ANWENDUNG4. Oktober 2023

Automatisierte Prüfungen versus DSGVO: Zankapfel Datenschutz entschärften

Matthias Stauch, Vorstandsvorsitzender/CEO Intervista  zu Algorithmen versus DSGVO: Zankapfel Datenschutz
Intervista

Eine deutsche Bank wird von einer Daten­schutz­behörde zu einer Strafe von 300.000 Euro verurteilt, weil die Transparenz bei einer automatischen Ablehnung eines Kredit­karten­antrags nicht gegeben war und der Betroffene die Behörde einschaltete. Hier liegt einer der zentralen Stolpersteine beim Einsatz von Algorithmen zur Automatisierung: Die getroffenen Entscheidungen müssen nachvollziehbar sein und die DSGVO berücksichtigt werden.

von Matthias Stauch, Vorstandsvorsitzender/CEO Intervista und Nadja Müller, Fachjournalistin

Die Deutsche Kreditbank muss ein Bußgeld von 300.000 Euro wegen Verstößen gegen die DSGVO bezahlen. Verhängt wurde es von der Berliner Datenschutzbehörde. Ein Kunde hatte über ein Online-Formular eine Kreditkarte beantragt und dafür Angaben zu Einkommen, Beruf und Personalien gemacht. Der Algorithmus lehnte den Antrag ohne besondere Begründung ab. Da der Kunde über ein regelmäßiges Einkommen und einen guten Schufa-Wert verfügte, fragte er nach. Der Berliner Datenschutzbehörde zufolge machte die Bank aber nur pauschale Angaben zu ihrem Scoring-Verfahren und teilte nicht mit, warum und wie eine schlechte Bonität festgestellt wurde. Das System arbeitete nach Kriterien und Regeln, die die Bank festgelegt hat.

Der Kunde blieb im Dunklen über Datenbasis und andere Faktoren, die die Entscheidung beeinflusst hatten. Er konnte sie auch nicht anfechten. Deswegen legte er Beschwerde bei der Datenschutzbehörde ein.”

Diese stellte „mangelnde Aufklärung rund um die automatisierte Ablehnung eines Antrags auf Erhalt einer Kreditkarte“ und damit einen Verstoß gegen die Transparenzpflichten nach DSGVO fest. Demnach sind Unternehmen verpflichtet, automatisierte Entscheidungen nachvollziehbar zu begründen, so dass die Betroffenen sie verstehen können. Die Frage, warum eine Entscheidung negativ oder positiv ausfällt, muss beantwortet werden. Die Deutsche Kreditbank hat ihre Prozesse bereits angepasst und das Bußgeld akzeptiert.

Vollautomatisierte, IT-gestützte Entscheidungen werden von Unternehmen online zum Beispiel bei Antragsstrecken und Plausibilitätsprüfungen eingesetzt – eben bei der Kreditvergabe, aber auch beim Abschluss von Verträgen im Bereich von Versicherungen oder Mobilfunk.”

Algorithmen in intelligenten Automatisierungssystemen können den Prozess optimieren.

Algorithmen und Künstliche Intelligenz

Ein Algorithmus ist dabei nicht mit KI (künstlicher Intelligenz) zu verwechseln: Algorithmen werden als mathematische Anweisungen definiert, um nach festgelegten Regeln und Bedingungen gewisse Aufgaben abzuarbeiten: Sie können prüfen, ob die erforderlichen Felder in einem Vertragsformular ausgefüllt wurden bzw. den Regeln entsprechen, feststellen, ob ein Datenformat das richtige ist und Daten verarbeiten. Der Einsatz von Algorithmen ist in vielen Bereich gang und gäbe.
Künstliche Intelligenz ahmt die menschliche Intelligenz nach. Sie ist in der Lage, Muster und Trends in großen Datenmengen zu erkennen und komplexere Entscheidungen wie Risikobewertungen vorzunehmen.

Künstliche Intelligenz kann im Rahmen ihrer Programmierung selbstlernend sein, das bedeutet, dass sie ihre Regeln selbstständig aktualisiert.”

Matthias Stauch
Matthias Stauch ist Vorstandsvorsitzender der Intervista. Er studierte in Berlin Volkswirtschaft und Wirtschaftsingenieurwesens. 1988 ging der IT-Experte mit seiner eigenen Beratungsfirma den Schritt ins Unternehmertum und gründete 12 Jahre später Intervista (Website) mit. Er war über ein Jahrzehnt im Vorstand des deutschen Telematikverbands TelematicsPro und wurde 2018 in den Wirtschaftssenat des Bundesverbands der mittelständischen Wirtschaft berufen. 2020 initiierte er die Gründung des Verbandes German-Software, um Herkunfts- und Qualitätskriterien transparent zu machen und zu zertifizieren.
Eine Nachvollziehbarkeit der Entscheidungen ist so nahezu ausgeschlossen, denn dafür müsste erfasst werden, welche Regel zum Zeitpunkt der Entscheidung galt und vor allem warum diese Regel galt – bzw. wie sie entstanden ist. Die Sprünge, die dabei entstehen können, überraschen selbst KI-Programmierer. Damit sind Entscheidungen von KI kaum zu begründen. Außerdem werden ethische Bedenken laut: Zwar sind KI-Systeme in der Lage, Entscheidungen effizienter und objektiver zu treffen als Menschen, weil sie riesige Datenmengen in Sekunden analysieren können. Allerdings erfolgt das immer auf der Basis des Trainings der KI.

Sind Voreingenommenheit oder Diskriminierung in diesen Daten angelegt, führt das zu ungerechten Beurteilungen und Entscheidungen, gerade bei komplexen Bewertungen. KI kann komplexe soziale, kulturelle oder ethische Kontexte nicht vollständig verstehen.”

Der Automatisierungs- und Vertriebsspezialist Intervista setzt für automatische Plausibilitätsprüfungen und Antragsstrecken Algorithmen ein. Die Entscheidungskriterien bzw. Entscheidungsmatrizen dieser Algorithmen sind abgestimmt, nachvollziehbar, gespeichert, protokolliert sowie historisiert, was sie von KI und anderen Systemen unterscheidet. Damit kann stets eine Begründung für eine Entscheidung geliefert und bei Bedarf die Regeln offengelegt werden.

Für die automatisierte Entscheidung werden Daten wie Name, Anschrift und weitere Informationen des Antragsstellers oder Kunden so genau wie möglich ermittelt, um ein individuelles Risikoprofil zu erstellen.”

Ein Prozessschritt besteht darin, bei der Schufa registrierte Fälle abzugleichen. Eine Prognose wird lediglich beim Scoring erstellt – auf Basis der Ergebnisse einer Kohorte, in welche der Antragssteller am besten passt. Das Scoring stellt dabei nicht den Hauptfaktor für die Bewertung dar, sondern geht als einer von vielen Aspekten darin ein. Dieses Vorgehen ist insgesamt ein vordefinierter Prozessablauf und damit immer nachvollziehbar und transparent – im Gegensatz zur KI, deren Ergebnisse sich schwerer vorhersagen und steuern lassen, da sie selbst lernt.

Der Datenschutz

Egal, ob Algorithmus oder KI: Werden personenbezogene Daten verarbeitet, wie das bei Online-Antragsstrecken immer der Fall ist, muss sie eingehalten werden.

Intervista
Die Potsdamer Intervista  wurde 2000 gegründet. Schon früh erkannten die Pioniere das immense Potenzial der Digitalisierung: Heute ist das Unternehmen ausgewiesener Spezialist für den digitalen Vertrieb in verschiedenen Branchen. Der Fokus liegt dabei auf Automobil, Versicherungen und Finanzen, Energie und Versorgung sowie Mobilfunk und Telekommunikation. Zum Kerngeschäft der Intervista gehört die Software-Entwicklung sowie die Wartung und Erweiterung. Die produktgesteuerte Prozess-Maschine „SolutionFramework“ erlaubt es, die optimale automatisierte Lösung für den Kunden zu finden und in kurzer Zeit in ein produktives System zu überführen.
Hier greift Artikel 5 – Grundsätze der Verarbeitung personenbezogener Daten: Sie muss unter anderem rechtmäßig, transparent und mit Zweckbindung erfolgen. Außerdem muss sie gemäß Artikel 6 DSGVO eine Rechtsgrundlage besitzen, etwa die Einwilligung des Betroffenen. Diese ist sogar ausdrücklich erforderlich, wenn besondere personenbezogene Daten wie sensible Gesundheitsinformationen verarbeitet werden sollen – festgelegt von Artikel 9 der DSGVO. Artikel 13 und 14 legen die Informationspflichten auch bei automatisierten Prüfungen fest: Der Betroffene muss zum Beispiel über den Zweck der Verarbeitung, die Art der Daten und seine Rechte informiert werden. Artikel 22 räumt dem Betroffenen sogar das Recht ein, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.“ Hier müssen Maßnahmen getroffen werden, um Rechte und Freiheiten des Betroffenen zu schützen, etwa menschliches Eingreifen oder eben die Erklärung der Entscheidung.

Der Datenschutz verbietet also nicht Entscheidungen, die automatisiert zustande gekommen sind – bei Vertragsschlüssen sind sie zulässig. Unternehmen müssen aber ihren Transparenzpflichten nachkommen, so dass die Betroffenen in der Lage sind, die Entscheidungen nachzuvollziehen. Die Voraussetzung ist ein IT-System, das diese Nachvollziehbarkeit auch erlaubt.

Fazit

Vertragsabschlüsse, die mit dem Einsatz von Algorithmen automatisiert zustande kommen, sind zulässig, müssen aber DSGVO-konform sein, da personenbezogene Daten verarbeitet werden: Dementsprechend muss unter anderem eine Rechtsgrundlage für die Verarbeitung bestehen und Informations- und Transparenzpflichten müssen erfüllt werden. Nadja Müller und Matthias Stauch, Intervista

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert