Am 25. Mai ist es soweit: Die neue EU-Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Kernziel der Verordnung ist es, die Verarbeitung personenbezogener Daten zu verbessern und damit Verbraucher besser zu schützen. Dabei dürfte der Gesetzgeber an einigen Stellen aber über das Ziel hinaus geschossen sein. "Die DSVGO gehört in die Kategorie 'Gut gedacht, schlecht umgesetzt'. Sie enthält eine Reihe an Punkten, die nicht im Detail spezifiziert sind", meint Wesselin Kruschev, Managing Principal der Beratungsfirma Capco. Daher dürfte die Umsetzung schwierig werden – einige Gesellschaften werden Probleme bekommen, unter anderem Robo-Advisor.

Der Capco-Experte macht seine Kritik vor allem an Artikel 15h der Verordnung fest. Dort heißt es im Wortlaut: "Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person."

Besonderes Problem bei künstlicher Intelligenz
Kruschev zufolge kann die Passage auch so ausgelegt werden, dass Robo-Berater Kunden gegenüber den zugrunde liegenden Algorithmus oder sogar die dahinter stehende Methodik offen legen müssten. "Das wäre gleichbedeutend mit der Veröffentlichung des Betriebsgeheimnisses", so der Experte.

Bei Robos, die auch künstliche Intelligenz (KI) nutzen, sei das Problem noch um Einiges größer. "KI-Systeme entwickeln sich selbstständig weiter. Die Methodik dahinter ist daher so gar nicht mehr einsehbar, sodass sie gar nicht veröffentlicht werden kann", führt Kruschev weiter aus. Bei Robos auf Basis von KI bestehe noch ein anderes Problem: "Die DSGVO gibt jedem Kunden ein Recht auf 'Vergessen-Werden', so der Capco-Experte. Daher müssten Daten gelöscht werden, was KI basierte Systeme "dümmer" mache und ihren Intentionen diametral widerspreche. 

Probleme für Kreditportale
Aber auch andere Bereiche sind von der Verordnung betroffen. Kruschev nennt Online-Kreditportale, die auch sogenannte abgeleitete Daten verarbeiten, die nicht vom Kunden freigegeben wurden. Dazu zählen etwa Angaben aus Social-Media-Diensten wie Facebook. Auch diese müssten nach seiner Lesart der Verordnung die Logik ihrer Datenverarbeitung offen legen. "An dieser Stelle ist die Regulatorik also ein klarer Hemmschuh für Innovationen", so Kruschev. Daher müsse der Gesetzgeber abwägen, was wichtiger ist: Verbraucherschutz oder neue Produkte respektive Services. (jb)


Einen ausführlichen Bericht zur Datenschutzgrundverordnung lesen Sie in der Heftausgabe 01/2018 von FONDS professionell ab Seite 286. Angemeldete KLUB-Mitglieder können den Beitrag auch im E-Magazin lesen.