Automatisierte Entscheidungsfindung
Automatisierte Entscheidungsfindung bezeichnet Entscheidungen, die ausschließlich durch Computer-Algorithmen ohne menschliches Eingreifen getroffen werden und rechtliche Wirkung entfalten oder eine Person erheblich beeinträchtigen. Sie ist gemäß Art. 22 DSGVO grundsätzlich verboten.
Ausführliche Erklärung
Automatisierte Entscheidungsfindung liegt vor, wenn ein IT-System ohne jegliche menschliche Beteiligung eine Entscheidung über eine Person trifft. Die DSGVO regelt diesen sensiblen Bereich in Art. 22, der ein grundsätzliches Verbot ausspricht: Betroffene Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Typische Beispiele sind automatisierte Kreditentscheidungen, vollautomatische Ablehnung von Online-Bewerbungen ohne menschliche Prüfung oder die Festsetzung von Versicherungsprämien ausschließlich durch Scoring-Algorithmen.
Das Verbot gilt nur für vollständig automatisierte Prozesse. Sobald ein Mensch die Entscheidung tatsächlich prüft und einen eigenen Entscheidungsspielraum hat, greift Art. 22 DSGVO nicht. Entscheidend ist dabei, dass die menschliche Prüfung keine reine Formalie ist. Ein bloßes Abnicken automatisch generierter Ergebnisse reicht nicht aus. Der EuGH hat in seinem Schufa-Urteil von 2023 klargestellt, dass bereits die Erstellung eines Scores durch einen Dienstleister unter das Verbot fallen kann, wenn dieser Score von einem anderen Unternehmen zur Entscheidungsfindung verwendet wird.
Von diesem grundsätzlichen Verbot gibt es drei Ausnahmen: Die automatisierte Entscheidung ist zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, wenn sie durch EU- oder nationales Recht ausdrücklich erlaubt ist, oder wenn die betroffene Person ausdrücklich eingewilligt hat. In allen drei Ausnahmefällen müssen Verantwortliche jedoch angemessene Maßnahmen zum Schutz der Rechte der Betroffenen treffen, insbesondere das Recht auf menschliches Eingreifen und auf Anfechtung der Entscheidung gewährleisten.
Für KMU bedeutet dies: Wer KI-gestützte Systeme zur Entscheidungsfindung einsetzt etwa im Recruiting, bei Bonitätsprüfungen oder in der Vertragsanbahnung muss sicherstellen, dass entweder eine der Ausnahmen greift oder eine echte menschliche Prüfung stattfindet. Zusätzlich besteht eine erweiterte Informationspflicht: Betroffene müssen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen der automatisierten Verarbeitung informiert werden. Bei Verarbeitung besonderer Kategorien personenbezogener Daten gelten noch strengere Anforderungen.
Praxisbeispiel
Eine österreichische IT-Beratung mit 45 Mitarbeitenden setzt ein KI-gestütztes Bewerbermanagementsystem ein, das Bewerbungen nach festgelegten Kriterien bewertet und ein Ranking erstellt. Das System darf nicht automatisch Absagen verschicken. Stattdessen prüft die Personalleiterin die Vorschläge des Systems kritisch, berücksichtigt zusätzliche Faktoren wie kulturelle Passung und trifft die finale Entscheidung eigenständig. Alle Bewerbenden werden in der Datenschutzerklärung über den Einsatz des Systems informiert und können bei einer negativen Entscheidung menschliches Eingreifen verlangen.
Quellen
- Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
- Sind automatisierte Entscheidungen zulässig? | Ombudsstelle.at
- Betroffenenrecht: Verbot automatisierter Entscheidung (Profiling)
- EU's Highest Court Expands EU GDPR Restrictions on Automated Decision-Making – Schufa-Urteil EuGH
- Automatisierte Entscheidung im Einzelfall - Anforderungen an datenschutzrechtliche Transparenz