Umstrittenes Profiling - Der AMS-Algorithmus und die Datenschutzbehörde

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

Profiling? Viele von uns assoziieren diesen Begriff vielleicht mit diversen Serien und somit mit Kriminalitätsbekämpfung. Der Mythos, dass nur Kriminologen Profiling verwenden, ist vielerorts verbreitet. Worauf jedoch häufig vergessen wird, ist, dass Profiling auch im Datenschutz eine bedeutende Rolle spielt.

 

Im Kontext des Datenschutzes wird Profiling als automatisierte Datenverarbeitung von personenbezogenen Daten bezeichnet. Dabei wird eine natürliche Person bewertet, um anschließend ihr Verhalten vorhersagen zu können oder auch um anhand dieser Bewertung Entscheidungen über natürliche Personen treffen zu können. Daher ist Profiling nur mit Einwilligung seitens betroffener Person erlaubt. 


Ein brandaktueller Fall von problematischem Profiling und automatisiert getroffener Entscheidung ist jener des Arbeitsmarktservice (AMS). Das Arbeitsmarktservice testete einen Algorithmus, welcher anhand der Kriterien Alter, Geschlecht, berufliche Laufbahn, Wohnort, Staatsbürgerschaft und Bildungsniveau die potenziellen Chancen am Arbeitsmarkt vorhersagte. Der Algorithmus teilte arbeitslose Menschen in drei Kategorien: hohe, mittlere und niedrige Chancen auf dem Arbeitsmarkt. Ziel der Kategorien war es, die Vergabe von Förderungen für Ausbildungen effizienter zu machen, da besonders jene Menschen gefördert werden sollten, welche mittlere Chancen haben. Der Berater traf aber weiterhin die Letztentscheidung über die Arbeitslosenförderung, beispielsweise ob jemand eine teure Facharbeiterausbildung bekommt oder nicht. 

Dieser Algorithmus war seit geraumer Zeit im Test. Das AMS wollte diesen ab 1. Jänner 2021 flächendeckend einsetzen. Diese Vorgehensweise wurde nun von der österreichischen Datenschutzbehörde untersagt, da hierfür keine gesetzliche Grundlage vorhanden sei. 

Problematisch hierbei ist aus Sicht der Datenschutzbehörde vor allem, dass es keine Handlungsanweisung an die Berater gegeben hat. Das AMS habe auch keine Vorkehrungen gegen eine "routinemäßige Übernahme" der Ergebnisse durch den Berater getroffen, weshalb eine "echte Aufsicht" durch Menschen nicht in allen Fällen gewährleistet sei. Nicht erfüllt wurde laut DSB-Bescheid auch die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 Datenschutzgrundverordnung (DSGVO).

Und wie bei Krimiserien bleibt es auch in diesem Fall spannend. Beim AMS will man den Bescheid jetzt rechtlich prüfen und allenfalls Beschwerde beim Bundesverwaltungsgericht einlegen, wie es in einer Stellungnahme heißt.