Was ist automatisierte Entscheidungsfindung?
Automatisierte Entscheidungsfindung bedeutet, dass ein System eine Entscheidung über eine Person trifft, ohne dass ein Mensch in bedeutsamer Weise beteiligt ist. Denken Sie an Software, die einen Kreditantrag automatisch auf Basis eines Kreditscores ablehnt, oder an einen Algorithmus, der Bewerber herausfiltert, bevor jemand ihren Lebenslauf prüft.
Artikel 22 der DSGVO gibt Personen das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht - einschließlich Profiling -, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Die Schlüsselwörter sind “ausschließlich” und “rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung.” Beide Voraussetzungen müssen erfüllt sein, damit Artikel 22 greift.
Profiling vs automatisierte Entscheidungsfindung
Diese beiden Konzepte sind verwandt, aber unterschiedlich.
Profiling ist die automatisierte Analyse personenbezogener Daten zur Bewertung bestimmter Aspekte einer Person - Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten oder Aufenthaltsort.
Automatisierte Entscheidungsfindung bedeutet, auf Basis dieser Analyse zu handeln, ohne dass ein Mensch eingreift.
Profiling allein ist nach Artikel 22 nicht verboten. Sie dürfen Analysen verwenden, um Ihre Kunden zu segmentieren oder Leads zu bewerten. Die Einschränkung greift, wenn Sie dieses Profiling nutzen, um eine Entscheidung mit rechtlicher oder erheblicher Wirkung zu treffen - und kein Mensch in bedeutsamer Weise beteiligt ist.
Wann gilt Artikel 22?
Artikel 22 gilt, wenn alle drei Voraussetzungen erfüllt sind:
- Die Entscheidung beruht ausschließlich auf automatisierter Verarbeitung (keine bedeutsame menschliche Prüfung)
- Die Verarbeitung umfasst Profiling oder automatisierte Analyse
- Die Entscheidung entfaltet rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung
| Szenario | Ausschließlich automatisiert? | Erhebliche Wirkung? | Artikel 22 anwendbar? |
|---|---|---|---|
| Kreditantrag automatisch durch Scoring-Algorithmus abgelehnt | Ja | Ja - Zugang zu Kredit verweigert | Ja |
| KI screent Lebensläufe und lehnt Bewerber automatisch ab | Ja | Ja - Jobchance verweigert | Ja |
| Versicherungsprämie vollständig durch Risikoprofiling-Algorithmus festgelegt | Ja | Ja - finanzielle Auswirkung | Ja |
| Betrugserkennung sperrt automatisch ein Bankkonto | Ja | Ja - Zugang zu Geldern verweigert | Ja |
| Produktempfehlungs-Engine schlägt Artikel vor | Ja | Nein - keine rechtliche oder erhebliche Wirkung | Nein |
| KI screent Lebensläufe, aber ein Recruiter trifft die endgültige Einstellungsentscheidung | Nein | N/A - Mensch im Prozess | Nein |
| Content-Personalisierung auf einer Website | Ja | Nein - keine erhebliche Wirkung | Nein |
| ChatGPT entwirft einen Brief, den eine Person prüft und versendet | Nein | N/A - Mensch trifft die Entscheidung | Nein |
Drei Ausnahmen, bei denen automatisierte Entscheidungen zulässig sind
Selbst wenn Artikel 22 normalerweise gelten würde, ist automatisierte Entscheidungsfindung in drei Fällen zulässig:
1. Erforderlich für einen Vertrag
Die automatisierte Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags mit der Person erforderlich. Beispielsweise eine sofortige Kreditentscheidung bei einem Online-Kauf, bei dem eine manuelle Prüfung den Dienst unpraktikabel machen würde.
2. Gesetzlich zugelassen
Das EU-Recht oder das Recht eines Mitgliedstaats lässt die automatisierte Entscheidungsfindung ausdrücklich zu. Das Gesetz muss angemessene Schutzmaßnahmen für die Rechte der Person vorsehen.
3. Auf Grundlage ausdrücklicher Einwilligung
Die Person hat ihre ausdrückliche Einwilligung zur automatisierten Entscheidungsfindung erteilt. Diese Einwilligung muss spezifisch, informiert und freiwillig sein - nicht in den allgemeinen Geschäftsbedingungen versteckt.
Erforderliche Schutzmaßnahmen - auch bei Ausnahmen
Selbst wenn eine der drei Ausnahmen greift, müssen Sie dennoch folgende Schutzmaßnahmen gewährleisten:
- Recht auf menschliches Eingreifen - die Person kann verlangen, dass ein Mensch die Entscheidung überprüft
- Recht auf Darlegung des eigenen Standpunkts - die Person kann ihre Situation erläutern
- Recht auf Anfechtung der Entscheidung - die Person kann das Ergebnis anfechten
Sie dürfen außerdem keine automatisierte Entscheidungsfindung auf Grundlage besonderer Kategorien personenbezogener Daten (Gesundheit, ethnische Herkunft, politische Meinungen usw.) durchführen, es sei denn, Sie verfügen über eine ausdrückliche Einwilligung oder eine Grundlage im erheblichen öffentlichen Interesse mit angemessenen Schutzmaßnahmen.
Wann ist eine DSFA erforderlich?
Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich, wenn automatisierte Entscheidungsfindung ein hohes Risiko erzeugt. Dies umfasst typischerweise:
- Systematisches Profiling mit erheblichen Auswirkungen auf Personen
- Großangelegte automatisierte Verarbeitung personenbezogener Daten
- Zusammenführung von Datensätzen auf Weisen, die Personen vernünftigerweise nicht erwarten würden
- Verarbeitung sensibler Daten durch automatisierte Systeme
Wenn Sie KI-Tools verwenden, um Personen zu bewerten, zu scoren oder zu kategorisieren, ist eine DSFA mit hoher Wahrscheinlichkeit erforderlich.
Was das in der Praxis für Ihr Unternehmen bedeutet
Wenn Sie ein KMU führen und KI-Tools oder automatisierte Systeme einsetzen, sollten Sie Folgendes prüfen:
Schritt 1: Erfassen Sie Ihre automatisierten Prozesse
Listen Sie jedes Tool oder System auf, das Entscheidungen über Personen trifft. Berücksichtigen Sie Recruiting-Tools, Bonitätsprüfungen, Betrugserkennung, Kundenbewertung und jede KI-gestützte Automatisierung.
Schritt 2: Prüfen Sie, ob ein Mensch in bedeutsamer Weise beteiligt ist
Ein Mensch “im Prozess” zählt nur, wenn er die Entscheidung tatsächlich prüft und die Befugnis hat, sie zu ändern. Das bloße Abnicken der Ausgabe eines Algorithmus ist keine bedeutsame menschliche Prüfung.
Schritt 3: Bewerten Sie die Auswirkungen
Erzeugt der automatisierte Prozess rechtliche Wirkungen (Vertrag verweigert, Dienst gekündigt) oder ähnlich erhebliche Beeinträchtigungen (finanzielle Auswirkung, Chance verweigert)? Wenn ja und kein Mensch beteiligt ist, gilt Artikel 22.
Schritt 4: Implementieren Sie Schutzmaßnahmen
Für jeden Prozess, auf den Artikel 22 anwendbar ist:
- Fügen Sie eine tatsächliche menschliche Prüfung vor endgültigen Entscheidungen hinzu
- Schaffen Sie ein Verfahren, mit dem Personen Entscheidungen anfechten können
- Dokumentieren Sie Ihre Rechtsgrundlage (Vertrag, Gesetz oder ausdrückliche Einwilligung)
- Informieren Sie Personen darüber, dass automatisierte Entscheidungsfindung stattfindet
- Nehmen Sie diese Informationen in Ihre Datenschutzerklärung auf
Schritt 5: Erwägen Sie eine DSFA
Wenn die Verarbeitung Profiling mit erheblichen Auswirkungen umfasst, führen Sie eine DSFA durch, bevor Sie beginnen.
Häufige Fehler
- Annehmen, dass “ein Mensch klickt auf Genehmigen” eine bedeutsame Prüfung ist - die Person muss den Fall tatsächlich bewerten, nicht einfach die Empfehlung des Systems bestätigen
- Vergessen, Personen zu informieren - Ihre Datenschutzerklärung muss die automatisierte Entscheidungsfindung, die verwendete Logik und die möglichen Folgen erläutern
- KI-Tools nutzen, ohne Artikel 22 zu berücksichtigen - wenn ein KI-Tool in Ihrem Namen Entscheidungen über Personen trifft, gelten die DSGVO-Pflichten weiterhin für Ihr Unternehmen
- Transparenz beim Profiling ignorieren - selbst wenn Artikel 22 nicht gilt, müssen Sie gemäß Artikel 13 und 14 in Ihrer Datenschutzerklärung transparent über Profiling informieren
GDPRWise analysiert Ihre Datenschutz-Einrichtung und zeigt auf, wo Regeln zur automatisierten Entscheidungsfindung für Ihr Unternehmen gelten könnten.