zustimmung einzuholen, bevor Neurodaten verarbeitet werden.14 Wir sollten mit solchen Anrufen vorsichtig umgehen; Während die ärztliche Einwilligung ein besonderes und wichtiges Thema bleibt, ist die ausdrückliche Einwilligung zur Datenverarbeitung nur eine von mehreren geeigneten Sonderbedingungen gemäß der britischen DSGVO. Es ist nicht grundsätzlich „besser“ als andere Bedingungen; Organisationen sollten sorgfältig überlegen, was am besten geeignet ist.

Eine umfassendere automatische Abhängigkeit von der Einwilligung zur Verwendung personenbezogener Daten für Verbraucherzwecke könnte ebenfalls Verwirrung stiften und könnte im Rahmen der britischen DSGVO durchaus unangemessen sein. Der breitere Dialog und die Forderungen nach einer Einwilligung können dazu führen, dass Menschen davon ausgehen, dass sie das Recht haben, Organisationen, die ihre Informationen verwenden, automatisch ihre Einwilligung zu widerrufen. Tatsächlich können Organisationen andere geeignete Grundlagen für die Verarbeitung nutzen und es obliegt ihnen, darüber transparent zu seinwelche welche Rechtsgrundlage sie verwendet haben und welche Rechte anwendbar sind. Anstatt sich immer auf die Einwilligung zu konzentrieren, kann sich die Transparenz der Verarbeitung als wirksamer erweisen, um den Menschen zu helfen, zu verstehen, wie Organisationen ihre Informationen verwenden.

In seltenen Fällen können Organisationen Neurodaten direkt verwenden, um eine natürliche Person zu identifizieren oder zu verifizieren. In diesem Fall handelt es sich um eine Sonderkategoriebiometrisch Daten, die auch unter Art. 9 Abs. 1 DSGVO fallen. Obwohl dies technisch machbar ist, ist es wahrscheinlich, dass die meisten Verwendungen klassifizierend sein werden, wie in den Szenarien untersucht. Dies liegt an den Kosten und der Komplexität der Identifizierung von Personen auf diese Weise im Vergleich zu anderen robusten biometrischen Methoden. Wo die InformationenMai Um es Organisationen zu ermöglichen, Personen zu identifizieren, können Neurodaten auch biometrische Daten gemäß Artikel 4 Absatz 14 der britischen DSGVO sein. Es handelt sich also um personenbezogene Daten, jedoch nicht um Daten besonderer Kategorie. (Biometrische Daten einer besonderen Kategorie erfordern, dass Organisationen personenbezogene Daten zum Zweck der eindeutigen Identifizierung verarbeiten.) Organisationen, die personenbezogene Daten verarbeiten, müssen überlegen, wann und wie die von ihnen verwendeten Informationen die Identifizierung einer Person ermöglichen und welche möglichen Auswirkungen dies haben könnte.

Im Gegensatz dazu können Organisationen einige große Neurodaten in großem Umfang nutzen, ohne die zusätzlichen Schutzmaßnahmen für die Verarbeitung von Daten besonderer Kategorien anzuwenden.

In vielen der oben genannten Szenarien geht es beispielsweise um die emotionale und verhaltensbezogene Klassifizierung von Menschen zu Zwecken wie Beschäftigung, Wohlbefinden oder Unterhaltung. Es besteht daher die Gefahr einer weiteren Profilierung oder sogar De-Pseudonymisierung. Dies ist auf die Komplexität der gesammelten Informationen und die zunehmende Leichtigkeit zurückzuführen, mit der Informationen einer Person zugeordnet werden können. Organisationen könnten Informationen nach der Identifizierung oder Verifizierung gezielt mit einer Person verknüpfen, um den größtmöglichen Nutzen daraus zu ziehen.

In diesen Fällen verfügen Organisationen möglicherweise über Informationen, die möglicherweise nicht der Definition von Artikel 9 der britischen DSGVO für Daten besonderer Kategorien entsprechen, bei Missbrauch jedoch erheblichen Schaden anrichten können. (Insbesondere Verlust der Autonomie, Diskriminierung, abschreckende Auswirkungen und persönliche Belastung auf persönlicher Ebene).15 Die groß angelegte Verarbeitung solcher Informationen dürfte eine Herausforderung für die Förderung bewährter Verfahren darstellen. Dies unterstreicht die Notwendigkeit, Neurodaten als besonders wirkungsvoll und risikoreich zu betrachten, selbst wenn sie in Kontexten verwendet werden, die nicht ausdrücklich als Daten einer besonderen Kategorie gelten. Schließlich müssen sich Organisationen auch darüber im Klaren sein, ob personenbezogene Daten zu Daten einer besonderen Kategorie werden können. Beispielsweise könnte die Verfolgung von Mitarbeiterinformationen, etwa der Konzentration, Aufschluss über Daten zur psychischen Gesundheit geben.

Es gibt strenge Schutzmaßnahmen für die Verarbeitung aller personenbezogenen Daten gemäß der britischen DSGVO. Für Organisationen, die Neurodaten verarbeiten, ist es wichtig, sich darüber im Klaren zu sein, wann Neurodaten als Gesundheitsdaten im Sinne von Artikel 9 UK DSGVO gelten. Dies ist ein Thema, das wir in unserem aktuellen Technology Horizons Report näher untersucht haben. Organisationen sollten nicht davon ausgehen, dass Neurodaten unmittelbar Gesundheitsdaten sind, nur weil sie aus der Physiologie einer Person stammen. Organisationen müssen sich auch darüber im Klaren sein, wann eine komplexe Verarbeitung die Verarbeitung biometrischer Daten umfasst und in welchen Situationen es sich bei biometrischen Daten um Daten einer Sonderkategorie handelt.

Die Verarbeitung von Neurodaten ist besonders neu und stellt aufgrund der vertraulichen Natur der personenbezogenen Daten, die sie preisgeben könnten, ein erhebliches Risiko dar. Neurotechnologie kann Informationen sammeln, die den Menschen nicht bewusst sind. Neurodaten können neben vielen anderen Arten von Daten auch Schätzungen emotionaler Zustände, der Wirksamkeit und des Engagements am Arbeitsplatz oder im Bildungsbereich sowie medizinische Informationen zur psychischen Gesundheit umfassen. Organisationen können die Datenschutzrechte von Personen erheblich gefährden, indem sie diese Kategorien personenbezogener Daten sammeln und weiterverarbeiten.

Neurotechnologien stellen ein besonderes Risiko dar, wenn sie Emotionen oder komplexes Verhalten analysieren (und nicht beispielsweise den Grad der Konzentration oder Anzeichen einer neurodegenerativen Pathologie). Die Wissenschaft, die der Analyse menschlicher Emotionen zugrunde liegt, wird heftig diskutiert (wie wir in unserem Biometrics Foresight-Bericht untersucht haben). Viele Interessengruppen und Wissenschaftler haben erhebliche Bedenken hinsichtlich der Fähigkeit von Algorithmen, emotionale Signale genau zu erkennen. Es wird erwartet, dass der Prozess, derart komplexe Schlussfolgerungen aus Mengen quantitativer Daten zum menschlichen Gehirn zu ziehen, eine enorme Herausforderung bleiben wird.

Da Organisationen immer größere Datensätze ableiten und analysieren, können neue Formen der Diskriminierung entstehen, die zuvor in den damit verbundenen Gesetzen, wie dem Equality Act 2010, nicht anerkannt wurden. Ohne eine solide und unabhängige Überprüfung dieser Modelle besteht die Gefahr, dass diese Ansätze dies tun auf systemischer Voreingenommenheit beruhen und wahrscheinlich ungenaue und diskriminierende Informationen über Menschen und Gemeinschaften liefern. Diese Informationen können dann in vielen Fällen in automatisierte Systeme eingespeist werden. Es kann dann weitere Fragen zu Artikel 22 Verarbeitung und Transparenz aufwerfen (in dem die Rechte im Zusammenhang mit der oben erörterten automatisierten Verarbeitung und Profilerstellung festgelegt sind). Insbesondere neurodivergente Menschen können dem Risiko ausgesetzt sein, durch ungenaue Systeme und Datenbanken, die auf neuronormative Muster trainiert wurden, diskriminiert zu werden.

Alternativ kann es zu aktiver und nicht zu systemischer Diskriminierung kommen. Organisationen können bestimmte Neuromuster und Informationen als unerwünscht betrachten, wenn sie nicht als geschütztes Merkmal gemäß der aktuellen Gesetzgebung, wie dem Equality Act 2010, gelten. Menschen können aufgrund ihrer wahrgenommenen emotionalen Zustände bei der Arbeit oder den angebotenen Dienstleistungen eine unfaire Behandlung erfahren oder sogar bisher unerkannte oder nicht diagnostizierte körperliche oder geistige Zustände.

Diskriminierung kann auch durch Geräte erfolgen; nicht nur durch Organisationen, die ihre personenbezogenen Daten sammeln und verwenden (oben beschrieben). Experten haben darauf hingewiesen, dass Risiken entstehen können, wenn Geräte nicht an einer Vielzahl von Personen getestet und bewertet werden, um sicherzustellen, dass die Datenerfassung korrekt und zuverlässig bleibt. Dies kann so einfach sein wie die Sicherstellung, dass die Geräte richtig und bequem sitzen, um genaue und angemessene Informationen zu sammeln. Geschieht dies nicht, besteht ein erhöhtes Risiko, dass Datensätze aufgrund von Problemen bei der Gerätekalibrierung verzerrt und unvollständig werden.

Wie oben erwähnt, dürfen Neurodaten in nichtmedizinischen Zusammenhängen nicht als Daten einer besonderen Kategorie klassifiziert werden. Dadurch werden die rechtlichen Garantien und Einschränkungen im Zusammenhang mit der Verarbeitung verringert. Dies kann dazu führen, dass Organisationen es versäumen, Best Practices umzusetzen. Zum Beispiel rund um die technische Sicherheit, um sicherzustellen, dass Neurodaten vor Verlust oder Diebstahl geschützt bleiben. Dieses Risiko im Zusammenhang mit der Klassifizierung der Informationen wurde ebenfalls oben erörtert.

Gibt es Umstände, unter denen eine Person Organisationen eine umfassende Einwilligung zur Verwendung ihrer personenbezogenen Daten erteilen kann, wenn sie sich dessen nicht bewusst ist?Was die genaue Art dieser Informationen ist? Dies ist die grundlegende Frage bei der Überlegung, ob Organisationen eine gültige Einwilligung zur Verarbeitung von Neurodaten einholen können. Bei der Verwendung von Neurodaten, die den Schwellenwert für Daten besonderer Kategorien nicht erfüllen, müssen Organisationen dennoch eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten gemäß Artikel 6 der britischen DSGVO ermitteln. Potenziell relevante Grundlagen, die Organisationen für kommerzielle Zwecke berücksichtigen sollten, sind Einwilligung, berechtigtes Interesse und Vertragserfüllung.

Wenn eine Person beispielsweise ein EEG-Headset verwendet, um ihre Online-Gaming-Leistung zu verbessern, kann sie sich dann wirklich der genauen Art der Informationen bewusst sein und sie verstehen, die sie wahrscheinlich preisgeben wird? Kann die Organisation das auch wissen? Die Risiken der Verwendung von Einwilligungen werden dadurch noch erhöht, dass viele Menschen wahrscheinlich nicht über das technische Wissen zum Sammeln und Verwenden von Neurodaten verfügen, um den Informationsfluss vollständig zu verstehen. Organisationen können jedoch prüfen, ob sie konkrete Garantien für die Schlussfolgerungen geben können, die sie aus den gesammelten Informationen ziehen wollen, um eine gültige Einwilligung einzuholen. Wenn sich Organisationen darauf verlassen, sollten sie unsere Leitlinien zur Verwendung der Einwilligung als Grundlage für die Verarbeitung lesen.

Selbst in Beschäftigungsszenarien müssen Organisationen einen klaren Bedarf an der Verwendung von Neurodaten gegenüber anderen Techniken zur Informationserfassung nachweisen. Angesichts des Machtungleichgewichts zwischen Arbeitgeber und Arbeitnehmer ist es wahrscheinlich, dass die Einwilligung in den meisten Fällen nicht die geeignete Grundlage für die Verarbeitung ist.

Wenn eine Einwilligung zur Verarbeitung unangemessen ist, müssen Organisationen auch berücksichtigen, ob die Verwendung eines berechtigten Interesses oder einer vertraglichen Verpflichtung angemessen ist. Dies kann sich als besonders wichtig für die Verarbeitung von Unterhaltung oder Wohlbefinden erweisen. In solchen Fällen kann es sich als schwierig erweisen, die dreistufige Prüfung des berechtigten Interesses zu bestehen. Dies ist auf das hohe Risiko und den vertraulichen Charakter der von Geräten abgeleiteten Informationen sowie auf die Schwierigkeit zurückzuführen, den Menschen klare Erwartungen und Verständnisse darüber zu vermitteln, welche Informationen sie möglicherweise bereitstellen.

Wie oben erwähnt, stellen wir bereits Leitlinien zu den Grundlagen der Verarbeitung gemäß der britischen DSGVO bereit, die jede Organisation, die die Verarbeitung von Neurodaten plant, überprüfen sollte.

Experten haben bei uns Bedenken geäußert, dass die Closed-Loop-Verarbeitung in neuen neurotechnologischen Geräten immer häufiger eingesetzt wird. Diese Geräte nutzen eine automatisierte algorithmische Verarbeitung, die persönliche Informationen in Form von elektrischen Mustern aus dem Gehirn auswertet. Sie werden automatisierte Maßnahmen ergreifen, ohne dass der Benutzer sie dazu auffordert und ohne nennenswerte menschliche Eingriffe. Die Verarbeitung im geschlossenen Regelkreis wird erforscht, um die klinische Funktion von Neurotechnologien, insbesondere implantierbaren Geräten, zu verbessern. Closed-Loop-Neurotechnologie, die häufig KI oder maschinelles Lernen (ML) nutzt, kann das Risiko einer unangemessenen automatisierten Verarbeitung erhöhen. Gemäß Artikel 22 der UK-DSGVO haben Personen „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“, sofern nicht die entsprechenden Voraussetzungen vorliegen Verarbeitung sind nach Artikel 22 Absatz 2 erfüllt. Eine der Bedingungen ist zwar, wie oben erwähnt, die ausdrückliche Zustimmung, dies ist jedoch nicht ohne Herausforderungen.

In unseren Leitlinien zur automatisierten Entscheidungsfindung und Profilerstellung wird dargelegt, dass eine Entscheidung mit einem „„Ähnlich signifikanter“ Effekt ist etwas, das einen entsprechenden Einfluss auf die Umstände, das Verhalten oder die Entscheidungen einer Person hat. Wie in den oben genannten Szenarien untersucht, können Neurotechnologien und die damit verbundene Verarbeitung erhebliche Auswirkungen auf das Verhalten von Menschen haben (z. B. durch Beeinträchtigung der Konzentration, Produktivität oder des Schlafs). Wenn geeignete Voraussetzungen für eine ausschließlich automatisierte Verarbeitung von Informationen bestehen, stellt dies eine erhebliche Herausforderung dar. Ein sinnvoller menschlicher Eingriff gemäß der britischen DSGVO muss in der Lage sein, Entscheidungen anzufechten und gegebenenfalls rückgängig zu machen. Dies ist beispielsweise bei Neurostimulation oder Brain-to-Speech-Ausgaben möglicherweise nicht möglich. Organisationen müssen überlegen, wie eine angemessene Intervention für Neurodaten und Neurotechnologien aussehen könnte.

Beispielsweise können Geräteparameter zuvor von Benutzern festgelegt (und in Zukunft geändert) werden, um zu definieren, wie ihre Informationen verarbeitet werden. Sie können von der Organisation in regelmäßigen Abständen zu Qualitäts- und Forschungszwecken überprüft werden. Dies wird jedoch wahrscheinlich nicht die Anforderungen an einen sinnvollen Eingriff gemäß Artikel 22 erfüllen. Dies liegt daran, dass es vor der Verarbeitung und nicht danach erfolgt. Organisationen müssen auch die Rolle der Person im Datenfluss berücksichtigen; Die alleinige Eingabe von Daten oder Parametern führt wahrscheinlich immer noch zu einer ausschließlich automatisierten Verarbeitung.

Bei anderen Verwendungszwecken wie Wohlbefinden, Beschäftigung oder Unterhaltung müssen Organisationen möglicherweise eine angemessene menschliche Beteiligung als Alternative zur ausschließlich automatisierten Verarbeitung implementieren.

Darüber hinaus besteht die Möglichkeit, dass die Verarbeitung zur Neurostimulation oder Neuromodulation die Fähigkeit einer Person, ihre persönlichen Daten auszuwerten und diesbezügliche Entscheidungen zu treffen, grundlegend verändert. Allgemeiner relevant ist möglicherweise die Tatsache, dass viele Menschen das Gefühl haben, es mangele ihnen an Fachwissen, um ein kompliziertes System zu verstehen und Entscheidungen darüber zu treffen, wie es mit ihm interagieren soll, insbesondere wenn das Gerät die einzige oder beste Behandlung ist, die ihnen zur Verfügung steht.

Schließlich kann die Komplexität der Closed-Loop-Verarbeitung sowohl die Transparenz als auch die Genauigkeit personenbezogener Daten beeinträchtigen. Organisationen, die ausschließlich automatisierte Entscheidungen treffen, sollten sicherstellen, dass sie nicht gegen Artikel 22 verstoßen. Auch wenn in einem System sinnvolle menschliche Eingriffe vorhanden sind, sollten Organisationen unsere KI-Leitlinien berücksichtigen. Dies erklärt, dass eine hinreichend komplexe algorithmische Verarbeitung aufgrund ihrer Komplexität und mangelnden Transparenz für die Benutzer des Geräts als ausschließlich automatisierte Verarbeitung angesehen werden kann.

Das Sammeln und Verwenden von Neurodaten könnte die Fähigkeit von Organisationen beeinträchtigen, die Genauigkeitsanforderungen der britischen DSGVO einzuhalten. Eine verringerte Genauigkeit kann folgende Ursachen haben:

Gemäß Artikel 5 Absatz 1 Buchstabe d der UK-DSGVO müssen personenbezogene Daten „richtig sein und erforderlichenfalls auf dem neuesten Stand gehalten werden; es müssen alle angemessenen Maßnahmen ergriffen werden, um sicherzustellen, dass personenbezogene Daten im Hinblick auf die Zwecke unrichtig sind.“ für die sie verarbeitet werden, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“).

Dies wirft eine wichtige Frage für Neurodaten und Neuroplastizität auf. Wie lange bleiben Neurodaten korrekt? Einige Informationen sind dauerhaft oder intrinsisch, beispielsweise ein Geburtsdatum, genetische Informationen oder bestimmte harte biometrische Daten. Allerdings sind Neurodaten von einem Moment zum anderen im Fluss. Neurodaten können durch Fortschritte bei den Aufzeichnungs- und Erfassungsfunktionen detaillierter und genauer werden. In Kombination mit anderen Arten biometrischer Daten können möglicherweise auch neue Erkenntnisse gewonnen werden, die derzeit nicht möglich sind. Organisationen sollten unsere KI-Leitlinien konsultieren, wenn sie Genauigkeitsschwellen im Vergleich zu den Auswirkungen der von ihnen gezogenen Schlussfolgerungen abwägen.

Aus diesem Grund müssen Organisationen, die Neurodaten verwenden, sicherstellen, dass sie ihre Entscheidungen nicht auf einzelne Instanzen oder Schnappschüsse von Neurodaten stützen. Dies liegt daran, dass viele, wenn nicht die meisten Techniken zur Interpretation von Neurodaten auf erheblichen Mengen an Vergleichsdaten basieren, die im Laufe der Zeit gesammelt wurden, um Genauigkeit zu erreichen.

Während Organisationen für Verarbeitungszwecke ausreichende Informationen sammeln sollten, müssen sie deutlich machen, dass sie Entscheidungen zu einem bestimmten Zeitpunkt treffen. Beispielsweise können alle Entscheidungen oder Ergebnisse, die Organisationen zu einem bestimmten Zeitpunkt treffen, zu diesem Zeitpunkt korrekt gewesen sein, zu einem späteren Zeitpunkt jedoch aufgrund der Neuroplastizität des Gehirns möglicherweise nicht mehr korrekt sein.

Es kann einen berechtigten Grund geben, diese Informationen aufzubewahren, insbesondere wenn es um Gesundheitsdaten und medizinische Behandlungen geht. Damit sind aber auch die Anforderungen an die Datenminimierung verbunden. Organisationen sollten versuchen, so wenig Informationen aufzubewahren, wie sie benötigen, um genaue und faire Ergebnisse bereitzustellen. Sie müssen ein Gleichgewicht zwischen der Aufbewahrung von Informationen zur Gewährleistung von Genauigkeit und Fairness und der Vermeidung einer übermäßigen Aufbewahrung von Informationen herstellen.

Interessengruppen haben uns darüber informiert, dass die neurowissenschaftliche Forschung aufgrund ihres Entwicklungsstands Längsschnittinformationen aus zusätzlichen Quellen und insbesondere von außerhalb des Labors benötigt. Insbesondere medizinische Forscher sind bestrebt, Zugang zu Informationen kommerzieller Geräte zu erhalten, um neurodegenerative Erkrankungen und insbesondere die psychische Gesundheit besser zu verstehen. Dies stellt potenziell komplexe Datenflüsse dar, die es für Unternehmen schwierig machen könnten, Transparenzinformationen bereitzustellen.

Organisationen, die ihre Informationen zu diesem Zweck weitergeben möchten, sollten unsere Leitlinien zu Forschungsbestimmungen gemäß der britischen DSGVO lesen.

Neue Neurotechnologien können neue Herausforderungen für Menschen bei der Ausübung ihrer Rechte im Informationsrecht mit sich bringen. Dies ist etwas, worüber sich jedes Unternehmen, das personenbezogene Daten mithilfe dieser Technologien verarbeitet, bewusst sein und darauf reagieren muss. Die folgenden Beispiele verdeutlichen einige der Probleme im Zusammenhang mit Datenrechten gemäß der britischen DSGVO:

14 Sie schlagen vor, von Technologen einen „hippokratischen Eid“ zu fordern (lavanguardia.com)

15 „regulatory-policy-methodology-framework-version-1-20210505.pdf“ (ico.org.uk)