Was sind automatisierte Entscheidungsfindungen und wie werden Sie als Unternehmen den Informationspflichten der DSGVO gerecht? Wir beantworten Ihnen aktuelle Fragen zum Thema Profiling und künstliche Intelligenz.
Künstliche Intelligenz und Profiling Die meisten Menschen werden beim Schlagwort „künstliche Intelligenz“ an autonomes Fahren oder Roboter denken. Tatsächlich versteht die Europäische Kommission hierunter „Systeme mit einem intelligenten Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (Mitteilung COM(2018) 237 final). Daher ist klar, dass viel mehr Technologien unter die rechtliche Definition von „KI“ fallen. Der Einsatz von KI ist z. B. denkbar in der Medizin, als Konversationspartner oder in Entscheidungsprozessen im Zivilrecht, insbesondere bei Analysen im Human Resource(HR)-Bereich (Chatbots, Bewerbungsverfahren, Auftragsprüfungen). Für Unternehmen dürfte KI also im Zusammenhang mit dem Abschluss von (Arbeits-)Verträgen nach bestimmten Merkmalen des potenziellen Vertragspartners besonders relevant sein. Dann liegt auch datenschutzrechtlich „Profiling“ (vgl. Art. 4 Nr. 4 DSGVO) vor. Automatisierte Entscheidungsfindung Aus dem KI-gesteuerten Profiling folgt immer häufiger die datenschutzrechtlich bestimmte „automatisierte Entscheidung“ nach Art. 22 DSGVO, sofern am Ende auch eine rechtlich relevante Entscheidung steht. Der Tatbestand setzt daher folgende Punkte voraus:
Zulässigkeit der automatisierten Entscheidungsfindung
Art. 22 Abs. 1 DSGVO bestimmt, dass die betroffene Person das Recht hat, einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung nicht unterworfen zu werden. Hiervon macht die Norm jedoch in mehreren Fällen Ausnahmen:
Zulässig ist die automatisierte Entscheidungsfindung, wenn
Dies gilt hingegen in solchen Fällen nicht, in denen es sich um höchst sensible, personenbezogene Daten handelt, aufgrund derer eine automatisierte Entscheidung getroffen wird (z. B. ethische Herkunft, Gesundheitsdaten, genetische oder biometrische Daten usw.).
Durch diverse Verweise auf Art. 22 DSGVO (bspw. in Art. 13 Abs. 2 lit. f DSGVO) ist der Betroffene stets über das Bestehen einer (geplanten) automatisierten Entscheidungsfindung zu informieren. Versäumnisse können zu erheblichen Bußgeldern und Schadensersatzansprüchen führen. Zuletzt waren im Bereich des Arbeitsrechts immer mehr Schadensersatzklagen mit datenschutzrechtlicher Basis zu verzeichnen.
Umfang der Informationspflichten
Die Informationspflicht besteht beim Profiling darin,
Fazit
Prüfen Sie, ob Ihr Unternehmen eine automatisierte Entscheidungsfindung durch den Einsatz künstlicher Intelligenz vorhält. Dann muss dieses System rechtmäßig arbeiten, aber auch umfangreiche datenschutzrechtliche Informationspflichten erfüllen.
Leistungsangebot
Gerne prüfen wir Ihre Systeme auf Vereinbarkeit mit Datenschutzrecht, insbesondere hinsichtlich der aus Art. 22 DSGVO erwachsenen Informationspflichten, und liefern Ihnen im Rahmen einer ganzheitlichen Beratung praxistaugliche Erläuterungen der Verarbeitungsprozesse, damit Sie Ihr System sinnvoll, ressourcenschonend und rechtssicher nutzen können.
Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)
E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189