Element 68Element 45Element 44Element 63Element 64Element 43Element 41Element 46Element 47Element 69Element 76Element 62Element 61Element 81Element 82Element 50Element 52Element 79Element 79Element 7Element 8Element 73Element 74Element 17Element 16Element 75Element 13Element 12Element 14Element 15Element 31Element 32Element 59Element 58Element 71Element 70Element 88Element 88Element 56Element 57Element 54Element 55Element 18Element 20Element 23Element 65Element 21Element 22iconsiconsElement 83iconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsiconsElement 84iconsiconsElement 36Element 35Element 1Element 27Element 28Element 30Element 29Element 24Element 25Element 2Element 1Element 66
Was bringt die Datenschutz-Grundverordnung für automatisierte Entscheidungssysteme?

Was bringt die Datenschutz-Grundverordnung für automatisierte Entscheidungssysteme?

Mit der EU-Datenschutz-Grundverordnung (DSGVO) sind am 25. Mai 2018 individuelle Auskunftsrechte über die Verwendung der eigenen Daten für vollautomatisierte ADM-Systeme (algorithmic decision making, kurz: ADM), die ohne menschliches Zutun arbeiten, wirksam geworden. Die individuellen Auskunftsrechte der DSGVO können aber keine systematischen Mängel oder Diskriminierungen ganzer Personengruppen aufdecken.  
Kreditvergabe, Bewerbervorauswahl, Polizeiarbeit – Algorithmen bewerten Menschen und entscheiden über sie, dies jedoch bislang fast ohne gesellschaftliche Kontrolle. Es ist nicht bekannt, welche algorithmischen Entscheidungssysteme für welche Zwecke und mit welchen Effekten eingesetzt werden. Ein Beispiel für vollautomatisierte ADM-Systeme, bei denen es keine menschliche Beteiligung an der Entscheidungsfindung gibt, ist die Vorauswahl bei Job-Bewerbungen: In einigen Unternehmen sichten Softwareprogramme die Lebensläufe und sortieren Bewerber aus, ohne dass sich ein Mitarbeiter deren Unterlagen je angesehen hätte. Die DSGVO stellt sicher, dass ein erfolgloser Bewerber erfahren kann, welche seiner Daten ausschlaggebend für die negative Entscheidung waren. Für die meisten ADM-Systeme, bei denen Menschen in den Entscheidungsprozess einbezogen sind, gelten die ADM-spezifischen Informations- und Erläuterungspflichten der DSGVO aber nicht. Das zeigt eine Analyse, die im Auftrag der Bertelsmann Stiftung verfasst wurde.

Photo by ev on Unsplash
mehr anzeigen

Projektbeschreibung

DSGVO ist ein wichtiger, aber kein ausreichender Schritt zur ADM-Regulierung

Trotz dieses großen Mankos stellt die DSGVO mit Blick auf algorithmische Entscheidungsfindung laut der Analyse eine Verbesserung für den Einzelnen dar. Die Nachvollziehbarkeit von automatisierten Entscheidungen werde durch grundsätzliche Informationspflichten und Auskunftsrechte deutlich gestärkt. Zudem führten die restriktiven Dokumentationsanforderungen dazu, dass datenverarbeitende Akteure ein höheres Bewusstsein für Datenschutzfragen entwickeln.

Allerdings wird bei der DSGVO primär der Schutz Einzelner geregelt. „Für die fehlerhafte Bewertung oder systematische Diskriminierung ganzer Gruppen durch automatisierte Entscheidungen ist die neue Regulierung blind“, erläutert Wolfgang Schulz. Individuelle Auskunfts- und Abwehrrechte allein – wie sie im klassischen Verständnis von Datenschutz verankert sind – reichten aber nicht aus, um die Diskriminierung bestimmter Gruppen aufzudecken und abzustellen. Am Beispiel der Job-Bewerbungen: Es ist zwar gut, wenn Einzelne nachvollziehen können, wie die Entscheidung über ihre Absage zustande gekommen ist. Doch es bleibt ungeklärt, ob bestimmte Eigenschaften – etwa Geschlecht oder der Wohnort – dazu führen, dass ganze Gruppen ungerechterweise geringere Chancen haben.

Näheres zur Studie

Es sind zunehmend Softwareprogramme, die Menschen bewerten und über sie entscheiden. Von der Kreditanfrage über eine Job-Bewerbung bis hin zum Persönlichkeitsprofil für passende Werbeeinblendungen sind Bürgerinnen und Bürger Objekt automatisierter Entscheidungssysteme (automated decision making, kurz: ADM). Die für diese Systeme relevanten Algorithmen und die zur Entscheidung erforderlichen Trainingsdaten bergen aber Risikopotenziale für den Einzelnen, für ganze soziale Teilgruppen oder gar für die Gesellschaft insgesamt. Die am 25. Mai 2018 wirksam werdende Datenschutz-Grundverordnung enthält neben den allgemeinen Vorgaben für die Verarbeitung personenbezogener Daten spezielle Vorschriften für diese ADM-Systeme.
 
In dem Gutachten „Was bringt die Datenschutzgrundverordnung für automatisierte Entscheidungssysteme? Potenziale und Grenzen der Absicherung individueller, gruppenbezogener und gesellschaftlicher Interessen“ von Stephan Dreyer und Wolfgang Schulz untersuchen die beiden Rechtswissenschaftler im Auftrag der Bertelsmann Stiftung, ob und inwieweit die DSGVO und das zeitgleich in Kraft tretende neue Bundesdatenschutzgesetz (BDSG) in der Lage sind, diese Risiken zu verringern.
 
Die Analyse, die im Rahmen einer Kooperation des Humboldt Instituts für Internet und Gesellschaft (HIIG) und dem Hans-Bredow-Institut für Medienforschung erfolgte, macht deutlich: Das grundsätzliche Verbot von reinen ADM-Systemen hat einen stark begrenzten Anwendungsbereich und weist breite gesetzlichen Verbotsausnahmen auf. Allem voran durch die Einwilligung des Betroffenen werden automatisierte Entscheidungen sich in der Praxis weiter durchsetzen. Für alle „ausnahmsweise“ zulässigen ADM-Systeme bietet die DSGVO rechtliche Regelungen, die geeignet sind, um individuelle Interessen der Nutzer in Teilen abzusichern. Die datenschutzrechtlich Verantwortlichen von ADM-Systemen müssen gegenüber dem Nutzer Informations- und Transparenzpflichten über den Einsatz eines ADM-Systems sowie die grundlegenden Mechanismen der Datenverarbeitung und Entscheidung einhalten.
 
Umfang und Tiefe dieser Informationspflichten sind jedoch begrenzt. Infolge einer automatisierten Entscheidung haben Betroffene einen Anspruch auf Auskunft über den Einsatz eines ADM-Systems sowie die grundlegenden Mechanismen der Datenverarbeitung und Entscheidung. Außerdem haben sie das Recht, einen menschlichen Entscheider hinzuzuziehen. Diese Rechte helfen, eine automatisierte Entscheidung zu überprüfen und ggf. zu korrigieren. Ein Anspruch auf Einsicht in das System durch Betroffene selbst oder unabhängige Dritte entsteht dadurch jedoch nicht.
 
System- und prozessbezogene Vorgaben der DSGVO zu Konzeption und Einsatz von ADM-Systemen sind geeignet, um auf Verantwortlichenseite Risiken für den Einzelnen (und teils indirekt auch für Personengruppen) frühzeitig zu erkennen und Mindestqualitätsstandards zu sichern. Dazu zählen vor allem Privacy by Design, verpflichtende datenschutzrechtliche Folgeabschätzungen und interne Datenschutzvorschriften sowie die Bestellung eines Datenschutzbeauftragten. Diese Regelungsinstrumente haben das Potenzial, bei den Verantwortlichen für ein hohes Reflexionsniveau in datenschutzrechtlichen Belangen zu sorgen und so mindestens individuelle Rechte und Freiheiten zu gewährleisten.
 
Die DSGVO kann so Transparenz, Überprüfbarkeit und hohes Reflexionsniveau herstellen und damit in Teilen helfen, individuelle Rechte abzusichern. Für gruppen- und gesellschaftsbezogene Ziele wie Nichtdiskriminierung und Teilhabe bietet die DGSVO jedoch kaum Ansatzpunkte.
 
Vor dem Hintergrund dieser Ergebnisse entwickelt das Gutachten ergänzende Steuerungsansätze innerhalb und außerhalb der DSGVO. Dazu können bestimmte Ansatzpunkte innerhalb der DSGVO gestärkt werden, die vor allem präventiv wirksam würden:
  • Die Datenschutzbehörden könnten Datenschutzfolgeabschätzungen auch für von der DSGVO ausgenommene ADM-Systeme festlegen.
  • Zudem könnte im Rahmen der DGSVO die Rolle der Aufsichtsbehörden in der Praxis stärker in Richtung der Aufklärung der Öffentlichkeit und der Sensibilisierung für gesellschaftliche Missstände geführt werden.
  • Es sollten jedoch auch über die DGSVO hinaus weitere Steuerungsinstrumente diskutiert werden, wie überindividuelle und gesellschaftliche Ziele tatsächlich abgesichert werden können.
  • Zu den Möglichkeiten einer besseren Überprüfbarkeit von ADM-Systemen können Ansätze beitragen, die die Erklärbarkeit der Systeme erhöhen oder die durch erweiterte Transparenzvorgaben die Überprüfung durch externe Dritte gewährleisten (z.B. Form von „in camera“-Verfahren).
  • Für die Korrigierbarkeit von bereits eingesetzten ADM-Systemen wären Steuerungselemente aus dem Wettbewerbs- und Verbraucherschutzrecht denkbar, die eine schnellere Rechtsdurchsetzung ermöglichen.
  • Die Vielfalt von ADM-Systemen kann ggf. durch Übernahme kartellrechtlicher Regelungsinstrumente unterstützt werden; auch medienrechtliche Regelungen können zu Pluralismus bei ADM-Systemen beitragen, soweit diese Informationsflüsse steuern und die Meinungsbildung beeinflussen.
Auf diese Weise sind alternative Steuerungsansätze in der Lage, überindividuelle Interessen zu schützen, die die vor allem auf die Sicherung individueller Interessen ausgerichtete DSGVO nicht abdeckt.

Infos zum Projekt

Überblick

Laufzeit: 2017-2018

Forschungsprogramm:
FP2 - Regelungsstrukturen und Regelbildung in digitalen Kommunikationsräumen

Beteiligte

Dr. Stephan DreyerProf. Dr. Wolfgang SchulzFlorian Wittner

Drittmittelgeber

Bertelsmann-Stiftung

Kooperationspartner

Ansprechpartner

Dr. Stephan Dreyer
Senior Researcher Medienrecht & Media Governance

Dr. Stephan Dreyer

Leibniz-Institut für Medienforschung │ Hans-Bredow-Institut (HBI)
Rothenbaumchaussee 36
20148 Hamburg

Tel. +49 (0)40 45 02 17 - 33
Fax +49 (0)40 45 02 17 - 77

E-Mail senden

VIELLEICHT INTERESSIEREN SIE AUCH FOLGENDE THEMEN?

DatenschutzDatenschutzrechtGutachtenDSGVO

Verwandte Projekte und Publikationen

Projekte
Publikationen
Veranstaltungen
Alles
CI_Coping-mit-belastenden-Online-Erfahrungen_KT_Leibniz-Institut-fuer-Medienforschung_Hans-Bredow-Institut_janilson furtado on Unsplash-2.jpg

Dissertationsprojekt

Coping mit belastenden Online-Erfahrungen im Jugendalter

Manche Heranwachsende erleben online Dinge, die sie stark belasten. Im Rahmen ihres Dissertationsprojekts untersucht Kira Thiel, wie Jugendliche mit diesen Online-Erfahrungen umgehen und welche Bewältigungsstrategien sie anwenden.
CI_LfM-GutachtenDesinformation_Leibniz-Institut-fuer-Medienforschung_Hans-Bredow-Institut_hennie-stander-fXkh1pqOPKM-unsplash.jpg

Expertise für die LfM

Rechtsgutachten zu Desinformation

Das Rechtsgutachten für die LfM ermittelt Risiken, die durch verschiedene Formen von Desinformationen für Einzelne und die Gesellschaft entstehen können, und diskutiert Möglichkeiten, diesen rechtlich zu begegnen.
DSGVO-Kinderrechte_Hans-Bredow-Institut_siarhei-plashchynski-362979-unsplash.jpg

Was bedeutet die DSGVO für Kinder?

DSGVO und das Aufwachsen in digitalen Medienumgebungen

In mehreren Projekten untersucht das Institut die neuen kinderspezifischen Datenschutzvorschriften der DSGVO mit Blick auf Kinderrechte, zeigt Problemstellen auf und erarbeitet zusammen mit relevanten Stakeholdern Lösungspfade.  
DataProtection.png

DSGVO und automatisierte Entscheidungssysteme

Gutachten zur Datenschutzgrundverordnung

Mit der EU-Datenschutz-Grundverordnung (DSGVO) sind am 25. Mai 2018 individuelle Auskunftsrechte über die Verwendung der eigenen Daten für vollautomatisierte ADM-Systeme (algorithmic decision making, kurz: ADM), die ohne menschliches Zutun arbeiten, wirksam geworden. Die individuellen Ausk...
Top_MedienKommunikationsberichtBundesregierung_Hans-Bredow-Institut.png

Umfassendes Gutachten

Medien- und Kommunikationsbericht 2017

Für die Beauftragte der Bundesregierung für Kultur und Medien hat das Hans-Bredow-Institut ein wissenschaftliches Gutachten zur Entwicklung der Medien in Deutschland erstellt. Das Gutachten liefert wesentliche Teile des Medien- und Kommunikationsberichts der Bundesregierung 2018, der Anfan...
CI_Desinformation-Rechtsgutachten-Dreyer-Stanciu-Potthast-Schulz.jpg

Rechtsgutachten

DESINFORMATION – RISIKEN, REGULIERUNGSLÜCKEN UND ADÄQUATE GEGENMASSNAHMEN

Das im Auftrag der Landesanstalt für Medien NRW erstellte Rechtsgutachten ermöglicht ein differenziertes Verständnis von verschiedenen Formen von Desinformation und deren Risikopotenzial. Es bietet einen Überblick über geltende Gesetze gegen die gezielte Verbreitung von...
CI_Dreyer_Aufwachsen in überwachten Umgebungen.jpeg

Frisch erschienen!

Recht auf mein Selbst – Schutzräume kindlicher Entwicklungsphasen in der digitalen Gesellschaft

Über Schutzräumen kindlicher Entwicklungsphasen in der digitalen Gesellschaft schreibt Dr. Stephan Dreyer in dem Sammelband "Aufwachsen in überwachten Umgebungen", gerade frisch erschienen im Nomos-Verlag. Über das Buch Digitale Technologien prägen zunehmend Kindh...
CI_Stephan-Dreyer-Besondere-Datenschutzanforderungen-bei-der-Onlineberatung-von-Kindern-und-Jugendlichen.jpg

Kinderdatenschutz

Besondere Datenschutzanforderungen bei der Onlineberatung von Kindern und Jugendlichen

Über datenschutzrechtliche Anforderungen bei Onlineberatung von Minderjährigen schreibt Dr. Stephan Dreyer in einem Beitrag in der Online-Broschüre „Onlineberatung bei sexualisierter Gewalt in Kindheit und Jugend“, herausgegeben von der BKSF (Bundeskoordinierung Spezialisi...
CI_MCK_neu.jpeg

Blogbeitrag

Vigilância em massa ou combate à desinformação: o dilema do rastreamento

In ihrem Blogartikel nehmen PD Dr. Matthias C. Kettemann und Florian Wittner zusammen mit Juliana Abrusio und Ricardo Campos einen Gesetzesentwurf unter die Lupe, der vor allem auf die Bekämpfung von "Fake News" ausgerichtet ist, aber auch Ähnlichkeiten zum NetzDG aufweist. Einig...
CI_Wittner_Design-Goals-for-Consent-at-Scale-in-Digital-Service-Ecosystems.jpg

Transparenz im Datenschutz

Design Goals for Consent at Scale in Digital Service Ecosystems

Florian Wittner und seine Co-Autor*innen schreiben über die durch die Vielzahl der beteiligten Akteure entstehenden Schwierigkeiten hinsichtlich Transparenz bei datenschutzrechtlichen Einwilligungen auf Websites und in Apps. Das Paper zeigt Möglichkeiten zur nutzerfreundlichen Gestaltung v...
mehr anzeigen

Newsletter

Infos über aktuelle Projekte, Veranstaltungen und Publikationen des Instituts.

NEWSLETTER ABONNIEREN!