Die Prozesskammer der APD hat heute der Stadt Antwerpen eine Rüge für ihr im Jahr 2022 durchgeführtes Pilotprojekt zur intelligenten Lärmmessung in ihrem Studentenviertel erteilt. Nach Ansicht der Prozesskammer verstieß die Umsetzung des Projekts gegen mehrere Bestimmungen der DSGVO, etwa gegen das Prinzip der Rechtmäßigkeit und Transparenz. Die Prozesskammer ordnet an, dass die Stadt sämtliche im Rahmen des Projekts gesammelten Stimmenabdrücke und Roh-Audiodateien mit Stimmen löscht.
Pilotprojekt: Lärmerfassung im Studentenviertel von Antwerpen
Im Jahr 2022 installierte die Stadt Antwerpen 30 Geräuschsensoren in einem gezielten Bereich der Stadt. Ziel dieses Pilotprojektes war es, die Lärmbelästigung im Studierendenbereich zu kartieren und technisch zu beheben.
Die Sensoren zeichneten kontinuierlich (rund um die Uhr) Umgebungsgeräusche auf und speicherten diese in Form von 10 Sekunden langen „Roh-Audiodateien“. Überschritten die aufgezeichneten Geräusche zwischen 19 Uhr und 7 Uhr morgens einen bestimmten Lärmpegel, erstellten die Sensoren einen Stimmenabdruck („Mel-Spektrogramm“), also eine (bildliche) Darstellung einer bestimmten Stimme. Diese Stimmabdrücke wurden verwendet, um ein künstliches Intelligenzmodell zu trainieren, verschiedene Arten von Geräuschen zu klassifizieren und ein „Nudging“-System (Ermutigung, das Geräusch zu stoppen) zu aktivieren.
Ende 2022 ordnete der Inspektionsdienst APD an, dass die Stadt Antwerpen das Projekt vorübergehend aussetzen muss. Das Gesetz gestattet dem Inspektionsdienst, einstweilige Maßnahmen zu ergreifen, um eine Situation zu vermeiden, die wahrscheinlich einen schwerwiegenden, unmittelbaren und schwer wiedergutzumachenden Schaden verursacht.
Fehlen einer gültigen Rechtsgrundlage und angemessener Garantien
Nach der Untersuchung durch den Inspektionsdienst wurde die Akte anschließend von der Prozesskammer der APD analysiert, die unter anderem feststellte, dass das Projekt nicht auf einer gültigen Rechtsgrundlage beruhte. Die Sensoren sammelten sensible Daten (Stimmabdrücke sind biometrische Daten) oder enthielten notwendigerweise sensible Daten (aufgezeichnete Gespräche können beispielsweise Informationen zum Gesundheitszustand oder zu politischen Meinungen enthalten). Allerdings verbietet die DSGVO die Verarbeitung sensibler Daten, außer in einer begrenzten Anzahl von Fällen (aufgeführt in Art. 9.2 der DSGVO ). Im vorliegenden Fall konnte sich die Stadt Antwerpen nicht wirksam auf eine dieser Ausnahmen berufen.
Auch in puncto Transparenz stellt die Prozesskammer Defizite fest. Sie verweist unter anderem darauf, dass die Stadt zwar kommuniziert habe, Gespräche würden nicht aufgezeichnet, die Analyse der Akte zeige jedoch, dass dies tatsächlich der Fall war.
Schließlich stellt sie fest, dass die Stimmabdrücke unverschlüsselt auf einer Google-Cloud verarbeitet wurden, deren Muttergesellschaft ihren Sitz außerhalb des Europäischen Wirtschaftsraums (in den USA) hat, und zwar in voller Kenntnis der Sachlage und ohne geeignete Maßnahmen zur Risikominderung.
Die Streitkammer und der Inspektionsdienst heben zum einen hervor, dass die Meinung des Datenschutzbeauftragten der Stadt („DPO“), der auf potenziell problematische Elemente hingewiesen hatte, nicht ausreichend berücksichtigt wurde. und zum anderen, dass die Analyse der mit dem Projekt verbundenen Risiken für die Rechte und Freiheiten des Einzelnen (auch „ AIPD “ genannt) mangelhaft war. Die Berücksichtigung dieser Hinweise und die Durchführung einer entsprechenden Risikoanalyse hätten jedoch dazu geführt, dass Maßnahmen zur Eindämmung der von der Datenschutzbehörde ermittelten Risiken ergriffen und möglicherweise Verstöße gegen die DSGVO vermieden werden konnten.
Sanktion
Um die festgestellten Verstöße unter anderem in Bezug auf die Rechtmäßigkeit der Verarbeitung, Transparenz, AIPD und die Übermittlung von Daten an Drittländer zu ahnden, ergreift die Prozesskammer der APD folgende Maßnahmen:
- richtet eine Rüge an die Stadt Antwerpen und
- befiehlt ihm, alle Roh-Audiodateien mit Gesang und Stimmabdrücken zu löschen.
Vor der Verhängung ihrer Sanktion berücksichtigte die Streitkammer die Tatsache, dass es sich um ein zeitlich begrenztes Pilot-Innovationsprojekt zur Lösung eines anerkannten Problems (Lärmbelästigung) handelte und dass die Stadt bei der Untersuchung kooperiert hatte.
Hielke Hijmans, Präsident der Prozesskammer, kommt zu dem Schluss: „Datenschutz und Innovation schließen sich nicht gegenseitig aus. Allerdings müssen derartige Technologieprojekte sorgfältig überwacht werden. Dabei müssen die potenziellen Risiken für den Einzelnen berücksichtigt werden und es müssen Maßnahmen zu ihrer Eindämmung ergriffen werden. Wir legen daher großen Wert auf die Durchführung einer sorgfältigen Folgenabschätzung und die Einbindung des Datenschutzbeauftragten. »
Die APD erinnert außerdem daran, dass sie den für die Verarbeitung Verantwortlichen Ressourcen zur Verfügung stellt, um sie in den Umgang mit neuen Technologien einzuarbeiten, wie etwa ihre Informationsbroschüre zu KI-Systemen oder ihren Bericht über ihren Studientag „Smart Cities“ .