Die spanische Datenschutzbehörde AEPD hat eine Darstellung einer externen Beraterin veröffentlicht, die sich mit den Herausforderungen des Einsatzes von künstlicher Intelligenz (KI) in automatisierten Entscheidungssystemen befasst. Die AEPD betont, dass der Inhalt in der Verantwortung der Autorin María del Valle Rodríguez liege und nicht die Meinung der AEPD widerspiegelt. Der Beitrag beleuchtet vor allem, wie Unternehmen sicherstellen können, dass automatisierte Entscheidungen für die Betroffenen nachvollziehbar bleiben.
Was ist Automatisierte Entscheidungsfindung?
Automatisierte Entscheidungsfindung (ADM) umfasst den Einsatz von Systemen, die ohne menschliches Zutun Entscheidungen treffen, welche die Rechte und das Leben von Individuen maßgeblich beeinflussen können. Solche Prozesse kommen zunehmend in alltäglichen Situationen vor, wie etwa bei der Prüfung der Kreditwürdigkeit oder in digitalen Bewerbungsverfahren. Während ADM-Systeme auf vordefinierten Regeln basieren können, nutzen moderne Anwendungen immer häufiger Methoden des maschinellen Lernens oder Deep Learning. Dies erhöht die Komplexität der zugrunde liegenden Logik.
Erfolgt eine solche Entscheidungen ohne menschliche Überprüfung und führt diese im Anschluss zu einer für den Betroffenen nachteiligen Entscheidung, liegt regelmäßig eine Verletzung von Art. 22 Datenschutzgrundverordnung (DSGVO) vor. Die DSGVO stellt insofern klar, dass vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf die betroffene Person grundsätzlich unzulässig sind.
Transparenzpflichten und „bedeutungsvolle Informationen“ nach der DSGVO
Die DSGVO fordert in den Artikeln 13 und 14, dass betroffene Personen über die Logik sowie die Tragweite solcher automatisierten Verfahren informiert werden. Häufig lauten diese etwa: „Algorithmische Modelle wurden verwendet“, „mehrere Variablen wurden berücksichtigt“ oder „die Entscheidung wurde durch automatisierte Prozesse gemäß den geltenden Vorschriften getroffen“. Doch: Helfen uns diese Informationen wirklich zu verstehen, wie und warum genau diese automatisierte Entscheidung getroffen wurde?
Diese Frage stellt eine große Herausforderung dar. Informationen gelten nach María del Valle Rodríguez als bedeutungsvoll, wenn sie es ermöglichen, die einfließenden Variablen und deren Gewichtung für das Endergebnis zu verstehen. Dabei muss zwischen der allgemeinen Transparenz über das Vorhandensein eines Systems und der tatsächlichen Erklärbarkeit einer spezifischen Entscheidung unterschieden werden. In der Praxis sind viele der Transparenzrichtlinien im Zusammenhang mit KI-Systemen in übermäßig technischer Sprache verfasst, was das Verständnis der Nutzer erschwert. Je wichtiger die Entscheidung sei, desto mehr Anstrengung müsse unternommen werden, klare Erklärungen und andere Garantien zu geben, wie menschliches Eingreifen oder klare Wege, das Ergebnis zu beanspruchen, so die Autorin. Auch der Europäische Gerichtshof hat im Falle von automatisierten Bonitätsbewertungen klargestellt, dass Unternehmen eine nachvollziehbare Begründung liefern müssen.
Menschliche Intervention als notwendiges Korrektiv
Sowohl die DSGVO als auch die neue KI-Verordnung schreiben vor, dass bei weitreichenden automatisierten Entscheidungen eine wirksame menschliche Aufsicht gewährleistet sein muss. Die DSGVO spricht von ‚menschlichem Eingreifen‘ (Artikel 22 Absatz 3 DSGVO) als eine geeignete Schutzmaßnahme. Die KI-Verordnung stellt darüber hinaus in Artikel 14 Anforderungen an eine menschliche Aufsicht bei Hochrisiko-KI-Systemen.
Der Europäische Datenschutzbeauftragte (EDPS) definiert die menschliche Aufsicht in seinem aktuellen TechDispatch. Danach ist dies eine aktive Beteiligung, die mehr als eine prozedurale Formalität darstellt und einen positiven Einfluss auf die Fairness des Ergebnisses hat. Eine sinnvolle menschliche Intervention erfordert, dass die prüfende Person die tatsächliche Befugnis und Kompetenz besitzt, die algorithmische Entscheidung bei Bedarf zu korrigieren oder zu übersteuern.
Fazit und Bedeutung für Unternehmen
Für Unternehmen bedeutet die strikte Auslegung von Art. 22 DSGVO, dass sie ihre KI gestützten automatisierten Entscheidungsprozesse so gestalten müssen, dass der Mensch im Mittelpunkt der Letztentscheidung bleibt. Dies erfordert nicht nur technische Anpassungen an den Benutzeroberflächen zur Vermeidung von kognitiven Verzerrungen wie dem „Automation Bias“ oder das blinde Vertrauen in Systemvorschläge. Es erfordert auch eine fundierte Dokumentation innerhalb von Datenschutz-Folgenabschätzungen. Eine kontinuierliche Schulung der Mitarbeiter zur Förderung der KI-Kompetenz ist zudem notwendig, um die Grenzen und potenziellen Fehlerquellen der eingesetzten Algorithmen fachgerecht einschätzen zu können.
Die Information über automatisierte Prozesse wird oft nur als formale Hürde wahrgenommen. Organisationen sollten jedoch eine echte Governance-Struktur etablieren, die die Rechenschaftspflicht ernst nimmt und die Rechte der betroffenen Personen durch effektive Kontrollmechanismen schützt. In diesem Sinne liegt – wie die Autorin betont – in den bestehenden regulatorischen Rahmenwerken nicht nur eine Restriktion, sondern auch die Chance, Transparenz und Verantwortlichkeit im Umgang mit KI substanziell neu zu denken.
KI-Compliance aus einer Hand
Künstliche Intelligenz rechtssicher nutzen & entwickeln
- KINAST KI-Beratung
- KINAST externer KI-Beauftragter
- KINAST KI-Kompetenz-Schulungen
