Kreditvergabe, Bewerbervorauswahl, Polizeiarbeit – der Einsatz von Algorithmen ist weit verbreitet, findet aber bislang fast ohne gesellschaftliche Kontrolle statt. So ist nicht bekannt, welche algorithmischen Entscheidungssysteme für welche Zwecke und mit welchen Effekten eingesetzt werden. Ein Teil dieses regulativen Vakuums wird mit der am 25. Mai 2018 wirksam werdenden europäischen Datenschutz-Grundverordnung (DSGVO) gefüllt. Doch die DSGVO wird nur für einen kleinen Teil der bereits heute eingesetzten ADM-Systeme (algorithmic decision making, kurz: ADM) wirksam. Zudem lassen sich durch die individuellen Auskunftsrechte der DSGVO keine systematischen Mängel oder Diskriminierungen ganzer Personengruppen aufdecken. Das zeigt eine Analyse, die die Rechtswissenschaftler Wolfgang Schulz und Stephan Dreyer vom Hans-Bredow-Institut für Medienforschung an der Universität Hamburg im Auftrag der Bertelsmann Stiftung verfasst haben.
Erläuterungspflicht gilt für viele ADM nicht
Die Datenschutz-Grundverordnung wird demzufolge nur für vollautomatisierte ADM-Systeme gelten, bei denen es keine menschliche Beteiligung an der Entscheidungsfindung gibt. Ein Beispiel hierfür ist die Vorauswahl bei Job-Bewerbungen: Bei einigen Unternehmen sichten Softwareprogramme die Lebensläufe und sortieren viele Bewerber aus, ohne dass sich ein Personaler überhaupt deren Unterlagen angesehen hätte. Die DSGVO stellt hier sicher, dass ein erfolgloser Bewerber erfahren kann, welche seiner Daten ausschlaggebend für die negative Entscheidung waren. Für die meisten ADM-Systeme, bei denen Menschen in den Entscheidungsprozess einbezogen sind, gelten die ADM-spezifischen Informations- und Erläuterungspflichten der DSGVO dagegen nicht.
Wichtiger, aber kein ausreichender Schritt
Trotz dieses großen Mankos ist die DSGVO mit Blick auf algorithmische Entscheidungsfindung laut der Analyse eine Verbesserung. Denn die Nachvollziehbarkeit für den Einzelnen wird durch grundsätzliche Informationspflichten und Auskunftsrechte deutlich gestärkt. Zudem führen die restriktiven Dokumentationsanforderungen dazu, dass datenverarbeitende Akteure ein höheres Bewusstsein für Datenschutzfragen entwickeln.
Kein Schutz vor systematischer Diskriminierung
Doch die DSGVO regelt primär den Schutz Einzelner. „Für die fehlerhafte Bewertung oder systematische Diskriminierung ganzer Gruppen durch automatisierte Entscheidungen ist die neue Regulierung blind“, sagt Studienautor Wolfgang Schulz. Individuelle Auskunfts- und Abwehrrechte allein reichten aber nicht aus, um die Diskriminierung bestimmter Gruppen aufzudecken und abzustellen. Am Beispiel der Job-Bewerbungen: Es ist zwar gut, wenn Einzelne nachvollziehen können, wie die Entscheidung über ihre Absage zustande gekommen ist. Doch es bleibt ungeklärt, ob bestimmte Eigenschaften – etwa Geschlecht oder der Wohnort – dazu führen, dass ganze Gruppen ungerechterweise geringere Chancen haben. Um gesellschaftliche Teilhabechancen für alle zu sichern, sollte das Thema daher stärker in den öffentlichen Diskurs rücken.
Zudem appelliert Ralph Müller-Eiselt, Digitalisierungsexperte der Bertelsmann Stiftung, an die Entwickler von ADM-Systemen, von Beginn der Programmierung an zu berücksichtigen, dass das Leben anderer Menschen durch die eigene Arbeit beeinflusst wird. Neben aller Regulierung und zivilgesellschaftlicher Kontrolle brauche es also Gütekriterien und eine Berufsethik für Programmierer.
