DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-6k Bedarf aus Verbrauchersicht (6K)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Lesen Sie hier:
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
-
Beurteilung DSGVO – Auswertung Bedarf aus Verbrauchersicht
Dabei werden gemäß den einzelnen Bestimmungen der Datenschutz-Grundverordnung die Bestimmungen der Verordnungen aus Verbrauchersicht bewertet. Gegebenenfalls wird die Umsetzung und Ausgestaltung der deutschen Datenschutzgrundverordnung berücksichtigt.
6.11. Vorwort zu Automatisierte Entscheidungen im Einzelfall
Einer der generellen Gedanken, welcher die Datenschutzgrundverordnung durchzieht, ist der risikobasierte Anfang. Theoretisch ist dies leicht erklärt, in der Praxis aber oft schwerlich umzusetzen.
Das Thema Risikomanagement ist im beruflichen Alltag oftmals zu finden. Dies gilt nicht nur für die Unternehmen, welche von Rechts wegen verpflichtetet sind (zum Beispiel Aktiengesellschaften nach § 91 Aktiengesetz oder Dienstleister im Finanzgewerbe gemäß den Anforderungen an das Risikomanagement der BaFin).
Inzwischen ist Risikomanagement bei fast allen geschäftlichen Wechselbeziehungen ein genereller Standard. Der Datenschutz ist nicht erst seit der Datenschutzgrundverordnung (DSGVO), sondern schon seit 2009 mit der Neuigkeit des Bundesdatenschutzgesetzes sowie der Verschärfung der Datenverarbeitung kein Zwischenthema mehr.
Generell kann angenommen werden, dass das Risikomanagement, welches die Gesetzverordnung im Hinblick auf die Freiheiten und Rechte von den betreffenden Personen fordert, keine Herausforderung für die Praxis in Unternehmen darstellt.
So greift die Grundverordnung bei der Beurteilung des Risikos auf angepasste Grundelemente des Risikomanagements zurück, zum Beispiel auf die Eintrittswahrscheinlichkeit.
Die Dokumentation der Risiken mit den dazugehörigen Maßnahmen zur Abhilfe, wie sie zum Beispiel die Folgenabschätzung nach Artikel 35 Abs. 7 der Grundverordnung vorschreibt, sollte im Rahmen eines Risikomanagements nicht mehr überraschend sein,
Die Risikoanalyse im Bereich des Datenschutzes stützt sich wie eine normale Risikoanalyse zur Charakteristik auf zwei Eckpunkte. Dies sind die Eintrittswahrscheinlichkeit sowie die Schadensschwere. Aus der Sicht der Betroffenen müssen anhand jener Kriterien systematisch die Risiken ausgemacht, dokumentiert und beurteilt werden. Dass bei dem Risikomanagement nach der Grundverordnung vom Beurteilenden die Sicht der betreffenden Person eingenommen werden muss, hebt die Art der Analyse des Risikos von den normalen Durchführungen und Risikoanalysen ab.
Obwohl die Grundverordnung einem risikobasierten Anschnitt folgt, definiert diese nicht, was unter einem Risiko des Datenschutzes zu verstehen ist. Unter dem Erwägungsgrund 75 der Verordnung sind allerdings verschiedene Datenschutzrisiken aus Sicht der Betroffenen aufgeführt, welche jedoch einiges an Spielraum bei der Interpretation lassen. Diese Risiken beziehen sich auf personenbezogene Daten. Dies sind unter anderem die Diskriminierung, der finanzielle Verlust und der Identitätsdiebstahl.
6.11. Automatisierte Entscheidungen im Einzelfall
Für Art. 22 der Grundverordnung ist weniger entscheidend, was die Anleitung verbietet, sondern was diese zulässt. Die aktuelle Fassung bewirkt für Verbraucher verschiedene Probleme, welche eine Anpassung erfordern. Einerseits ist das Verbot automatischer Entscheidungen in einigen Fällen zu eng gefasst. Andererseits erwähnt diese das Problem des Profilings, ohne aber dessen spezielle Risiken zu regeln. Zugleich rechtfertigt die Fassung in Abs. 2 eine automatische Entscheidung, wenn diese für den Abschluss oder für einen Vertrag notwendig ist, ohne dass die betreffende Person diesem zustimmen muss.
6.11.1. Ausweitung des Anwendungsbereichs der Vorschrift
Art.22 Abs. 1 der Grundverordnung enthält das Recht, nicht einer auf der automatischen Bearbeitung beruhenden Entscheidung unterworfen zu werden, welche dieser gegenüber eine bevollmächtigte Wirkung entfaltet oder sie in analoger Art und Weise stark beeinträchtigt. Auch dabei handelt es sich um eine Art der Übernahme aus dem vorherigen Datenschutzrecht. Damit wurde der mehr als 20 Jahre alte Art. 15 der geltenden Datenschutzrichtlinie nahezu wörtlich in die neue Grundverordnung überführt. Jene Regelung wird etwa 25 Jahre nach der Entstehung den Risiken des Grundrechts algorithmenbasierter Verfügungen nicht hinreichend gerecht. Der Anwendungsbereich ist in mehrfacher Weise erheblich eingeschränkt: Zuerst ist dieser auf Entscheidungen begrenzt und erstreckt sich nicht auf die Bearbeitung von personenbezogenen Daten, welche den Entscheidungen zugrunde liegen, außerdem ist er beschränkt auf nur auf einer automatischen Verarbeitung beruhende Entscheidungen zu regeln und er ist auf Entscheidungen mit einer rechtlichen Wirkung oder einer analogen Beeinträchtigung begrenzt. Durch solche Einschränkungen erfasst die Verfügung lediglich einen geringen Anteil der Beeinträchtigungen der Grundrechte von Verbrauchern und wird deshalb der Schutzpflicht der gesetzgebenden Gewalt für die Grundrechte der Kunden nicht gerecht. Beispiele für solche automatischen Entscheidungsverfahren sind die individuelle Preissetzung von Diensten und Waren, Gesundheitsratgeber, eine Bestimmung von Ausfallrisiken bei Krediten, digitale Assistenzsysteme, Smart-Home-Anwendungen, Portfoliomanagement für Geldanleger und das autonome Fahren. Solche Entscheidungen berühren die Interessen und die Grundrechte der betroffenen Person in erheblicher Weise. Hierbei ist von Art.22 Abs.1 der Grundverordnung nicht die auf einer automatischen Verarbeitung beruhende Anordnung einer Entscheidung erfasst, sondern nur die Entscheidung an sich. Die vorausgehende Bearbeitung der personenbezogenen Daten richtet sich in der Legalität nach den neutralen Erlaubnistatbeständen nach Art. 6 Abs. 1 und 4 der Grundverordnung. Das hiermit verbundene Problem der passenden Regelung der Risiken des Profiling wird im nachfolgenden Unterkapitel beschrieben. Nicht erfasst sind andererseits alle Entscheidungen, welche nicht nur auf einer automatischen Verarbeitung beruhen. Diese Vorschrift erfasst somit nicht die Risiken, welche durch eine teilweise automatische Entscheidung oder eine aufgabenteilig durchgeführte automatische Entscheidung entstehen. Denkbar bleiben hierdurch Entscheidungen, welche die in verschiedenen Stufen automatisiert bearbeitet werden, die am Schluss zwar ein Mensch selbst trifft, welcher aber die automatische Vorbereitung für die Entscheidung nicht verantworten muss. Eventuell kennt dieser nicht einmal die Kriterien, übernimmt aber das Ergebnis. Hierdurch entstehen sehr große Schutzlücken gegenüber den Risiken maschineller Entscheidungen für die Grundrechte. Die Vorschrift des Art. 22 Abs. 1 der Grundverordnung sollte aus diesem Grund auf die Einschränkung verzichten, um eine Ausdehnung auf teilautomatisierte Verfügungen zu erreichen. Innerhalb einer Organisation ist die Beschränkung auf automatische Entscheidungen aus Sicht der Verbraucher problematisch. Das Recht nach Art. 22 Abs. 1 der Grundverordnung gilt nicht, wenn am Schluss ein Mensch entscheidet. Ein solcher wird in der Praxis die Vorgaben eines Systems ohne Prüfung übernehmen. Außerdem wird diesem zumeist das notwendige Wissen darüber fehlen, diese Vorgaben differenziert zu hinterfragen. Ein Mensch ist in derartigen Fällen lediglich formal der Entscheider; die eigentliche Verfügung wird von einem maschinellen System getroffen. Nicht erfasst werden die automatisiert resultierenden Entscheidungen, die keine Rechtswirkung enthüllen oder den Betreffenden auf ähnliche Weise sehr stark beeinträchtigen. Gemäß dem Erwägungsgrund 71 der Grundverordnung sollten die automatische Ablehnung eines Online-Antrags für Kredite oder eines Einstellungsverfahrens online ohne ein Eingreifen des Menschen erfasst sein. Wegen dieser Beschränkung soll die Vorschrift jedoch keine Anwendung finden etwa auf eine automatische Einschränkung von Bezahlungsmöglichkeiten im Bereich des E-Commerce oder die Verneinung von Vertragskonditionen. Problematisch ist die Anwendbarkeit auf eine verhaltensbedingte Werbemaßnahme und individuelle Preise. Nötig wäre in Art. 22 Abs. 1 der Grundverordnung ebenfalls eine Ergänzung um ein Verbot, automatisch ausgearbeiteten Entscheidungen ausgesetzt zu sein, welche der Entscheider als Mensch normalerweise anstandslos übernimmt, ohne dass die betreffende Person vor der Verfügung eine Möglichkeit hat, den eigenen Standpunkt vorzubringen. Dazu benötigt diese vorher eine inhaltsreiche Information nach Art. 13 Abs. 2 lit. f sowie Art. 14 Abs. 2 lit.g der Grundverordnung oder eine Auskunft nach Art.15 Abs. 1 lit. h über die implizierte Logik, die einzelnen Merklame der Profile und deren Bedeutung und die angestrebten Wirkungen einer solchen Verarbeitung für die jeweilige Person. In der Folge sollte Abs. 1 auf die Beschränkung verzichten, dass eine Entscheidung der jeweiligen Person gegenüber eine rechtliche Wirkung entfaltet oder diese in analoger Weise stark beeinträchtigt. Für die Gültigkeit des Art.22 Abs. 1 der Verordnung sollte genügen, dass die betreffende Person in den eigenen Grundrechten beeinträchtigt wird. Wenn von dieser höhere Preise gefordert werden oder wenn sie durch persönliche Werbung belästigt wird, sollte dies als Herabwürdigung ausreichen. Eine Übervorteilung wie bei einer negativen bevollmächtigten Wirkung zu verlangen, favorisiert den Verantwortlichen und diskriminiert die Verbraucher in unverantwortlicher Weise.
6.11.2. Automatisierte Entscheidungen Dritter als Bedingung
Außerdem soll Art. 22 Abs. 1 der Grundverordnung nach Abs. 2 lit. a nicht eingreifen, wenn automatische Entscheidungen Dritter zur Konzession der Entscheidung der einzelnen Anbieter werden. Dies ist zum Beispiel dann der Fall, wenn eine Bonitätsprüfung notwendig ist, welche dann über die Vergabe von Darlehen entscheidet. Art. 22 Abs. 2 lit. b der Grundverordnung ermöglicht die Einigung weitere Ausnahmen durch das mitgliedstaatliche Recht, was in Form von § 37 BDSG in Deutschland geschehen ist. Nach Art.22 Abs. 2 lit. a der Grundverordnung sollte entweder vollständig entfaltet werden oder wenigstens um die Formulierung „mit Einwilligung der jeweiligen Person“ ergänzt werden. Dass ein Kreditinstitut, ein Vermieter oder ein Händler mit einer Auskunftsstelle vereinbart haben, dass ein Scoring eine wichtige Grundlage für den Vertragsabschluss oder für die Erfüllung eines Vertrags mit der jeweiligen Person sein soll, kann nicht hierfür genügen, dass Abs. 1 zu Lasten der einzelnen Person wegfällt. Zugleich sollte die betreffende Person in solchen Fällen das Reklamations- und Auskunftsrecht haben.
6.11.3. Qualitative Anforderungen
Jede auf einer automatischen Bearbeitung beruhende Entscheidung sollte stets den qualitativen Forderungen unterliegen. Solche Anforderungen könnten sich an den Konzessionen des Erwägungsgrunds nach 71 DSGVO sowie des § 31 BDSG für Bonitätsauskünfte und Scoring orientieren.
Wenigstens sollte gefordert werden, dass die Entscheidung unter Berücksichtigung eines wissenschaftlich anerkannten Verfahrens nachweisbar für die Findung der Entscheidung erheblich ist und dass die Prognosequalifikation für das Verhalten der Person, die Zuverlässigkeit und Validität des verwendeten Verfahren wissenschaftlich bewiesen werden kann.
6.11.4. Pflicht zur Erläuterung der Entscheidung
Gemäß Abs.3 des Art. 22 der DSGVO hat der Zuständige in jenen Fällen des Abs.2 lit. a oder c geeignete Maßnahmen zu treffen, um die Freiheiten und die Rechte sowie die begründeten Interessen der jeweiligen Person zu wahren. Zu solchen Maßnahmen gehören wenigstens die Rechte auf das Erwirken des Eingreifens der Person vonseiten des Zuständigen, auf Darlegung des persönlichen Standpunkts sowie auf Einwendung der Entscheidung. Die Anordnung gewährleistet der betreffenden Person ein Recht auf Reklamation sowie auf eine erneute Überprüfung der automatisch getroffenen Entscheidungen durch Menschen. Die Formulierung fordert keinerlei Erklärungen, Begründungen oder Ausführungen der automatisch getroffenen Entscheidung. In der Literatur wird dies als Inhalt des Abs. 3 gefordert, aber zugleich bestritten.
Um an dieser Stelle für Deutlichkeit zu sorgen und einen Ausgleich der Interessen zu garantieren, sollte der Text des Abs. 3 genau feststellen, dass der Zuständige im Falle einer Reklamation die wichtigen Gründe der automatisch getroffenen Entscheidung und deren Konsequenzen erläutern muss. Der betreffenden Person muss verdeutlicht werden, welche Maßstäbe dieser Entscheidung zugrunde lagen und welche Aspekte und Erkenntnisse in dem Fall ausschlaggebend gewesen sind. Insoweit dies möglich ist, sollte dieser ebenfalls verpflichtet sein, anzugeben unter welchen Grundlagen die Entscheidung für die betreffende Person positiv ausgegangen ist.
Referenzen:
271 Verweis auf: Roßnagel, in: Baule u.a., 2019, 33ff.282Mit keiner dieser Fragen befasst sich der Evaluationsbericht der Europäischen Kommission
273 Verweis auf: Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 7f.m.w.N.
284 Verweis auf: Kritisch Martini, 2018, 19 f.; Verbraucherzentrale Bundesverband, Algorithmen-kontrolle, 2019, 12; Glatzner, DuD 2020, 312; Weichert, DuD 2020, 293.
275 Verweis auf: S. Kap. 3.12
276 Verweis auf: Jaspers/Jaquemain, DuD 2020, 297; Glatzner, DuD 2020, 312; s. zu dem damit verbundenen Anspruch auf aussagekräftige Informationen s. Kap. 3.8.
277 Verweis auf: Buchner, in: Kühling/Buchner, 2018, Art. 22 DSGVO, Rn 26; Born, ZD 2015,66; Abel, ZD 2018, 304; s. auch Atzert, in: Schwartmann u.a., 2018, Art.22Rn. 51.
278 Verweis auf: Dagegen Martini, in: Paal/Pauly, 2018, Art. 22 Rn. 23; Artikel 29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling, WP 251 rev.01, 24; dafür Hladjk, in: Ehmann/Selmayr, 2018,Art. 22 Rn. 9.
279 Verweis auf: Verbraucherzentrale Bundesverband, Evaluation, 2019, 10; Glatzner, DuD 2020, 312; im Unterschied dazu zielt Art. 22 Abs. 3 DSGVO nur auf eine nachträgliche nochmalige Überprüfung, wenn die vollautomatisierte Entscheidung im Einzelfall auf den Erlaubnistatbeständen des Abs. 2 lit. a oder c beruht– s. z.B. Scholz, in: Simitis/Hornung/Spiecker,2019, Art. 22 Rn. 56 und 59; Hladjk, in: Ehmann/Selmayr, 2019, Art. 22 Rn. 15.
280 Verweis auf: S. hierzu Kap. 3.8 und 3.9.
281 Verweis auf: Verbraucherzentrale Bundesverband, 2013, 17; Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 3 f., 12; Verbraucherzentrale Bundesverband, Evaluation, 2019, 10; Europäische Akademie für Informationsfreiheit und Datenschutz, 2020, 4.
282 Verweis auf: Die Niederlande, ST 12756/1/19, 41, halten diese Regelung für rechtsunsicher
283 Verweis auf: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 2019, 8.
284 Verweis auf: Verbraucherzentrale Bundesverband, Algorithmenkontrolle, 2019, 21; Verbraucherzentrale Bundesverband, Evaluation, 2019, 11; weitergehende Forderungen auch in Netzwerk Datenschutzexpertise, 2020, 8; Verbraucherzentrale Bundesverband, Evaluation, 2019, 13; Datenethikkommission 2019, 180ff.; Wei-chert, DuD 2020, 293; Glatzner, DuD 2020, 312
285 Verweis auf: z.B. Scholz, in: Simitis/Hornung/Spiecker, 2019, Art. 22 Rn.57f.; Schulz, in: Gola 2019, Art. 22 Rn. 42 – jeweils unter Berufung auf Erwägungsgrund 71UAbs. 1 Satz 4.
286 Verweis auf: z.B. nicht erwähnt in der Kommentierung von Helfrich, in: Sydow, 2018,Art. 22 Rn. 69 bis 73.
287 Verweis auf: z.B. Verbraucherzentrale Bundesverband, Evaluation, 2019, 10; Scholz, in: Simitis/Hornung/Spiecker, 2019, Art. 22 Rn. 57 f.
288 Verweis auf: Niederlande, in: Rat, ST 12756/1/19, 44; Verbraucherzentrale Bundesverband, Evaluation, 2019, 10.
… Weiterlesen:
6l. Auswertung Bedarf aus Verbrauchersicht (6L)
[…] 6.11. Automatisierte Entscheidungen im Einzelfall (zu Beitrag 6.K) […]