Datenschutz: DSGVO greift für Algorithmen und künstliche Intelligenz zu kurz

Algorithmen bewerten Menschen und entscheiden über sie. Solche automatisierte Entscheidungsfindung bleibt aber bislang fast unkontrolliert, obwohl sie sich auf das Leben der Menschen und ihre Teilhabechancen auswirkt. Die ab Mai wirksame Datenschutz-Grundverordnung (DSGVO) wird daran nur wenig ändern. Notwendig ist ein neues Verständnis von Datenschutz und eine größere Aufmerksamkeit der Datenschutzaufsicht für teilhaberelevante Risiken automatisierter Entscheidungsfindung.

Kreditvergabe, Bewerbervorauswahl, Polizeiarbeit – der Einsatz von Algorithmen ist weit verbreitet, findet aber bislang fast ohne gesellschaftliche Kontrolle statt. So ist nicht bekannt, welche algorithmischen Entscheidungssysteme für welche Zwecke und mit welchen Effekten eingesetzt werden. Ein Teil dieses regulativen Vakuums wird mit der am 25. Mai 2018 wirksam werdenden europäischen Datenschutz-Grundverordnung gefüllt. Doch die DSGVO wird nur für einen kleinen Teil der bereits heute eingesetzten ADM-Systeme (algorithmic decision making, kurz: ADM) wirksam. Zudem lassen sich durch die individuellen Auskunftsrechte der DSGVO keine systematischen Mängel oder Diskriminierungen ganzer Personengruppen aufdecken.

Das zeigt eine Analyse, die die Rechtswissenschaftler Wolfgang Schulz und Stephan Dreyer vom Hans-Bredow-Institut für Medienforschung an der Universität Hamburg im Auftrag der Bertelsmann Stiftung verfasst haben.

Die Datenschutz-Grundverordnung wird demzufolge nur für vollautomatisierte ADM-Systeme gelten, bei denen es keine menschliche Beteiligung an der Entscheidungsfindung gibt. Ein Beispiel hierfür ist die Vorauswahl bei Job-Bewerbungen: Bei einigen Unternehmen sichten Softwareprogramme die Lebensläufe und sortieren viele Bewerber aus, ohne dass sich ein Personaler überhaupt deren Unterlagen angesehen hätte. Die DSGVO stellt hier sicher, dass ein erfolgloser Bewerber erfahren kann, welche seiner Daten ausschlaggebend für die negative Entscheidung waren. Für die meisten ADM-Systeme, bei denen Menschen in den Entscheidungsprozess einbezogen sind, gelten die ADM-spezifischen Informations- und Erläuterungspflichten der DSGVO dagegen nicht.

DSGVO ist ein wichtiger, aber kein ausreichender Schritt zur ADM-Regulierung

Trotz dieses großen Mankos ist die DSGVO mit Blick auf algorithmische Entscheidungsfindung laut der Analyse eine Verbesserung. Denn die Nachvollziehbarkeit für den Einzelnen wird durch grundsätzliche Informationspflichten und Auskunftsrechte deutlich gestärkt. Zudem führen die restriktiven Dokumentationsanforderungen dazu, dass datenverarbeitende Akteure ein höheres Bewusstsein für Datenschutzfragen entwickeln. Ralph Müller-Eiselt, Digitalisierungsexperte der Bertelsmann Stiftung, bewertet die Einführung der DSGVO dementsprechend zwiespältig: »Die Datenschutz-Grundverordnung ist ein wichtiger Schritt für europaweite Datenschutzstandards und Auskunftsrechte der Bürger, aber sie greift bei neuen Technologien wie Algorithmen und künstliche Intelligenz eindeutig zu kurz«. Der Grund: Zum einen sei die DSGVO bei vielen automatisierten Entscheidungen nicht anwendbar. Zum anderen schütze sie nicht vor gesellschaftlich relevanten Risiken, die weit über das Datenschutzinteresse des Einzelnen hinausgehen.

Dies liegt auch daran, dass bei der DSGVO primär der Schutz Einzelner geregelt wird. »Für die fehlerhafte Bewertung oder systematische Diskriminierung ganzer Gruppen durch automatisierte Entscheidungen ist die neue Regulierung blind«, ergänzt Studienautor Wolfgang Schulz. Individuelle Auskunfts- und Abwehrrechte allein – wie sie im klassischen Verständnis von Datenschutz verankert sind – reichten aber nicht aus, um die Diskriminierung bestimmter Gruppen aufzudecken und abzustellen. Am Beispiel der Job-Bewerbungen: Es ist zwar gut, wenn Einzelne nachvollziehen können, wie die Entscheidung über ihre Absage zustande gekommen ist. Doch es bleibt ungeklärt, ob bestimmte Eigenschaften – etwa Geschlecht oder der Wohnort – dazu führen, dass ganze Gruppen ungerechterweise geringere Chancen haben.

ADM als Zukunftsthema für deutsche Daten- und Verbraucherschützer

Um gesellschaftliche Teilhabechancen für alle zu sichern, sollte das Thema automatisierter Entscheidungsfindung stärker in den öffentlichen Diskurs rücken, so Müller-Eiselt. Er sieht die Datenschutzbeauftragen von Bund und Ländern in der Pflicht, sich der negativen gesellschaftlichen Konsequenzen von ADM stärker anzunehmen. Es gelte, die Bürger stärker zu sensibilisieren und auf Risiken hinzuweisen. Aus der Perspektive des Verbraucherschutzes und für eine wirksame Kontrolle durch unabhängige Dritte sei zudem ein Sammelklagerecht sinnvoll. So würden auch jene zivilgesellschaftlichen Akteure gestärkt, die die Wirkweise bereits eingesetzter ADM-Systeme bislang kaum überprüfen können. Zudem appelliert Müller-Eiselt an die Entwickler von ADM-Systemen, von Beginn der Programmierung an zu berücksichtigen, dass das Leben anderer Menschen durch die eigene Arbeit beeinflusst wird. Neben aller Regulierung und zivilgesellschaftlicher Kontrolle brauche es also Gütekriterien und eine Berufsethik für Programmierer.

Hintergrund
Die Analyse von Wolfgang Schulz und Stephan Dreyer ist Teil des Projekts »Ethik der Algorithmen«, in dem sich die Bertelsmann Stiftung näher mit den gesellschaftlichen Auswirkungen algorithmischer Entscheidungssysteme beschäftigt. Bislang sind in der Reihe »Impulse Algorithmenethik« eine Sammlung internationaler Fallbeispiele (Lischka und Klingel 2017), eine Untersuchung des Wirkungspotenzials algorithmischer Entscheidungsfindung auf Teilhabe (Vieth und Wagner 2017), eine Analyse des Einflusses algorithmischer Prozesse auf den gesellschaftlichen Diskurs (Lischka und Stöcker 2017) sowie eine Analyse zu Fehlerquellen und Verantwortlichkeiten in Prozessen algorithmischer Entscheidungsfindung (Zweig 2018) erschienen.