Transparenz: Warum die EU-Datenschutzverordnung gut, aber unvollständig ist

Berlin - In rund einem Monat tritt die europäische Datenschutzgrundverordnung (EU-DSGV) vollständig in Kraft. Dieses neue Recht hat vor allem zum  Ziel, die Rechte der Nutzer zu stärken und mehr Transparenz bei der Verarbeitung persönlicher Daten zu schaffen.  Datenschützer, Netzexperten und Bürgerrechtler sehen in der Verordnung einen Meilenstein. Denn Unternehmen sind nun aufgefordert, sich sehr detailliert mit dem Datenschutz auseinanderzusetzten – zugunsten der Nutzer.

„Bei KI greift die Verordnung zu kurz“

„Am 25. Mai schaut das Silicon Valley zum ersten Mal nach Europa. Das ist die wirkungsvollste Datenschutzregelung, die die EU jemals beschlossen hat“, sagt Ralph Müller-Eiselt, Digitalisierungsexperte der Bertelsmann-Stiftung. Die Datenschutzverordnung sei ein „wirksamer und wichtiger Schritt für die Nutzerrechte und für europäische Datenschutzstandards“.  „Aber bei neuen Technologien wie Algorithmen und künstliche Intelligenz greift die Verordnung zu kurz“, schränkt Müller-Eiselt ein.  Zu diesem Ergebnis sind die Rechtswissenschaftler Wolfgang Schulz und Stephan Dreyer vom Hans-Bredow-Institut für Medienforschung an der Universität Hamburg gekommen, die die Analyse im Auftrag der Bertelsmann-Stiftung verfasst haben.

Der Grund für das Manko: Zum einen sei die Verordnung bei vielen automatisierten Entscheidungen nicht anwendbar. Und zum anderen schütze sie nicht vor gesellschaftlich relevanten Risiken, die über das Datenschutzinteresse des Einzelnen hinausgingen, so Müller-Eiselt. Die Datenschutzgrundverordnung sei auf Individuen ausgelegt, nicht auf Gruppen oder gesellschaftliche Interessen. Dazu sei die Verordnung nicht hinreichend geeignet. „Und das kann zu systematischer Diskriminierung führen“, so der Digitalisierungsexperte.

Die Regelung hat blinde Flecken

Auch der Studienautor Schulz sieht die Datenschutzgrundverordnung zwiespältig. „Die Datenschutzgrundverordnung ist ein Recht, das in allen Mitgliedstaaten gilt, keine Richtlinie. Da schaut nun alle Welt drauf. Das ist der Goldstandard“, sagt er. Aber: „Für die fehlerhafte Bewertung oder systematische Diskriminierung ganzer Gruppen durch automatisierte Entscheidungen ist die neue Regulierung blind“, ergänzt Schulz. Individuelle Auskunftsrechte reichten nicht aus, um Diskriminierung bestimmter Gruppen aufzudecken und abzubestellen.

Beispiel Jobbewerbung: Die DSGV stellt sicher, dass ein erfolglose Bewerber erfahren darf, was ausschlaggebend für den negativen Bescheid war – sofern kein Mensch an der Entscheidung beteiligt war. In den USA und in Großbritannien werden bis zu 70 Prozent der Bewerber automatisiert von algorithmischen Entscheidungssystemen bewertet. Auch in Deutschland setzen erste Unternehmen solche Verfahren ein. Es sei zwar gut, wenn Einzelne nachvollziehen können, wie die Entscheidung über eine Absage zu Stande kam, sagt Schulz.

Viele Fragen bleiben ungeklärt

Für die meisten ADM-spezifischen  (algorithmic decision making, kurz: ADM) bei denen zusätzlich noch Menschen in den Entscheidungsprozess einbezogen waren, gelten diese Informations- und Auskunftspflichten aber nicht, kritisieren die Autoren.  Zudem bliebe weiter ungeklärt, ob bestimmte Eigenschaften wie Geschlecht oder Wohnort dazu führten, dass ganze Gruppen ungerechterweise geringere Chancen habe, so Schulz.

Die Autoren loben zwar den neuen Rechtsrahmen, der Vorteile für jeden Einzelnen bringt, da die Verordnung Algorithmen-Entscheidungen überprüfbar und damit revidierbar macht. Sie bemängeln jedoch, dass die DSGV keine Möglichkeiten schaffe, einen „konkreteren Einblick in die die Funktionsweisen solcher System zu bekommen. Und das könne Diskriminierung fördern.

Wenn Programme Leben beeinflussen

Müller-Eiselt ist der Meinung, dass man das Thema automatisierter Entscheidungen stärker in den öffentlichen Diskurs müsse. Er sieht die Datenschutzbeauftragten von Bund und Ländern in der Pflicht, sich den negativen Konsequenzen der algorithmischen Entscheidungsfindung stärker anzunehmen. Es gelte,  Bürger stärker zu sensibilisieren und auf Risiken hinzuweisen.  Programmierer müssten sich bewusst sein, dass das Leben anderer Menschen durch ihre Arbeit beeinflusst werden könne.

Wie das aussehen kann, zeigt ein Fall aus den USA. Kyle Behm, ein Student mit hervorragenden Zeugnissen  und Referenzen,  hatte sich auf Aushilfsjob beworben und wurde  von mehreren Firmen nicht einmal eingeladen. Der Grund: Er wurde Opfer eines psychologischen Tests in der Onlinebewerbung. Behm litt unter einer bipolaren Störung und wurde  von der Software wegen der psychischen Erkrankung direkt aussortiert.