Automatisierte Prüfungen versus DSGVO

Eine deutsche Bank wird von einer Datenschutzbehörde zu einer Strafe von 300.000 Euro verurteilt, weil die Transparenz bei einer automatischen Ablehnung eines Kreditkartenantrags nicht gegeben war und der Betroffene die Behörde einschaltete. Hier liegt einer der zentralen Stolpersteine beim Einsatz von Algorithmen zur Automatisierung: Die getroffenen Entscheidungen müssen nachvollziehbar sein und die DSGVO berücksichtigt werden.

(PDF)
Photo of unhappy angry young man look hold laptop write letter work isolated on purple color backgroundPhoto of unhappy angry young man look hold laptop write letter work isolated on purple color backgrounddeagreez – stock.adobe.com

Ein Beitrag von Matthias Stauch, Vorstandsvorsitzender/CEO INTERVISTA AG

Die Deutsche Kreditbank muss ein Bußgeld von 300.000 Euro wegen Verstöße gegen die DSGVO bezahlen. Verhängt wurde es von der Berliner Datenschutzbehörde. Ein Kunde hatte über ein Online-Formular eine Kreditkarte beantragt und dafür Angaben zu Einkommen, Beruf und Personalien gemacht. Der Algorithmus lehnte den Antrag ohne besondere Begründung ab.

Da der Kunde über ein regelmäßiges Einkommen und einen guten Schufa-Wert verfügte, fragte er nach. Der Berliner Datenschutzbehörde zufolge machte die Bank aber nur pauschale Angaben zu ihrem Scoring-Verfahren und teilte nicht mit, warum und wie eine schlechte Bonität festgestellt wurde. Das System arbeitete nach Kriterien und Regeln, die die Bank festgelegt hat.

Der Kunde blieb im Dunklen über Datenbasis und andere Faktoren, die die Entscheidung beeinflusst hatten. Er konnte sie auch nicht anfechten. Deswegen legte er Beschwerde bei der Datenschutzbehörde ein. Diese stellte „mangelnde Aufklärung rund um die automatisierte Ablehnung eines Antrags auf Erhalt einer Kreditkarte“ und damit einen Verstoß gegen die Transparenzpflichten nach DSGVO fest.

Demnach sind Unternehmen verpflichtet, automatisierte Entscheidungen nachvollziehbar zu begründen, so dass die Betroffenen sie verstehen können. Die Frage, warum eine Entscheidung negativ oder positiv ausfällt, muss beantwortet werden. Die Deutsche Kreditbank hat ihre Prozesse bereits angepasst und das Bußgeld akzeptiert.

Vollautomatisierte, IT-gestützte Entscheidungen werden von Unternehmen online zum Beispiel bei Antragsstrecken und Plausibilitätsprüfungen eingesetzt – eben bei der Kreditvergabe, aber unter anderem auch beim Abschluss von Verträgen im Bereich von Versicherungen. Algorithmen in intelligenten Automatisierungssystemen können den Prozess optimieren.

Algorithmen und Künstliche Intelligenz

Ein Algorithmus ist dabei nicht mit KI (Künstlicher Intelligenz) zu verwechseln: Algorithmen werden als mathematische Anweisungen definiert, um nach festgelegten Regeln und Bedingungen gewisse Aufgaben abzuarbeiten: Sie können prüfen, ob die erforderlichen Felder in einem Vertragsformular ausgefüllt wurden beziehungsweise den Regeln entsprechen, feststellen, ob ein Datenformat das richtige ist und Daten verarbeiten. Der Einsatz von Algorithmen ist in vielen Bereich gang und gäbe.

Künstliche Intelligenz ahmt die menschliche Intelligenz nach. Sie ist in der Lage Muster und Trends in großen Datenmengen zu erkennen und komplexere Entscheidungen wie Risikobewertungen vorzunehmen. Künstliche Intelligenz kann im Rahmen ihrer Programmierung selbstlernend sein, das bedeutet, dass sie ihre Regeln selbstständig aktualisiert.

Nicht mehr nachvollziehbare KI-Entscheidungen

Eine Nachvollziehbarkeit der Entscheidungen ist so nahezu ausgeschlossen, denn dafür müsste erfasst werden, welche Regel zum Zeitpunkt der Entscheidung galt und vor allem warum diese Regel galt – beziehungsweise wie sie entstanden ist.

Die Sprünge, die dabei entstehen können, überraschen selbst KI-Programmierer. Damit sind Entscheidungen von KI kaum zu begründen. Außerdem werden ethische Bedenken laut: Zwar sind KI-Systeme in der Lage, Entscheidungen effizienter und objektiver zu treffen als Menschen, weil sie riesige Datenmengen in Sekunden analysieren können.

Allerdings erfolgt das immer auf der Basis des Trainings der KI. Sind Voreingenommenheit oder Diskriminierung in diesen Daten angelegt, führt das zu ungerechten Beurteilungen und Entscheidungen, gerade bei komplexen Bewertungen. KI kann komplexe soziale, kulturelle oder ethische Kontexte nicht vollständig verstehen.

Automatische Plausibilitätsprüfungen

Der Automatisierungs- und Vertriebsspezialist Intervista setzt für automatische Plausibilitätsprüfungen und Antragsstrecken Algorithmen ein. Die Entscheidungskriterien beziehungsweise Entscheidungsmatrizen dieser Algorithmen sind abgestimmt, nachvollziehbar, gespeichert, protokolliert sowie historisiert, was sie von KI und anderen Systemen unterscheidet. Damit kann stets eine Begründung für eine Entscheidung geliefert und bei Bedarf die Regeln offen gelegt werden.

Für die automatisierte Entscheidung werden Daten wie Name, Anschrift und weitere Informationen des Antragsstellers oder Kunden so genau wie möglich ermittelt, um ein individuelles Risikoprofil zu erstellen. Ein Prozessschritt besteht darin, bei der Schufa registrierte Fälle abzugleichen.

Eine Prognose wird lediglich beim Scoring erstellt – auf Basis der Ergebnisse einer Kohorte, in welche der Antragssteller am besten passt. Das Scoring stellt dabei nicht den Hauptfaktor für die Bewertung dar, sondern geht als einer von vielen Aspekten darin ein. Dieses Vorgehen ist insgesamt ein vordefinierter Prozessablauf und damit immer nachvollziehbar und transparent – im Gegensatz zur KI, deren Ergebnisse sich schwerer vorhersagen und steuern lassen, da sie selbst lernt.

Der Datenschutz

Egal, ob Algorithmus oder KI: Werden personenbezogene Daten verarbeitet, wie das bei Online-Antragsstrecken immer der Fall ist, muss sie eingehalten werden. Hier greift Artikel 5 - Grundsätze der Verarbeitung personenbezogener Daten: Sie muss unter anderem rechtmäßig, transparent und mit Zweckbindung erfolgen.

Außerdem muss sie gemäß Artikel 6 DSGVO eine Rechtsgrundlage besitzen, etwa die Einwilligung des Betroffenen. Diese ist sogar ausdrücklich erforderlich, wenn besondere personenbezogene Daten wie sensible Gesundheitsinformationen verarbeitet werden sollen – festgelegt von Artikel 9 der DSGVO.

Artikel 13 und 14 legen die Informationspflichten auch bei automatisierten Prüfungen fest: Der Betroffene muss zum Beispiel über den Zweck der Verarbeitung, die Art der Daten und seine Rechte informiert werden. Artikel 22 räumt dem Betroffenen sogar das Recht ein, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden.“ Hier müssen Maßnahmen getroffen werden, um Rechte und Freiheiten des Betroffenen zu schützen, etwa menschliches Eingreifen oder eben die Erklärung der Entscheidung.

Der Datenschutz verbietet also nicht Entscheidungen, die automatisiert zustande gekommen sind – bei Vertragsschlüssen sind sie zulässig. Unternehmen müssen aber ihren Transparenzpflichten nachkommen, so dass die Betroffenen in der Lage sind, die Entscheidungen nachzuvollziehen.

Fazit

Vertragsabschlüsse, die mit dem Einsatz von Algorithmen automatisiert zustande kommen, sind zulässig, müssen aber DSGVO-konform sein, da personenbezogene Daten verarbeitet werden: Dementsprechend muss unter anderem eine Rechtsgrundlage für die Verarbeitung bestehen und Informations- und Transparenzpflichten müssen erfüllt werden.

(PDF)

LESEN SIE AUCH

Cyberspace-230466158-AS-your123Cyberspace-230466158-AS-your123your123 – stock.adobe.comCyberspace-230466158-AS-your123your123 – stock.adobe.com
Digitalisierung

Im Visier der Hacker: Strategien gegen Cyberangriffe

Die Bedrohungen durch Cyberangriffe, Datenlecks und Datenschutzverletzungen sind allgegenwärtig und können schwerwiegende Folgen für Unternehmen sowie Kunden haben. Vor diesem Hintergrund gewinnt ein solides Konzept, das den Schutz aller sensiblen Daten gewährleistet eine immer größere Bedeutung.

online datingonline datingonline dating
Digitalisierung

Klick zum Glück: Wie Onlinedating zur Wachstumsbranche wird

Onlinedating ist längst mehr als nur eine moderne Möglichkeit, neue Menschen kennenzulernen. Es hat sich zu einem bedeutsamen Wirtschaftsfaktor entwickelt, der ein breites Spektrum an Arbeitsplätzen generiert und erhebliche Umsätze einbringt.

Creative digital brainCreative digital brainpeshkova – stock.adobe.comCreative digital brainpeshkova – stock.adobe.com
Digitalisierung

Tipps für einen sicheren Umgang mit KI-Programmen

Die Chancen, die mit der Nutzung von mit KI arbeitenden Chatbots wie ChatGPT einhergehen, sind vielfältig. Ihr Einsatz lässt aber auch besonders aus Sicht des Datenschutzes noch viele Fragen offen. Empfehlungen für einen sicheren Umgang mit KI-basierter Technologie.

Dsgvo law with keyboard letters and laptopDsgvo law with keyboard letters and laptopJuliane Franke – stock.adobe.comDsgvo law with keyboard letters and laptopJuliane Franke – stock.adobe.com
Digitalisierung

DSGVO: Fünf Jahre Fortschritt und Herausforderungen

Das Bewusstsein für Datenschutz ist in Deutschland in den vergangenen 5 Jahren deutlich gestiegen und damit verbesserte sich auch das Datenschutzniveau merklich. Die DSGVO bietet bereits einen rechtlichen Rahmen für KI-Anwendungen. Es bedarf aber dringend weiterer Anpassungen.

Mann steht vor künstlicher IntelligenzMann steht vor künstlicher Intelligenzlassedesignen – stock.adobe.comMann steht vor künstlicher Intelligenzlassedesignen – stock.adobe.com
Digitalisierung

Einsatz von KI erfordert Update für das Arbeitsrecht

Der zunehmende Einsatz künstlicher Intelligenz stellt das Arbeitsrecht vor vielfältige Herausforderungen, unter anderem beim Daten- und Diskriminierungsschutz oder in Haftungsfragen. Wo liegen die Aufgaben für die Gesetzgebung und was Bedarf es für ihre Lösung?

Artificial intelligence conceptArtificial intelligence conceptArtificial intelligence concept
Digitalisierung

Das sollte man jetzt zu generativen KIs wissen

Die Faszination für KI erreicht täglich neue Höhepunkte, ausgelöst durch aufregende Durchbrüche und wachsende Anwendungsgebiete. Doch stellen sich auch zunehmend kritische Fragen und vermehren sich die Bedenken. Ein Realitätscheck von Endava.

Mehr zum Thema

LVM bedankt sich beim eine millionsten Kundenportal-Nutzer. Christian Wilkes (LVM-Agenturinhaber), Philipp Harpering (LVM-Kunde), Marcus Loskant (IT-Vorstand LVM)LVM Versicherung/ Bernd SchwabedissenLVM bedankt sich beim eine millionsten Kundenportal-Nutzer. Christian Wilkes (LVM-Agenturinhaber), Philipp Harpering (LVM-Kunde), Marcus Loskant (IT-Vorstand LVM)LVM Versicherung/ Bernd Schwabedissen
Digitalisierung

LVM: Eine Million Versicherte nutzen Kundenportal

Die LVM Versicherung hat mit ihrem Kundenportal „Meine LVM“ einen wichtigen Erfolg erreicht: Über eine Million Kundinnen und Kunden nutzen inzwischen die digitalen Services des Portals.

Digitalisierung

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025

Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.

Die Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme.Foto: AdobestockDie Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme.Foto: Adobestock
Digitalisierung

Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher

Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde.

Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater AnalyticsMaxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater Analytics
Digitalisierung

Digitale Betriebsmodelle: Laufen kleinere Versicherer den großen davon?

Veraltete Systeme, demografischer Wandel und regulatorische Anforderungen setzen Versicherer unter Druck. Besonders kleinere Häuser nutzen ihre Agilität, um digitale Betriebsmodelle schneller anzupassen und Marktanteile zu sichern, stellt Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater Analytics, im Interview heraus.

Dr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SEDr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SE
Digitalisierung

Industrieversicherung: OPEN RISK DATA Association gegründet

Mit der Gründung des OPEN RISK DATA Association e.V. soll der digitale Austausch von Risikodaten in der Industrieversicherung revolutioniert werden.

pixabaypixabay
Digitalisierung

Vier Trends für 2025: KI-Agenten und Hyper-Automation

Mindbreeze, ein führender Anbieter von KI-basierten Wissensmanagement-Lösungen, identifiziert vier Trends für das Jahr 2025 und skizziert die bedeutendsten Unternehmensbereiche, in denen künstliche Intelligenz die Transformation vorantreiben wird.