Digitalisierung Thema des Tages

Automatisierte Prüfungen versus DSGVO

© deagreez – stock.adobe.com

Eine deutsche Bank wird von einer Datenschutzbehörde zu einer Strafe von 300.000 Euro verurteilt, weil die Transparenz bei einer automatischen Ablehnung eines Kreditkartenantrags nicht gegeben war und der Betroffene die Behörde einschaltete. Hier liegt einer der zentralen Stolpersteine beim Einsatz von Algorithmen zur Automatisierung: Die getroffenen Entscheidungen müssen nachvollziehbar sein und die DSGVO berücksichtigt werden.

Ein Beitrag von Matthias Stauch, Vorstandsvorsitzender/CEO INTERVISTA AG

Matthias Stauch, Vorstandsvorsitzender/CEO, INTERVISTA AG © INTERVISTA AG

Die Deutsche Kreditbank muss ein Bußgeld von 300.000 Euro wegen Verstöße gegen die DSGVO bezahlen. Verhängt wurde es von der Berliner Datenschutzbehörde. Ein Kunde hatte über ein Online-Formular eine Kreditkarte beantragt und dafür Angaben zu Einkommen, Beruf und Personalien gemacht. Der Algorithmus lehnte den Antrag ohne besondere Begründung ab.

Da der Kunde über ein regelmäßiges Einkommen und einen guten Schufa-Wert verfügte, fragte er nach. Der Berliner Datenschutzbehörde zufolge machte die Bank aber nur pauschale Angaben zu ihrem Scoring-Verfahren und teilte nicht mit, warum und wie eine schlechte Bonität festgestellt wurde. Das System arbeitete nach Kriterien und Regeln, die die Bank festgelegt hat.

Der Kunde blieb im Dunklen über Datenbasis und andere Faktoren, die die Entscheidung beeinflusst hatten. Er konnte sie auch nicht anfechten. Deswegen legte er Beschwerde bei der Datenschutzbehörde ein. Diese stellte „mangelnde Aufklärung rund um die automatisierte Ablehnung eines Antrags auf Erhalt einer Kreditkarte“ und damit einen Verstoß gegen die Transparenzpflichten nach DSGVO fest.

Demnach sind Unternehmen verpflichtet, automatisierte Entscheidungen nachvollziehbar zu begründen, so dass die Betroffenen sie verstehen können. Die Frage, warum eine Entscheidung negativ oder positiv ausfällt, muss beantwortet werden. Die Deutsche Kreditbank hat ihre Prozesse bereits angepasst und das Bußgeld akzeptiert.

Vollautomatisierte, IT-gestützte Entscheidungen werden von Unternehmen online zum Beispiel bei Antragsstrecken und Plausibilitätsprüfungen eingesetzt – eben bei der Kreditvergabe, aber unter anderem auch beim Abschluss von Verträgen im Bereich von Versicherungen. Algorithmen in intelligenten Automatisierungssystemen können den Prozess optimieren.

Algorithmen und Künstliche Intelligenz

Ein Algorithmus ist dabei nicht mit KI (Künstlicher Intelligenz) zu verwechseln: Algorithmen werden als mathematische Anweisungen definiert, um nach festgelegten Regeln und Bedingungen gewisse Aufgaben abzuarbeiten: Sie können prüfen, ob die erforderlichen Felder in einem Vertragsformular ausgefüllt wurden beziehungsweise den Regeln entsprechen, feststellen, ob ein Datenformat das richtige ist und Daten verarbeiten. Der Einsatz von Algorithmen ist in vielen Bereich gang und gäbe.

Künstliche Intelligenz ahmt die menschliche Intelligenz nach. Sie ist in der Lage Muster und Trends in großen Datenmengen zu erkennen und komplexere Entscheidungen wie Risikobewertungen vorzunehmen. Künstliche Intelligenz kann im Rahmen ihrer Programmierung selbstlernend sein, das bedeutet, dass sie ihre Regeln selbstständig aktualisiert.

Nicht mehr nachvollziehbare KI-Entscheidungen

Eine Nachvollziehbarkeit der Entscheidungen ist so nahezu ausgeschlossen, denn dafür müsste erfasst werden, welche Regel zum Zeitpunkt der Entscheidung galt und vor allem warum diese Regel galt – beziehungsweise wie sie entstanden ist.

Die Sprünge, die dabei entstehen können, überraschen selbst KI-Programmierer. Damit sind Entscheidungen von KI kaum zu begründen. Außerdem werden ethische Bedenken laut: Zwar sind KI-Systeme in der Lage, Entscheidungen effizienter und objektiver zu treffen als Menschen, weil sie riesige Datenmengen in Sekunden analysieren können.

Allerdings erfolgt das immer auf der Basis des Trainings der KI. Sind Voreingenommenheit oder Diskriminierung in diesen Daten angelegt, führt das zu ungerechten Beurteilungen und Entscheidungen, gerade bei komplexen Bewertungen. KI kann komplexe soziale, kulturelle oder ethische Kontexte nicht vollständig verstehen.

Automatische Plausibilitätsprüfungen

Der Automatisierungs- und Vertriebsspezialist Intervista setzt für automatische Plausibilitätsprüfungen und Antragsstrecken Algorithmen ein. Die Entscheidungskriterien beziehungsweise Entscheidungsmatrizen dieser Algorithmen sind abgestimmt, nachvollziehbar, gespeichert, protokolliert sowie historisiert, was sie von KI und anderen Systemen unterscheidet. Damit kann stets eine Begründung für eine Entscheidung geliefert und bei Bedarf die Regeln offen gelegt werden.

Für die automatisierte Entscheidung werden Daten wie Name, Anschrift und weitere Informationen des Antragsstellers oder Kunden so genau wie möglich ermittelt, um ein individuelles Risikoprofil zu erstellen. Ein Prozessschritt besteht darin, bei der Schufa registrierte Fälle abzugleichen.

Eine Prognose wird lediglich beim Scoring erstellt – auf Basis der Ergebnisse einer Kohorte, in welche der Antragssteller am besten passt. Das Scoring stellt dabei nicht den Hauptfaktor für die Bewertung dar, sondern geht als einer von vielen Aspekten darin ein. Dieses Vorgehen ist insgesamt ein vordefinierter Prozessablauf und damit immer nachvollziehbar und transparent – im Gegensatz zur KI, deren Ergebnisse sich schwerer vorhersagen und steuern lassen, da sie selbst lernt.

Der Datenschutz

Egal, ob Algorithmus oder KI: Werden personenbezogene Daten verarbeitet, wie das bei Online-Antragsstrecken immer der Fall ist, muss sie eingehalten werden. Hier greift Artikel 5 – Grundsätze der Verarbeitung personenbezogener Daten: Sie muss unter anderem rechtmäßig, transparent und mit Zweckbindung erfolgen.

Außerdem muss sie gemäß Artikel 6 DSGVO eine Rechtsgrundlage besitzen, etwa die Einwilligung des Betroffenen. Diese ist sogar ausdrücklich erforderlich, wenn besondere personenbezogene Daten wie sensible Gesundheitsinformationen verarbeitet werden sollen – festgelegt von Artikel 9 der DSGVO.

Artikel 13 und 14 legen die Informationspflichten auch bei automatisierten Prüfungen fest: Der Betroffene muss zum Beispiel über den Zweck der Verarbeitung, die Art der Daten und seine Rechte informiert werden. Artikel 22 räumt dem Betroffenen sogar das Recht ein, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.“ Hier müssen Maßnahmen getroffen werden, um Rechte und Freiheiten des Betroffenen zu schützen, etwa menschliches Eingreifen oder eben die Erklärung der Entscheidung.

Der Datenschutz verbietet also nicht Entscheidungen, die automatisiert zustande gekommen sind – bei Vertragsschlüssen sind sie zulässig. Unternehmen müssen aber ihren Transparenzpflichten nachkommen, so dass die Betroffenen in der Lage sind, die Entscheidungen nachzuvollziehen.

Fazit

Vertragsabschlüsse, die mit dem Einsatz von Algorithmen automatisiert zustande kommen, sind zulässig, müssen aber DSGVO-konform sein, da personenbezogene Daten verarbeitet werden: Dementsprechend muss unter anderem eine Rechtsgrundlage für die Verarbeitung bestehen und Informations- und Transparenzpflichten müssen erfüllt werden.

Bild (2): © INTERVISTA AG

Themen

Lesen Sie auch