Was ist automatisierte Entscheidungsfindung?
Automatisierte Entscheidungsfindung bedeutet, dass ein System eine Entscheidung ueber eine Person trifft, ohne dass ein Mensch in bedeutsamer Weise beteiligt ist. Denken Sie an Software, die einen Kreditantrag automatisch auf Basis eines Kreditscores ablehnt, oder an einen Algorithmus, der Bewerber herausfiltert, bevor jemand ihren Lebenslauf prueft.
Artikel 22 der DSGVO gibt Personen das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschliesslich auf automatisierter Verarbeitung beruht - einschliesslich Profiling -, die rechtliche Wirkung entfaltet oder sie in aehnlicher Weise erheblich beeintraechtigt.
Die Schluesselwoerter sind “ausschliesslich” und “rechtliche Wirkung oder aehnlich erhebliche Beeintraechtigung.” Beide Voraussetzungen muessen erfuellt sein, damit Artikel 22 greift.
Profiling vs automatisierte Entscheidungsfindung
Diese beiden Konzepte sind verwandt, aber unterschiedlich.
Profiling ist die automatisierte Analyse personenbezogener Daten zur Bewertung bestimmter Aspekte einer Person - Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persoenliche Vorlieben, Zuverlaessigkeit, Verhalten oder Aufenthaltsort.
Automatisierte Entscheidungsfindung bedeutet, auf Basis dieser Analyse zu handeln, ohne dass ein Mensch eingreift.
Profiling allein ist nach Artikel 22 nicht verboten. Sie duerfen Analysen verwenden, um Ihre Kunden zu segmentieren oder Leads zu bewerten. Die Einschraenkung greift, wenn Sie dieses Profiling nutzen, um eine Entscheidung mit rechtlicher oder erheblicher Wirkung zu treffen - und kein Mensch in bedeutsamer Weise beteiligt ist.
Wann gilt Artikel 22?
Artikel 22 gilt, wenn alle drei Voraussetzungen erfuellt sind:
- Die Entscheidung beruht ausschliesslich auf automatisierter Verarbeitung (keine bedeutsame menschliche Pruefung)
- Die Verarbeitung umfasst Profiling oder automatisierte Analyse
- Die Entscheidung entfaltet rechtliche Wirkung oder aehnlich erhebliche Beeintraechtigung
| Szenario | Ausschliesslich automatisiert? | Erhebliche Wirkung? | Artikel 22 anwendbar? |
|---|---|---|---|
| Kreditantrag automatisch durch Scoring-Algorithmus abgelehnt | Ja | Ja - Zugang zu Kredit verweigert | Ja |
| KI screent Lebenslaeufe und lehnt Bewerber automatisch ab | Ja | Ja - Jobchance verweigert | Ja |
| Versicherungspraemie vollstaendig durch Risikoprofiling-Algorithmus festgelegt | Ja | Ja - finanzielle Auswirkung | Ja |
| Betrugserkennung sperrt automatisch ein Bankkonto | Ja | Ja - Zugang zu Geldern verweigert | Ja |
| Produktempfehlungs-Engine schlaegt Artikel vor | Ja | Nein - keine rechtliche oder erhebliche Wirkung | Nein |
| KI screent Lebenslaeufe, aber ein Recruiter trifft die endgueltige Einstellungsentscheidung | Nein | N/A - Mensch im Prozess | Nein |
| Content-Personalisierung auf einer Website | Ja | Nein - keine erhebliche Wirkung | Nein |
| ChatGPT entwirft einen Brief, den eine Person prueft und versendet | Nein | N/A - Mensch trifft die Entscheidung | Nein |
Drei Ausnahmen, bei denen automatisierte Entscheidungen zulaessig sind
Selbst wenn Artikel 22 normalerweise gelten wuerde, ist automatisierte Entscheidungsfindung in drei Faellen zulaessig:
1. Erforderlich fuer einen Vertrag
Die automatisierte Entscheidung ist fuer den Abschluss oder die Erfuellung eines Vertrags mit der Person erforderlich. Beispielsweise eine sofortige Kreditentscheidung bei einem Online-Kauf, bei dem eine manuelle Pruefung den Dienst unpraktikabel machen wuerde.
2. Gesetzlich zugelassen
Das EU-Recht oder das Recht eines Mitgliedstaats laesst die automatisierte Entscheidungsfindung ausdruecklich zu. Das Gesetz muss angemessene Schutzmassnahmen fuer die Rechte der Person vorsehen.
3. Auf Grundlage ausdruecklicher Einwilligung
Die Person hat ihre ausdrueckliche Einwilligung zur automatisierten Entscheidungsfindung erteilt. Diese Einwilligung muss spezifisch, informiert und freiwillig sein - nicht in den allgemeinen Geschaeftsbedingungen versteckt.
Erforderliche Schutzmassnahmen - auch bei Ausnahmen
Selbst wenn eine der drei Ausnahmen greift, muessen Sie dennoch folgende Schutzmassnahmen gewaehrleisten:
- Recht auf menschliches Eingreifen - die Person kann verlangen, dass ein Mensch die Entscheidung ueberprueft
- Recht auf Darlegung des eigenen Standpunkts - die Person kann ihre Situation erlaeutern
- Recht auf Anfechtung der Entscheidung - die Person kann das Ergebnis anfechten
Sie duerfen ausserdem keine automatisierte Entscheidungsfindung auf Grundlage besonderer Kategorien personenbezogener Daten (Gesundheit, ethnische Herkunft, politische Meinungen usw.) durchfuehren, es sei denn, Sie verfuegen ueber eine ausdrueckliche Einwilligung oder eine Grundlage im erheblichen oeffentlichen Interesse mit angemessenen Schutzmassnahmen.
Wann ist eine DSFA erforderlich?
Eine Datenschutz-Folgenabschaetzung (DSFA) ist erforderlich, wenn automatisierte Entscheidungsfindung ein hohes Risiko erzeugt. Dies umfasst typischerweise:
- Systematisches Profiling mit erheblichen Auswirkungen auf Personen
- Grossangelegte automatisierte Verarbeitung personenbezogener Daten
- Zusammenfuehrung von Datensaetzen auf Weisen, die Personen vernuenftigerweise nicht erwarten wuerden
- Verarbeitung sensibler Daten durch automatisierte Systeme
Wenn Sie KI-Tools verwenden, um Personen zu bewerten, zu scoren oder zu kategorisieren, ist eine DSFA mit hoher Wahrscheinlichkeit erforderlich.
Was das in der Praxis fuer Ihr Unternehmen bedeutet
Wenn Sie ein KMU fuehren und KI-Tools oder automatisierte Systeme einsetzen, sollten Sie Folgendes pruefen:
Schritt 1: Erfassen Sie Ihre automatisierten Prozesse
Listen Sie jedes Tool oder System auf, das Entscheidungen ueber Personen trifft. Beruecksichtigen Sie Recruiting-Tools, Bonitaetspruefungen, Betrugserkennung, Kundenbewertung und jede KI-gestuetzte Automatisierung.
Schritt 2: Pruefen Sie, ob ein Mensch in bedeutsamer Weise beteiligt ist
Ein Mensch “im Prozess” zaehlt nur, wenn er die Entscheidung tatsaechlich prueft und die Befugnis hat, sie zu aendern. Das blosse Abnicken der Ausgabe eines Algorithmus ist keine bedeutsame menschliche Pruefung.
Schritt 3: Bewerten Sie die Auswirkungen
Erzeugt der automatisierte Prozess rechtliche Wirkungen (Vertrag verweigert, Dienst gekuendigt) oder aehnlich erhebliche Beeintraechtigungen (finanzielle Auswirkung, Chance verweigert)? Wenn ja und kein Mensch beteiligt ist, gilt Artikel 22.
Schritt 4: Implementieren Sie Schutzmassnahmen
Fuer jeden Prozess, auf den Artikel 22 anwendbar ist:
- Fuegen Sie eine tatsaechliche menschliche Pruefung vor endgueltigen Entscheidungen hinzu
- Schaffen Sie ein Verfahren, mit dem Personen Entscheidungen anfechten koennen
- Dokumentieren Sie Ihre Rechtsgrundlage (Vertrag, Gesetz oder ausdrueckliche Einwilligung)
- Informieren Sie Personen darueber, dass automatisierte Entscheidungsfindung stattfindet
- Nehmen Sie diese Informationen in Ihre Datenschutzerklaerung auf
Schritt 5: Erwaegen Sie eine DSFA
Wenn die Verarbeitung Profiling mit erheblichen Auswirkungen umfasst, fuehren Sie eine DSFA durch, bevor Sie beginnen.
Haeufige Fehler
- Annehmen, dass “ein Mensch klickt auf Genehmigen” eine bedeutsame Pruefung ist - die Person muss den Fall tatsaechlich bewerten, nicht einfach die Empfehlung des Systems bestaetigen
- Vergessen, Personen zu informieren - Ihre Datenschutzerklaerung muss die automatisierte Entscheidungsfindung, die verwendete Logik und die moeglichen Folgen erlaeutern
- KI-Tools nutzen, ohne Artikel 22 zu beruecksichtigen - wenn ein KI-Tool in Ihrem Namen Entscheidungen ueber Personen trifft, gelten die DSGVO-Pflichten weiterhin fuer Ihr Unternehmen
- Transparenz beim Profiling ignorieren - selbst wenn Artikel 22 nicht gilt, muessen Sie gemaess Artikel 13 und 14 in Ihrer Datenschutzerklaerung transparent ueber Profiling informieren
GDPRWise analysiert Ihre Datenschutz-Einrichtung und zeigt auf, wo Regeln zur automatisierten Entscheidungsfindung fuer Ihr Unternehmen gelten koennten.