Eine Bank in Deutschland bekam von der zuständigen Datenschutzbehörde eine Strafe in Höhe von EUR 300.000 auferlegt. Hintergrund war die fehlende Transparenz bei automatisierter Entscheidungsfindung. Gerade bei automatisierter Entscheidung scheinen die Behörden in letzter Zeit besonders kritisch zu sein.
Was ist eine automatisierte Entscheidung im Einzelfall?
Bei einer automatisierten Entscheidung im Einzelfall wird die Entscheidung allein von einem Algorithmus getroffen, ohne dass ein Mensch an der Entscheidung beteiligt ist. Hierbei werden Daten in Computersystemen analysiert und als Ergebnis dieser Analyse wird vom Computer selbst eine Entscheidung gefällt. Keine automatisierte Entscheidung im Einzelfall ist es also, wenn ein Mensch das Ergebnis der Rechenoperation erhält und dann mit einem echtem Entscheidungsspielraum die Entscheidung trifft. Mit zunehmendem Einsatz von künstlicher Intelligenz ist davon auszugehen, dass automatisierte Entscheidungen im Einzelfall zunehmen werden.
Was sind die gesetzlichen Rahmenbedingungen?
Grundsätzlich hat ein Betroffener das Recht, dass er automatisierten Entscheidungen im Einzelfall nicht unterworfen wird (Art 22 Abs 1 DSGVO). Etwas anderes gilt zum Beispiel, wenn der Betroffene einwilligt (Art 22 Abs 2 lit c DSGVO), wenn das Recht eines Mitgliedsstaates oder der Union die Entscheidung vorsieht (Art 22 Abs 2 lit b DSVO) oder wenn die automatisierte Entscheidung im Einzelfall für den Abschluss eines Vertrages zwischen dem Betroffenen und dem Verantwortlichen erforderlich ist.
Was muss zum Schutz der betroffenen Personen getan werden?
Der Verantwortliche ist nach Art 23 Abs 3 DSGVO verpflichtet, angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. Hierzu gehört mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.
Die Entscheidung der Behörde im vorliegenden Fall
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit bemängelte in dem Prozess vor allem die fehlende Transparenz. Im vorliegenden Fall war ein Kreditkartenantrag eines Kunden automatisiert abgelehnt worden. Der Kunde wollte von der Bank die Gründe wissen und war der Ansicht, aufgrund seiner Bonität hätte der Antrag eigentlich bewilligt werden müssen. Die Bank antwortete hierauf lediglich pauschal welche Scoring-Verfahren sie verwendet. Wie es im konkreten Fall zu der Entscheidung kam, erfuhr der Kunde nicht.
Hierzu hielt die Behörde folgendes fest: "Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen." Die Bank habe durch die fehlenden Angaben gegen Art 22 Abs 3, Art 5 Abs 1 lit a und Art 15 Abs 1 lit h DSGVO verstoßen.
Praxistipps
Automatisierte Entscheidungen im Einzelfall werden in Zukunft eher zu- als abnehmen. Sie ermöglichen Verantwortlichen in kurzer Zeit viele Entscheidungen zu treffen ohne hierfür Personal einsetzen zu müssen. Durch Einsatz von KI dürften die Algorithmen auch treffsicherer werden.
Dennoch muss stets bedacht werden, dass der Betroffene einen Anspruch darauf hat, Auskünfte über die Entscheidung zu erhalten. Daher sollte man sich bereits vor dem Einsatz überlegen, wie solche Auskünfte beantwortet werden könnten.
Hierbei wird es zwar nicht nötig sein, die konkreten Rechenoperationen offen zu legen, aber man wird den Betroffenen in die Lage versetzen müssen, die Entscheidung nachvollziehen zu können. Hierzu müssen zum Beispiel die Kriterien angegeben werden, welche in die Entscheidungsfindung mit einfließen. Dies versetzt den Betroffenen nämlich in die Lage, dass er der Entscheidung auch entgegentreten kann, wenn er nicht einverstanden ist.
Sie haben weitere Fragen im Datenschutzrecht?
Sie haben weitere Fragen zum Thema Datenexport oder wollen sich in anderen Bereichen des Datenschutzrechts beraten lassen? Melden Sie sich gerne bei uns unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.