Welche Rolle spielt der Datenschutz bei LegalTech?
Mit fortschreitender Automatisierung des Rechtswesens geraten immer mehr datenschutzrechtliche Fragen in den Blick. Insbesondere betrifft dies die LegalTech-Anwendungen. Sobald automatisierte Systeme und Künstliche Intelligenz (KI) eingesetzt werden, kommt Artikel 22 der DSGVO ins Spiel. Dort geht es um die Frage, wie weit automatisierte Entscheidungen im Einzelfall rechtliche Wirkungen entfalten. In meinem Artikel untersuche ich die Auswirkungen des Artikels 22 auf Legal Tech, die bisher wenig beleuchtet wurden.
Zielsetzung des Artikel 22 DSGVO
Artikel 22 der DSGVO hat zum Ziel, dem Menschen ein Abwehrrecht gegen vollautomatisierte Entscheidungsverfahren zu vermitteln und zu verhindern, dass er zum Objekt einer rein automatisierten Entscheidung degeneriert. Er verbietet generell eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidungsfindung.
Dabei stellt sich die Frage, ob die automatisierte Datenverarbeitung lediglich eine Entscheidungshilfe darstellen soll und die Entscheidung letztlich durch einen Menschen erfolgt, oder ob der automatisierte Verarbeitungsvorgang alleinige Grundlage für die konkrete Einzelfallentscheidung ist.
Bei der automatisierten Entscheidung muss zudem eine gewisse Erheblichkeit für die betroffene Person verbunden sein. Während ein reines Vertragsangebot oder Direktwerbung in der Regel keine rechtlich relevante nachteilige Folge mit sich bringt, wirkt auch die Ablehnung des Vertragsschlusses – mangels Kontrahierungszwang – zumeist nicht rechtlich nachteilig. Anders sieht es aus, wenn etwa die Genehmigung mittels eines automatisierten Verwaltungsakts versagt wird, da hierdurch schon aufgrund des Grundrechtsbezugs eine nachteilige rechtliche Wirkung vorliegen kann.
In sämtlichen Fällen zulässiger automatisierter Entscheidungen muss also sichergestellt sein, dass der Standpunkt des Betroffenen aufgrund der Automatisierung nicht in tatsächlicher oder rechtlicher Hinsicht ignoriert wird. Der gesamte Prozess der Entscheidungsfindung soll fair und transparent verlaufen, indem die Befreiung des Verantwortlichen von dem Verbotsvorbehalt an spezifische Mindestgarantien geknüpft wird.
Breites Spektrum der LegalTech-Anwendungen
Zum Teil handelt es sich bei LegalTech-Anwendungen lediglich um reine Vermittlungsplattformen zwischen Rechtssuchenden und Rechtsanwälten. Deren technische Umsetzung stellt keine disruptive Neuerung dar. Allerdings fallen darunter auch sehr fortschrittliche Formen von Künstlicher Intelligenz (KI), die auf Basis neuronaler Netzwerke arbeiten und insofern tatsächlich als umwälzende Neuerung angesehen werden können.
In meiner Analyse gehe ich von einem weit gefassten LegalTech-Begriff aus. Er umfasst jede Form der softwaregestützten Bewältigung rechtlich relevanter Aufgaben. Der Einsatz automatisierter Softwarelösungen ist in nahezu sämtlichen Gebieten des Rechtswesens möglich.
Dabei reicht die Bandbreite automatisierter Computerprogramme von sogenannten Expertensystemen, die Wissen über Zusammenhänge und Regeln anwenden, um einen bestimmten Sachverhalt zu bewerten und Schlussfolgerungen zu ziehen, bis hin zu künstlichen neuronalen Netzwerken, bei denen es um das Erkennen von Bedeutungszusammenhängen in Datenbeständen geht.
Automatisierte Systeme können etwa bei der Polizei zur präventiven Abwehr von Gefahren zum Einsatz kommen. Auch in der Verwaltung bestehen vielfältige Möglichkeiten des automatisierten Erlasses von Verwaltungsakten, wofür zwischenzeitlich in verschiedenen Verfahrensordnungen die rechtlichen Grundlagen geschaffen worden sind.
Erhebliche Beschränkungen im öffentlichen Recht
Insbesondere für den Einsatz von LegalTech auf dem Gebiet der Justiz stellt Artikel 22 DSGVO eine erhebliche Beschränkung dar. Das zeichnet sich bereits beim Predictive Policing deutlich ab. Als unproblematisch erscheint dabei lediglich der Fall der automatisierten Verwendung anonymisierter Daten. Im Einzelfall wird es darauf ankommen, ob die automatisierte Datenverarbeitung auch zu einer Entscheidung führt, die im Rahmen der Erstellung einer reinen Gefahrenprognose mangels rechtlicher Wirkung oder vergleichbarer Beeinträchtigung noch nicht zu sehen ist.
Bei der Erstellung eines Täterprofils zum Zwecke der Strafverfolgung kommt eine anonymisierte Datenverarbeitung nicht in Betracht. Die hierauf beruhende unmittelbare Veranlassung von automatisierten Ermittlungen ist demnach unzulässig.
Das automatisierte Verfassen von Urteilen oder Beschlüssen ist zwar theoretisch denkbar. Nachdem staatliche Entscheidungen im Zivilprozess zumeist für mindestens eine Partei oder im Strafurteil bis auf Fälle des Freispruchs stets nachteilige rechtliche Folgen aufweisen, sind nur wenige Fälle denkbar, in denen ein automatisiertes Urteil nicht gegen Artikel 22 Abs. 1 verstoßen würde.
Auch in der Verwaltung kann die Abgrenzung zwischen datenschutzrechtlich zulässigen und unzulässigen automatisierten Verwaltungsakten danach erfolgen, ob sie begünstigender oder belastender Natur sind.
Mehr Freiheiten im Privatrecht
Vor allem außerhalb des hoheitlichen Sektors werden die vielfältigsten Möglichkeiten für den Einsatz automatisierter LegalTech-Anwendungen durch Kanzleien, Unternehmen und Privatpersonen diskutiert und geschaffen. Auf dem Gebiet des Privatrechts sind automatisierte Legal Tech-Anwendungen per se eher zulässig als im hoheitlichen Sektor. So wäre z.B. bei einer privatrechtlichen Predictive-Analysis eine rechtliche Wirkung fraglich. Selbst dann, wenn keine anonymisierte Auswertung von Entscheidungen erfolgen würde, wäre eine vergleichbare Beeinträchtigung in der Regel nicht erheblich, solange die Entscheidungen nicht unmittelbar einsehbar sind.
Auch Language Analysis-Tools verstoßen nicht zwangsläufig gegen Artikel 22. Dies sind Anwendungen, die eine automatische Identifikation inhaltlicher Darstellungen sowie juristischer Argumente in Fließtexten ermöglichen und ihre Ergebnisse in hoher Geschwindigkeit präsentieren können. Damit lassen sich Schriftsätze oder Verträge mittels Legal-Apps erstellen. So können gerade in Rechtsgebieten, die mit weitgehend standardisierten Verträgen auskommen (z.B. Gesellschafts- oder Arbeitsrecht), verschiedene Vertragstexte automatisch erstellt werden. Wenn aber die automatische Analyse zur automatischen, für den Vertragspartner nachteiligen Vertragsanpassung führt, ist sie unzulässig.
Die reine Erstellung eines Vertragsentwurfs mithilfe einer KI ist hingegen als unproblematisch zu sehen, denn rechtliche Wirkungen oder vergleichbare Beeinträchtigungen sind mit einem reinen Entwurf in der Regel nicht verbunden. Andere Schreiben wie z.B. automatisierte Aufforderungsschreiben einer Inkassokanzlei dürften hingegen unzulässig sein, sofern keine inhaltliche Prüfung mehr stattfindet und etwaige unmittelbare Konsequenzen wie die Klageerhebung oder Einleitung von Vollstreckungsmaßnahmen angekündigt werden.
Im privaten Bereich ist zudem das sogenannte Scoring sowie das Profiling im Einsatz. Beim Scoring wird auf Basis vorhandener Daten die Wahrscheinlichkeit eines bestimmten Verhaltens von Personen mit identischen Merkmalen ermittelt werden. Mittels Profiling lassen sich automatisierte Persönlichkeitsprofils entwickeln. Häufiger Gegenstand von Diskussionen sind LegalTech-Anbieter, die sich der automatischen Rechtsdurchsetzung verschrieben haben. Dazu zählen etwa die Geltendmachung von Fluggastrechten oder die Überprüfung mietvertragsrechtlicher Fragen. Selbst der Einsatz von Chatbots zur Beantwortung von Rechtsfragen von Privatpersonen spielt zunehmend eine Rolle.
Beim Scoring und Profiling durch private Unternehmen kann die automatisierte Datenverarbeitung dann unzulässig sein, wenn diese in automatisierter Form unmittelbar in eine für den Betroffenen nachteilige Entscheidung mit rechtlicher Wirkung oder vergleichbarer Beeinträchtigung mündet und etwa der Score-Wert hierfür allein maßgeblich ist.
Bei Smart Contracts führt die automatisierte Verarbeitung stets zu einer automatisierten Entscheidung. Damit geht für eine Partei der Verlust einer rechtlich geschützten Position einher (z.B. Übertragung eines Rechts), was für diese eine nachteilige rechtliche Wirkung mit sich bringen und somit einen Verstoß gegen Artikel 22 Abs. 1 DSGVO begründen kann. Smart Contracts sind allerdings gerade auf diese Art von Automatisierung von Rechtsveränderungen angelegt, so dass die in den Buchstaben a) und c) festgelegten Ausnahmetatbestände regelmäßig erfüllt sein werden.
Keine Probleme werfen Chatbots auf, sofern diese rein zur Erteilung eines Rechtsrats verwendet werden. Hier fehlt eine nachteilige Auswirkung. Gleiches gilt, sofern diese etwa nur Vertragsmuster erstellen oder Schreiben lediglich vorbereiten.
Fazit
Die Bestimmungen des Artikel 22 DSGVO erfassen alle Arten automatisierter Systeme und somit auch künstliche neuronale Netzwerke. Diese werden irgendwann in der Lage sein, nicht nur automatisierte, sondern auch autonome Entscheidungen auf Basis automatisierter Datenverarbeitungsvorgänge zu treffen. Mit zunehmendem Einsatz derartig weit entwickelter Formen von KI wird die Relevanz von Artikel 22 DSGVO steigen und letztlich zum Gradmesser für Innovationen werden können. Nachdem LegalTech im grundrechtssensiblen Bereich der Rechtspflege eingesetzt wird, kommt dem Artikel 22 DSGVO eine wichtige Schutzfunktion im Hinblick auf die Grundrechtecharta der EU zu.
Wir unterstützen Sie dabei, relevante datenschutzrechtliche Entwicklungen im IT-Recht im Blick zu behalten beraten bei allen Aspekten rund um den Einsatz von Legal Tech. Dabei helfen wir ihnen, relevante Themen zu identifizieren und vertraglich zu regeln.
Dr. Daniel Kögel,
Fachanwalt für Urheber- und Medienrecht
koegel@web-partner.de