Automatisierte Prüfungen und DSGVO: So klappt es mit dem Datenschutz
Immer mehr Entscheidungen, die früher Sachbearbeiter trafen, werden digitalisiert und automatisiert. Doch auch diese Entscheidungen müssen nachvollziehbar, rechts- und datenschutzkonform sein.
Die Deutsche Kreditbank muss ein Bußgeld von 300.000 Euro wegen Verstöße gegen die DSGVO bezahlen. Verhängt wurde es von der Berliner Datenschutzbehörde. Ein Kunde hatte über ein Online-Formular eine Kreditkarte beantragt und dafür Angaben zu Einkommen, Beruf und Personalien gemacht. Der Algorithmus lehnte den Antrag ohne besondere Begründung ab. Da der Kunde über ein regelmäßiges Einkommen und einen guten Schufa-Wert verfügte, fragte er nach. Der Berliner Datenschutzbehörde zufolge machte die Bank aber nur pauschale Angaben zu ihrem Scoring-Verfahren und teilte nicht mit, warum und wie eine schlechte Bonität festgestellt wurde. Das System arbeitete nach Kriterien und Regeln, die die Bank festgelegt hat.
Unternehmen sind verpflichtet, automatisierte Entscheidungen nachvollziehbar zu begründen.
Der Kunde blieb im Dunklen über Datenbasis und andere Faktoren, die die Entscheidung beeinflusst hatten. Er konnte sie auch nicht anfechten. Deswegen legte er Beschwerde bei der Datenschutzbehörde ein. Diese stellte „mangelnde Aufklärung rund um die automatisierte Ablehnung eines Antrags auf Erhalt einer Kreditkarte“ und damit einen Verstoß gegen die Transparenzpflichten nach DSGVO fest. Demnach sind Unternehmen verpflichtet, automatisierte Entscheidungen nachvollziehbar zu begründen, so dass die Betroffenen sie verstehen können. Die Frage, warum eine Entscheidung negativ oder positiv ausfällt, muss beantwortet werden. Die Deutsche Kreditbank hat ihre Prozesse bereits angepasst und das Bußgeld akzeptiert.
Vollautomatisierte, IT-gestützte Entscheidungen werden von Unternehmen online zum Beispiel bei Antragsstrecken und Plausibilitätsprüfungen eingesetzt – eben bei der Kreditvergabe, aber auch beim Abschluss von Verträgen im Bereich von Versicherungen oder Mobilfunk. Algorithmen in intelligenten Automatisierungssystemen können den Prozess optimieren.
Algorithmen und Künstliche Intelligenz
Ein Algorithmus ist dabei nicht mit KI (künstlicher Intelligenz) zu verwechseln: Algorithmen werden als mathematische Anweisungen definiert, um nach festgelegten Regeln und Bedingungen gewisse Aufgaben abzuarbeiten: Sie können prüfen, ob die erforderlichen Felder in einem Vertragsformular ausgefüllt wurden bzw. den Regeln entsprechen, feststellen, ob ein Datenformat das richtige ist und Daten verarbeiten. Der Einsatz von Algorithmen ist in vielen Bereich gang und gäbe.
Künstliche Intelligenz ahmt die menschliche Intelligenz nach. Sie ist in der Lage, Muster und Trends in großen Datenmengen zu erkennen und komplexere Entscheidungen wie Risikobewertungen vorzunehmen. Künstliche Intelligenz kann im Rahmen ihrer Programmierung selbstlernend sein, das bedeutet, dass sie ihre Regeln selbstständig aktualisiert. Eine Nachvollziehbarkeit der Entscheidungen ist so nahezu ausgeschlossen, denn dafür müsste erfasst werden, welche Regel zum Zeitpunkt der Entscheidung galt und vor allem warum diese Regel galt – bzw. wie sie entstanden ist.
Die Sprünge, die dabei entstehen können, überraschen selbst KI-Programmierer. Damit sind Entscheidungen von KI kaum zu begründen. Außerdem werden ethische Bedenken laut: Zwar sind KI-Systeme in der Lage, Entscheidungen effizienter und objektiver zu treffen als Menschen, weil sie riesige Datenmengen in Sekunden analysieren können. Allerdings erfolgt das immer auf der Basis des Trainings der KI. Sind Voreingenommenheit oder Diskriminierung in diesen Daten angelegt, führt das zu ungerechten Beurteilungen und Entscheidungen, gerade bei komplexen Bewertungen. KI kann komplexe soziale, kulturelle oder ethische Kontexte nicht vollständig verstehen.
Entscheidungen nachvollziehbar machen
Aus dieser Problematik heraus kommen nun Lösungen auf dem Markt, welche die Funktionalitätslücken von algorithmusbasierten Verfahren überwinden. Der Automatisierungs- und Vertriebsspezialist Intervista zum Beispiel setzt für automatische Plausibilitätsprüfungen und Antragsstrecken Algorithmen ein. Die Entscheidungskriterien bzw. Entscheidungsmatrizen dieser Algorithmen sind abgestimmt, nachvollziehbar, gespeichert, protokolliert sowie historisiert. Damit kann stets eine Begründung für eine Entscheidung geliefert und bei Bedarf die Regeln offen gelegt werden.
Ein bestimmter Score sollte nicht den Hauptfaktor für die Bewertung darstellen, sondern nur einer von vielen Aspekte sein.
Für die automatisierte Entscheidung werden Daten wie Name, Anschrift und weitere Informationen des Antragstellers oder Kunden so genau wie möglich ermittelt, um ein individuelles Risikoprofil zu erstellen. Ein Prozessschritt besteht darin, bei der Schufa registrierte Fälle abzugleichen. Eine Prognose wird lediglich beim Scoring erstellt – auf Basis der Ergebnisse einer Kohorte, in welche der Antragsteller am besten passt. Das Scoring stellt dabei nicht den Hauptfaktor für die Bewertung dar, sondern geht als einer von vielen Aspekte darin ein. Dieses Vorgehen ist insgesamt ein vordefinierter Prozessablauf und damit immer nachvollziehbar und transparent – im Gegensatz zu den lernenden Systemen der Künstlichen Intelligenz, deren Ergebnisse sich schwerer vorhersagen und steuern lassen.
Der Datenschutz
Egal, ob Algorithmus oder KI: Werden personenbezogene Daten verarbeitet, wie das bei Online-Antragsstrecken immer der Fall ist, muss die DSGVO eingehalten werden. Hier greift Artikel 5 – Grundsätze der Verarbeitung personenbezogener Daten: Die Verarbeitung muss unter anderem rechtmäßig, transparent und mit Zweckbindung erfolgen. Außerdem muss sie gemäß Artikel 6 DSGVO eine Rechtsgrundlage besitzen, etwa die Einwilligung des Betroffenen. Diese ist sogar ausdrücklich erforderlich, wenn besondere personenbezogene Daten wie sensible Gesundheitsinformationen verarbeitet werden sollen – festgelegt von Artikel 9 der DSGVO.
Artikel 13 und 14 legen die Informationspflichten auch bei automatisierten Prüfungen fest: Der Betroffene muss zum Beispiel über den Zweck der Verarbeitung, die Art der Daten und seine Rechte informiert werden. Artikel 22 räumt dem Betroffenen sogar das Recht ein, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.“ Hier müssen Maßnahmen getroffen werden, um Rechte und Freiheiten des Betroffenen zu schützen, etwa menschliches Eingreifen oder eben die Erklärung der Entscheidung.
Der Datenschutz verbietet also nicht Entscheidungen, die automatisiert zustande gekommen sind – bei Vertragsabschlüssen sind sie zulässig. Unternehmen müssen aber ihren Transparenzpflichten nachkommen, so dass die Betroffenen in der Lage sind, die Entscheidungen nachzuvollziehen. Die Voraussetzung ist ein IT-System, das diese Nachvollziehbarkeit auch erlaubt.