DSGVO ist ein wichtiger, aber kein ausreichender Schritt zur ADM-Regulierung
Trotz dieses großen Mankos stellt die DSGVO mit Blick auf algorithmische Entscheidungsfindung laut der Analyse eine Verbesserung für den Einzelnen dar. Die Nachvollziehbarkeit von automatisierten Entscheidungen werde durch grundsätzliche Informationspflichten und Auskunftsrechte deutlich gestärkt. Zudem führten die restriktiven Dokumentationsanforderungen dazu, dass datenverarbeitende Akteure ein höheres Bewusstsein für Datenschutzfragen entwickeln.
Allerdings wird bei der DSGVO primär der Schutz Einzelner geregelt. „Für die fehlerhafte Bewertung oder systematische Diskriminierung ganzer Gruppen durch automatisierte Entscheidungen ist die neue Regulierung blind“, erläutert Wolfgang Schulz. Individuelle Auskunfts- und Abwehrrechte allein – wie sie im klassischen Verständnis von Datenschutz verankert sind – reichten aber nicht aus, um die Diskriminierung bestimmter Gruppen aufzudecken und abzustellen. Am Beispiel der Job-Bewerbungen: Es ist zwar gut, wenn Einzelne nachvollziehen können, wie die Entscheidung über ihre Absage zustande gekommen ist. Doch es bleibt ungeklärt, ob bestimmte Eigenschaften – etwa Geschlecht oder der Wohnort – dazu führen, dass ganze Gruppen ungerechterweise geringere Chancen haben.
Näheres zur Studie
Es sind zunehmend Softwareprogramme, die Menschen bewerten und über sie entscheiden. Von der Kreditanfrage über eine Job-Bewerbung bis hin zum Persönlichkeitsprofil für passende Werbeeinblendungen sind Bürgerinnen und Bürger Objekt automatisierter Entscheidungssysteme (automated decision making, kurz: ADM). Die für diese Systeme relevanten Algorithmen und die zur Entscheidung erforderlichen Trainingsdaten bergen aber Risikopotenziale für den Einzelnen, für ganze soziale Teilgruppen oder gar für die Gesellschaft insgesamt. Die am 25. Mai 2018 wirksam werdende Datenschutz-Grundverordnung enthält neben den allgemeinen Vorgaben für die Verarbeitung personenbezogener Daten spezielle Vorschriften für diese ADM-Systeme.
In dem Gutachten „Was bringt die Datenschutzgrundverordnung für automatisierte Entscheidungssysteme? Potenziale und Grenzen der Absicherung individueller, gruppenbezogener und gesellschaftlicher Interessen“ von Stephan Dreyer und Wolfgang Schulz untersuchen die beiden Rechtswissenschaftler im Auftrag der Bertelsmann Stiftung, ob und inwieweit die DSGVO und das zeitgleich in Kraft tretende neue Bundesdatenschutzgesetz (BDSG) in der Lage sind, diese Risiken zu verringern.
Die Analyse, die im Rahmen einer Kooperation des Humboldt Instituts für Internet und Gesellschaft (HIIG) und dem Hans-Bredow-Institut für Medienforschung erfolgte, macht deutlich: Das grundsätzliche Verbot von reinen ADM-Systemen hat einen stark begrenzten Anwendungsbereich und weist breite gesetzlichen Verbotsausnahmen auf. Allem voran durch die Einwilligung des Betroffenen werden automatisierte Entscheidungen sich in der Praxis weiter durchsetzen. Für alle „ausnahmsweise“ zulässigen ADM-Systeme bietet die DSGVO rechtliche Regelungen, die geeignet sind, um individuelle Interessen der Nutzer in Teilen abzusichern. Die datenschutzrechtlich Verantwortlichen von ADM-Systemen müssen gegenüber dem Nutzer Informations- und Transparenzpflichten über den Einsatz eines ADM-Systems sowie die grundlegenden Mechanismen der Datenverarbeitung und Entscheidung einhalten.
Umfang und Tiefe dieser Informationspflichten sind jedoch begrenzt. Infolge einer automatisierten Entscheidung haben Betroffene einen Anspruch auf Auskunft über den Einsatz eines ADM-Systems sowie die grundlegenden Mechanismen der Datenverarbeitung und Entscheidung. Außerdem haben sie das Recht, einen menschlichen Entscheider hinzuzuziehen. Diese Rechte helfen, eine automatisierte Entscheidung zu überprüfen und ggf. zu korrigieren. Ein Anspruch auf Einsicht in das System durch Betroffene selbst oder unabhängige Dritte entsteht dadurch jedoch nicht.
System- und prozessbezogene Vorgaben der DSGVO zu Konzeption und Einsatz von ADM-Systemen sind geeignet, um auf Verantwortlichenseite Risiken für den Einzelnen (und teils indirekt auch für Personengruppen) frühzeitig zu erkennen und Mindestqualitätsstandards zu sichern. Dazu zählen vor allem Privacy by Design, verpflichtende datenschutzrechtliche Folgeabschätzungen und interne Datenschutzvorschriften sowie die Bestellung eines Datenschutzbeauftragten. Diese Regelungsinstrumente haben das Potenzial, bei den Verantwortlichen für ein hohes Reflexionsniveau in datenschutzrechtlichen Belangen zu sorgen und so mindestens individuelle Rechte und Freiheiten zu gewährleisten.
Die DSGVO kann so Transparenz, Überprüfbarkeit und hohes Reflexionsniveau herstellen und damit in Teilen helfen, individuelle Rechte abzusichern. Für gruppen- und gesellschaftsbezogene Ziele wie Nichtdiskriminierung und Teilhabe bietet die DGSVO jedoch kaum Ansatzpunkte.
Vor dem Hintergrund dieser Ergebnisse entwickelt das Gutachten ergänzende Steuerungsansätze innerhalb und außerhalb der DSGVO. Dazu können bestimmte Ansatzpunkte innerhalb der DSGVO gestärkt werden, die vor allem präventiv wirksam würden:
- Die Datenschutzbehörden könnten Datenschutzfolgeabschätzungen auch für von der DSGVO ausgenommene ADM-Systeme festlegen.
- Zudem könnte im Rahmen der DGSVO die Rolle der Aufsichtsbehörden in der Praxis stärker in Richtung der Aufklärung der Öffentlichkeit und der Sensibilisierung für gesellschaftliche Missstände geführt werden.
- Es sollten jedoch auch über die DGSVO hinaus weitere Steuerungsinstrumente diskutiert werden, wie überindividuelle und gesellschaftliche Ziele tatsächlich abgesichert werden können.
- Zu den Möglichkeiten einer besseren Überprüfbarkeit von ADM-Systemen können Ansätze beitragen, die die Erklärbarkeit der Systeme erhöhen oder die durch erweiterte Transparenzvorgaben die Überprüfung durch externe Dritte gewährleisten (z.B. Form von „in camera“-Verfahren).
- Für die Korrigierbarkeit von bereits eingesetzten ADM-Systemen wären Steuerungselemente aus dem Wettbewerbs- und Verbraucherschutzrecht denkbar, die eine schnellere Rechtsdurchsetzung ermöglichen.
- Die Vielfalt von ADM-Systemen kann ggf. durch Übernahme kartellrechtlicher Regelungsinstrumente unterstützt werden; auch medienrechtliche Regelungen können zu Pluralismus bei ADM-Systemen beitragen, soweit diese Informationsflüsse steuern und die Meinungsbildung beeinflussen.
Auf diese Weise sind alternative Steuerungsansätze in der Lage, überindividuelle Interessen zu schützen, die die vor allem auf die Sicherung individueller Interessen ausgerichtete DSGVO nicht abdeckt.