Datenschutz-Grundverordnung bietet zu wenig Kontrolle für Algorithmen
Algorithmen bewerten Menschen und entscheiden über sie – etwa in Bewerbungsverfahren oder bei der Kreditvergabe. Bislang läuft dies noch fast unkontrolliert ab, was zu falschen Bewertungen oder gar Diskriminierungen führen kann. Die ab Mai wirksame Datenschutz-Grundverordnung (DSGVO) wird daran nur wenig ändern. Dies zeigt eine Analyse in unserem Auftrag.
Kreditvergabe, Bewerbervorauswahl, Polizeiarbeit – der Einsatz von Algorithmen ist weit verbreitet, findet aber bislang fast ohne gesellschaftliche Kontrolle statt. So ist nicht bekannt, welche algorithmischen Entscheidungssysteme wofür und mit welchen Auswirkungen eingesetzt werden. Einen Teil dieser Regelungslücke wird die ab 25. Mai 2018 wirksame europäische Datenschutz-Grundverordnung schließen, doch wird sie nur für wenige der bereits heute eingesetzten ADM-Systeme (= algorithmic decision making) gelten. Zudem können Bürger mithilfe der DSGVO zwar individuelle Auskünfte einholen, systematische Mängel oder Diskriminierungen ganzer Personengruppen lassen sich so jedoch nicht aufdecken. Das zeigt eine Analyse, die die Rechtswissenschaftler Wolfgang Schulz und Stephan Dreyer vom Hans-Bredow-Institut für Medienforschung an der Universität Hamburg in unserem Auftrag verfasst haben.
Die Datenschutz-Grundverordnung wird demzufolge nur für vollautomatisierte ADM-Systeme gelten, bei denen keine Menschen an der Entscheidungsfindung beteiligt sind. Ein Beispiel hierfür ist die Vorauswahl bei Job-Bewerbungen: Bei einigen Unternehmen sichten Softwareprogramme die Lebensläufe und sortieren viele Bewerber aus, ohne dass sich ein Personaler überhaupt deren Unterlagen angesehen hätte. Die DSGVO stellt hier sicher, dass ein erfolgloser Bewerber erfahren kann, welche seiner Daten ausschlaggebend für die negative Entscheidung waren. Bei den meisten ADM-Systemen sind jedoch Menschen in den Entscheidungsprozess einbezogen – und dann greifen die ADM-spezifischen Informations- und Erläuterungspflichten der DSGVO nicht.
DSGVO ist ein wichtiger, aber kein ausreichender Schritt zur ADM-Regulierung
Trotz dieses großen Mankos ist die DSGVO mit Blick auf den Einsatz von Algorithmen laut der Analyse eine Verbesserung, da automatisierte Entscheidungsvorgänge so für den Einzelnen besser nachzuvollziehen sind. Zudem führen die strengeren Vorgaben zur Dokumentation dazu, dass Akteure, die Daten verarbeiten, ein höheres Bewusstsein für Datenschutzfragen entwickeln. Unser Digitalisierungsexperte Ralph Müller-Eiselt bewertet die Einführung der DSGVO entsprechend zwiespältig:
Der Grund: Zum einen sei die DSGVO bei vielen automatisierten Entscheidungen nicht anwendbar. Zum anderen schütze sie nicht vor gesellschaftlich relevanten Risiken, die weit über das Datenschutzinteresse des Einzelnen hinausgehen.
Dies liegt auch daran, dass bei der DSGVO vorrangig der Schutz Einzelner geregelt wird. "Für die fehlerhafte Bewertung oder systematische Diskriminierung ganzer Gruppen durch automatisierte Entscheidungen ist die neue Regulierung blind", ergänzt Studienautor Wolfgang Schulz. Am Beispiel der Job-Bewerbungen: Es ist zwar gut, wenn Einzelne nachvollziehen können, wie die Entscheidung über ihre Absage zustande gekommen ist. Doch es bleibt ungeklärt, ob bestimmte Eigenschaften – etwa Geschlecht oder der Wohnort – dazu führen, dass ganze Gruppen ungerechterweise geringere Chancen haben.
ADM als Zukunftsthema für deutsche Daten- und Verbraucherschützer
Um gesellschaftliche Teilhabechancen für alle zu sichern, sollte das Thema automatisierter Entscheidungsfindung stärker in den öffentlichen Diskurs rücken, so Müller-Eiselt. Er sieht die Datenschutzbeauftragten von Bund und Ländern in der Pflicht, sich der negativen gesellschaftlichen Konsequenzen von ADM stärker anzunehmen. Es gelte, die Bürger stärker zu sensibilisieren und auf Risiken hinzuweisen. Aus der Perspektive des Verbraucherschutzes und für eine wirksame Kontrolle durch unabhängige Dritte sei zudem ein Sammelklagerecht sinnvoll. So würden auch jene zivilgesellschaftlichen Akteure gestärkt, die die Wirkweise bereits eingesetzter ADM-Systeme bislang kaum überprüfen können. Zudem appelliert Müller-Eiselt an die Entwickler von ADM-Systemen, von Beginn der Programmierung an zu berücksichtigen, dass ihre Arbeit das Leben anderer Menschen beeinflusst. Neben aller Regulierung und zivilgesellschaftlicher Kontrolle brauche es also Gütekriterien und eine Berufsethik für Programmierer.
Hierfinden Sie das PDF zum Arbeitspapier "Was bringt die Datenschutzgrundverordnung für automatisierte Entscheidungssysteme?" mit Cover, das nicht unter eine CC-Lizenz fällt.
Wenn Sie das Arbeitspapier weiterverwenden möchten, finden Sie hier eine Version ohne Cover, die komplett CC-lizensiert ist.