DSGVO und KI-Gutachten: Datenschutz bei automatisierter Sachverständigenarbeit

DSGVO und KI-Gutachten: Datenschutz bei automatisierter Sachverständigenarbeit

Die Digitalisierung hat das Sachverständigenwesen nachhaltig verändert. Künstliche Intelligenz (KI) ist nicht länger nur ein Schlagwort, sondern ein mächtiges Werkzeug, das Prozesse beschleunigt und die Effizienz steigert. Doch mit dem Einsatz von KI-Systemen zur Erstellung von Gutachten rücken auch zentrale datenschutzrechtliche Fragen in den Fokus. Insbesondere die Datenschutz-Grundverordnung (DSGVO) setzt klare Leitplanken für die Verarbeitung personenbezogener Daten. Für Sachverständige, Gutachter und ihre Auftraggeber ist es unerlässlich, die rechtlichen Rahmenbedingungen genau zu kennen, um die Vorteile der Technologie rechtssicher zu nutzen.

Die Relevanz von Artikel 22 DSGVO für automatisierte Gutachten

Ein zentraler Punkt in der Debatte ist Artikel 22 der DSGVO. Dieser Artikel gewährt Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ein KI-gestütztes Gutachten, das beispielsweise den Wert einer Immobilie festlegt oder die Höhe eines Versicherungsschadens beziffert, kann eine solche Entscheidungsgrundlage darstellen. Die Frage ist also: Wann gilt ein Gutachten als „ausschließlich automatisiert“?

Die Antwort liegt im Detail. Solange ein menschlicher Sachverständiger die finale Entscheidung trifft und das KI-System lediglich als unterstützendes Werkzeug zur Datenanalyse und -aufbereitung nutzt, ist Artikel 22 in der Regel nicht anwendbar. Die Expertise und die finale Bewertungshoheit bleiben in menschlicher Hand. Anders sieht es aus, wenn der Prozess vollständig automatisiert abläuft und das Ergebnis des KI-Systems ohne menschliches Eingreifen direkt zu einer Entscheidung führt. In solchen Fällen greifen die strengen Vorgaben der DSGVO. Die gute Nachricht ist, dass die Verordnung Ausnahmen vorsieht, etwa wenn die automatisierte Entscheidung für die Erfüllung eines Vertrags erforderlich ist oder die betroffene Person ausdrücklich eingewilligt hat. Doch selbst dann sind Unternehmen verpflichtet, angemessene Schutzmaßnahmen zu implementieren. Dazu gehören das Recht auf Anfechtung der Entscheidung und die Möglichkeit, ein menschliches Eingreifen zu erwirken.

Auftragsverarbeitung: Klare Rollen, klare Pflichten

Beim Einsatz von externen KI-Lösungen, wie sie beispielsweise von spezialisierten Anbietern zur Verfügung gestellt werden, kommt das Konzept der Auftragsverarbeitung ins Spiel. Die Rollenverteilung ist hier klar definiert: Das Unternehmen, das die KI-Software zur Erstellung von Gutachten einsetzt – also das Sachverständigenbüro oder die Versicherung – agiert als der Verantwortliche im Sinne der DSGVO. Der Anbieter der KI-Lösung, wie zum Beispiel GutachtenPilot, ist der Auftragsverarbeiter.

Diese Konstellation macht den Abschluss eines Auftragsverarbeitungsvertrags (AVV) nach Artikel 28 DSGVO zwingend erforderlich. In diesem Vertrag wird detailliert geregelt, wie der Auftragsverarbeiter mit den personenbezogenen Daten umzugehen hat und welche technischen und organisatorischen Maßnahmen er zum Schutz dieser Daten ergreift. Für den Verantwortlichen ist der AVV ein zentrales Instrument, um seiner Rechenschaftspflicht nachzukommen und sicherzustellen, dass der Datenschutz auch bei externen Dienstleistern gewahrt bleibt.

Technische und Organisatorische Maßnahmen (TOMs): Das Fundament der Sicherheit

Unabhängig von der konkreten Rollenverteilung fordert Artikel 32 der DSGVO von allen Unternehmen, die personenbezogene Daten verarbeiten, die Implementierung von „geeigneten technischen und organisatorischen Maßnahmen“ (TOMs). Ziel ist es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im Kontext von KI-Systemen bedeutet dies mehr als nur eine Firewall und ein Virenscanner.

Zu den TOMs gehören Maßnahmen wie die Pseudonymisierung und Verschlüsselung von Daten, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser Maßnahmen. Gerade bei selbstlernenden KI-Systemen ist es entscheidend, die Qualität der Trainingsdaten sicherzustellen, um Diskriminierung und Verzerrungen („Bias“) zu vermeiden. Plattformen wie GutachtenPilot legen daher großen Wert auf die Entwicklung und Implementierung robuster Sicherheitsarchitekturen, um die Daten ihrer Nutzer bestmöglich zu schützen.

Transparenzpflichten und die Datenschutz-Folgenabschätzung (DSFA)

Ein weiteres Kernelement der DSGVO ist die Transparenz. Verantwortliche müssen betroffene Personen gemäß Artikel 13 und 14 DSGVO klar und verständlich darüber informieren, wie ihre Daten verarbeitet werden. Beim Einsatz von KI schließt dies auch Informationen über die involvierte Logik und die Tragweite der automatisierten Verarbeitung ein. Nutzer müssen verstehen können, auf welcher Grundlage eine Entscheidung getroffen wird.

In vielen Fällen ist zudem die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO unumgänglich. Eine DSFA ist immer dann erforderlich, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Einsatz von KI zur Bewertung persönlicher Aspekte von Personen wird von den Aufsichtsbehörden als ein solcher Fall eingestuft, der eine DSFA zwingend erforderlich macht. Dies hilft Unternehmen, Risiken frühzeitig zu erkennen und durch geeignete Maßnahmen zu minimieren.

Fazit: KI und DSGVO sind kein Widerspruch

Der Einsatz von künstlicher Intelligenz in der Sachverständigenarbeit bietet enorme Potenziale zur Effizienzsteigerung und Qualitätsverbesserung. Die Anforderungen der DSGVO stellen dabei keine unüberwindbare Hürde dar, sondern schaffen einen klaren rechtlichen Rahmen für einen verantwortungsvollen Umgang mit der Technologie. Durch die Beachtung der Grundsätze von Artikel 22, die klare Regelung der Verantwortlichkeiten im Rahmen der Auftragsverarbeitung und die Implementierung robuster technischer und organisatorischer Maßnahmen können Unternehmen die Vorteile von KI-Lösungen rechtssicher nutzen.

Die Zukunft der Gutachtenerstellung ist digital und datengetrieben. Lösungen wie GutachtenPilot zeigen, wie sich Innovation und Datenschutz erfolgreich miteinander verbinden lassen. Indem sie die komplexen Anforderungen der DSGVO von Grund auf berücksichtigen, schaffen sie Vertrauen und ermöglichen es Sachverständigen, sich auf das Wesentliche zu konzentrieren: ihre Fachexpertise.

Erfahren Sie mehr darüber, wie Sie Ihre Gutachtenprozesse mit einer KI-gestützten Software rechtssicher und effizient gestalten können, auf gutachtenpilot.life.