Sind automatisierte Entscheidungen zulässig?

  • Völlig automatisierte Entscheidungen mit rechtlicher Wirkung oder ähnlichem Impact sind grundsätzlich unzulässig.
  • Nur in Ausnahmefällen sind solche automatisierten Entscheidungen erlaubt.
  • In diesen Fällen haben Sie aber Recht darauf, dass die Entscheidung durch einen Menschen überprüft wird.

Mit dem vermehrten Einsatz von künstlicher Intelligenz (KI) werden immer mehr Entscheidungen autonom durch Maschinen getroffen. Angesichts dieser absehbaren Entwicklung wurden bereits im Jahr 2018 Datenschutz-Grundverordnung (DSGVO) Regelungen für solche automatisierten Entscheidungen geschaffen.

Schutz vor automatisierter Entscheidung ohne menschliches Einschreiten

Art 22 Datenschutz-Grundverordnung (DSGVO) soll Sie vor beeinträchtigenden Entscheidungen schützen, die ausschließlich auf einer automatisierten (ausschließlich maschinellen) Datenverarbeitung ohne menschliches Zutun beruhen. Demnach dürfen Ergebnisse von – grundsätzlich zulässigen – automatisierten Datenverarbeitungen (inkl. „Profiling“) grundsätzlich nicht zur Grundlage von beeinträchtigenden Entscheidungen gemacht werden, wenn die „Letztentscheidungsbefugnis“ nicht einem Menschen obliegt.

Beispiel: Im Rahmen eines Recruiting-Verfahrens werden Bewerberdaten in ein Computerprogramm zwecks „Ranking“ der Bewerber:innen nach vorgegebenen Kriterien eingegeben. Der Arbeitgeber entscheidet aufgrund des „Rankings“, ob und welche Bewerber:innen zu einem Bewerbungsgespräch eingeladen werden. Da die Letztentscheidung über die Einladung der Bewerber:innen einem Menschen obliegt, liegt keine „ausschließlich“ auf einer automatisierten Datenverarbeitung beruhende Entscheidung vor. Anders wäre es, wenn Bewerber:innen unmittelbar nach Eingabe Ihrer Daten in ein e-Recruiting-Tool direkt eine Absage erhalten.

Entscheidung mit rechtlicher Wirkung oder ähnlicher Beeinträchtigung

Eine beeinträchtigende Entscheidung liegt nur dann vor, wenn diese Entscheidung Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnliche Weise erheblich beeinträchtigt. Beispiele für eine solche Entscheidung oder erhebliche Beeinträchtigung sind:

  • Verweigerung des Abschlusses eines Vertrags (z. B. automatische Ablehnung eines Kreditantrags)
  • Kündigung eines Vertrags
  • Versagen von betrieblichen oder öffentlich-rechtlichen Leistungen
  • Verweigerung der Einreise oder einer Staatsangehörigkeit
  • Staatliche Überwachungsmaßnahmen
  • Verpönte diskriminierende Entscheidungen

Folgende Entscheidungen sind aber zu harmlos und daher nicht als Entscheidungen oder Beeinträchtigungen gemäß Art 22 DSGVO zu sehen:

  • Nichtanbieten bestimmter Zahlungsmethoden (z. B. Kauf auf Rechnung)
  • Individualisierte Werbung
  • Vorschlag von Inhalten aufgrund vermuteter Vorlieben in einem Streaming-Programm ("Diese Inhalte könnten Ihnen auch gefallen")

Information über automatisierte Entscheidungen

Wenn Sie von einer beeinträchtigenden Entscheidung betroffen sind, können Sie nach Art 15 Abs 1 lit h Datenschutz-Grundverordnung (DSGVO) aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Datenverarbeitung verlangen. Im Übrigen sind in einer Datenschutzerklärung gemäß Art 13 Abs 2 lit f DSGVO Informationen über (i) das Bestehens der automatisierten  Entscheidungsfindung, (ii) die involvierte Logik sowie (iii) die Tragweite und Auswirkungen der Verarbeitung zu geben.

Automatisierte Entscheidungen nur ausnahmsweise erlaubt

Ohne menschliche Beteiligung ergehende automatisierte Entscheidungen mit rechtlicher Wirkung oder einer ähnlichen erheblichen Beeinträchtigung („schweres Profiling“) sind grundsätzlich unzulässig, außer in den folgenden sehr eng auszulegenden Ausnahmefällen:

  • Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich.
  • Es liegt eine Rechtsvorschrift der Union oder des nationalen Gesetzgebers vor.
  • Sie haben ausdrücklich ihre Einwilligung gegeben.

Ob und in welchen Fällen eine automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, kann sehr umstritten sein (z. B. bei einer automatisierten Bonitätsprüfung vor Abschluss eines Mobilfunkvertrags). Bei der Anbahnung eines Kreditvertrags wird eine automatisierte Prüfung der Bonität bzw. Kreditwürdigkeit für den Abschluss des Kreditvertrags erforderlich sein, weil im Rahmen dessen die Laufzeit des Kredits und die Höhe der Raten auf Basis der Leistungsfähigkeit des Schuldners festgelegt werden.

In jedem Fall muss der Verantwortliche nach Art 22 Abs 3 DSGVO Ihnen im Fall einer solchen automatisierten Entscheidung das Recht einräumen, eine Korrektur der automatisierten Entscheidung zu beantragen. So können Sie in einem solchen Fall das Eingreifen einer echten Person verlangen, müssen den eigenen Standpunkt darlegen und die Entscheidung außergerichtlich anfechten können. Darüber muss sie der Verantwortliche auch informieren.

Muss ich als Privatperson das Datenschutzrecht beachten?

Grundsätzlich muss sich jede Person, jedes Unternehmen, jede Behörde, jede Einrichtung und jede andere Stelle an das Datenschutzrecht halten.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine Person ist identifiziert, wenn...

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen

Letzte Änderung: 10.09.2024