Mit dem vermehrten Einsatz von künstlicher Intelligenz (KI) werden immer mehr Entscheidungen autonom durch Maschinen getroffen. Angesichts dieser absehbaren Entwicklung wurden bereits im Jahr 2018 Datenschutz-Grundverordnung (DSGVO) Regelungen für solche automatisierten Entscheidungen geschaffen.
Art 22 Datenschutz-Grundverordnung (DSGVO) soll Sie vor beeinträchtigenden Entscheidungen schützen, die ausschließlich auf einer automatisierten (ausschließlich maschinellen) Datenverarbeitung ohne menschliches Zutun beruhen. Demnach dürfen Ergebnisse von – grundsätzlich zulässigen – automatisierten Datenverarbeitungen (inkl. „Profiling“) grundsätzlich nicht zur Grundlage von beeinträchtigenden Entscheidungen gemacht werden, wenn die „Letztentscheidungsbefugnis“ nicht einem Menschen obliegt.
Beispiel: Im Rahmen eines Recruiting-Verfahrens werden Bewerberdaten in ein Computerprogramm zwecks „Ranking“ der Bewerber:innen nach vorgegebenen Kriterien eingegeben. Der Arbeitgeber entscheidet aufgrund des „Rankings“, ob und welche Bewerber:innen zu einem Bewerbungsgespräch eingeladen werden. Da die Letztentscheidung über die Einladung der Bewerber:innen einem Menschen obliegt, liegt keine „ausschließlich“ auf einer automatisierten Datenverarbeitung beruhende Entscheidung vor. Anders wäre es, wenn Bewerber:innen unmittelbar nach Eingabe Ihrer Daten in ein e-Recruiting-Tool direkt eine Absage erhalten.
Eine beeinträchtigende Entscheidung liegt nur dann vor, wenn diese Entscheidung Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnliche Weise erheblich beeinträchtigt. Beispiele für eine solche Entscheidung oder erhebliche Beeinträchtigung sind:
Folgende Entscheidungen sind aber zu harmlos und daher nicht als Entscheidungen oder Beeinträchtigungen gemäß Art 22 DSGVO zu sehen:
Wenn Sie von einer beeinträchtigenden Entscheidung betroffen sind, können Sie nach Art 15 Abs 1 lit h Datenschutz-Grundverordnung (DSGVO) aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Datenverarbeitung verlangen. Im Übrigen sind in einer Datenschutzerklärung gemäß Art 13 Abs 2 lit f DSGVO Informationen über (i) das Bestehens der automatisierten Entscheidungsfindung, (ii) die involvierte Logik sowie (iii) die Tragweite und Auswirkungen der Verarbeitung zu geben.
Ohne menschliche Beteiligung ergehende automatisierte Entscheidungen mit rechtlicher Wirkung oder einer ähnlichen erheblichen Beeinträchtigung („schweres Profiling“) sind grundsätzlich unzulässig, außer in den folgenden sehr eng auszulegenden Ausnahmefällen:
Ob und in welchen Fällen eine automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, kann sehr umstritten sein (z. B. bei einer automatisierten Bonitätsprüfung vor Abschluss eines Mobilfunkvertrags). Bei der Anbahnung eines Kreditvertrags wird eine automatisierte Prüfung der Bonität bzw. Kreditwürdigkeit für den Abschluss des Kreditvertrags erforderlich sein, weil im Rahmen dessen die Laufzeit des Kredits und die Höhe der Raten auf Basis der Leistungsfähigkeit des Schuldners festgelegt werden.
In jedem Fall muss der Verantwortliche nach Art 22 Abs 3 DSGVO Ihnen im Fall einer solchen automatisierten Entscheidung das Recht einräumen, eine Korrektur der automatisierten Entscheidung zu beantragen. So können Sie in einem solchen Fall das Eingreifen einer echten Person verlangen, müssen den eigenen Standpunkt darlegen und die Entscheidung außergerichtlich anfechten können. Darüber muss sie der Verantwortliche auch informieren.
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?
Letzte Änderung: 10.09.2024