Menu Expand

Regulierung algorithmenbasierter Entscheidungen

Grundrechtliche Argumentation im Kontext von Artikel 22 DSGVO

Steinbach, Kathrin

Internetrecht und Digitale Gesellschaft, Vol. 28

(2021)

Additional Information

Book Details

Pricing

About The Author

Kathrin Steinbach studierte von 2011 bis 2017 Rechtswissenschaften an der Westfälischen Wilhelms-Universität Münster und an der Universität Panthéon-Assas (Paris II). Sie schloss das Studium mit der Ersten Juristischen Prüfung sowie einem LL.M. ab. Während ihrer Promotion arbeitete sie als Wissenschaftliche Mitarbeiterin an der Humboldt-Universität zu Berlin im Bereich des Verbraucherrechts bei Prof. Dr. Susanne Augenhofer und Prof. Dr. Reinhard Singer und anschließend als Forschungsreferentin am Deutschen Forschungsinstitut für öffentliche Verwaltung bei Prof. Dr. Mario Martini im Programmbereich »Transformation des Staates in Zeiten der Digitalisierung«. 2019 absolvierte sie einen Forschungsaufenthalt am französischen Verfassungsgericht. Im Frühjahr 2021 wurde sie mit einer von Prof. Dr. Niels Petersen und Prof. Dr. Ina Schieferdecker betreuten Arbeit promoviert.

Abstract

Algorithmenbasierte Entscheidungen sind Teil unseres Alltags: Staatliche Institutionen und private Akteure nutzen Algorithmen in vielen Lebensbereichen, um personenbezogene Entscheidungsprozesse rationaler und effizienter zu gestalten, beispielsweise in der Sozial- und Steuerverwaltung, bei Kreditvergaben oder im Personalmanagement. Angesichts neuer technologischer Möglichkeiten scheinen das Verhalten und die Lebensumstände von Menschen zunehmend kalkulierbar. Die Prämissen eines automatisierten Entscheidungsprozesses werfen Fragen auf im Hinblick auf menschliche Würde, Selbstbestimmung, Verantwortung und Gleichheitsrechte. Die zentrale Frage der Untersuchung lautet: Wie wird die Regulierung algorithmenbasierter Entscheidungen im öffentlichen und privaten Sektor grundrechtlich verankert? Dabei dient Artikel 22 Datenschutz-Grundverordnung – eine atypische Norm im Datenschutzrecht – als Ausgangspunkt. Die Genese im französischen Recht und die heutige wissenschaftliche Rezeption der Norm stellen einen legislativen »Steinbruch« für grundrechtliche Argumente dar. Eine Diskursstrukturierung anhand dieser Norm kann damit einen Beitrag zur breiteren Debatte um die Regulierung künstlicher Intelligenz leisten. »Regulation of Algorithmic Decision-Making. A Fundamental Rights Approach in the Context of Article 22 GDPR«: Automated decisions are part of our everyday lives: state institutions and private actors use algorithms in many areas of life to make personal decision-making processes more rational and efficient. The premises of automated decision-making challenge the protection of fundamental rights. Based on the genesis in French law and today's interpretation of Article 22 of the General Data Protection Regulation, the question of how the regulation of automated decision-making in the public and private sector can be justified from a fundamental rights perspective is explored.

Table of Contents

Section Title Page Action Price
Vorwort 5
Inhaltsverzeichnis 7
Tabellenverzeichnis 13
Abkürzungsverzeichnis\r 14
A. Einführung 19
I. Technologische Entwicklung 19
II. Regulierung algorithmenbasierter Entscheidungen als ethischer Diskurs 23
III. Unzureichende grundrechtsdogmatische Verankerung 24
IV. Die Genese und Rezeption des Art. 22 Abs. 1 DSGVO aus grundrechtlicher Perspektive 26
V. Untersuchungsansatz 28
B. Gegenstand der Untersuchung in interdisziplinärer Perspektive 29
I. Charakteristika algorithmenbasierter Entscheidungen 30
1. Vorteile der Nutzung 30
a) Effizienz und Konsistenz 30
b) (Potenzielle) Neutralität gegenüber Entscheidungssubjekten 31
c) Identifizierung von unbekannten Zusammenhängen 34
2. Zunahme und Diversifizierung der Datenquellen 35
a) Anstieg der Datenquellen 35
b) Verstärkte Verarbeitung biometrischer Daten 36
c) Musterbasierte Aktivitätserkennung 39
3. Relevanz der Datenqualität 41
a) Unrichtige Daten 41
b) Mangelnde Repräsentation von Gruppen in Trainingsdaten 42
c) Rückgriff auf Schätzdaten 44
d) Proxy-Variablen für sensible Merkmale 45
e) Nichtberücksichtigung relevanter Daten 46
4. Statistische Grundlagen im Kontext personenbezogener Prognosen 47
a) Zusammenhänge zwischen metrischen Merkmalen 48
aa) Deskriptive Maße 48
bb) Abbildung von gerichteten Zusammenhängen durch Regressionen 51
b) Statistisches Testen von Regressionen 52
5. Fortschritte im maschinellen Lernen 55
a) Überwachtes maschinelles Lernen 56
b) Nichtüberwachtes maschinelles Lernen 57
c) Neuronale Netze und Deep Learning 58
II. Exemplarische Anwendungsbereiche algorithmenbasierter (Vor-)Entscheidungen 61
1. Deskriptive Systematisierung anhand unmittelbarer Nutzungszwecke 61
a) Unmittelbare Zwecke personenbezogener algorithmenbasierter Entscheidungen 62
aa) Abschöpfen der Konsumentenrente 63
bb) Aufmerksamkeitsgenerierung 64
cc) Ressourcenallokation 65
dd) Risikovermeidung 67
ee) Fazit 69
b) Risikovermeidung als Auswahlkriterium 70
2. Öffentlicher Sektor 72
a) Polizeirecht 75
aa) Ortsbezogene algorithmenbasierte Entscheidungssysteme als Status quo 75
bb) Tendenzen zu personenbezogenen algorithmenbasierten Entscheidungssystemen 78
(1)\tEntwicklung in den USA 78
(2)\tÜbertragbarkeit auf Deutschland 80
b) Exkurs: US-amerikanische Strafjustiz 84
aa) Heterogene Praxis in den Bundesstaaten 85
bb) Nutzung nach Verfahrensstadien 86
cc) Der „COMPAS“-Algorithmus als kontroverses Beispiel 87
c) Sozialrecht 88
aa) Automatisierung gebundener Verwaltungsakte in Deutschland 88
bb) Teilautomatisierung von Ermessensentscheidungen in der österreichischen Leistungsverwaltung 91
d) Steuerrecht 94
aa) Risikomanagementsysteme bei der Überprüfung von Steuerpflichtigen 94
bb) Weitgehend unbekannte Risikoparameter 95
e) Fazit 97
3. Privater Sektor 98
a) Auskunfteien 99
aa) Bonitätsprognosen im Kontext von Vertragsschlüssen 99
bb) Der „SCHUFA“-Algorithmus als kontroverses Beispiel 102
b) Arbeitsverhältnis 104
aa) Bewerberauswahl 105
bb) Internes Personalmanagement 108
c) Versicherungswesen 110
aa) Keine Risikoindividualisierung in der Sozialversicherung 111
bb) Tendenzen zu verhaltensbasierten Prämien in der Individualversicherung 112
III. Automatisierte personenbezogene Entscheidung nach Art. 22 Abs. 1 DSGVO 114
1. Entscheidung 115
a) Wahl zwischen Optionen als Minimalkonsens 115
b) Beurteilungsspielraum 116
2. Personenbezogene Bewertung 118
3. Automatisierung 120
a) Vollautomatisierung als Voraussetzung des Art. 22 Abs. 1 DSGVO 121
b) Überwiegende Praxis der automatisierten Entscheidungsunterstützung 124
c) Ungeeignete formale Differenzierung 125
aa) Nivellierende Faktoren 125
(1)\tTechnologische Faktoren 125
(2)\tEigentumsrechtliche Faktoren 126
(3)\tVerhaltenspsychologische Faktoren 127
(a)\tAnkereffekt 128
(b)\tÜbermäßiges Vertrauen in automatisierte Systeme (overreliance) 129
(4)\tOrganisationsstrukturelle Faktoren 131
bb) Menschliche Entscheidungskontrolle einzelfallabhängig 132
d) Fazit 133
4. Normative Eingrenzung in Art. 22 Abs. 1 DSGVO 134
a) Rechtliche Wirkung 135
b) In ähnlicher Weise erhebliche Beeinträchtigung 137
c) Fazit 140
5. Kein vorbehaltloses Verbot automatisierter Entscheidungen 141
a) Ausnahmen 142
aa) Erforderlichkeit für Abschluss oder Erfüllung eines Vertrags 142
bb) Öffnungsklausel für Mitgliedstaaten 143
cc) Einwilligung des Betroffenen 144
b) Begrenzung der Ausnahmen 144
6. Parallelregelung für den Bereich der Strafverfolgung und Gefahrenabwehr 145
7. Fazit 147
IV. Fazit 147
C. Grundrechtliche Verankerung von Art. 22 DSGVO 150
I. Grundrechtliche Argumentation in der Genese von Art. 22 DSGVO 151
1. Normgenese im französischen Datenschutzgesetz von 1978 151
a) Politischer Kontext 152
b) Atypische Norm im Datenschutzrecht 153
c) Entwicklung des Normtextes im Gesetzgebungsverfahren 155
aa) Die Vorarbeit der Kommission „Informatique et libertés“ 155
bb) Der Einfluss des Tricot-Berichts auf den Regierungsentwurf von 1976 157
cc) Wesentliche Änderungen durch den Senat 158
d) Grundrechtliche Referenzen 160
aa) Bezug auf hypothetische Gefährdungslagen 160
bb) Explizit grundrechtliche Argumentation 162
(1) Freiheitsrechte (Libertés publiques) 162
(2) Achtung des Privatlebens (Droit au respect de la vie privée) 165
cc) Implizit grundrechtliche Argumentation 166
(1) Schutz der Persönlichkeitsentfaltung im Kontext von Profiling 167
(2) Primat der menschlichen Individualität gegenüber der Maschine 170
dd) Fazit 172
e) Fazit 173
2. Grundrechtliche Argumentationslückeim europäischen Diskurs 174
a) Datenschutzrichtlinie 175
aa) Frankreichs Einfluss auf die Redaktion des Art. 15 der Datenschutzrichtlinie 175
bb) Normative Unschärfen im Gesetzgebungsprozess 176
cc) Umsetzung des Art. 15 der Datenschutzrichtlinie in Deutschland und Frankreich 179
b) Datenschutz-Grundverordnung 180
aa) Wandel des technologischen und ökonomischen Kontextes 180
bb) Fokus auf Praktikabilität der Norm 180
c) Fazit 182
3. Fazit 183
II. Grundrechtliche Rezeption in Deutschland 183
1. Autonome normative Herleitung 184
2. Schutz der Menschenwürde 185
a) Der Mensch als Objekt automatisierter Entscheidungsprozesse 185
aa) Interpretation als Autonomieverlust infolge von Intransparenz 186
bb) Interpretation als Konfrontation mit Empathielosigkeit 188
cc) Fazit 189
b) Kein Deutungsgewinn aus der begrifflichen Nähe zur Objektformel 190
aa) Gehalt der Objektformel 191
bb) Keine Übertragbarkeit technologiebezogener Judikatur des Bundesverfassungsgerichts 193
c) Vergleich mit französischer Normgenese 195
d) Fazit 196
3. Informationelle Selbstbestimmung 197
a) Ursprüngliche Konzeption 199
aa) Anbindung der Schutzstrategie an „Daten-Rohstoff“ 200
(1) Unklare Differenzierung zwischen Daten und Informationen 201
(2) Datenzentrisches Schutzkonzept der informationellen Selbstbestimmung 202
bb) Abwehrrechtliches Verständnis 204
cc) Fazit 205
b) Evolution des Schutzkonzepts 205
aa) Die Entscheidung „Recht auf Vergessen I“ als Ausgangspunkt 206
(1) Entscheidungskontext 206
(2) Mehrdimensionale Relevanz der Entscheidung 207
bb) Identifizierung neuer Gefährdungslagen 209
(1) Verdichtung automatisierter Fremdbilder 209
(2) Intransparenz algorithmischer Prozesse 212
(3) Zunehmende Datenverarbeitung durch private Akteure 214
cc) Neuverortung des Schutzkonzepts der informationellen Selbstbestimmung 215
(1) Einbezug der Entscheidungsfindungsmodalitäten 215
(a) Problemverortung des Bundesverfassungsgerichts 216
(b) Parallele datenschutzrechtliche Debatte um ein „Recht auf nachvollziehbare Inferenzen“ 217
(c) Fazit 220
(2) Steigende Relevanz der mittelbaren Drittwirkung bei strukturellen Machtasymmetrien 221
c) Vergleich mit französischer Normgenese 223
d) Fazit 224
4. Diskriminierungsverbote 224
a) Vergleichsmaßstab 226
b) Spezifika algorithmenbasierter Diskriminierung 227
aa) Mangelhafte Datengrundlage 227
bb) Dominanz indirekter Diskriminierung 228
c) Schutzdimension im Verhältnis zum Staat 230
aa) Österreichischer AMS-Algorithmus als exemplarische direkte Diskriminierung 230
bb) Indirekte Diskriminierung im Rahmen von Art. 3 GG 233
d) Schutzdimension im Privatrechtsverhältnis 235
aa) Allgemeines Gleichbehandlungsgesetz 235
(1) Geschlossener Anwendungskatalog 235
(2) Normierung der indirekten Diskriminierung 238
bb) Mittelbare Drittwirkung des Art. 3 GG bei strukturellen Machtasymmetrien 240
(1) Mittelbare Drittwirkung des Art. 3 Abs. 3 GG 240
(2) Mittelbare Drittwirkung des Art. 3 Abs. 1 GG 242
e) Schutzkonzepte im Kontext algorithmenbasierter Entscheidungen 245
aa) Systemgestaltende Ansätze 246
bb) Output-orientierte Ansätze 248
(1) Statistik über Statistik? 248
(2) Abkehr vom Prinzip der Merkmalsblindheit 249
f) Vergleich mit französischer Normgenese 250
g) Fazit 250
5. Fazit 251
III. Fazit 252
D. Zusammenfassung und Ausblick 254
E. Zusammenfassung in Thesen 257
Anhang I: Redaktionelle Genese des Art. 22 Abs. 1 DSGVO 259
Anhang II: Verzeichnis der zitierten EU-Archivdokumente (nicht online verfügbar) 260
Literaturverzeichnis 261
Sachverzeichnis 287