Art. 22 I DSGVO verbietet grundsätzlich solche automatisierten Einzelentscheidungen, die ohne (nennenswertes) Zutun menschlicher Entscheider getroffen werden. Der zweite Absatz benennt abschließend Ausnahmen von diesem Grundsatz (vertragliche Notwendigkeit; Öffnungsklausel für Union und Mitgliedstaaten; ausdrückliche Einwilligung). Eine Rückausnahme findet sich im vierten Absatz: Sobald sensible Daten i. S. d. Art. 9 I DSGVO verarbeitet werden, gelten erhöhte Anforderungen.
a. Interessenausgleich durch Verfahren
In Art. 22 II-IV DSGO versucht die Datenschutz-Grundverordnung, einen Ausgleich zwischen den Interessen der Beteiligten herzustellen. Dies ist im einfachsten Fall auf der einen Seite ein Betroffener i. S. d. Art. 4 Nr. 1 DSGVO, dessen personenbezogene Daten (u. a.) im Rahmen des Profilings ausgewertet wurden. Auf der anderen Seite steht ein Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO. Dieser hat das Profiling entweder selbst durchgeführt oder im Rahmen einer Auftragsdatenverarbeitung (vgl. Art. 4 Nr. 8 DSGVO) durchführen lassen.
Der Schwerpunkt von Art. 22 DSGVO liegt nicht auf dem Schutz der informationellen Selbstbestimmung des Betroffenen, wie es z. B. bei Art. 6 DSGVO der Fall ist. Für eine datenschutzrechtliche Norm ist Art. 22 DSGVO damit atypisch, denn sie schützt nicht primär
„die Befugnis des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“63 Es geht um den Entscheidungsfindungsprozess des Verantwortlichen und die Rolle, die der Betroffene dabei spielt – nicht aber um die eigentliche Entscheidung, welche immer beim Verantwortlichen liegt. Sein privatautonomer Handlungsspielraum wird insoweit also nicht beschränkt.
64 Mit Blick auf den Inhalt der getroffenen Entscheidung ist die Datenschutz-Grundverordnung wertneutral. Sie regelt in ihrem Artikel 22 nur das Verfahren.
Bei Analyse der von der Norm verwendeten Regel-Ausnahme-Methode und ihrem Zusammenspiel mit weiteren Normen, welche auf sie verweisen, zeigt sich, dass Art. 22 DSGVO darauf abzielt, dem Betroffenen vor und nach dem Fällen automatisierter Einzelentscheidungen Kenntnis über das Geschehen, vor allem aber auch eine Möglichkeit der Einflussnahme an die Hand zu geben. Art. 13 II lit. f, 14 II lit. g DSGVO stellen sicher, dass der Betroffene zu Beginn des Entscheidungsfindungsprozesses über Bestehen und Ausmaß des automatisierten Einzelentscheidungsprozesses informiert wird. Art. 22 III und IV DSGVO sichert „angemessene Maßnahmen“ zugunsten des Betroffenen in Form von aktiven Einflussnahmemöglichkeiten. Art. 15 I lit. h DSGVO gewährt dem Betroffenen zudem ein jederzeitiges Auskunftsrecht, welches inhaltlich den Informationspflichten entspricht.
Art. 22 DSGVO ist so konzipiert, dass der Betroffene dann, wenn eine der Ausnahmen vom grundsätzlichen Verbot des Art. 22 I DSGVO greift, durch „angemessene Maßnahmen“ geschützt wird. Dies bedeutet konkret, dass er immer eine menschliche Befassung mit der Entscheidung auf Seiten des Verantwortlichen verlangen kann. Wenn der Betroffene möchte, kann er so der Entscheidung ihren Charakter als reine „Computer-Entscheidung“ nehmen und das Verfahren beeinflussen. Macht der Betroffene von diesen Möglichkeiten Gebrauch, bedeutet dies allerdings nicht, dass dies sich auch zwangsläufig in einem anderen Ergebnis niederschlagen müsste. Das Ergebnis der Entscheidung wird von der Datenschutz-Grundverordnung nicht vorgegeben.
Der Schutz durch
„angemessene Maßnahmen“ ergibt sich in den Fällen des Art. 22 II lit. a und c DSGVO unmittelbar aus Art. 22 III DSGVO. Zu diesen Maßnahmen gehören demnach
„mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung“. Wenn die Union oder ein Mitgliedstaat sich auf Art. 22 II lit. b DSGVO stützen, um weitere Ausnahmetatbestände zu schaffen, müssen auch in diesem Rahmen
„angemessene Maßnahmen“ zugunsten des Betroffenen vorgesehen werden. Obwohl diese inhaltlich nicht näher konkretisiert werden, spricht einiges dafür, auch im Falle des Art. 22 II lit. b DSGVO den gleichen Maßstab an Mindestabsicherung des Betroffenen zu verlangen, den Art. 22 II lit. a und c DSGVO vorsehen.
65 Dafür sprechen zunächst der Sinn und Zweck der Datenschutz-Grundverordnung und des Art. 22 DSGVO.
66 Auch ist kein Grund ersichtlich, warum bei der Schaffung neuer Ausnahmetatbestände ein anderes, ggf. niedrigeres Schutzniveau ausreichen sollte. Darüber hinaus zeigt die Verwendung des Ausdrucks
„mindestens“ in Art. 22 III DSGVO, dass die dort vorgesehenen Maßnahmen nach dem Verständnis der Datenschutz-Grundverordnung das Minimum an notwendigem Schutz formulieren.
67 Auch der Wortlaut von Erwägungsgrund 71 DSGVO lässt diese Wertung erkennen: Die in Art. 22 III DSGVO genannten Maßnahmen sollen demnach
„[i]n jedem Fall“ gelten, wobei diese Formulierung nach Nennung aller in Art. 22 II DSGVO aufgeführten Ausnahmen verwendet wird.
68
b. Rolle der Transparenzpflichten
Art. 13 II lit. f DSGVO legt fest, dass der Verantwortliche dem Betroffenen im Zeitpunkt der ersten Datenerhebung folgende Informationen zur Verfügung stellen muss:
„[D]as Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“ Wurden die Daten nicht direkt beim Betroffenen erhoben, ergibt sich eine inhaltlich identische Informationspflicht für den Verantwortlichen aus Art. 14 II lit. g DSGVO. Im letztgenannten Fall gelten für die Mitteilung die Fristen aus Art. 14 III DSGVO. Im Regelfall dürfte die Monatsfrist des Art. 14 III lit. a DSGVO ab Erlangung der Daten gelten. Hierbei ist zu beachten, dass es sich um eine Maximalfrist handelt, die in allen drei Varianten des Art. 14 III DSGVO gilt und vor dem Hintergrund der Wertungen des Art. 12 I, II DSGVO nicht grundsätzlich oder regelmäßig ausgereizt werden darf.
69 In beiden Fällen müssen dem Betroffenen
„aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung“ mitgeteilt werden, ohne dass dieser dies geltend machen muss. Art. 15 I lit. h DSGVO gibt dem Betroffenen zudem ein Auskunftsrecht an die Hand. Dieses stimmt vom Wortlaut her mit den genannten Informationspflichten in Art. 13 und 14 DSGVO überein und kann grundsätzlich jederzeit geltend gemacht werden.
Art. 13 II lit. f DSGVO kommt in zeitlicher Hinsicht also zu einem konkret festgelegten Zeitpunkt zum Tragen. Da die Informationen schon bei der Erhebung der Daten mitgeteilt werden müssen, kommt die Norm in zeitlicher Hinsicht grundsätzlich vor dem eigentlichen Profiling zur Anwendung. Der Informationspflicht aus Art. 14 II lit. g DSGVO muss innerhalb eines Monats genügt werden. Damit besteht für den Verantwortlichen ein gewisser zeitlicher Spielraum. Das Recht aus Art. 15 DSGVO hingegen deckt den kompletten Zeitraum ab der erstmaligen Datenerhebung ab und erstreckt sich damit auch auf die Situationen, in denen Profiling anhand der erhobenen Daten schon durchgeführt und darauf basierende Entscheidungen bereits getroffen worden sind.
70 Die drei Normen dienen der Schaffung von Transparenz.
71 Neben der ihnen innewohnenden freiheitssichernden Komponente besteht ihre Funktion darin, es dem Betroffenen zu erlauben, bei Bedarf seine datenschutzrechtlichen Betroffenenrechte geltend zu machen.
72
Da die Informationspflicht des Art. 13 II lit. f DSGVO bereits im Zeitpunkt der Datenerhebung besteht, kann der Verantwortliche dem Betroffenen zu diesem Zeitpunkt naturgemäß nur einen abstrakten Überblick über den Entscheidungs- und Wirkmechanismus des eingesetzten Verfahrens geben.
73 Die Frage, wie weit die Informations- und Auskunftspflichten im Einzelfall reichen, bietet unter verschiedenen Blickwinkeln Anlass zu Diskussionen. Fraglich ist zunächst der Anwendungsbereich der Normen: Sind sie nur anwendbar, wenn automatisierte Einzelentscheidungen i. S. d. Art. 22 DSGVO vom Verantwortlichen vorgesehen sind, oder erstrecken sich die Informationspflichten und das Auskunftsrecht auch auf die vorgelagerte Stufe, nämlich das eigentliche Profiling, ohne dass der enge Anwendungsbereich des Art. 22 DSGVO zwingend eröffnet sein muss? Aus Sicht des hier vertretenen 3-stufigen Modells formuliert, geht es darum, ob die Transparenzpflichten auch die zweite Stufe erfassen oder nur die Entscheidungsfindungsprozesse auf der dritten Stufe. Die Frage des Anwendungsbereichs ist vor allem dann relevant, wenn die zweite und dritte Verarbeitungsstufe von verschiedenen Beteiligten durchgeführt und verantwortet werden, wie es z. B. im Verhältnis zwischen Auskunftei und Bank der Fall ist. Würden die genannten, spezifischen Transparenzpflichten nur im Anwendungsbereich des Art. 22 DSGVO zur Anwendung kommen, ergäben sich aus den genannten Normen z. B. keine Verpflichtungen für Auskunfteien, die Score-Werte über die Bonität von Privatpersonen generieren. Auskunfteien fällen nämlich in der Regel keine Entscheidungen i. S. d. Art. 22 IDSGVO.
74
Richtigerweise decken die sich aus Art. 13 II lit. f, 14 II lit. g und 15 I lit. h DSGVO ergebenden Transparenzpflichten auch Profiling-Maßnahmen ab, solange diese zumindest potenziell zu einer darauf folgenden Entscheidungsunterstützung herangezogen werden. Informationen über Profiling zum Zwecke der menschlichen Entscheidungsfindung (also außerhalb des Anwendungsbereichs von Art. 22 I DSGVO) sind von den Transparenzpflichten ebenso erfasst wie automatisierte Einzelentscheidungen, die keine rechtliche Wirkung bzw. erhebliche Beeinträchtigung i. S. d. Art. 22 I DSGVO zeitigen. Für diese Auslegung spricht der Wortlaut der Normen (
„zumindest in diesen Fällen“).
75 Dieser Zusatz in Parenthese deutet darauf hin, dass die
„Fälle“ Profiling und Entscheidungsfindung erfasst sein sollen. Bei Zugrundelegung einer engeren Auslegung, wonach bloß das Stadium der Entscheidungsfindung gemeint sein soll, hätte der Zusatz keine eigenständige Bedeutung mehr. Zudem lässt sich nur diese Auslegung der Transparenzpflichten mit dem Grundsatz der Transparenz gem. Art. 5 I lit. a DSGVO und dem Wortlaut des Erwägungsgrundes 60 DSGVO in Einklang bringen:
„Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat.“76 Der Hinweis auf die Folgen des Profilings legt die Annahme des weiter gefassten Anwendungsbereichs nahe.
77 Kenntnis über die im Rahmen des Profilings erstellten Bewertungen ist zudem für den Betroffenen aus persönlichkeitsrechtlicher Sicht und mit Blick auf die genannten Funktionen der Transparenzpflichten (Freiheitswahrung und Absicherung der Betroffenenrechte) in aller Regel mindestens ebenso relevant wie das Wissen darüber, wie die Entscheidungsfindungsprozesse ausgestaltet sind. Funktional soll die Norm nämlich sicherstellen, dass der Betroffene seine Rechte aus der Datenschutz-Grundverordnung, aber auch solche aus anderen Regelwerken (wie z. B. dem Allgemeinen Gleichbehandlungsgesetz) tatsächlich geltend machen kann.
78 Dafür sind Kenntnisse über den Ablauf des Profilings notwendig. All dies spricht dafür, den Anwendungsbereich der Normen nicht auf die wenigen Fälle zu beschränken, die sich im bloßen Anwendungsbereich des Art. 22 I DSGVO abspielen.
Neben der Frage des Anwendungsbereichs ist zudem fraglich, wie weitreichend diese Transparenzpflichten inhaltlich sind. So wird z. B. das Spannungsverhältnis zwischen den Informationspflichten gem. Art. 13 und 14 DSGVO bzw. dem Auskunftsrecht gem. Art. 15 DSGVO und dem Schutz von Geschäftsgeheimnissen der Verantwortlichen nicht aufgelöst.
79 Erwägungsgrund 63 DSGVO erkennt dieses Problem zwar. Objektive Kriterien zu seiner Lösung werden allerdings nicht formuliert, sondern allenfalls angedeutet:
„Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.“ Damit hängt die Frage zusammen, wie konkret die zum Einsatz kommenden Algorithmen bzw. die jeweils dahinterstehende Logik erläutert werden müssen. Eine weitreichende Offenlegungspflicht vertritt z. B.
Franck, der aus Art. 13 II lit. f DSGVO eine recht umfassende Darstellungspflicht ableitet. Der konkrete Algorithmus muss demnach offengelegt und um
„erklärende Bestandteile“ ergänzt werden.
80 Auch
La Diega sieht eine Pflicht zur gänzlichen Offenlegung des Algorithmus, verbunden mit Erläuterungen, die auch für Laien verständlich sind. Dies sei notwendig, um den Anforderungen von Art. 47 GRCh und Art. 6 und 13 EMRK (Recht auf wirksamen Rechtsbehelf/wirksame Beschwerde und auf ein faires Verfahren) zu genügen.
81
Derart weitreichende Offenlegungspflichten wären aber aus verschiedenen Gründen problematisch. In praktischer Hinsicht stellt sich das Problem, dass Algorithmen weiterentwickelt werden und sich teilweise auch „selber“ weiterentwickeln (sog.
Machine Learning). In beiden Fällen müsste der Verantwortliche seine Mitteilungen dementsprechend anpassen. Je detaillierter die Transparenzpflichten sind, die man ihm abverlangt, desto häufiger sind Anpassungen notwendig. Es steht zu befürchten, dass solche Situationen vor dem Hintergrund der von Art. 12 I S. 1 DSGVO geforderten Transparenz und Verständlichkeit eher kontraproduktiv wirken. Im Fall des oben genannten
Machine Learnings ist es für den Verantwortlichen zudem schwierig bzw. ab einer bestimmten ihm abverlangten Transparenzhöhe unmöglich, eine detaillierte Begründung einzelner gefundener Ergebnisse bzw. einzelner Entscheidungen zu präsentieren.
82 Eine Mitteilung des Quellcodes oder von detaillierten Entscheidungsbäumen wäre zudem für Verbraucher aufgrund ihrer Komplexität kaum eine Hilfe und wäre deshalb mit Blick auf den Grundsatz der Transparenz und die Vorgaben in Art. 12 I S. 1 DSGVO problematisch und wenig zielführend.
83 Auch die damit einhergehende Beeinträchtigung der Geschäftsgeheimnisse der Verantwortlichen dürfte in vielen Fällen unverhältnismäßig sein.
84 Der Betroffene hat kein legitimes, schützenswertes Interesse daran, den Quellcode zu erfahren, da die technischen Details als solche für seine informationelle Selbstbestimmung völlig irrelevant sind. Für ihn geht es stattdessen darum, zu wissen, welche seiner personenbezogenen Daten wie verarbeitet werden und welche Folgen ihm daraus sicher oder möglicherweise erwachsen.
Zur inhaltlichen Konkretisierung der Transparenzpflichten scheint daher eine Orientierung am Wortlaut der Normen, ihrem Sinn und Zweck und der Systematik der Datenschutz-Grundverordnung hilfreich. Offenzulegen sind im Rahmen der Informationspflichten und des Auskunftsrechts
„aussagekräftige Informationen“ über die
„involvierte Logik“ sowie über
„Tragweite“ und die
„angestrebten Auswirkungen“ der Verarbeitung. Der Bezug auf die Aussagekraft der mitzuteilenden Informationen kann so verstanden werden, dass der in Art. 5 I lit. a und Erwägungsgrund 39 DSGVO formulierte datenschutzrechtliche Grundsatz der Transparenz effektiv umgesetzt wird. Dies gilt gerade auch mit Blick auf die Ermöglichung der Geltendmachung der Betroffenenrechte. Auch Art. 12 DSGVO nennt weitere, allgemeingültige Konkretisierungen dieses Grundsatzes.
85 Und auch die Normen selbst beziehen sich einleitend auf die Gewährleistung einer
„transparente[n] Verarbeitung“. Vor diesem Hintergrund müssen die anderen offenzulegenden Aspekte betrachtet werden. Die
„Tragweite“ der Verarbeitung und die
„angestrebten Auswirkungen“ beschreiben, wie sich das Treffen automatisierter, auf Profiling basierender Einzelentscheidungen auf den Betroffenen auswirkt, welche Konsequenzen also für ihn persönlich zu erwarten sind. Für die Auslegung der Normen hilfreich ist vor allem auch Art. 15 I lit. h DSGVO, welcher in zeitlicher Hinsicht durchaus nach der getroffenen (und ggf. ausgeführten) Entscheidung vom Betroffenen geltend gemacht werden kann. Dennoch wird auch in dieser Norm der Ausdruck
„angestrebten Auswirkungen“ verwendet. Diese in die Zukunft gerichtete Formulierung deutet darauf hin, dass die Offenlegungspflicht sich auf die Erläuterung der Systemfunktionalität der
„involvierten Logik“ auf einem eher abstrakten Niveau bezieht.
86 Verlangt werden kann demnach eine aussagekräftige Erläuterung der Grundannahmen und Wirkmechanismen der eingesetzten Verfahren, mithin eine Darstellung, wie das Profiling und das ggf. darauf basierende Fällen von Entscheidungen konzeptionell ausgestaltet sind.
87 Für den Betroffenen muss erkennbar sein, anhand welcher Kriterien Bewertungen erstellt und darauf aufbauende Entscheidungen getroffen werden. Das Wechselspiel zwischen seinem Verhalten bzw. seinen Eigenschaften und den für ihn daraus folgenden Konsequenzen darf nicht gänzlich abstrakt sein, sondern muss aussagekräftig erläutert werden. Ansonsten wären die Informationspflichten und das Auskunftsrecht wirkungslos. Für diese funktionale Auslegung der Normen spricht auch Erwägungsgrund 63 DSGVO, wonach der Betroffene das Recht hat,
„zu wissen und zu erfahren (…) nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht.“
Der konkrete Umfang der Transparenzpflichten hängt auch entscheidend davon ab, in welchem Kontext und mit welchem Ziel Profiling verwendet wird.
88 Setzt ein Musik- bzw. Video-Streamingdienst Profiling ein, um einem Kunden individualisierte Empfehlungen zu unterbreiten, ist eine allgemeiner gehaltene Information ausreichend. Man wird in diesem Kontext nicht verlangen können, dass jede einzelne Empfehlung erläutert und begründet wird. Die getroffenen Vorschläge basieren zwar auf Profiling, sind für den Betroffenen aber von geringer Relevanz und haben über den Informations- und Unterhaltungswert hinaus keine eigenständige Funktion. Vor allem sind die aufgrund der Ergebnisse des Profilings getroffenen Entscheidungen, die sich in der Anzeige bestimmter Vorschläge manifestieren, vom Nutzer in der Regel gewollt und steigern für ihn die Nutzbarkeit des erworbenen Dienstes. Daher genügt ein allgemeiner Verweis darauf, dass das Nutzerverhalten des Betroffenen mit statistischen Erkenntnissen über das Konsumverhalten von Nutzern mit ähnlichen Eigenschaften abgeglichen wird und die individuellen Empfehlungen aufgrund gefundener Korrelationen unterbreitet werden.
Deutlich weitreichender sind – als Gegenbeispiel – die Transparenzpflichten anzusetzen, denen Auskunfteien unterliegen. Im Bereich des Kredit-Scorings sind die für den Betroffenen möglicherweise erwachsenden Konsequenzen potenziell durchaus tiefgreifend, da ein schlechter Score-Wert ohne Weiteres dazu führen kann, dass ein Kredit nicht wie gewünscht vergeben wird. Der Score-Wert hat Einfluss auf das „Ob“ der Kreditvergabe und auf das „Wie“. Die genauen Modalitäten, wie z. B. Höhe des Zinssatzes, das Einfordern von Sicherheiten, Kredithöhe und Kreditlaufzeit werden regelmäßig vor allem von Score-Werten abhängig gemacht.
89 Große Auskunfteien wie die
Schufa sind zudem oft nicht nur im Kredit-Sektor tätig. Sie erstellen auch branchenspezifische Auskünfte, etwa über potenzielle Mietinteressenten, Kunden im Mobilfunksektor oder Versandhandelskunden.
90 Aufgrund dieser weiten „Strahlwirkung“ auch auf Alltagsgeschäfte und aufgrund der deutlich stärkeren unmittelbaren Auswirkungen auf die Betroffenen sollte bei Anwendung der Transparenzpflichten gem. Art. 13 II lit. f, 14 II lit. g und 15 I lit. h DSGVO ein strengerer Maßstab angelegt werden.