| Kann die Datenschutz-Grundverordnung (DSGVO) in der jetzigen Form ihren ehrgeizigen Zielen gerecht werden oder bleibt das neue Datenschutzrecht hinter den selbstgesteckten Zielen zurück? Eines der großen Versprechen der DSGVO ist die Transparenz von Datenverarbeitungen durch Unternehmen und der Schutz der Betroffenen. Eine Betrachtung am Beispiel der Schufa. Was macht die Schufa? Die Schufa Holding AG ist ein privatwirtschaftliches Unternehmen, dessen Geschäftszweck in erster Linie darin besteht, ihre Vertragspartner mit Informationen zur Kreditwürdigkeit Dritter zu versorgen. Wollen Verbraucher also beispielsweise einen Kredit beantragen, einen Miet- oder Mobilfunkvertrag abschließen, so spielt der sog. Schufa-Score dabei oft eine entscheidende Rolle. Dieser Score-Wert von 1 bis 100 trifft eine Aussage darüber, wie die Bonität eines Verbrauchers einzustufen und wie hoch das Risiko eines Zahlungsausfalls ist. So soll Sicherheit und Vertrauen im Wirtschaftsverkehr geschaffen werden und außerdem eine Überschuldung von Verbrauchern verhindert werden. Wie wird der Score-Wert berechnet? Die Berechnung des Score-Werts erfolgt in einem automatisierten Rechenverfahren alle drei Monate neu. Dabei werden eine Vielzahl von verschiedenen Informationen über Verbraucher berücksichtigt, die alle bei der Schufa gespeichert sind, wie z.B. die Anzahl der Kredite, die schon aufgenommen wurden und ob es dabei zu Zahlungsausfällen kam. Die Berechnungsformel selbst, also wie die einzelnen Informationen gewichtet und bewertet werden, ist allerdings das Geschäftsgeheimnis der Schufa und wird von dieser nicht für die Allgemeinheit offengelegt. Problematisch ist dies vor allem deswegen, weil wiederholt Betroffene unverschuldet zum Risikofall erklärt werden wie eine gemeinsame Recherche des BR und des Spiegels jüngst gezeigt hat. Dies kann erhebliche, negative Auswirkungen auf die Lebensumstände der Betroffenen haben, wenn diese deshalb z.B. keine Kredite oder Wohnungen bekommen. Du bist, was deine Daten über dich sagen Die Einsatzmöglichkeiten von solchen automatisierten Rechenverfahren – oder Algorithmen – sind durch die Digitalisierung und datengetriebene Wirtschaft mittlerweile fast unbegrenzt und steigen stetig an. Bewertungen und Aussagen über Menschen oder deren (künftigen) Verhaltensweisen haben einen immensen Wert für die Wirtschaft und können auch für den Staat interessant sein. Mit vermehrten Einsatz dieser Algorithmen steigt aber gleichzeitig das Risiko, dass die Betroffenen durch diese falsch bewertet und damit benachteiligt oder diskriminiert werden. Was sagt die DSGVO dazu? Die DSGVO versucht diesem Risiko insbesondere durch die Art. 15 Abs. 1 lit h und Art. 22 Abs. 1 DSGVO zu begegnen. In Art. 22 Abs. 1 DSGVO heißt es: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Das liest sich zunächst einmal ganz gut. Bei wichtigen Entscheidungen sollen also grundsätzlich keine Algorithmen das letzte Wort über uns haben. Allerdings lässt das Gesetz hier auch Ausnahmen zu, diese sind in Art. 22 Abs. 2 DSGVO aufgeführt. Für die notwendige Transparenz ist in diesem Zusammenhang wichtig, dass Art. 15 Abs. 1 lit h DSGVO diejenigen Unternehmen, die solche Algorithmen aufgrund der Ausnahmen einsetzen, dann aber verpflichten soll, den Betroffenen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ von ihren Algorithmen zur Verfügung zu stellen. Dies klingt logisch und notwendig, denn nur wenn offengelegt wird, wie Algorithmen funktionieren und wie sie zu ihren Entscheidungen kommen, kann eine unabhängige Kontrolle stattfinden und damit verhindert werden, dass Menschen zum Objekt von undurchsichtigen Entscheidungen einer Maschine werden. Gut gemeint aber weitgehend wirkungslos Warum muss die Schufa Ihren Algorithmus dann nicht wegen Art. 15 Abs. 1 lit h DSGVO komplett offenlegen, wo dieser doch für die Betroffenen so wichtige Entscheidungen trifft? Hier zeigt sich dann recht schnell, wie schwach die DSGVO an dieser Stelle tatsächlich ist. Die Schufa – und das trifft so auch auf viele andere Anbieter von Algorithmen zu – nutzt ihren Algorithmus selbst nicht, um damit selbst Entscheidungen über Personen zu treffen. Die Entscheidungen werden vielmehr von den Unternehmen oder Personen getroffen, die den Score-Wert der Schufa einkaufen und diesen dann als Basis für ihre eigene Entscheidung nutzen. Die Schufa selbst ist also schon mal nicht verpflichtet aufgrund des gesetzlichen Auskunftsanspruch in Art. 15 Abs. 1 lit h DSGVO ihre Berechnungsformeln offenzulegen, da sie als Verantwortliche keine automatisierten Einzelfallentscheidungen im Sinne des Art. 22 Abs. 1 DSGVO durchführt. So dürfte das auch weiterhin der Bundesgerichtshof (BGH) sehen, der bereits 2014 (u.a. mit dieser Begründung) urteilte, dass die Schufa keine Auskunft über die Formel ihres Scoring-Verfahrens geben muss. Schon damals hatte der BGH in diesem Zusammenhang auch die damals noch geltende EG-Datenschutzrichtlinie zu prüfen, die in Art. 15 Abs. 1 Richtlinie 95/46/EG eine dem Art. 22 Abs. 1 DSGVO sehr ähnliche Regelung enthielt. Dann müssten aber diejenigen Unternehmen, die den Score-Wert dann nutzen, um auf dessen Basis Entscheidungen über Personen zu treffen, die Berechnungsmethode doch offenlegen, oder? Leider auch nicht. Ganz abgesehen davon, dass diese Unternehmen dazu nicht in der Lage sind, weil es sich ja um ein Geschäftsgeheimnis der Schufa handelt, können auch diese Unternehmen den Art. 22 Abs. 1 DSGVO und die damit einhergehende Auskunftspflicht sehr leicht umgehen. Es muss lediglich eine Person, also z.B. ein Sachbearbeiter an irgendeiner Stelle der Entscheidungsfindung zwischengeschaltet werden und schon handelt es sich nicht mehr um eine reine automatisierte Entscheidung. Die Tatsache, dass die Entscheidung meistens ohne weitere Prüfung trotzdem allein auf Basis des Ergebnisses der automatisierten „Entscheidungsvorlage“ getroffen werden wird, spielt dabei leider keine Rolle. Vertrauen ist gut, Kontrolle ist besser Diese noch fortführbare Aufzählung der Unzulänglichkeiten des Art. 22 DSGVO zeigt also recht deutlich, dass die DSGVO in ihrer jetzigen Form, wenn überhaupt, nur sehr begrenzt dazu in der Lage ist, ausreichend Transparenz im Bereich von Algorithmen und künstlicher Intelligenz zu schaffen. Zwar kann die DSGVO bei der Regulierung in diesem Bereich sowieso nur einen Teil betragen, allerdings ist sie leider auch schon damit überfordert. Vertrauen und Schutz im Wirtschaftsverkehr sind wichtig und daneben können Algorithmen auch in anderen Bereichen viel für die Gesellschaft leisten. Wenn es dabei aber um wichtige Entscheidungen für die Betroffenen geht, muss die Logik oder mathematische Grundlage der Entscheidungsfindung vollständig öffentlich und jederzeit voll überprüfbar sein. Es bleibt zu hoffen, dass sich diese Erkenntnis auch beim Gesetzgeber durchsetzt. Beitrag hier kommentieren | 