Automatisierte Entscheidungsfindung
Automatisierte Entscheidungsfindung bezeichnet Entscheidungen, die ausschließlich durch Computer-Algorithmen ohne menschliches Eingreifen getroffen werden und rechtliche Wirkung entfalten oder eine Person erheblich beeinträchtigen. Sie ist gemäß Art. 22 DSGVO grundsätzlich verboten.
Ausführliche Erklärung
Die Datenschutz-Grundverordnung regelt in Artikel 22 das grundsätzliche Verbot automatisierter Einzelentscheidungen. Eine solche Entscheidung liegt vor, wenn ein System ohne menschliche Beteiligung einen Beschluss trifft, der rechtliche Folgen nach sich zieht oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigt. Klassische Beispiele sind die automatische Ablehnung eines Online-Kreditantrags, vollautomatisierte Einstellungsverfahren oder algorithmische Bonitätsprüfungen. Entscheidend ist, dass die Entscheidung tatsächlich abschließend durch das System getroffen wird – bloße Vorschläge oder Vorfilterungen, die ein Mensch noch prüft und überstimmen kann, fallen nicht darunter.
Für KMU ist diese Regelung besonders dann relevant, wenn sie digitale Prozesse einführen möchten, die Kunden oder Bewerber betreffen. Das Verbot greift unmittelbar und bedarf keiner Geltendmachung durch Betroffene. Drei Ausnahmen erlauben automatisierte Entscheidungen: wenn sie für die Vertragserfüllung erforderlich sind, wenn eine gesetzliche Grundlage existiert oder wenn eine ausdrückliche Einwilligung vorliegt. Die Ausnahme der Vertragserforderlichkeit wird in der Praxis jedoch eng ausgelegt – Unternehmen müssen nachweisen, dass keine weniger invasive Methode zur Verfügung steht.
Bei zulässigen automatisierten Entscheidungen müssen Unternehmen umfangreiche Informationspflichten erfüllen. Betroffene Personen haben das Recht auf Auskunft über die involvierte Logik und die Tragweite der Entscheidung. Zudem muss die Möglichkeit bestehen, die Entscheidung anzufechten und den eigenen Standpunkt darzulegen. Im Beschäftigungskontext ist besondere Vorsicht geboten, da das Abhängigkeitsverhältnis die Wirksamkeit einer Einwilligung in Frage stellt. Automatisierte Systeme, die rechtlich relevante Wirkungen entfalten, erfordern zudem eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und müssen mit den Anforderungen der KI-Verordnung harmonieren.
Praxisbeispiel
Ein Onlineshop für Büromaterial mit 35 Mitarbeitenden möchte einen automatischen Kreditrahmen für Geschäftskunden einführen. Das System würde basierend auf Bestellhistorie und Zahlungsverhalten automatisch entscheiden, ob ein Kunde auf Rechnung bestellen darf. Diese Konstellation fällt unter Art. 22 DSGVO. Das Unternehmen muss sicherstellen, dass bei Ablehnungen ein Mitarbeiter die Entscheidung überprüft und gegebenenfalls korrigieren kann, bevor der Kunde informiert wird. Zudem muss der Kunde transparent über die Verwendung automatisierter Bewertungen informiert werden und die Möglichkeit haben, eine menschliche Überprüfung zu verlangen.
Quellen
- Art. 22 DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
- Sind automatisierte Entscheidungen zulässig? | Ombudsstelle.at
- Betroffenenrecht: Verbot automatisierter Entscheidung (Profiling)
- EU's Highest Court Expands EU GDPR Restrictions on Automated Decision-Making – Schufa-Urteil EuGH
- Automatisierte Entscheidung im Einzelfall - Anforderungen an datenschutzrechtliche Transparenz