Künstliche Intelligenz und automatisierte Entscheidungen im Einzelfall, einschließlich Profiling, gemäß Art. 22 DSGVO

Einführung

Wenn Sie nicht gerade unter einem Stein gelebt haben, werden Sie wahrscheinlich mitbekommen haben, dass künstliche Intelligenz (KI) die Welt in den letzten Monaten im Sturm erobert hat. Damit einher ging auch eine große Unsicherheit darüber, wie KI rechtmäßig eingesetzt werden kann, insbesondere im Rahmen strenger Datenschutzvorschriften wie der EU-Datenschutzgrundverordnung (DSGVO).
 
Art. 22 DSGVO gibt den betroffenen Personen das Recht, bestimmten automatisierten Entscheidungen nicht unterworfen zu werden, sieht aber auch eine Reihe von Ausnahmen vor, wann diese Entscheidungen noch rechtmäßig möglich sind. Es liegt in der Natur der Sache, dass bei KI-Tools häufig automatisierte Entscheidungen auf der Grundlage personenbezogener Daten getroffen werden. Das bedeutet, dass Art. 22 DSGVO eine der Bestimmungen der DSGVO sein sollte, die vor dem Einsatz von KI-Tools durch Organisationen geprüft werden muss.

 

Wann ist Art. 22 DSGVO tatsächlich anwendbar?

Art. 22 Abs. 1 DSGVO besagt folgendes:

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Die europäischen Datenschutzbehörden haben darauf hingewiesen, dass es sich bei diesem Recht um ein Verbot handelt und es nicht von der betroffenen Person aktiv geltend gemacht werden muss.

Insgesamt wirft dieser Absatz eine Reihe von Fragen auf, die Organisationen, die unter den Anwendungsbereich der DSGVO fallen, vor dem Einsatz von KI-Tools bedenken sollten. Und zwar:

1.  Werden mit dem KI-Tool Entscheidungen über Menschen getroffen?
Dies ist die erste Frage, die man sich stellen sollte. Und wenn sie mit Nein beantwortet werden kann, sollten alle Schwierigkeiten, die mit Art. 22 DSGVO einhergehen, vermieden werden können.

2.  Beruhen Entscheidungen über Menschen ausschließlich auf einer automatisierten Verarbeitung?
Wenn es eine wesentliche menschliche Beteiligung an den Entscheidungen gibt, die getroffen werden, dann ist der Anwendungsbereich von Art. 22 DSGVO nicht eröffnet. Dies kann zum Beispiel der Fall sein, wenn KI nur zur Erstellung von Informationen verwendet wird, die dann von einer Person zusammen mit anderen Informationen verwendet werden, um eine Entscheidung über eine andere Person zu treffen.

Es sollte jedoch beachtet werden, dass nach einem aktuellen Schlussantrag des Generalanwalts des EuGH (der vorbehaltlich der endgültigen Entscheidung des EuGH ist), wenn die gängige Praxis so aussieht, dass eine "vorläufige" automatisierte Entscheidung maßgeblich für eine "endgültige Entscheidung" herangezogen wird (sogar von Dritten), diese "vorläufige" automatisierte Entscheidung selbst unter Art. 22 Abs. 1 DSGVO fällt. Das Beispiel in diesem Fall waren automatisierte Entscheidungen über die Kreditwürdigkeit, die dann von Dritten verwendet werden, um eine weitere Entscheidung zu treffen (z. B. darüber, ob ein Antrag auf ein Darlehen gewährt wird).

Die Einbeziehung einer wesentlichen menschlichen Beteiligung an jeder automatisierten Entscheidung kann daher ein vernünftiger Weg sein, um die Verpflichtungen aus Art. 22 DSGVO in einigen KI-Anwendungsfällen zu umgehen, aber es wird wahrscheinlich auch viele KI-Geschäftsmodelle geben, bei denen ein solches Maß an menschlicher Intervention einfach nicht möglich oder aus Kosten- und Ressourcengründen nicht wünschenswert ist.

3.  Hat die Entscheidung "rechtliche" Auswirkungen auf die Person, die von ihr betroffen ist?
Die Leitlinien der Artikel-29-Datenschutzgruppe (die von ihrer Nachfolgeorganisation, dem Europäischen Datenschutzausschuss, bestätigt wurden) zu diesem Thema vertreten den Standpunkt, dass eine "Entscheidung mit rechtlichen Auswirkungen" auch Entscheidungen mit einschließt, die die gesetzlichen Rechte einer Person oder ihre Rechte in Bezug auf einen Vertrag beeinträchtigen (z. B. Entscheidungen, die die Vereinigungsfreiheit oder die Wahlfreiheit beeinträchtigen oder die eine Vertragsauflösung bewirken). Alle KI-Tools, deren Entscheidungen in diese Bereiche fallen könnten, müssen daher sorgfältig gemäß Art. 22 DSGVO geprüft werden.

4.  Wird die Entscheidung "ähnlich erhebliche" Auswirkungen auf die Person haben, die ihr unterliegt?
Erwägungsgrund 71 der DSGVO nennt "die automatische Ablehnung eines Online-Kreditantrags oder E-Recruiting-Praktiken ohne menschliches Eingreifen" als Beispiele für automatische Verarbeitungsentscheidungen, die den Schwellenwert "ähnlich erheblich" erfüllen. In den oben erwähnten Leitlinien der Artikel-29-Datenschutzgruppe werden folgende weitere Beispiele genannt, die ihrer Ansicht nach diese Schwelle erfüllen würden:
 

• Entscheidungen, die sich auf die finanziellen Verhältnisse einer Person auswirken, wie z. B. ihre Kreditwürdigkeit;
• Entscheidungen, die den Zugang einer Person zu Gesundheitsdiensten beeinträchtigen;
• Entscheidungen, die jemandem eine Beschäftigungsmöglichkeit verwehren oder ihn ernsthaft benachteiligen;
• Entscheidungen, die sich auf den Zugang zu Bildung auswirken, z. B. die Zulassung zu einer Universität.

Aus der Vielzahl der oben angeführten Beispiele geht hervor, dass viele KI-Tools unter die Anforderung der "ähnlich erheblichen" Auswirkungen fallen können. Wenn der Einsatz dieser Tools nicht mit wesentlicher menschlicher Intervention möglich ist, können sie wahrscheinlich nur dann rechtmäßig nach der DSGVO eingesetzt werden, wenn die strengen Ausnahmeregelungen des Art. 22 DSGVO gelten.

 

Ausnahmen nach Art. 22 Abs. 2 DSGVO

Nach Art. 22 Abs. 2 DSGVO wird das Verbot von automatisierten Entscheidungen im Einzelfall aus Art. 22 Abs. 1 DSGVO unter den folgenden drei Umständen nicht anwendbar:

Ausnahme (a) - Vertragliche Notwendigkeit
Diese Ausnahme kannOrganisationen, die KI-Tools nutzen möchten, um Vertragsabschlüsse oder Vertragserfüllung effizienter zu gestalten, ein bisschen Hoffnung geben.

Es ist jedoch zu beachten, dass die Verwendung der automatisierten Entscheidung "notwendig" sein muss. Das bedeutet (gemäß den Leitlinien der Art. 29-Datenschutzgruppe), dass "der für die Verarbeitung Verantwortliche in der Lage sein muss, nachzuweisen, dass diese Art der Verarbeitung notwendig ist, wobei zu berücksichtigen ist, ob eine weniger in die Privatsphäre eingreifende Methode gewählt werden könnte. Wenn es andere wirksame und weniger in die Privatsphäre eingreifende Methoden gibt, um dasselbe Ziel zu erreichen, wäre die Verarbeitung demnach nicht "erforderlich".

Ein von der Artikel-29-Datenschutzgruppe in den Leitlinien angeführtes Beispiel eines Einstellungsverfahrens, bei dem automatische Entscheidungen getroffen wurden, weil Zehntausende von Bewerbungen eingingen, vermittelt eine gute Vorstellung davon, wie selten die Regulierungsbehörden das Vorliegen dieser Ausnahme in der Praxis annehmen dürften.

Ausnahme b) - Erlaubt aufgrund von Unionsrecht oder dem Recht der Mitgliedstaaten
Diese Ausnahme ist natürlich insofern nützlich, als sie für die KI-Verarbeitung durch eine Organisation gilt. Praktische Anwendungsfälle, die unter diese Ausnahme fallen, dürften jedoch relativ begrenzt sein, insbesondere im gewerblichen Bereich.

Ausnahme (c) - Ausdrückliche Einwilligung
Die ausdrückliche Einwilligung kann ebenfalls als eine mögliche Ausnahme für KI-Produkte, die unter Art. 22 Abs. 1 DSGVP fallen, genutzt werden. Allerdings müssen Verantwortliche, die sich auf diese Ausnahme berufen wollen, sorgfältig darauf achten, dass die strengen Anforderungen der DSGVO in Bezug auf die (ausdrückliche) Einwilligung ordnungsgemäß eingehalten werden. Dies kann sich als besonders schwierig erweisen, wenn es beispielsweise aufgrund der Größe der Datenbank und der Komplexität des Tools nicht einfach ist, genau zu bestimmen, welche Datenarten verwendet werden und wie diese Daten verwendet werden, um eine automatisierte Entscheidung zu treffen.

 

Ein menschliches Eingreifen gemäß Art. 22 Art. 3 DSGVO

Art. 22 Abs. 3 DSGVO führt eine weitere Compliance-Belastung für Organisationen ein, die KI-Tools einsetzen wollen, die unter Art. 22 Abs. 1 DSGVO fallen (es sei denn, die automatisierte Entscheidungsfindung ist durch EU- oder mitgliedstaatliches Recht erlaubt). Diese weitere Belastung besteht in dem Erfordernis, weiterer Datenschutzgarantien für betroffene Personen zu treffen, "wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört."." Wie Sie sich vorstellen können, können diese Anforderungen eine sehr große und kontinuierliche Ressourcenbelastung für jede Organisation bedeuten, die unter Art. 22 Abs.1  DSGVO fällt.

 

Keine Verwendung von besonderen Kategorien personenbezogener Daten gemäß Art. 22 Art. 4 DSGVO

Unter Art. 22 Abs. 4 DSGVO dürfen automatisierte Entscheidungen, die unter Art. 22 Abs. 1 DSGVO fallen, nicht auf Daten einer besonderen Kategorie gestützt werden (vgl. Art. 9 Abs. 1 DSGVO), es sei denn, die betroffene Person hat ausdrücklich in die Verarbeitung eingewilligt oder (unter anderem) die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich. Außerdem müssen angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen werden.

Dieses Verbot wirft besondere Probleme für den Einsatz von KI-Tools auf, die in irgendeiner Weise auf Daten besonderer Kategorien zurückgreifen können. Dies kann sich besonders stark auf Tools auswirken, die explizit Gesundheitsdaten verwenden, oder auf Tools, die extrem große Datenmengen verwenden, da es in dem Fall schwierig ist, die Verwendung von Daten einer besonderen Kategorie auszuschließen. Hinzukommt, dass die Aufsichtsbehörden und Gerichte die Frage, wann Daten als besondere Datenkategorie gelten, weit auslegen (z. B. mit dem Hinweis, dass der Beziehungsstatus ausreichen kann, um Daten über die sexuelle Ausrichtung einer Person abzuleiten).

Wenn ein KI-Tool unter Art. 22 Abs. 1 DSGVO fällt und die Verarbeitung von Daten einer besonderen Kategorie beinhaltet, bedeutet dies wahrscheinlich, dass im Rahmen von Art. 22 Abs. 4 DSGVO eine ausdrückliche Einwilligung erforderlich sein wird. Wie bereits erwähnt, stellt dies im Zusammenhang mit KI-Tools aufgrund ihrer Komplexität und der Verwendung großer Datenmengen eine besondere Herausforderung dar, wenn man bedenkt, dass bei der Einholung einer (ausdrücklichen) Einwilligung im Allgemeinen eine immer höhere Spezifität erforderlich ist.

 

Transparenz (Art. 13 Abs. 2 lit. f DSGVO / Art. 14 Abs. 2 lit. g DSGVO)

Es sollte auch darauf hingewiesen werden, dass im Rahmen der Transparenzverpflichtungen der DSGVO jede Verarbeitung, die unter Art. 22 Abs. 1 DSGVO fällt, auch in den entsprechenden Datenschutzhinweisen erwähnt werden muss, einschließlich "aussagekräftiger Informationen über die involvierte Logik sowie über die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person". Auch hieraus ergibt sich für die Verantwortlichen, die KI-Tools einsetzen, eine potenziell schwierig einzuhaltende Verpflichtung, da diese eine bereits der Sache selbst innewohnende Komplexität aufweisen, die dann in eine klare und verständliche Sprache für die betroffenen Personen heruntergebrochen und aufbereitet werden muss.

 

Fazit

Wie die obigen Ausführungen zeigen, kann der Aufwand für die Einhaltung der Vorschriften, mit denen Unternehmen konfrontiert sind, wenn in den Anwendungsbereich von Art. 22 Abs. 1 DSGVO fallen, sehr hoch sein. Die Entwicklung und das Fortschreiten der KI-Tools in Richtung automatisierter Entscheidungsfindung kann jedoch durchaus dazu führen, dass diese Bestimmungen der DSGVO immer häufiger zur Anwendung kommen.

Daher ist es für Organisationen, die unter die DSGVO fallen, wichtig, bei der Einführung eines KI-Tools zunächst genau zu prüfen, ob Art. 22 Abs. 1 DSGVO tatsächlich berührt ist sowie mögliche Anpassungen zu erwägen, die dies möglicherweise verhindern könnten.

Soweit Art. 22 Abs. 1 DSGVO Anwendung findet, sollte die Organisation auch die Möglichkeiten für den Umgang mit den verschiedenen Compliance-Anforderungen, die sich daraus ergeben, gründlich durchdenken (und möglicherweise sogar, ob der damit verbundene Arbeitsaufwand den Nutzen des Tools selbst überwiegt).