Automatische Entscheidungsfindung und ein Prüfschema entsprechend Art. 22 DSGVO

Nicht nur Hochschulen automatisieren zunehmend datenintensive Prozesse. Der Einsatz Künstlicher Intelligenz (KI) wird die Automatisierung verstärken. Aber welche Konsequenzen ergeben sich daraus?

Im Beitrag von Dr. Mattis Neiling in den BvD-News 2/2025 werden Anwendungsfälle vorgestellt und geprüft, inwiefern eine automatische Entscheidungsfindung gemäß Art. 22 DSGVO vorliegt.

Das vorgestellte Prüfschema steht als Download zur eigenen Verwendung bereit.

Weitere Informationen

Nachtrag

Dr. Mattis Neiling ist „Invited Speaker“ bei der 12. DFN-Datenschutz-Konferenz am 9.-10. Dezember in Hamburg

12. DFN-Konferenz Datenschutz

Dr. Mattis Neiling

Automatische Entscheidungsfindungen und ihre datenschutzrechtlichen Grenzen.

Abstract

Mit zunehmender Digitalisierung werden Abläufe und Prozesse automatisiert. Werden künftig Maschinen über unser Leben bestimmen?

Der Artikel 22 DSGVO bildet den Rahmen für automatische Entscheidungsfindungen. Doch wo liegen die Grenzen des Zulässigen?

Es wird ein praxisbezogenes Prüfschema vorgestellt, das einfach anzuwenden ist. Zahlreiche Beispiele werden diskutiert:

  • KI-basierter Kundensupport, Navigationssysteme, Partnerbörsen,
  • elektronische Prüfungen, Zulassung & Immatrikulation an Hochschulen,
  • Sozialbetrugsprüfung, Blitzer- u.a. amtliche Bescheide,
  • E-Recruiting, medizinische Diagnostik,
  • biometrische Videoüberwachung, bewaffnete Drohnen und autonome Waffensysteme.

Es zeigt sich, dass der Artikel 22 nur für bestimmte Szenarien anwendbar ist. Selbst in diesen wenigen Fällen kann durch Anpassung der Verarbeitungstätigkeit eine automatische Entscheidungsfindung zulässig werden.

Einschätzung der Risiken von Cloud-Produkten US-amerikanischer Hersteller aus datenschutzrechtlicher Sicht (Anlass: Angedachte Nutzung von Microsoft 365)

Im Auftrag des Präsidiums und des CIO der TU Berlin schätzen wir die Risiken von Cloud-Produkten US-amerikanischer Hersteller ein. Aktueller Anlass ist die angedachte Nutzung von Microsoft 365-Diensten an der TU Berlin.

Wir skizzieren die datenschutzrechtliche Situation rund um die Nutzung US-amerikanischer Dienste, deren Einsatz wir als datenschutzrechtlich äußerst kritisch beurteilen. Und zwar unabhängig davon, ob sich die Server in Europa oder in der USA befinden.

„Einschätzung der Risiken von Cloud-Produkten US-amerikanischer Hersteller aus datenschutzrechtlicher Sicht (Anlass: Angedachte Nutzung von Microsoft 365)“ weiterlesen

Die elektronische Patientenakte (ePA) kommt im Januar – ist ein Opt-Out sinnvoll?

(Aktualisiert am 6.1.2025)

Mit der elektronischen Patientenakte soll die medizinische Versorgung verbessert werden, behandelnde Ärzte sollen Zugriff auf alle Befunde, erfolgte Impfungen und verordnete Medikamente erhalten.

Soweit so gut.

Aber verbessert sich die medizinische Versorgung dadurch wirklich für die Patienten? Und bringt sie genug Vorteile, dass sie sich wirklich lohnt?

„Die elektronische Patientenakte (ePA) kommt im Januar – ist ein Opt-Out sinnvoll?“ weiterlesen

Chatkontrolle erneut auf EU-Verhandlungstisch

Dem aktuellen Vorschlag nach soll Client-side Scanning von Audio- und Video-Daten erfolgen und Nutzer müssten dem „freiwillig“ zustimmen, wenn sie Audio- und Video-Daten über Dienste teilen wollen.

Wiewohl es mehrere Rechtsgutachten gibt, die die Legalität der Chatkontrolle bestreiten, wollen EU-Kommission und EU-Rat das Gesetz durchdrücken und dabei sehenden Auges

„Rechtsunsicherheit in Kauf nehmen“

Zu befürchten ist eine Einigung beim Treffen der Innenminister wenige Tage nach der Europawahl.

Die derzeitige Sperrminorität bröckelt – mind. 4 Staaten mit 35% Bevölkerungsanteil müssten dagegen stimmen und Frankreich scheint die Seite zu wechseln.

Insofern:

Augen auf bei der Europawahl – die Bürgerrechte sind in Gefahr!

Weitere Informationen

Nachtrag vom 20. Juni 2024:

Chatkontrolle vorerst gescheitert – EU-Rat erreicht keine qualifizierte Mehrheit!

Die KI-Verordnung und die Orientierungshilfe der Datenschutzkonferenz zu KI

Die EU ist Vorreiter und versucht sich an einer Harmonisierung der Gesetzgebung zur KÜNSTLICHEN INTELLIGENZ – Kernstück ist die KI-Verordnung („KI-VO“ bzw. „AI Act“). Im März nahm diese die letzte Hürde: die Zustimmung des EU-Parlaments.

Vor der Verabschiedung im Europaparlament gab es Diskussionen über biometrische Identifizierungsmethoden, die nun (doch) in bestimmten Ausnahmesituationen für die Strafverfolgung erlaubt sind. Außerdem gab es Bestrebungen, allgemeine KI-Systeme wie bspw. Large Language Modelle (LLMs) auszunehmen, um europäische Unternehmen nicht zu benachteiligen – ausgenommen sind nun lediglich „kleinere Modelle“.

Ziel der Verordnung ist einerseits die Regulierung von als risikoreich kategorisierten KI-Systemen und andererseits die Förderung von Innovationen innerhalb der EU.

„Die KI-Verordnung und die Orientierungshilfe der Datenschutzkonferenz zu KI“ weiterlesen

Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie

Im Zusammenhang mit ihrer beruflichen Tätigkeit sind Hinweisgeber („Whistleblower“) nach dem Hinweisgeberschutzgesetz geschützt, wenn sie die Meldestellen nutzen. An Hochschulen können also Beschäftigte und Lehrbeauftragte Hinweise geben, jedoch nicht Studierende.

Vor dem Inkrafttreten des Gesetzes gab es keine rechtsicheren Kanäle, um auf Missstände in Unternehmen und Behörden aufmerksam zu machen. Die Weitergabe von vertraulichen Informationen an die Öffentlichkeit oder Presse ist allerdings weiterhin strafbar, wenn dadurch (Unternehmens-) Geheimnisse offengelegt werden. „Das Hinweisgeberschutzgesetz, die deutsche Umsetzung der Whistleblower-Richtlinie“ weiterlesen

Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa“

Der EuGH machte mit dem „Schufa-Urteil“ deutlich, dass ein Score nur unter bestimmten Voraussetzungen zur automatischen Entscheidung genutzt werden darf und kritisierte die zu lange Speicherung von negativen Einträgen.

Nun hat sich der deutsche Gesetzgeber auf den Weg gemacht, eine Rechtsgrundlage zu erlassen und will mit dem neuen §37a BDSG (Bundesdatenschutzgesetz) eine „Lex Schufa“ schaffen, das:

Scoring legalisiert

und

automatische Entscheidungen
basierend auf einem Score erlaubt

und dafür einige Vorgaben enthält sowie Transparenzpflichten und Einspruchsmöglichkeiten auferlegt (siehe dazu den Vergleich der Wortlaute der bisherigen mit der neuen Regelung weiter unten).

Beispielsweise wären dank des neuen §37a BDSG automatische Entscheidungen zulässig über:

  • Kontoeröffnungen,
  • Kreditverträge,
  • (Vorauswahl von) Wohnungsmietinteressierten oder Stellenbewerber*innen sowie das
  • Zustandekommen von (Online-) Kaufverträgen

Es ist zu befürchten, dass die auf den ersten Blick recht kleinteilige Regelung (Entwurfstext siehe unten) weniger dem Ziel

  • „Verbraucherinnen und Verbraucher zu schützen“

dient sondern im Gegenteil

  • neue Möglichkeiten des Scorings

ermöglicht werden.

Der Entwurf des §37a sollte deshalb noch einmal auf den Prüfstand, der Versuch der detaillierten Regulierung verbietet zwar einiges explizit, lässt aber darüber hinaus viel Gestaltungsspielraum für Scorings.

Die neuen Beschränkungen könnten in den bisherigen Scoring-Paragraph §31 aufgenommen werden  (z.B. weder Anschriftendaten, besondere Kategorien personenbezogener Daten, Namen sowie Daten aus sozialen Netzwerken zu verwenden), aber automatische Entscheidungen sollten weiterhin untersagt bleiben, d.h der neue §37a sollte keinesfalls so verabschiedet werden.

„Bundesdatenschutzgesetz-Überarbeitung legalisiert Scoring mit einem „Lex Schufa““ weiterlesen

Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden

Nachdem sich Ende 2023 keine Einigung unter den Mitgliedsstaaten abzeichnete, wird die verpflichtende Chatkontrolle keine Gesetzeskraft vor der EU-Wahl im Mai erhalten.

Die derzeitige Ausnahmeregelung nach der Anbieter wie Meta und Microsoft Chatinhalte auf Kinderpornographie scannen dürfen, soll über August 2024 hinaus verlängert werden.

„Chatkontrolle auf Eis, freiwillige Kontrolle soll verlängert werden“ weiterlesen

Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt

Es gibt einen Angemessenheitsbeschluss der EU Kommission für die USA, der auf dem EU-U.S. Data Privacy Framework basiert.

Der Beschluss legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Der Zugang von US-Geheimdiensten zu EU-Daten sei auf ein notwendiges und verhältnismäßiges Maß beschränkt.

Die gute Nachricht zuerst:

Die Übermittlung personenbezogener Daten in die USA ist jetzt wieder rechtssicher umsetzbar.

Dazu müssen sich die datenverarbeitenden US-Unternehmen -wie in den ersten beiden Runden- den Regeln des Data Privacy Framework verpflichten, indem Sie sich in einer Website des U.S. Department of Commerce (DoC) registrieren.

Die schlechte Nachricht:

Auch dieser Angemessenheitsbeschluss wird dem EuGH vorgelegt werden und die wesentliche Kritik am Privacy Shield bleibt für das Privacy Framework bestehen.

Insofern muss damit gerechnet werden, dass auch der Privacy Framework fällt. Es ist ein Spielen auf Zeit.

„Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt“ weiterlesen

Chatkontrolle: Diskussion des EU-Gesetzentwurfs

Die geplante Verordnung zum Scannen privater Kommunikationsdaten wird von der EU-Kommission weiter verfolgt, aktuell wird darüber viel diskutiert, es geht darum was mit der Verordnung letztlich durchgesetzt wird.

Es geht um den Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern (11.5.2022)

Weitere Informationen bei netzpolitik.org: