Datenschutz - Datensicherheit - Datenwirtschaft
Fairness und Transparenz im Datenschutzrecht
Fairness und Transparenz im Datenschutzrecht

Fairness und Transparenz im Datenschutzrecht

Fairness ist zu einem wichtigen Begriff der KI-Forschung geworden. So wird etwa an fairer KI geforscht, aber auch Fragen von Transparenz sowie der Erklärbarkeit und der Interpretierbarkeit der Entscheidungen von KI-gestützten Entscheidungssystemen werden umfassend untersucht. Noch vergleichsweise selten werden Fairness und Transparenz jedoch gemeinsam betrachtet, zB bezogen auf die Fairness von kontrafaktischen Erklärungen. Doch auch hier zeichnen sich intensive Forschungsbemühungen ab. Da Transparenz und Fairness (bzw. der Grundsatz von Treu und Glauben) zugleich zentrale Grundsätze des Datenschutzrechts darstellen, lohnt sich in der Folge ein Blick auf ihre Bedeutung und ihr Zusammenspiel im Datenschutzrecht.

(Dieser Beitrag wurde auch veröffentlicht in ZD-Aktuell 2021, 05557)

Fairness im alten und im neuen Datenschutzrecht

Nach Art. 5 Abs. 1 lit. a DSGVO ist Fairness einer der Grundsätze für die Verarbeitung personenbezogener Daten, wenngleich die deutsche Sprachfassung den englischen Begriff der Fairness durch das Begriffspaar „Treu und Glauben“ ersetzt. Zur Herstellung sprachlicher Konsistenz und zur Vermeidung einer Verwechslung mit dem zivilrechtlichen Rechtsgrundsatz von Treu und Glauben wird vorgeschlagen, die Wendung „Verarbeitung nach Treu und Glauben“ in Art. 5 Abs. 1 lit. a DSGVO der deutschen Sprachfassung der Verordnung durch „Fairness“ zu ersetzen (s. Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern, S. 101, 116).

Mit Art. 5 Abs. 1 lit. a knüpft die Verordnung an Art. 6 Abs. 1 lit. a der Vorgängerrichtlinie 95/46/EG an. Anders als die Datenschutz-Grundverordnung verwob die Richtlinie 95/46/EG Fairness (bzw. auch hier in der deutschen Fassung der Richtlinie „Treu und Glauben“) ganz explizit mit Transparenz und der Bereitstellung von Informationen an die von einer Verarbeitung ihrer personenbezogenen Daten betroffenen Personen. So forderten Art. 10 lit. c und Art. 11 lit. c der Richtlinie, der betroffenen Person weitere Informationen bereitzustellen (etwa zu den Empfängern der Daten), sofern diese Informationen „unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten“ (englisch: „to guarantee fair processing“). Auch Art. 8 Abs. 2 Satz 1 der Charta der Grundrechte der Europäischen Union bestimmt, dass personenbezogene Daten nur nach Treu und Glauben (bzw. „fairly“) verarbeitet werden dürfen.

Eine Erläuterung zu Datenverarbeitung nach Treu und Glauben bzw. fairer Datenverarbeitung erhält die Datenschutz-Grundverordnung nicht (mehr). Erwägungsgrund 38 der Richtlinie 95/46/EG enthielt noch folgende Erklärung: „Datenverarbeitung nach Treu und Glauben setzt voraus, daß die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden.“ Damit scheint faire Datenverarbeitung vor allem transparente Datenverarbeitung zu bedeuten. Anders als die Datenschutz-Grundverordnung kannte die Richtlinie jedoch keinen expliziten Grundsatz der Transparenz, der hier vielmehr als Voraussetzung für die Verarbeitung nach Treu und Glauben verstanden wurde (s. Art.-29-DSGruppe, WP259 rev.01, Rn. 3). In der Datenschutz-Grundverordnung wird Transparenz als eigenständiger Grundsatz neben Treu und Glauben bzw. Fairness genannt. Damit ist unklar, welche Rolle der Grundsatz von Treu und Glauben in der Datenschutz-Grundverordnung spielt und in welcher Beziehung er zum Grundsatz der Transparenz steht. Es wird deshalb vorgeschlagen, den Grundsatz über eine Änderung von Erwägungsgrund 39 DSGVO zu präzisieren und klar von den Grundsätzen von der Rechtmäßigkeit und der Transparenz abzugrenzen (s. Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern, S. 101). Darauf, dass Transparenz auch weiterhin mit Fairness verwoben ist, weist die gemeinsame Nennung der Grundsätze von Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz in Art. 5 Abs. 1 lit. a DSGVO hin sowie die Wendung „faire und transparente Verarbeitung“ in den Erwägungsgründen 39 Satz 4, 60 Satz 1 und 2, 71 Satz 6 sowie Art. 13 Abs. 2, 14 Abs. 2, 40 Abs. 2 lit. a DSGVO (s. zur Verknüpfung Malgieri, The concept of Fairness in the GDPR, in: Proceedings of FAT* ’20, S. 154 (155 f.); nach Art.-29-DSGruppe, WP259 rev.01, Rn. 2 sind die Grundsätze sogar untrennbar verbunden).

Letztlich könnte und sollte der Grundsatz der Verarbeitung nach Treu und Glauben in der Datenschutz-Grundverordnung die Rolle einer Auffangklausel spielen, die ungerechte Praxisergebnisse verhindern soll, z.B. wenn eine Verarbeitung zwar formell und materiell rechtmäßig erfolgt, dabei aber in unbilliger Weise die Macht des Datenverarbeiters zum Nachteil der betroffenen Person ausgenutzt wurde (s. Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern, S. 46 f.; Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 DSGVO, Rn. 47). Damit bleibt jedoch weiter offen, welche konkreten Folgen Fairness gerade bezogen auf Erklärungen von KI-gestützten Entscheidungssystemen gegenüber den Nutzenden haben kann. Der Europäische Datenschutzausschuss hat zum Grundsatz von Treu und Glauben festgestellt, er umfasse „unter anderem die Anerkennung der vernünftigen Erwartungen der betroffenen Personen, die Beachtung etwaiger nachteiliger Folgen, die die Verarbeitung für sie haben kann, und die Berücksichtigung der Beziehung und der potenziellen Auswirkungen eines Ungleichgewichts zwischen ihnen und dem Verantwortlichen“ (Leitlinien 2/2019, Version 2.0, Rn. 12; in Art.-29-DSGruppe, WP2060 rev.01, Rn. 30 wird von „berechtigten Erwartungen der betroffenen Person“ gesprochen). Dies kann auf die Feststellung verkürzt werden, dass solche Verhaltensweisen als unfair zu werten sind, „die Vertrauen missbrauchen“ (Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 DSGVO, Rn. 47). Zentral ist auch die Feststellung, dass der Grundsatz von Treu und Glauben auch „nicht dadurch negiert oder auf irgendeine Weise abgeschwächt“ wird, dass eine Einwilligung eingeholt wird (Art.-29-DSGruppe, WP259 rev.01, Rn. 1).

Pflichten des Verantwortlichen und Rechte der betroffenen Person

Das Datenschutzrecht fordert von dem für die Verarbeitung personenbezogener Daten Verantwortlichen eine Reihe von transparenzbezogenen Maßnahmen und hier insbesondere die Bereitstellung von Informationen. Umgekehrt steht der betroffenen Person unter anderem ein Anrecht zu, zu erfahren „nach welcher Logik die automatisierte Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht“ (Erwägungsgrund 63 Satz 3 DSGVO). Der betroffenen Person müssen nach Art. 13 Abs. 2 lit. f und 14 Abs. 2 lit. g DSGVO im Falle einer automatisierten Entscheidungsfindung „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person“ bereitgestellt werden. Dies wird jedoch auf Situationen beschränkt, in denen eine automatisierte Entscheidung der betroffenen Person „gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“ (Art. 22 Abs. 1 DSGVO). Wegen dieser starken Verengung wird eine Ausweitung gefordert, die auch Situationen erfasst, in denen beispielsweise eine automatisierte Entscheidung erfolgt, einer Person einen höheren Kaufpreis abzuverlangen (Roßnagel/Geminn, Datenschutz-Grundverordnung verbessern, S. 82 ff.). Es sollen also auch Situationen erfasst werden, in denen die Wirkung der automatisierten Entscheidung geringer ist als eine rechtliche Wirkung.

Fairness im Kontext von automatisierten Entscheidungen

Fairness im Kontext von automatisierten Entscheidungen adressiert Erwägungsgrund 71 Satz 6 DSGVO, wo es heißt, um „der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat“ (s. auch Art.-29-DSGruppe, WP251 rev.01, S. 16, wo jedoch von „fairem, nichtdiskriminierendem und sachlich richtigem Profiling“ gesprochen wird, wodurch wiederum eine Trennung von Fairness und Nichtdiskriminierung impliziert wird; an anderer Stelle (S. 11) werden Fairness und Nichtdiskriminierung jedoch gleichgestellt). Die Artikel-29-Datenschutzgruppe führte zum Beispiel einer Bonitätsprüfung in der Folge aus, der Verantwortliche müsse in der Lage sein, der betroffenen Person seine Einschätzung zur Bonität „und die zugrunde liegenden Überlegungen zu erklären. Der Verantwortliche erläutert, dass er dadurch faire und verantwortungsvolle Entscheidungen bezüglich der Kreditvergabe treffen kann“ (s. auch Art.-29-DSGruppe, WP251 rev.01, S. 28). Für ein „unfaires Profiling“ unter Verstoß gegen den Grundsatz von Treu und Glauben wird folgendes Beispiel genannt: „Ein Datenbroker verkauft Verbraucherprofile an Finanzunternehmen, ohne dass die Verbraucher einwilligen oder wissen, welche Daten davon betroffen sind. Bei diesen Profilen werden die Verbraucher in Kategorien eingeteilt (wie zum Beispiel ‚lebt auf dem Land und kommt knapp über die Runden‘, ‚ums Überleben kämpfender Angehöriger einer ethnischen Minderheit in zweitklassiger Stadt‘, ‚Schwerer Start‘: jung und alleinerziehend‘) oder mit Punkten ‚bewertet‘, wobei deren finanzielle Schwäche im Mittelpunkt steht. Die Finanzunternehmen bieten diesen Verbrauchern dann Überbrückungskredite und andere eher ungewöhnliche Finanzdienstleistungen an (kostspielige Kredite und andere finanziell riskante Produkte).“ (Art.-29-DSGruppe, WP251 rev.01, S. 11; die Gruppe übernimmt das Beispiel dabei aus einem Bericht des U.S. Senats)

Folgerungen

Die Pflicht zur Transparenz der Datenverarbeitung bezieht sich nach der Artikel-29-Datenschutzgruppe auf „die Unterrichtung der betroffenen Personen im Zusammenhang mit der nach Treu und Glauben erfolgenden Verarbeitung“ als einem von drei Kernbereichen der Transparenz (Art.-29-DSGruppe, WP2060 rev.01, Rn. 2). Quintessenz der Bedeutung des Grundsatzes von Treu und Glauben (und damit für eine faire Bereitstellung von Informationen) soll sein, dass die betroffene Person „nicht später von der Art und Weise überrascht werden sollte, in der ihre personenbezogenen Daten verwendet worden sind“ (laut Art.-29-DSGruppe, WP2060 rev.01, Rn. 10 als wichtigem Aspekt des Grundsatzes von Treu und Glauben). Die betroffene Person soll insbesondere „bei komplexen, technischen oder unerwarteten Verarbeitungsvorgängen neben der Bereitstellung der nach den Artikeln 13 und 14 vorgeschriebenen Informationen […] gesondert und eindeutig formuliert“ über die wichtigsten Folgen der Verarbeitung aufgeklärt werden (Art.-29-DSGruppe, WP2060 rev.01, Rn. 10). Ferner darf durch den Sprachgebrauch bei den bereitgestellten Informationen – beispielsweise durch die Verwendung von Modalverben wie „könnte“ der Grundsatz von Treu und Glauben nicht untergraben werden (Art.-29-DSGruppe, WP2060 rev.01, Rn. 13). Auch eine rechtzeitige Information der betroffenen Person soll sich neben der Transparenzpflicht auch auf den Grundsatz von Treu und Glauben stützen; zudem ist die betroffene Person aktiv über Änderungen und Aktualisierungen und auch über deren Auswirkungen zu informieren (Art.-29-DSGruppe, WP2060 rev.01, Rn. 27, 29, 31, 48). Die bereitgestellten Informationen sollten auch „Angaben über die Verarbeitung, welche sich am stärksten auf die betroffene Person auswirkt, und die Verarbeitungsvorgänge, mit denen Letztere ggfs. nicht gerechnet hat, enthalten“ (Art.-29-DSGruppe, WP2060 rev.01, Rn. 36).

In der Gesamtschau nimmt Fairness bezogen auf Erklärungen aus datenschutzrechtlicher Sicht vor allem die Rolle einer Untermauerung bestehender Transparenzpflichten ein. Nach Art. 12 Abs. 1 Satz 1 DSGVO sind Informationen und Mitteilungen an die betroffene Person, „die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten“. Darüber hinaus besteht jedoch gerade bei automatisierten Entscheidungen auch ein Bezug zum Thema Diskriminierung, dessen Konturen allerdings höchst unscharf bleiben. Klar ist, dass Fairness bzw. dem datenschutzrechtlichen Grundsatz von Treu und Glauben ein eigenständiger Gehalt zukommen muss, der vom Verordnungsgeber auch explizit gewollt ist. Solange aber Gerichte und hier insbesondere der Europäische Gerichtshof Fairness im Sinne der Datenschutz-Grundverordnung nicht als entscheidenden Faktor für die Rechtswidrigkeit einer Datenverarbeitung mobilisieren und dem Grundsatz so Konturen verleihen, bleiben seine praktischen Auswirkungen gering.