DA+

Aufsatz : Die Regulierung von Algorithmen unter der DS-GVO : aus der RDV 4/2018, Seite 198 bis 201

Boris ReibachArchiv RDV
Lesezeit 10 Min.

Algorithmen sind Teil unseres digitalisierten Alltags geworden. Mit der zunehmenden Digitalisierung steigt aber auch die Macht der Algorithmen, die zahlreiche Entscheidungen ohne menschliche Einflussnahme treffen. Nicht zuletzt seit dem Facebook-Skandal um Cambridge Analytica werden Stimmen laut, die eine gesetzliche Regulierung der Nutzung von Algorithmen fordern. Hinsichtlich der Datenschutzkomponente einer solchen Regulierung hätte die DS-GVO eine moderne Antwort auf die mit Algorithmen verbundenen Risiken bieten können. Der Gesetzgeber hat diese Chance allerdings nicht genutzt und nur sehr eingeschränkte Regelungen zu Algorithmen in der DS-GVO verankert.

I. Die Macht der Algorithmen

Aus unserem Alltag sind Algorithmen nicht mehr wegzudenken. Sie sind Teil unseres Lebens geworden – egal, ob beim Shopping, im Social Web, in der Bank oder bei der Erledigung von Behördengängen. Von den zehn wertvollsten Unternehmen der Welt sind es bereits drei (Alphabet, Tencent und Facebook), die ihr Geld ausschließlich mit auf Algorithmen basierenden, datengetriebenen Geschäftsmodellen verdienen:

Algorithmen entscheiden beispielsweise darüber, welche Werbung uns angezeigt wird. Sie bestimmen auch darüber, welche Route wir bei einer Navigation nehmen. Darüber hinaus berechnen sie, ob wir auf Rechnung zahlen können oder gar einen Kredit bekommen. Algorithmen bestimmen also unsere Alltagsaktivitäten, sie greifen – oftmals unbemerkt – erheblich in unsere Grundrechte ein. Ihre unausweichlichen Nebenwirkungen sind Diskriminierungen, denn sie sind gerade dazu gemacht, den Einzelfall im Sinne einer programmierten Abfolge von Berechnungen zu bewerten und damit ohne menschlichen Eingriff zu entscheiden.

Manch einer spricht also von einer „Herausforderung für die Rechtsordnung“[1] oder gar von der „Macht der Algorithmen“[2]. Und in der Tat nähern wir uns einer „Black-Box-Gesellschaft“[3] , in der die von den algorithmischen Berechnungen betroffenen Personen nicht mehr überblicken können, was mit ihren Daten geschieht. Die in Computersystemen steckenden Algorithmen wirken – zum größten Teil unbemerkt – auf unser von der Verfassung als selbstbestimmt garantiertes Leben ein und können in Sekundenbruchteilen Entscheidungen treffen. Oftmals sind es nicht nur die von der Verarbeitung betroffenen Personen, die keinen Einblick in die Abläufe der Algorithmen haben. Selbst Unternehmen und Behörden, die im Rahmen der Beauftragung von Dienstleistungen oder beim Outsourcing Technologien mit Algorithmen einsetzen, sind sich oft nicht im Klaren darüber, was die eingesetzten Systeme mit personenbezogenen Daten tun.

II. Algorithmen-TÜV vs. DS-GVO

Es verwundert deshalb nicht, dass Stimmen laut werden, welche diese Macht der Algorithmen regulieren wollen. So ist die Rede von einem „Algorithmen-TÜV“[4], der insbesondere nach dem Facebook-Skandal um Cambridge Analytica auch auf EU-Ebene diskutiert wird.[5] Nur mit einer starken Regulierung, so die Forderung, könne man den Gefahren der algorithmischen Gesellschaft begegnen. Beim Blick auf die möglichen Rechtsbereiche einer Regulierung kommen insbesondere das Datenschutzrecht, das Wettbewerbsrecht, das Nichtdiskriminierungsrecht sowie sektorspezifische Regelungen in Betracht.[6] Nachfolgend soll deshalb geprüft werden, ob zumindest die DS-GVO hinreichende Schutzmechanismen für die Betroffenen beim Einsatz von komplexen Algorithmen bietet.

Die Gesetzgeber der DS-GVO sind u.a. mit dem Ziel angetreten, dem Bürger mehr Transparenz bei der Verarbeitung seiner personenbezogenen Daten zu gewähren. Es verwundert deshalb nicht, dass die Betroffenenrechte in der DSGVO – anders als im BDSG vor dem 25.5.2018, wo die Betroffenenrechte noch in den Schlussregelungen ein Nischendasein führten – einen prominenten Platz eingenommen haben und unmittelbar nach den Legitimationstatbeständen in den Artt. 12-22 DS-GVO ausführlich geregelt werden. Dabei wurden die Transparenzmaßnahmen gegenüber den betroffenen Personen am detailliertesten geregelt – Art. 13 DS-GVO beispielswiese enthält einen Katalog mit zwölf Punkten, über die Verantwortliche die betroffenen Personen im Zeitpunkt der Erhebung personenbezogener Daten informieren müssen. Für die automatisierte Entscheidungsfindung ist in Art. 13 Abs. 2 lit. f) DS-GVO eine Regelung aufgenommen worden, nach der aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer Verarbeitung mitzuteilen sind. Auch das Recht auf Auskunft zu den eigenen personenbezogenen Daten nach Art. 15 DS-GVO ist im Gegensatz zur bisherigen Rechtslage unter dem BDSG a.F. erweitert worden.[7] Dass Transparenz für den Gesetzgeber eine sehr wichtige Rolle spielt, wird auch bei der Regelung des Art. 5 Abs. 1 lit. a DS-GVO deutlich: innerhalb der dort geregelten Grundsätze steht die Transparenz an erster Stelle. Kann man also davon ausgehen, dass die DS-GVO hinreichende Maßnahmen trifft, um die uns im Alltag begegnenden Algorithmen zu regulieren?

III. Regulierung der Algorithmen in der DS-GVO

1. Grundsatz der Fairness

Aus Art. 5 Abs. 1 lit. a DS-GVO ergibt sich, dass jedweder Einsatz von Algorithmen zur Verarbeitung personenbezogener Daten sich am Prinzip von „Treu und Glauben“ orientieren muss. In der deutschen Sprachfassung wird für das englische „fair“ der Begriff „Treu und Glauben“ verwendet – für die Betrachtung der Algorithmusregulierung bietet es sich aber an, das englische „fair“ auch in die deutschen Sprachfassung reinzulesen und die Verwendung nur solcher Algorithmen zuzulassen, die mit Blick auf beide Parteien

  • Verwender und betroffene Person – ausgewogen sind. Entscheidend wäre dann, dass
  • der Verwender nicht wissentlich auf ein milderes Mittel verzichtet, das die betroffene Person weniger stark beeinträchtigt und für den jeweiligen Zweck gleich geeignet ist;
  • die Verwendung des Algorithmus keine völlig überraschenden, negativen Folgen für die betroffene Person hat, die nicht vorhergesehen werden können und auch keine Widersprüchlichkeiten in sich trägt;
  • keine unlautere Ausnutzung eines Machtgefälles zwischen der betroffenen Person und dem Verantwortlichen stattfindet;
  • keine unbillige Einwirkung auf den Betroffenen zu dessen Nachteil erfolgt.

Damit darf im Ergebnis die Berechnungsformel des Algorithmus nicht nur zulasten des Betroffenen ausgestaltet werden. Vielmehr setzt der Grundsatz von Treu und Glauben – in Zusammenschau mit dem Grundsatz von Privacy by Design (Art. 25 Abs. 1 DS-GVO)

  • voraus, dass sich Verantwortliche, die sich Algorithmen bedienen, über die Fairness ihrer Algorithmen Gedanken machen und hierüber Rechenschaft ablegen müssen (Art. 5 Abs. 2 DS-GVO). Tun sie dies nicht, werden Verstöße dagegen mit dem höchsten Bußgeld der DS-GVO nach Art. 83 Abs. 5 lit. a DS-GVO geahndet. Somit kann bereits hier festgehalten werden, dass die DSGVO mit dem Grundsatz der Fairness einen ersten BasisSchutz bei der missbräuchlichen Verwendung von Algorithmen zur Verarbeitung personenbezogener Daten bietet.

2. Relatives Verbot der automatisierten Entscheidung im Einzelfall

Die DS-GVO sieht über den Grundsatz der Fairness hinaus in Art. 22 DS-GVO ein ausdrückliches, aber eingeschränktes Verbot der automatisierten Einzelentscheidung vor. Art. 22 Abs. 2 DS-GVO regelt, dass ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidungen, wozu gerade auch algorithmische Berechnungen ohne menschliches Eingreifen gehören, die betroffenen Personen gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, nur in folgenden Fällen zulässig sind:

  • Erforderlichkeit für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen;
  • Zulässigkeit aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt;
  • Ausdrückliche Einwilligung der betroffenen Person.

Damit findet auf den ersten Blick in der DS-GVO eine starke Regulierung von Algorithmen statt. Bei genauerer Betrachtung wird jedoch erkennbar, dass sehr vage bleibt, was mit „rechtlichen Wirkung“ oder „ähnlicher erheblicher Beeinträchtigung“ gemeint sein könnte.[8] Ist davon beispielsweise bereits das Anzeigen eines individuellen Preises, wie dies bei Online-Shops und im Online-Marketing die Regel ist, betroffen oder sind reine Angebote noch keine Entscheidung, die eine rechtliche Wirkung entfalten? Auch reicht bereits das Hinzuziehen einer kurzen Begleitentscheidung einer natürlichen Person aus, um nicht mehr von Anwendungsbereich des Art. 22 DS-GVO erfasst zu sein.[9] Darüber hinaus sind die zugelassenen Fälle in Art. 22 Abs. 2 DS-GVO so weitgehend und zusätzlich auch mit einer Öffnungsklausel für die Mitgliedstaaten verbunden, dass die Verwendung von insbesondere komplexen Algorithmen in der Regel möglich bleibt. Damit wird das relative Verbot der automatisierten Entscheidung im Einzelfall nach Art. 22 DSGVO nur selten die Verwendung von komplexen Algorithmen verhindern können. Stattdessen können die Vorschriften zu den Informations- und Auskunftspflichten regulierend eingreifen.

3. Grundsatz der Transparenz

Zunächst ist gemäß Art. 5 Abs. 1 lit. a DS-GVO der Grundsatz der Transparenz zu beachten. Personenbezogene Daten müssen dabei in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.[10] Hier setzt die DS-GVO genau an der Stelle an, die bisher bei der Algorithmusverwendung am häufigsten kritisiert wurde – die mangelnde Aufklärung über die Verwendung und die Art und Weise ihrer Funktionalität durch die Verantwortlichen. Die DS-GVO versucht, dem mit Pflichten zur Bereithaltung von leicht zugänglichen, verständlichen und in einer klaren und einfachen Sprache abgefassten Informationen und Mitteilungen (ErwG 39 S. 3 DS-GVO) entgegenzuwirken. Auch hier können Verstöße mit dem höchsten Bußgeld der DS-GVO nach Art. 83 Abs. 5 lit. a DS-GVO geahndet werden. Im Gegensatz zum Grundsatz der Fairness wird der Grundsatz der Transparenz zusätzlich durch spezielle Vorgaben der DS-GVO konkretisiert:

a) Informationspflichten

Nach Art. 13 Abs. 2 lit. f DS-GVO ist die betroffene Person zum einen über das Bestehen einer automatisierten Entscheidungsfindung im Einzelfall nach Art. 22 DS-GVO und, falls eine solche stattfindet, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zum Zeitpunkt der Datenerhebung zu unterrichten. Selbige Informationspflichten treffen auch einen Verantwortlichen, der die Daten von Dritten erhebt (Art. 14 Abs. 2 lit. g DS-GVO), allerdings möglicherweise mit einer zeitlichen Verzögerung von maximal einem Monat nach Datenerhebung (Art. 14 Abs. 3 DS-GVO).

Hier findet sich also die Pflicht der Verantwortlichen, die involvierte Logik des Algorithmus offenzulegen.[11] Ob davon auch die Formel selbst umfasst ist, bleibt offen. Der BGH hat dies unter alter BDSG-Rechtslage für die Score-Formel der SCHUFA abgelehnt.[12] Es werden deshalb Stimmen in der Literatur laut, die diese Rechtsprechung unter der DS-GVO als nicht mehr vertretbar ansehen.[13]

Diese Regelung gilt allerdings nur für Verarbeitungen, die mithilfe einer automatisierten Entscheidung im Einzelfall erfolgen, sodass sie – wie oben dargestellt – in den seltensten Fällen Anwendung finden wird. Verantwortliche werden nämlich entweder keine rechtlich wirkende Entscheidung daran knüpfen oder den Algorithmus nicht ausschließlich voll automatisiert durchlaufen lassen, sondern noch einen manuellen Prüfschritt einfügen, um der Offenlegung des Algorithmus zu entgehen. Die gut gemeinte Informationspflicht nach Art. 13 Abs. 2 lit. f DS-GVO wird deshalb in der Praxis kaum zu mehr Transparenz bei Algorithmen führen und ist deshalb nicht geeignet, das Informationsdefizit von betroffenen Personen hinsichtlich der allgegenwärtig vorkommenden Algorithmen aufzulösen.

b) Auskunftsrecht

Darüber hinaus können Betroffene nach einer etwaigen Datenerhebung Auskunftsrechte im Rahmen des Art. 15 DSGVO geltend machen. Dabei ist ihnen – wortgleich zu Art. 13, 14 DS-GVO – nach Art. 15 Abs. 1 lit. h DS-GVO das Bestehen einer automatisierten Entscheidungsfindung im Einzelfall nach Art. 22 DS-GVO und, falls eine solche stattfindet, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person mitzuteilen. Auch hier wird jedoch aufgrund der zuvor genannten Einschränkungen eine hinreichende Transparenz und Aufklärung über die Verwendung von Algorithmen nicht hergestellt.

c) Nachträgliche Aufklärung

Ist Art. 22 DS-GVO ausnahmsweise doch einschlägig, so hat der Verantwortliche neben der Offenlegung der Logik nach Art. 13 Abs. 2 lit. f DS-GVO bzw. Art. 14 Abs. 2 lit. g DS-GVO weitere Informationspflichten aus Art. 22 Abs. 3 DS-GVO zu erfüllen. Danach hat er in den Fällen des Art. 22 Abs. 2 lit. a (Vertrag) oder lit. c (Einwilligung) DS-GVO angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. Dazu gehört nach ErwG 71 S. 4 DS-GVO auch die spezifische Unterrichtung der betroffenen Person inklusive einer Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Innerhalb dieser Erläuterung würde es dem Betroffenen also zumindest ermöglicht werden, die Verarbeitung der personenbezogenen Daten beim Verantwortlichen nachzuvollziehen.

IV. Unzureichende Transparenz in der DS-GVO

Im Ergebnis hat sich gezeigt, dass die Regulierung von Algorithmen und der Schutz von Betroffenen durch die DS-GVO nur partiell sichergestellt wird. Bis auf den Grundsatz der Fairness, der alle Algorithmen betrifft, sind nur spezielle Transparenzgebote für Algorithmen erkennbar, die aber auch nur dann eingreifen, wenn diese eine automatisierte Entscheidung im Einzelfall abbilden. Nicht umfasst sind damit reine Vorbereitungshandlungen, die keine Entscheidung nach sich ziehen und Berechnungen, bei denen eine manuelle Verarbeitung eingesetzt wird. Im Ergebnis sind die Regelungen der DS-GVO deshalb nicht geeignet, eine umfassende Regulierung der Verwendung von komplexen Algorithmen bei der Verarbeitung personenbezogener Daten zu gewährleisten.

Boris Reibach, LL.M. ist wissenschaftlicher Mitarbeiter an der Universität Oldenburg sowie Rechtsanwalt und externer Datenschutzbeauftragter bei der Datenschutzkanzlei Scheja und Partner. Einer seiner Beratungsschwerpunkte ist der Datenschutz bei vernetzten Fahrzeugen, zu dem er auch promoviert.

[1] Martini, JZ 2017, 1017.

[2] Boehme-Neßler, NJW 2017, 3031.

[3] Pasquale, The Black Box Society, 8 ff.

[4]Https://www.meinungsbarometer.info/beitrag/Deutschland-brauchtden-Algorithmen-TueV_2269.html (Abruf 20.6.2018).

[5] 5 Https://www.zeit.de/politik/ausland/2018-04/mark-zuckerberg-facebook-datenskandal-vera-jourova-eu-kommission-regulierung (Abruf 20.06.2018).

[6] 6 Http://www.abida.de/sites/default/files/ABIDA%20Gutachten%20Algorithmic%20Accountability.pdf (Abruf 20.06.2018).

[7] Bäcker, in: Kühling/Buchner, Art. 15 Rn. 46.

[8] Ebenso kritisch: Hladjk, in: Ehmann/Selmayr, Art. 22 Rn. 9; Kamlah, in: Plath, Art. 22 Rn. 7.

[9] Schulz, in: Gola, Art. 22 Rn. 12 ff.

[10] Heberlein, in: Ehmann/Selmayr, Art. 5 Rn. 11.

[11] Paal/Hennemann, in: Paal/Pauly, Art. 13 Rn. 31.

[12] BGHZ 200, 38.

[13] Schantz, in: Schantz/Wolff, Rn. 744; Schmidt-Wudy, in: Wolff/Brink, Art. 15 Rn. 78.3.