Automatisierte Entscheidungsfindungen – Informationspflichten beim Profiling

Was sind automatisierte Entscheidungsfindungen und wie werden Sie als Unternehmen den Informationspflichten der DSGVO gerecht? Wir beantworten Ihnen aktuelle Fragen zum Thema Profiling und künstliche Intelligenz.

Künstliche Intelligenz und Profiling Die meisten Menschen werden beim Schlagwort „künstliche Intelligenz“ an autonomes Fahren oder Roboter denken. Tatsächlich versteht die Europäische Kommission hierunter „Systeme mit einem intelligenten Verhalten, die ihre Umgebung analysieren und mit einem gewissen Grad an Autonomie handeln, um bestimmte Ziele zu erreichen“ (Mitteilung COM(2018) 237 final). Daher ist klar, dass viel mehr Technologien unter die rechtliche Definition von „KI“ fallen. Der Einsatz von KI ist z. B. denkbar in der Medizin, als Konversationspartner oder in Entscheidungsprozessen im Zivilrecht, insbesondere bei Analysen im Human Resource(HR)-Bereich (Chatbots, Bewerbungsverfahren, Auftragsprüfungen).  Für Unternehmen dürfte KI also im Zusammenhang mit dem Abschluss von (Arbeits-)Verträgen nach bestimmten Merkmalen des potenziellen Vertragspartners besonders relevant sein. Dann liegt auch datenschutzrechtlich „Profiling“ (vgl. Art. 4 Nr. 4 DSGVO) vor. Automatisierte Entscheidungsfindung Aus dem KI-gesteuerten Profiling folgt immer häufiger die datenschutzrechtlich bestimmte „automatisierte Entscheidung“ nach Art. 22 DSGVO, sofern am Ende auch eine rechtlich relevante Entscheidung steht. Der Tatbestand setzt daher folgende Punkte voraus: 

• Entscheidung: Erforderlich ist zunächst, dass am Ende des jeweiligen Verarbeitungsprozesses eine Entscheidung getroffen wird. Das bedeutet, dass die reine Verarbeitung bzw. das Erfassen von Daten noch kein automatisierter Beschluss ist. Erfasst und sammelt eine „künstliche Intelligenz“ nur Details, um individuelle Angebotspreise, Kalkulationen, Umsätze oder Personen zu analysieren, liegt eine automatisierte Entscheidung i.S.d. Art. 22 DSGVO nicht vor.
• Erfasst werden zudem nur solche Entscheidungen, die ohne Einflussnahme von Menschen getroffen werden. Erforderlich ist daher, dass das System die Entscheidung am Ende der Datenverarbeitung selbst trifft.
• Die von der künstlichen Intelligenz getroffene Entscheidung muss sodann rechtliche Wirkung entfalten, also zu einem Vertragsschluss oder einem einseitigen Rechtsgeschäft wie einer Kündigung führen. Alternativ ist die Vorschrift auch anwendbar, wenn eine betroffene Person durch die Entscheidung erheblichen Beeinträchtigungen ausgesetzt ist. Dies können ernstzunehmende wirtschaftliche oder persönliche Nachteile sein. 

Zulässigkeit der automatisierten Entscheidungsfindung

Art. 22 Abs. 1 DSGVO bestimmt, dass die betroffene Person das Recht hat, einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung nicht unterworfen zu werden. Hiervon macht die Norm jedoch in mehreren Fällen Ausnahmen:

Zulässig ist die automatisierte Entscheidungsfindung, wenn

• sie für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist,

• eine gesetzliche Norm nach dem Unionsrecht die Verarbeitung erlaubt

• oder eine Einwilligung des Betroffenen vorliegt. 

Dies gilt hingegen in solchen Fällen nicht, in denen es sich um höchst sensible, personenbezogene Daten handelt, aufgrund derer eine automatisierte Entscheidung getroffen wird (z. B. ethische Herkunft, Gesundheitsdaten, genetische oder biometrische Daten usw.).

Durch diverse Verweise auf Art. 22 DSGVO (bspw. in Art. 13 Abs. 2 lit. f DSGVO) ist der Betroffene stets über das Bestehen einer (geplanten) automatisierten Entscheidungsfindung zu informieren. Versäumnisse können zu erheblichen Bußgeldern und Schadensersatzansprüchen führen. Zuletzt waren im Bereich des Arbeitsrechts immer mehr Schadensersatzklagen mit datenschutzrechtlicher Basis zu verzeichnen.

Umfang der Informationspflichten

Die Informationspflicht besteht beim Profiling darin,

• dem Adressaten aussagekräftig und mit einem Mindestmaß an Verständlichkeit darzulegen, dass eine automatisierte Entscheidungsfindung stattfindet, und

• dem Betroffenen die involvierte Logik des Entscheidungsprozesses aufzuzeigen. Dabei müssen die Berechnungsgrundlage und die Methodik der Datenverarbeitung deutlich werden. Dies umfasst die vom System berücksichtigten Daten des Betroffenen, die spezifischen Eigenschaften eingesetzter Lernverfahren und Methoden sowie die Eigenschaften automatisiert erzeugter Rechenergebnisse. 

Fazit

Prüfen Sie, ob Ihr Unternehmen eine automatisierte Entscheidungsfindung durch den Einsatz künstlicher Intelligenz vorhält. Dann muss dieses System rechtmäßig arbeiten, aber auch umfangreiche datenschutzrechtliche Informationspflichten erfüllen.

Leistungsangebot

Gerne prüfen wir Ihre Systeme auf Vereinbarkeit mit Datenschutzrecht, insbesondere hinsichtlich der aus Art. 22 DSGVO erwachsenen Informationspflichten, und liefern Ihnen im Rahmen einer ganzheitlichen Beratung praxistaugliche Erläuterungen der Verarbeitungsprozesse, damit Sie Ihr System sinnvoll, ressourcenschonend und rechtssicher nutzen können.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189