Kennen Sie Ihre Rechte: das Recht, eine automatisierte Entscheidungsfindung zu vermeiden

Automatisierte Entscheidungsfindung (ADM) bedeutet, dass Computer oder Algorithmen Entscheidungen ohne menschliche Beteiligung treffen. Zum Beispiel könnte Ihre Bank ein Computerprogramm verwenden, um einen Kredit abzulehnen, ein Unternehmen könnte Sie aufgrund einer negativen Kreditauskunft ablehnen oder ein Algorithmus könnte Ihre beruflichen Fähigkeiten bewerten.
ADM verwendet Informationen aus verschiedenen Quellen, wie Antworten auf Umfragen, Beobachtungen, Telefonstandortdaten oder von Ihnen erstellte Online-Profile. Manchmal wird auch ein Profil erstellt und Ihr digitales Profil auf der Grundlage von Daten erstellt.

In einigen Fällen beinhaltet die automatisierte Entscheidungsfindung das Profiling, d. h. die Erstellung eines digitalen Profils von Ihnen auf der Grundlage von Daten. ADM und Profiling gehören heute zu unserer (Online-)Realität, mit Vorteilen und Risiken.

Wenn es um wichtige Entscheidungen geht, ist es wichtig zu wissen, dass Sie das Recht haben, eine automatisierte Entscheidungsfindung zu vermeiden. So können Sie sicherstellen, dass Entscheidungen über Sie nicht ausschließlich von Computern, KI oder Algorithmen getroffen werden.

Was ist das?

Gemäß Artikel 22 der Datenschutz-Grundverordnung haben Sie das Recht, keine Entscheidungen zu treffen, die ausschließlich auf einer automatisierten Verarbeitung beruhen, wenn diese Entscheidungen erhebliche Auswirkungen auf Sie haben. "Automatisierte Verarbeitung" bedeutet, dass sie ohne menschliches Zutun erfolgt, und eine "erhebliche Auswirkung" bezieht sich auf rechtliche Folgen oder größere Einflüsse auf Ihr Leben, wie z. B. die Beeinträchtigung Ihres Wahlrechts oder die Ablehnung eines Online-Kreditantrags.

Profiling und automatisierte Entscheidungsfindung sind in verschiedenen Sektoren wie dem Bank- und Finanzwesen üblich. Sie können zwar effizienter sein, sind aber möglicherweise weniger transparent und schränken Ihre Wahlmöglichkeiten und Ihre Freiheit ein.

Im Allgemeinen dürfen Sie nicht Gegenstand einer Entscheidung sein, die ausschließlich auf einer automatisierten Verarbeitung beruht, es sei denn, dies ist gesetzlich zulässig und mit angemessenen Garantien versehen. Ausnahmen sind u. a., wenn die Entscheidung für einen Vertrag erforderlich ist oder wenn Sie ausdrücklich zugestimmt haben. In beiden Fällen müssen Ihre Rechte und Freiheiten geschützt werden, und Sie sollten über Ihr Recht auf ein menschliches Eingreifen informiert werden, damit Sie Ihren Standpunkt darlegen und die Entscheidung anfechten können.

Beispiel

John beantragt bei einer Online-Bank einen Kredit. Er gibt seine Daten ein, und der Algorithmus der Bank teilt ihm mit, ob die Bank ihm den Kredit gewährt oder nicht, und gibt den vorgeschlagenen Zinssatz an. John muss darüber informiert werden, dass er seine Meinung äußern, die Entscheidung anfechten und verlangen kann, dass die vom Algorithmus getroffene Entscheidung von einem Menschen überprüft wird.

Der Unterschied zwischen ADM und Profiling

Automatisierte Entscheidungsfindung und Profilerstellung sind unterschiedliche Konzepte. Beim Profiling werden personenbezogene Daten analysiert, um Merkmale oder Verhaltensmuster wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit und Reaktionen zu verstehen. Es kategorisiert Personen zur weiteren Analyse oder zur Vorhersage ihrer Handlungen.

Beispiel für Profiling

Sie kaufen häufig online ein, und die E-Commerce-Plattform verfolgt Ihre Einkäufe, Ihren Browserverlauf und die Produkte, die Sie sich ansehen. Die Plattform verwendet diese Daten, um ein Profil Ihrer Einkaufsgewohnheiten zu erstellen. Auf der Grundlage dieses Profils könnte die Plattform Sie als "häufigen Käufer von technischen Gadgets" einstufen. In diesem Fall beinhaltet die Profilerstellung die Analyse Ihrer persönlichen Daten, um Ihre Interessen und Ihr Einkaufsverhalten zu verstehen.
Profiling führt nicht immer zu signifikanten automatisierten Entscheidungen über Sie. In diesem Fall bedeutet ADM, dass ein Algorithmus automatisch neue Gadgets empfiehlt, die auf Ihre Vorlieben zugeschnitten sind.

Vorteile und Risiken der automatisierten Entscheidungsfindung:

Richtig eingesetzt, bietet die automatisierte Entscheidungsfindung Vorteile. Sie hilft Unternehmen, Daten richtig zu interpretieren und Entscheidungen und Lösungen zu finden, die fair und konsistent sind. Im medizinischen Bereich kann maschinelles Lernen beispielsweise eingesetzt werden, um den Gesundheitszustand von Patienten vorherzusagen oder zu ermitteln, wie gut eine Behandlung auf der Grundlage bestimmter Gruppenmerkmale wirkt.

Diese Techniken können zwar nützlich sein, bergen aber auch potenzielle Risiken:

• Unsichtbare Profilerstellung: Manchmal findet die Profilerstellung im Hintergrund statt, ohne dass Sie sich dessen bewusst sind.
• Überraschende Verwendung Ihrer Daten: Ihre persönlichen Daten können auf eine Weise/für Zwecke verwendet werden, die Sie nicht erwartet haben.
• Nicht leicht zu verstehen: Es kann schwierig sein, zu verstehen, wie diese automatisierten Entscheidungen funktionieren und wie sie sich langfristig auf Sie auswirken können.
• Negative Auswirkungen: Die von diesen Systemen getroffenen Entscheidungen könnten sich auf Sie auswirken.

Bitdefender Digital Identity Protection hilft Ihnen zu verstehen, wie Unternehmen Ihre Daten nutzen, und unterstützt Sie dabei, Ihre Rechte wahrzunehmen. Dieses Tool hilft Ihnen dabei, herauszufinden, wo und wie Ihre Informationen verwendet werden, und gibt Ihnen mehr Kontrolle über den Umgang mit Ihren Daten.

Was ist zu tun, wenn Sie den Verdacht haben, dass Sie einer automatisierten Entscheidungsfindung unterliegen?

Wenn Sie den Verdacht haben, dass Sie einer automatisierten Entscheidungsfindung unterliegen und sich Sorgen über die möglichen Auswirkungen auf Ihre Rechte und Interessen machen, können Sie die folgenden Schritte unternehmen:

Schritt 1: Prüfen Sie, ob Ihre Daten für automatisierte Entscheidungen verwendet wurden

• Machen Sie von Ihrem Recht auf Auskunft Gebrauch. Stellen Sie einen Antrag auf Auskunft, um herauszufinden, was der für die Verarbeitung Verantwortliche mit Ihren personenbezogenen Daten macht, und um zu bestätigen, ob Ihre personenbezogenen Daten für ADM verwendet wurden.
• Bitten Sie den für die Verarbeitung Verantwortlichen um weitere Einzelheiten. Teilen Sie dem für die Verarbeitung Verantwortlichen mit, dass Sie nähere Angaben zur Rechtsgrundlage der Verarbeitung, zum Vorliegen von ADM sowie zur Logik, Bedeutung und den Folgen der automatisierten Verarbeitung wünschen.
  Dieser Schritt hilft Ihnen zu verstehen, ob Ihre Daten bei automatisierten Entscheidungen eine Rolle gespielt haben, und gibt Ihnen die Informationen, die Sie brauchen, um zu entscheiden, was Sie als Nächstes tun sollen.

Wenn Sie glauben, dass Sie einer unrechtmäßigen automatisierten Entscheidungsfindung unterworfen wurden, können Sie den für die Verarbeitung Verantwortlichen auffordern, die Verwendung von ADM einzustellen. Alternativ können Sie auch eine Beschwerde bei einer Datenschutzbehörde einreichen.

Schritt 2: Machen Sie von Ihrem Recht auf Garantien bei rechtmäßiger ADM-Nutzung Gebrauch

Wenn ADM rechtmäßig verwendet wird, haben Sie das Recht, die Einschränkung der Datenverarbeitung und Garantien in Ihrem Fall zu verlangen.
Das Europäische Zentrum für digitale Rechte (NOYB) empfiehlt, dass Sie um eine Bestätigung bitten, dass Ihre Daten für ADM-Zwecke verwendet werden, und spezifische Garantien verlangen.

Eine Beispielanfrage könnte lauten: "Gemäß Artikel 22 der Verordnung (EU) 2016/679 beantrage ich eine menschliche Intervention in Bezug auf die Entscheidung, das Recht, meinen Standpunkt zu äußern, die Möglichkeit, die Entscheidung und ihre Gründe anzufechten, sowie eine Erklärung zu der Entscheidung."

Senden Sie Ihre Anfrage per E-Mail und geben Sie Ihren Namen oder eine andere von dem für die Verarbeitung Verantwortlichen verwendete Kennung an (z. B. den Benutzernamen Ihres Kontos). Geben Sie außerdem Informationen an, die zur Identifizierung Ihres Kontos beitragen. Vergessen Sie nicht, das Datum anzugeben, um die Informationsfrist des für die Verarbeitung Verantwortlichen zu verdeutlichen.

Was Sie erwarten können:

Sobald Ihr Antrag bei dem für die Verarbeitung Verantwortlichen eingegangen ist, hat dieser einen Monat Zeit, um zu antworten. Bei komplexen oder mehrfachen Anfragen kann diese Frist einmal verlängert werden, allerdings nur um maximal zwei weitere Monate.
Der für die Verarbeitung Verantwortliche kann zusätzliche Informationen anfordern, um Ihre Identität zu bestätigen, wenn Zweifel bestehen. Solche Anfragen sollten sich jedoch auf die für die Überprüfung erforderlichen Informationen beschränken.
Lehnt der für die Verarbeitung Verantwortliche Ihren Antrag ohne zufriedenstellende Erklärung ab, stellt er Ihnen Gebühren für Ihren Antrag in Rechnung oder antwortet er nicht innerhalb des zulässigen Zeitrahmens (ein Monat oder die verlängerte Frist, insgesamt höchstens drei Monate), haben Sie das Recht, bei einer Datenschutzbehörde in Ihrem Land Beschwerde einzulegen.

Quellen: Europäische Kommission, noyb.eu, iapp.org