Bisher war der Art. 22 DSGVO im "normalen" Geschäftsleben nicht so sehr beachtet.
Man könnte sagen, er war ein wenig im Dornröschenschlaf.
Ein EuGH-Urteil und die Verbreitung von KI könnte ihn zum neuen Star unter den Betroffenenrechten machen.
Denn seien wir mal ehrlich – wer hat sich bisher groß für das „passive“ Betroffenenrecht aus Art. 22 DSGVO interessiert, außer vielleicht Auskunfteien und Finanzdienstleister?
(Nicht) sehr überraschend...
Mit der Entscheidung des EuGH vom 07.12.2023 (externer Link, InfoCuria) ist nun klargestellt, dass bei Errechnung eines Wahrscheinlichkeitswertes durch die SCHUFA zur Bewertung der Kreditwürdigkeit eine automatisierte Einzelfall-Entscheidung vorliegt.
Oder wie es der EuGH formuliert:
„Art. 22 Abs. 1 [DSGVO]…ist dahin auszulegen, dass eine „automatisierte Entscheidung im Einzelfall“ im Sinne dieser Bestimmung vorliegt, wenn ein auf personenbezogene Daten zu einer Person gestützter Wahrscheinlichkeitswert in Bezug auf deren Fähigkeit zur Erfüllung künftiger Zahlungsverpflichtungen durch eine Wirtschaftsauskunftei automatisiert erstellt wird, sofern von diesem Wahrscheinlichkeitswert maßgeblich abhängt, ob ein Dritter, dem dieser Wahrscheinlichkeitswert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet.“
Ja schön – und?
Der Hamburgische Datenschutzbeauftragte (externer Link, HBDI) sieht die Auswirkungen von KI-Systemen sehr ähnlich gelagert:
„Wird künstliche Intelligenz beispielsweise eingesetzt, um Bewerbungen vorzusortieren oder um für medizinische Einrichtungen zu analysieren, welche Patient:innen sich besonders für eine Studie eignen, sind die Ergebnisse nur auf den ersten Blick reine Vorschläge.
Wenn diese vorbereitenden Darstellungen aber auf Basis kaum nachvollziehbarer, von der KI eigenständig entwickelter Kriterien entstanden sind, ist die Nähe zur Wirkweise einer Auskunfteien-Bewertung im Sinne des EuGH-Urteils groß.
Was also für Schufa-Scores gilt, gilt dann auch für den Output einer künstlichen Intelligenz.“
Ein wenig schwer tut man sich aber noch bei der Unterscheidung, wann eine künstliche Intelligenz lediglich „Vorschläge“ macht bzw. wann und wie die Entscheidung durch die KI getroffen wurde.
Das dürfte in der Praxis durchaus zu Herausforderungen führen. Denn – so der Hamburgische Datenschutzbeauftragte:
„Die Entscheidungswege einer KI können oft nur in der Entwicklungsphase nachvollzogen und beeinflusst werden. Es ist daher Aufgabe der Entwickler:innen, Transparenz herzustellen, und Aufgabe der Anwender:innen ist es, sich mit der Funktionsweise auseinanderzusetzen und sie in jedem Einzelfall zu überprüfen.
Sollte diese Abgrenzung von Mensch und Maschine nicht gelingen, sind Bewertungen von Einzelpersonen durch eine künstliche Intelligenz nur in den engen Grenzen des Artikels 22 DSGVO zulässig.
Ausnahmsweise dürfen automatische Entscheidungen dann nur in folgenden Fällen übernommen werden:
- wenn die betroffene Person ausdrücklich eingewilligt hat
- wenn die automatisierte Entscheidung im Ausnahmefall für die Erfüllung eines Vertrags erforderlich ist, weil zum Beispiel in einer Online-Anwendung die sofortige verbindliche Rückmeldung notwendig ist“
Kann es hier gar sein, dass der HBDI bei Online-Bewerberportalen das Aussortieren durch eine KI gar nicht im Normalfall mit Art. 22 Abs. 2 lit. a (also für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich) gedeckt sieht?
Oder hört sich das nur für mich so an?
Hier dürfte es in der gar nicht mal so fernen Zukunft einiges für Gerichte zu tun geben. Nur ein paar Punkte, die vielleicht strittig sein dürften:
Beispiel Online-Bewerbung, die direkt in ein
Bewerber-Portal geht und dort auf Basis einer KI-Entscheidung aussortiert wird:
- An welcher Stelle und in welcher Form müssten z.B. Personalabteilungen die aussortierten Bewerbungen sichten und haben sie tatsächlich eine Ahnung davon, wie die KI ihre Entscheidung getroffen hat?
- Welche Maßnahmen sind in solchen KI-Systemen vielleicht von vorne herein zu implementieren, um den Betroffenen die Ausübung ihrer Rechte nach Art. 22 zu gewährleisten (also „mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung)?
„Passiv“ ist hier wichtig!
Nochmal zur Erinnerung: Im Gegensatz zu den anderen Betroffenenrechten ist der Art. 22 DSGVO ein „passives“ Betroffenenrecht. Die Verantwortlichen haben also dafür zu sorgen, dass dieses Recht nachweisbar angemessen berücksichtigt wird, auch ohne dass Betroffene hier aktiv werden müssten.
Und hier muss man ehrlich sein: Die meisten Verantwortlichen und Anwender haben keinerlei Ahnung, was in der „Black Box“ KI in ihren Anwendungen passiert und auf welcher Basis dort Entscheidungen getroffen werden könnten.
Hier muss man dem HBDI uneingeschränkt recht geben, dass Entwickler mehr Transparenz schaffen müssen (sofern sie das denn bei einer womöglich weiterlernenden KI selbst noch vollumfänglich können).
Die Hinzuziehung technischer und Datenschutz-Experten zur Einführung einer KI-Lösung wäre also äußerst empfehlenswert. Allein schon bei der Frage nach der Datenschutz-Folgenabschätzung…
Auch dann, wenn die KI vielleicht schon durch die „Hintertür“ (z.B. über Microsoft, Google, SalesForce und viele andere Anwendungen) Einzug in Ihr Unternehmen genommen hat.
Quellen:
HBDI PM v. 07.12.2023: https://datenschutz-hamburg.de/news/auswirkungen-des-schufa-urteil-auf-ki-anwendungen
InfoCuria, EuGH Urteil v. 07.12.2023: https://curia.europa.eu/juris/document/document.jsf?docid=280426&mode=req&pageIndex=1&dir=&occ=first&part=1&text=schufa&doclang=DE&cid=5065583#ctx1