Existenzielle Entscheidungen durch Algorithmen
Immer mehr Entscheidungen, die für viele Existenzen von großer Bedeutung sind, werden von Algorithmen getroffen. Dazu zählen wichtige Entscheidungen, wie zum Beispiel: Ob wir einen Kredit erhalten und wenn ja zu welchen Konditionen, ob wir in eine Versicherung aufgenommen werden, oder welche : r Bewerber : in zu einem Vorstellungsgespräch eingeladen wird. Dabei ist häufig unklar, nach welchen Kriterien die Algorithmen entscheiden. Und stellt sich die Frage, ob ein Auskunftsrecht besteht. Also ob man einen Anspruch darauf hat, zu wissen, welcher Algorithmus eingesetzt wird und wie die Technik funktioniert. Oder welche Daten in die Auswertung und damit Entscheidung einbezogen werden.
DSGVO und das Auskunftsrecht
Zu den Zielen der EU- Datenschutzgrundverordnung (DSGVO) gehört die Transparenz von Datenverarbeitungen durch Unternehmen und der Schutz der Betroffenen. Die Rechte der Bürger und Betroffenen hinsichtlich der Verarbeitung personenbezogener Daten werden in den Art. 12-23 DSGVO geregelt. Dazu zählen nach Art. 13 DSGVO ausführliche Informationspflichten seitens der Verantwortlichen, also derer welche Daten verarbeiten. So muss zum Beispiel die Schufa den Betroffenen unter anderem Angaben zu dem Zweck der Datenspeicherung und -verarbeitung, zu der Rechtsgrundlage und der Frage, wie lange Daten gespeichert werden. Außerdem ist anzugeben, an wen die personenbezogenen Daten übermittelt werden. Neben den sogenannte Transparenzpflichten haben Betroffene die Möglichkeit, gegenüber den Verantwortlichen der Datenverarbeitung Auskunftsansprüche nach Art. 15 DSGVO geltend zu machen.
Transparenz bei Algorithmen
Doch besteht auch ein Auskunftsrecht zu den Algorithmen, welcher bei der Verarbeitung von Daten und Entscheidungsfindungen eingesetzt werden? Denn angesichts der immer höheren Bedeutung von Algorithmen, die zur Klassifikation und Bewertung von Menschen herangezogen werden, wird die Frage nach ihrer Funktionsweise dringlicher. Nämlich nur, wenn transparent ist, welche Daten in die jeweiligen Auswertungen und Bewertungsprozesse einfließen, nach welchen die Kriterien die Klassifikation erfolgt und wie sie Entscheidungen beeinflussen, lassen sich Aussagen zu ihrer Rechtmäßigkeit treffen. Denn mit vermehrtem Einsatz von Algorithmen steigt gleichzeitig das Fehlerrisiko und die Gefahr, dass Betroffene falsch bewertet und damit benachteiligt werden. Also wenn ein Algorithmus zum Beispiel im Bewerberverfahren diskriminierende Ergebnisse liefert.
Verbot automatisierter Einzelfallentscheidung
Daher enthält die DSGVO in Art. 22 Abs. 1 DSGVO ein Verbot vollautomatisierter Einzelfallentscheidungen. So hat zum Beispiel ein : e Bewerber : in grundsätzlich das Recht darauf, dass die Entscheidung im Bewerbungsverfahren nicht allein durch einen Algorithmus erfolgt. Vielmehr soll ein Mensch das letzte Wort haben, also eine teilautomatisierte Einzelfallentscheidung stattfinden. Hierbei stellt sich jedoch das Problem, dass die Personen, die eine automatisierte Entscheidung überprüfen sollen, tatsächlich nur selten ändern. Das damit im Ergebnis die Entscheidung wohl doch wieder nur auf Grundlage des Algorithmus erfolgt, spielt dabei leider keine Rolle. Mithin sind die Auswirkungen von teilautomatisierten Einzelfallentscheidungen nicht minder bedenkenswert. Hinzu kommen die zahlreichen Ausnahmen in Art. 22 Abs. 2 DSGVO, die den Verantwortlichen viel Spielraum lassen.
Auskunftsrecht bei Algorithmen
In Art. 15 Abs. 1 lit. h DSGVO wird gesetzlich festgelegt, dass bei einer automatisierten Entscheidungsfindung das datenverarbeitende Unternehmen Informationspflichten hat. Und zwar muss das Unternehmen die Betroffenen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen von Datenverarbeitungen für die betroffenen Person, informieren. Dabei stellt sich häufig das Problem, dass das Unternehmen, welches einen Score durch einen Algorithmus berechnen lässt, diesen Score selbst gar nicht nutzt. Die Entscheidungsfindung auf Basis des Scores findet bei einem anderen Unternehmen oder einer anderen Person statt, welche den Score- Wert lediglich eingekauft hat.
BGH zu Schufa: keine Offenbarung der Algorithmen
So sah es auch der Bundesgerichtshof (BGH) im Fall Schufa und urteilte, dass gegenüber der Schufa kein Auskunftsrecht hinsichtlich des Algorithmus besteht. Das heißt, dass die Schufa keine Auskunft über die Formel ihres Scorings- Verfahrens geben muss. Zwar hätten die Betroffenen ein Recht zu erfahren, welche personenbezogenen, insbesondere kreditrelevanten Daten bei der Kreditauskunftei gespeichert sind, nicht jedoch die Formel, mit der der Scorewert berechnet wird. Die Berechnungsmethode sei ein Geschäftsgeheimnis der Auskunftei. Dieses BGH-Urteil sorgte nicht für mehr Transparenz bei existenziellen Entscheidungen, die algorithmenbasiert erfolgen. Zwar musste die Schufa nach dem Urteil über wesentliche Faktoren informieren, die in Scorewerte eingeflossen sind. Die Score – Formel selbst aber bleibt geheim. Denn an dieser Stelle haben Unternehmen oftmals bedenken, das Sie mit den Algorithmen unternehmensinterne Geschäftsgeheimnisse preisgeben müssten.
Kontrolle durch Auskunftsrecht?
Zwar ist der Schutz von Geschäftsgeheimnissen ein berechtigtes Interesse der Unternehmen. Doch wenn es um wesentliche Entscheidungen geht, sollte die mathematische Grundlage der Entscheidungsfindung öffentlich und überprüfbar sein. Eine rechtliche Verpflichtung zur Offenlegung des Algorithmus, der bei der Verarbeitung und Bewertung verwendet wird, kann dazu beitragen, diskriminierende Praktiken zu erkennen und negative Auswirkungen zum Beispiel von Profiling zu vermeiden. Zu dieser Erkenntnis sollte auch der Gesetzgeber kommen. Denn mit den bisherigen Vorschriften der DSGVO wird nicht ausreichend Transparenz im Bereich von Algorithmen und künstlicher Intelligenz geschaffen. Weder Art. 15 noch Art. 22 DSGVO bieten die hinreichende Möglichkeit ein Auskunftsrecht über den Algorithmen geltend zu machen
Algorithmen verselbstständigen sich
Für eine Art von Kontrolle von Algorithmen und künstlicher Intelligenz spricht auch, dass sich diese auch verselbstständigen können, zum Beispiel, wenn Scoring Algorithmen mittels maschinellen Lernens. Dabei können die Algorithmen selbst festlegen, wie stark die einzelnen Variablen gewichtet werden und es besteht die Gefahr, dass sie Vorurteile entwickeln. Eine mögliche Kontrolle könnten in der Form von Audits erfolgen. Dabei wird das Input (Dateneingabe) nur leicht variiert, etwas an Stellen, die auf das Geschlecht hindeuten, und dann schaut, ob das den Output (Ergebnis) verändert. So würde weiterhin das Geschäftsgeheimnis, also wie der Algorithmus im Detail funktioniert, des Unternehmens gewahrt. Aber mittels des Audits kann wenigstens überprüft werden, ob ein Algorithmus diskriminierende Wirkung hat.
Was heißt das für Betroffene?
Das Auskunftsrecht von Betroffenen umfasst nicht die vollständige Berechnungsmethodik also Algorithmus. Doch muss der Verantwortliche im Sinne des Art. 15 Abs. 1 lit. h DSGVO Auskunft über die Eingangsvariablen erteilen, also anhand welcher Daten die Berechnungen vorgenommen werden, wie zum Beispiel Familienstand, Qualifikation etc.. In der Auskunft muss auch erklärt sein, warum der : die Betroffene einer bestimmten Kategorie zugeordnet wird.
Wird seitens des Verantwortlichen keinerlei Auskunft erteilt haben die Betroffenen verschiedene Möglichkeiten:
- Es kann bei der Aufsichtsbehörde ein Bußgeldverfahren initiiert werde, so dass der Verantwortliche zu rechtmäßigem Verhalten angehalten wird.
- Betroffenen können eine gerichtliche Durchsetzung ihres Auskunftsrechts in Betracht ziehen. Gerichtsstand ist der Wohnort des Betroffenen.
- Es kann geprüft werden, ob Betroffenen einen Schadenersatzanspruch, insbesondere Schmerzensgeldansprüche nach Art. 82 DSGVO geltend machen können, wenn der Auskunftspflicht nicht nachgekommen wurde.