Automatisierte Entscheidung / Profiling
Zu den Betroffenenrechten gehört nach Art. 22 DSGVO das Recht der betroffenen Person, nicht einer Entscheidung unterworfen zu sein, die ausschließlich auf einer automatisierten Verarbeitung beruht. Das schließt Profiling mit ein. Was heißt das für die Praxis?
Voraussetzung für das Betroffenenrecht ist, dass die automatisierte Entscheidung bzw. das Profiling gegenüber der betroffenen Person eine rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.
Der Begriff „automatisierte Entscheidung“
Eine automatisierte Entscheidung im Einzelfall liegt vor, wenn ausschließlich die Ergebnisse eines Algorithmus darüber entscheiden, ob ein Antrag genehmigt oder abgelehnt ist, ohne dass ein Mensch das Resultat geprüft hat. Dabei ist es unerheblich, ob der Antrag online oder klassisch auf Papier erfolgt.
Die Datenschutz-Grundverordnung (DSGVO) weitet die automatisierte Entscheidung im Einzelfall auf das Profiling aus. So darf eine automatisierte Entscheidung im Einzelfall grundsätzlich auch nicht aufgrund eines Profilings erfolgen.
Allerdings kann Automatisierung durchaus Bestandteil einer Entscheidung sein. In diesem Fall muss der Verantwortliche die betroffene Person auf den Vorgang der Automatisierung aufmerksam machen. Und sie muss Gelegenheit haben, zu der Entscheidung Stellung zu nehmen.
Der Begriff „Profiling“
Die DSGVO definiert Profiling wie folgt: „Profiling [ist] jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ (Art. 4 Nr. 4 DSGVO).
Profile erfordern das Vorhandensein von personenbezogenen oder personenbeziehbaren Daten. Ohne solche Daten kein Profiling. Die wichtigste Methode, Persönlichkeitsbilder in digitaler Form zu erstellen, ist das Scoring.
Profiling ohne das Element einer daran anknüpfenden automatisierten Entscheidungsfindung stellt keine gesonderten Anforderungen an die Auskunfts- oder Informationspflichten. Setzt das Profiling dagegen auf einer automatisierten Entscheidung auf, muss der Verantwortliche etwa über das eingesetzte Verfahren, die involvierte Logik und die möglichen Auswirkungen informieren.
Um die Transparenzpflicht beim Profiling zu erfüllen, genügt ein allgemeiner Text, der die eingesetzten Verfahren generell erläutert.
Gesetze und Vorschriften
Alle einschlägigen Datenschutzgesetze, angefangen bei der DSGVO, stellen sehr hohe Anforderungen an die Wirksamkeit automatisierter Entscheidungen im Einzelfall.
Sie alle verbieten derartige automatisierte Entscheidung, wenn sie dazu führen, dass ein Unternemen einen Antrag ablehnt oder ihn zwar bewilligt, die betroffene Person jedoch schlechtere Vertragsbedingungen oder Konditionen erhält. Das gilt beispielsweise für einen schlechteren Zinssatz.
Beispiele für automatisierte Entscheidungen
Jemand stellt online einen Antrag für eine Versicherung. Direkt nach dem Absenden des Antrags kommt die Mitteilung, dass die Versicherung den Antrag aus nicht näher genannten Gründen ablehnen müsse.
Schon allein die sofortige Mitteilung legt den Verdacht nahe, dass kein Sachbearbeiter und keine Sachbearbeiterin den Antrag geprüft hat. Da hier von einer Schlechterstellung der Person auszugehen ist, wäre diese automatisierte Entscheidung ein Verstoß gegen die Vorgaben der DSGVO.
Ein Kreditantrag, den jemand online ausfüllt, wird direkt bewilligt. Auch hier ist davon auszugehen, dass allein der im Programm hinterlegte Algorithmus die Entscheidung getroffen hat. In diesem Fall liegt mutmaßlich keine Benachteiligung der Person, die den Antrag gestellt hat, vor.
Zu automatisierten Entscheidungen im Einzelfall zählen auch Fälle, in denen ein Mensch im Nachgang den Antrag formal bearbeitet. Doch besitzt dieser Mensch gar keine Befugnis oder ausreichende Datengrundlage, um von der automatisierten Entscheidung abzuweichen. So ist die persönliche Entscheidung nur vorgespiegelt.
Automatisierte Entscheidung im Einzelfall kann auch erlaubt sein
Zulässig sind automatisierte Entscheidungen, wenn sie im Rahmen eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergehen und dem Begehren der betroffenen Person stattgeben.
Ebenfalls erlaubt sind sie, wenn sie die berechtigten Interessen der betroffenen Person durch geeignete Maßnahmen gewährleisten. Außerdem muss der Verantwortliche der betroffenen Person mitteilen, dass eine automatisierte Entscheidung im Einzelfall vorliegt. Darüber hinaus muss er auf Verlangen die wesentlichen Gründe dieser Entscheidung erläutern.
Hinweise für Datenschutzbeauftragte
Da automatisierte Entscheidungen im Einzelfall häufig auf Online-Portalen oder in Online-Shops stattfinden, sollten sich Datenschutzbeauftragte vergewissern, ob das eigene Unternehmen derartige Vertragsmöglichkeiten anbietet oder mit Profiling arbeitet.
Auch wenn beispielsweise ein Auftragnehmer im Sinne der Auftragsverarbeitung die Vertriebsfunktion übernimmt, sollten Datenschutzbeauftragte prüfen, ob es hierbei zu automatisierten Entscheidungen im Einzelfall kommt oder kommen kann.
Ist das der Fall, müssen Verantwortliche bei einer Ablehnung die Betroffenenrechte gemäß Art. 22 DSGVO wahren. Sie müssen insbesondere sicherstellen, dass bei einem negativen Bescheid stets ein Mensch die Entscheidung getroffen oder zumindest bestätigt hat.
Außerdem muss für Bearbeitende grundsätzlich die Möglichkeit bestehen, vom Entscheidungsvorschlag des Algorithmus abzuweichen. Ferner ist sicherzustellen, dass die betroffenen Personen, die von ihrem Recht auf Auskunft Gebrauch machen, erfahren, wie der logische Aufbau der automatisierten Verarbeitung der Daten aussieht, die sie betreffen.
Am besten ist es, sicherzustellen, dass betroffene Personen die Möglichkeit erhalten, ihren Standpunkt gegenüber dem Verantwortlichen geltend zu machen, der anschließend die Entscheidung erneut zu überprüfen hat.
Darüber hinaus sind Verantwortliche, die Verfahren zur automatisierten Einzelentscheidung einsetzen, verpflichtet, die betroffenen Personen über diese Tatsache zu informieren. Dies sollten Verantwortliche in geeigneter Weise dokumentieren.
Unterrichtung und Beratung der Beschäftigten:
Finden beim Verantwortlichen automatisierte Entscheidungen in den Prozessen statt, müssen die beschäftigten Personen, die an diesen Prozessen beteiligt sind, angemessen über die Bedeutung der automatisierten Entscheidung und der persönlichen Überprüfung unterwiesen sein.
Einhaltung der Datenschutzvorgaben überwachen:
Zuerst prüfen Datenschutzbeauftragte, ob beim Verantwortlichen überhaupt Verarbeitungstätigkeiten vorkommen, bei denen automatisierte Entscheidungen ablaufen.
Ist das der Fall, ist zu prüfen, ob die Bedingung erfüllt ist, dass immer noch einmal ein Mensch die Entscheidung überprüft. Sodann ist festzustellen, ob davon auszugehen ist, dass diese Entscheidung im Sinne der DSGVO unkritisch für die Rechte und Freiheiten betroffener Personen ist. Gegebenenfalls sind spezielle Schulungen nötig.
Beratung im Zusammenhang mit Datenschutz-Folgenabschätzung:
Prozesse, bei denen automatisierte Entscheidungen inklusive Profiling eine Rolle spielen, gehören von vornherein zu den Prozessen, bei denen Verantwortliche sehr genau prüfen müssen, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.
Die Verantwortung hierfür trägt der Verantwortliche. Die Erfahrung zeigt jedoch, dass Verantwortliche diese Aufgabe nicht immer präsent haben. Ein entsprechender Impuls durch den / die Datenschutzbeauftragte(n) kann hier sicherlich nicht schaden.