Art. 22 DSGVO: Automatisierte Entscheidungen & Profiling

Was regelt Art. 22 DSGVO?

Art. 22 der Datenschutz-Grundverordnung (DSGVO) enthält eine der zukunftsweisendsten Regelungen des europäischen Datenschutzrechts: das grundsätzliche Verbot automatisierter Einzelentscheidungen. In einer Welt, in der Algorithmen und künstliche Intelligenz zunehmend Entscheidungen über Menschen treffen, schützt diese Vorschrift die betroffenen Personen vor rein maschinellen Entscheidungen mit erheblicher Wirkung.

Der Wortlaut von Art. 22 Abs. 1 DSGVO ist klar: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Diese Regelung hat mit dem Aufkommen von KI-Systemen und dem EU AI Act eine völlig neue Bedeutung erlangt.

Art. 22 DSGVO betrifft nicht jede automatisierte Datenverarbeitung, sondern ausschließlich solche Entscheidungen, die ohne jegliche menschliche Beteiligung getroffen werden und die betroffene Person rechtlich oder in vergleichbar schwerwiegender Weise betreffen. Die Abgrenzung zwischen reiner Entscheidungsunterstützung und einer vollautomatisierten Entscheidung ist in der Praxis häufig eine zentrale Fragestellung.

Das Verbot automatisierter Einzelentscheidungen im Detail

Das Verbot des Art. 22 DSGVO greift unter drei kumulativen Voraussetzungen: Erstens muss eine Entscheidung vorliegen, die ausschließlich auf automatisierter Verarbeitung basiert. Zweitens muss diese Entscheidung der betroffenen Person gegenüber eine rechtliche Wirkung entfalten. Drittens muss die Person in ähnlicher Weise erheblich beeinträchtigt werden.

Ausschließlich automatisiert bedeutet, dass kein Mensch in den Entscheidungsprozess eingebunden ist, der die automatisierte Entscheidung tatsächlich beeinflussen kann. Eine rein formale menschliche Beteiligung — etwa wenn ein Mitarbeiter eine algorithmische Empfehlung laufend ungeprüft übernimmt — reicht nach herrschender Meinung nicht aus, um das Verbot zu umgehen.

Rechtliche Wirkung liegt beispielsweise vor bei der automatisierten Ablehnung eines Kreditantrags, der automatischen Kündigung eines Vertrags oder der automatisierten Ablehnung einer Bewerbung. Eine erhebliche Beeinträchtigung in ähnlicher Weise kann auch dann vorliegen, wenn keine direkte rechtliche Wirkung eintritt — etwa bei der automatisierten Preisgestaltung, die bestimmte Personen systematisch benachteiligt, oder bei der Verweigerung von Dienstleistungen.

Ausnahmen vom Verbot nach Art. 22 Abs. 2 DSGVO

Das Verbot automatisierter Einzelentscheidungen ist nicht absolut. Art. 22 Abs. 2 DSGVO sieht drei Ausnahmetatbestände vor, unter denen solche Entscheidungen zulässig sein können:

Erforderlichkeit für den Vertragsschluss oder die Vertragserfüllung (Art. 22 Abs. 2 lit. a): Automatisierte Entscheidungen sind zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind. Das klassische Beispiel ist die sofortige automatisierte Kreditentscheidung im Online-Banking. Die Erforderlichkeit setzt voraus, dass keine weniger einschneidende Alternative zur Verfügung steht.

Unionsrechtliche oder mitgliedstaatliche Rechtsvorschrift (Art. 22 Abs. 2 lit. b): Wenn eine Rechtsvorschrift die automatisierte Entscheidungsfindung ausdrücklich gestattet und gleichzeitig angemessene Schutzmaßnahmen vorsieht. Ein Beispiel ist die automatisierte Steuerveranlagung durch Finanzbehörden nach § 155 Abs. 4 AO.

Ausdrückliche Einwilligung (Art. 22 Abs. 2 lit. c): Die betroffene Person hat der automatisierten Entscheidung ausdrücklich zugestimmt. Die Einwilligung muss dabei den strengen Anforderungen des Art. 7 DSGVO genügen — sie muss freiwillig, informiert, spezifisch und unmissverständlich sein. Insbesondere muss die betroffene Person über die Logik und die möglichen Auswirkungen der automatisierten Entscheidung aufgeklärt werden.

Profiling: Definition und Abgrenzung

Art. 4 Nr. 4 DSGVO definiert Profiling als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“. Typische Profilaspekte sind Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel.

Profiling und automatisierte Einzelentscheidung sind nicht dasselbe. Profiling kann als Grundlage für eine automatisierte Entscheidung dienen, muss es aber nicht. Umgekehrt können automatisierte Entscheidungen auch ohne Profiling getroffen werden. Art. 22 DSGVO erfasst beide Konstellationen — sowohl rein automatisierte Entscheidungen als auch solche, die auf Profiling basieren.

Für Unternehmen ist die Unterscheidung praktisch relevant: Einfaches Profiling (z. B. die Segmentierung von Kunden nach Kaufverhalten) unterliegt den allgemeinen DSGVO-Grundsätzen, löst aber nicht automatisch das Verbot nach Art. 22 aus. Erst wenn das Profiling zur Grundlage einer automatisierten Einzelentscheidung mit erheblicher Wirkung wird, greift Art. 22 DSGVO.

Künstliche Intelligenz und Art. 22 DSGVO

Mit dem Inkrafttreten des EU AI Act (Verordnung (EU) 2024/1689) und der rasanten Verbreitung von KI-Systemen in Unternehmen gewinnt Art. 22 DSGVO massive zusätzliche Bedeutung. Viele KI-Anwendungen treffen Entscheidungen, die unter den Anwendungsbereich von Art. 22 fallen können.

Der EU AI Act ergänzt die DSGVO, ersetzt sie aber nicht. KI-Systeme, die automatisierte Entscheidungen mit erheblicher Wirkung treffen, müssen sowohl die Anforderungen des AI Act als auch die des Art. 22 DSGVO erfüllen. Insbesondere die Transparenzanforderungen und die Pflicht zur menschlichen Aufsicht sind in beiden Regelwerken verankert.

Besonders relevante KI-Anwendungen:

Automatisierte Kreditscoring-Systeme, die über Kreditvergabe entscheiden. KI-gestützte Bewerbermanagementsysteme, die Kandidaten automatisiert auswählen oder ablehnen. Algorithmen in der Versicherungsbranche, die Prämien berechnen oder Leistungen automatisch ablehnen. Automatisierte Content-Moderation in sozialen Netzwerken. Predictive-Policing-Systeme und automatisierte Risikobewertungen. Personalisierte Preisgestaltung durch Machine Learning.

Für all diese Anwendungen gilt: Wenn die KI die Entscheidung ausschließlich automatisiert trifft und diese erhebliche Wirkung hat, ist eine Rechtsgrundlage nach Art. 22 Abs. 2 erforderlich und die Betroffenenrechte müssen gewahrt werden.

Auskunftsrecht über die Logik der Verarbeitung (Art. 15 DSGVO)

Art. 15 Abs. 1 lit. h DSGVO gewährt betroffenen Personen ein vollständiges Auskunftsrecht bei automatisierter Entscheidungsfindung. Verantwortliche müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung bereitstellen.

Dieses Recht ist in der Praxis hochgradig komplex. Bei einfachen regelbasierten Systemen lässt sich die Logik relativ leicht erklären. Bei modernen Machine-Learning-Modellen, insbesondere bei Deep-Learning-Systemen, stößt die Erklärbarkeit an ihre Grenzen — das sogenannte „Black-Box-Problem“.

Unternehmen sollten dennoch in der Lage sein, zumindest die wesentlichen Faktoren zu benennen, die in eine automatisierte Entscheidung einfließen, die Gewichtung dieser Faktoren grob darzulegen und die Auswirkungen der Entscheidung verständlich zu erklären. Der Einsatz von Explainable AI (XAI) Methoden wird zunehmend zur praktischen Notwendigkeit.

Das Recht auf menschliche Überprüfung

In den Fällen, in denen automatisierte Einzelentscheidungen auf Basis einer Ausnahme nach Art. 22 Abs. 2 zulässig sind, muss der Verantwortliche gemäß Art. 22 Abs. 3 DSGVO angemessene Maßnahmen treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. Dazu gehört mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, das Recht auf Darlegung des eigenen Standpunkts und das Recht auf Anfechtung der Entscheidung.

Die menschliche Überprüfung muss substantiell sein. Der überprüfende Mitarbeiter muss über die notwendige Kompetenz und Befugnis verfügen, die automatisierte Entscheidung tatsächlich zu ändern. Eine rein kosmetische Überprüfung, bei der das Ergebnis laufend bestätigt wird, genügt den Anforderungen nicht.

Unternehmen sollten klare Prozesse für die menschliche Überprüfung implementieren, die Mitarbeiter entsprechend schulen und dokumentieren, wie viele automatisierte Entscheidungen tatsächlich überprüft und gegebenenfalls korrigiert werden.

Praxisbeispiele: Wo Art. 22 DSGVO greift

Die folgenden Beispiele verdeutlichen, in welchen Situationen Art. 22 DSGVO relevant wird und wie Unternehmen damit umgehen sollten.

Kreditscoring und Bonitätsprüfung

Die automatisierte Berechnung eines Kreditscores und die darauf basierende automatische Ablehnung eines Kreditantrags ist das Paradebeispiel für Art. 22 DSGVO. Der Bundesgerichtshof hat in seiner SCHUFA-Entscheidung (Urteil vom 27.03.2025) bestätigt, dass die betroffene Person ein Recht auf Erklärung der wesentlichen Scoring-Faktoren hat.

Automatisierte Bewerbungsfilter

Wenn ein KI-gestütztes Bewerbermanagementsystem Bewerbungen automatisiert aussortiert, ohne dass ein Personalverantwortlicher die abgelehnten Bewerbungen sichtet, liegt eine automatisierte Einzelentscheidung mit erheblicher Wirkung vor. Unternehmen müssen sicherstellen, dass entweder eine wirksame Einwilligung vorliegt oder ein Mensch die KI-Empfehlungen tatsächlich prüft.

Versicherungsprämien und Leistungsablehnungen

Die automatisierte Berechnung von Versicherungsprämien basierend auf individuellen Risikoprofilen kann unter Art. 22 fallen, insbesondere wenn die Prämienberechnung zu einer erheblichen Benachteiligung bestimmter Personengruppen führt. Automatisierte Leistungsablehnungen fallen eindeutig unter das Verbot.

Dynamische Preisgestaltung

Wenn ein Online-Shop Preise automatisiert und individuell basierend auf dem Nutzerprofil anpasst, kann dies unter Art. 22 DSGVO fallen — insbesondere wenn die Preisunterschiede erheblich sind und bestimmte Nutzergruppen systematisch benachteiligt werden.

Bußgelder und Durchsetzung bei Verstößen gegen Art. 22 DSGVO

Verstöße gegen Art. 22 DSGVO können gemäß Art. 83 Abs. 5 lit. b DSGVO mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden — je nachdem, welcher Betrag höher ist.

In der Praxis haben Aufsichtsbehörden zunehmend Fälle aufgegriffen, in denen Unternehmen automatisierte Entscheidungen ohne ausreichende Rechtsgrundlage oder ohne angemessene Schutzmechanismen getroffen haben. Die italienische Datenschutzbehörde verhängte beispielsweise ein Bußgeld in Millionenhöhe gegen ein Unternehmen, das automatisierte Entscheidungen im Beschäftigungskontext ohne hinreichende Transparenz traf.

Handlungsempfehlungen für Unternehmen

Angesichts der zunehmenden Automatisierung und des Einsatzes von KI sollten Unternehmen folgende Maßnahmen ergreifen:

Bestandsaufnahme: Identifizieren Sie alle Prozesse, in denen automatisierte Entscheidungen getroffen werden. Prüfen Sie, ob diese unter Art. 22 DSGVO fallen.

Rechtsgrundlage sichern: Stellen Sie für jede relevante automatisierte Entscheidung eine Rechtsgrundlage nach Art. 22 Abs. 2 sicher — sei es vertragliche Erforderlichkeit, eine Rechtsvorschrift oder eine wirksame Einwilligung.

Transparenz gewährleisten: Informieren Sie betroffene Personen vorausschauend über den Einsatz automatisierter Entscheidungen und erklären Sie die wesentliche Logik verständlich.

Menschliche Überprüfung implementieren: Etablieren Sie funktionierende Prozesse für die menschliche Überprüfung automatisierter Entscheidungen auf Anfrage der Betroffenen.

DSFA durchführen: Für die meisten automatisierten Entscheidungssysteme ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich.

DATUREX: Ihr Partner für datenschutzkonforme Automatisierung

Die DATUREX GmbH unterstützt Unternehmen dabei, automatisierte Entscheidungsprozesse und KI-Systeme datenschutzkonform zu gestalten. Wir prüfen Ihre bestehenden Systeme auf Konformität mit Art. 22 DSGVO und dem EU AI Act, erstellen Datenschutz-Folgenabschätzungen und implementieren die erforderlichen Schutzmechanismen.

Sie setzen KI ein oder planen den Einsatz automatisierter Entscheidungen? Kontaktieren Sie uns — wir sorgen dafür, dass Ihre Systeme rechtskonform arbeiten und die Rechte Ihrer Kunden und Mitarbeiter gewahrt bleiben.

Art. 22 DSGVO und der EU AI Act: Was ändert sich 2026?

Mit dem Inkrafttreten des EU AI Act im Jahr 2026 ergänzt eine weitere Regulierungsebene die bestehenden Vorgaben des Art. 22 DSGVO. Während Art. 22 DSGVO das Recht auf menschliche Überprüfung automatisierter Entscheidungen garantiert, geht der AI Act einen Schritt weiter und klassifiziert KI-Systeme nach Risikogruppen.

Hochrisiko-KI-Systeme — etwa solche, die in der Personalauswahl, Kreditvergabe oder Strafverfolgung eingesetzt werden — unterliegen künftig strengen Transparenz- und Dokumentationspflichten. Unternehmen müssen nicht nur nachweisen können, welche Logik hinter automatisierten Entscheidungen steckt (Art. 22 Abs. 3 DSGVO), sondern auch eine vollständige technische Dokumentation des KI-Systems vorhalten.

Konsequenzen für Unternehmen

Die Kombination aus Art. 22 DSGVO und AI Act bedeutet in der Praxis: Jedes Unternehmen, das KI-gestützte Entscheidungssysteme einsetzt, muss eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen, die Betroffenen über die Existenz automatisierter Entscheidungsfindung informieren, die involvierten Logiken verständlich erklären können und bei Hochrisiko-KI zusätzlich die Anforderungen des AI Act erfüllen. Die Bußgelder für Verstöße gegen den AI Act können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen.

Häufige Fragen zu Art. 22 DSGVO

Gilt Art. 22 DSGVO auch für teilautomatisierte Entscheidungen?

Art. 22 DSGVO greift nur bei ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen. Wenn ein Mensch die Entscheidung lediglich formal bestätigt, ohne sie inhaltlich zu prüfen, kann dennoch ein Verstoß vorliegen. Wichtig ist, ob eine echte menschliche Prüfung mit Einflussmöglichkeit stattfindet. Ein bloßes „Durchwinken“ automatisierter Vorschläge genügt nach Auffassung der Datenschutzbehörden nicht.

Welche Rechte haben Betroffene nach Art. 22 DSGVO?

Betroffene haben das Recht auf Anfechtung der Entscheidung, Darlegung des eigenen Standpunkts, Erwirkung des Eingreifens einer Person seitens des Verantwortlichen und Erläuterung der Entscheidung. Zusätzlich haben sie nach Art. 15 DSGVO das Recht auf Auskunft über die involvierte Logik sowie die Tragweite und angestrebten Auswirkungen der Verarbeitung.

Wie setze ich Art. 22 DSGVO praktisch um?

Erstens: Identifizieren Sie alle Prozesse, in denen automatisierte Entscheidungen ohne menschliche Beteiligung getroffen werden. Zweitens: Prüfen Sie für jeden Prozess, ob eine Rechtsgrundlage nach Art. 22 Abs. 2 vorliegt. Drittens: Implementieren Sie Mechanismen für menschliche Überprüfung. Viertens: Informieren Sie Betroffene vorausschauend in Ihrer Datenschutzerklärung. Als externer Datenschutzbeauftragter unterstützt DATUREX GmbH Sie bei der vollständigen Umsetzung — kontaktieren Sie uns für ein unverbindliches Erstgespräch.

Checkliste: Art. 22 DSGVO-Compliance für Unternehmen

Die Umsetzung der Anforderungen aus Art. 22 DSGVO erfordert einen strukturierten Ansatz. Die folgende Checkliste hilft Unternehmen dabei, ihre automatisierten Entscheidungsprozesse systematisch auf DSGVO-Konformität zu prüfen und die notwendigen Maßnahmen umzusetzen.

1. Bestandsaufnahme aller automatisierten Prozesse

Der erste Schritt besteht darin, sämtliche Geschäftsprozesse zu identifizieren, in denen automatisierte Entscheidungen getroffen werden. Dabei sollten Unternehmen nicht nur offensichtliche Systeme wie Kreditscoring oder Bewerbungsfilter berücksichtigen, sondern auch weniger offensichtliche Prozesse wie automatisierte Vertragsverlängerungen, algorithmenbasierte Preisberechnungen oder die automatische Sperrung von Nutzerkonten bei verdächtigem Verhalten. Erstellen Sie ein vollständiges Verzeichnis aller betroffenen Systeme mit einer Beschreibung der jeweiligen Entscheidungslogik.

2. Rechtliche Bewertung jedes Prozesses

Für jeden identifizierten Prozess muss geprüft werden, ob die Voraussetzungen des Art. 22 Abs. 1 DSGVO erfüllt sind — also ob eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder erheblicher Beeinträchtigung vorliegt. Falls ja, ist eine Rechtsgrundlage nach Art. 22 Abs. 2 DSGVO erforderlich. Dokumentieren Sie für jeden Prozess die gewählte Rechtsgrundlage und die Begründung. Besonders bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO gelten verschärfte Anforderungen — hier ist eine automatisierte Einzelentscheidung nur bei ausdrücklicher Einwilligung oder aufgrund von Unionsrecht zulässig.

3. Transparenzpflichten erfüllen

Informieren Sie betroffene Personen bereits vor der Datenerhebung gemäß Art. 13 und 14 DSGVO über den Einsatz automatisierter Entscheidungsfindung einschließlich Profiling. Die Information muss aussagekräftige Angaben über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen enthalten. Passen Sie Ihre Datenschutzhinweise entsprechend an und stellen Sie sicher, dass die Informationen für Laien verständlich formuliert sind.

4. Mechanismen zur menschlichen Überprüfung einrichten

Richten Sie einen klaren Prozess ein, über den betroffene Personen eine menschliche Überprüfung der automatisierten Entscheidung verlangen können. Der zuständige Mitarbeiter muss tatsächlich befugt sein, die Entscheidung zu ändern. Definieren Sie Reaktionszeiten, Eskalationswege und Dokumentationspflichten. Schulen Sie die beteiligten Mitarbeiter regelmäßig.

5. Datenschutz-Folgenabschätzung durchführen

Gemäß Art. 35 Abs. 3 lit. a DSGVO ist eine Datenschutz-Folgenabschätzung (DSFA) zwingend erforderlich, wenn eine systematische und vollständige Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage automatisierter Verarbeitung einschließlich Profiling erfolgt. Die DSFA muss die konkreten Risiken bewerten und die getroffenen Abhilfemaßnahmen dokumentieren. Aktualisieren Sie die DSFA regelmäßig, insbesondere wenn sich das eingesetzte System wesentlich verändert.

6. Dokumentation im Verarbeitungsverzeichnis

Nehmen Sie alle automatisierten Entscheidungsprozesse in Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO auf. Dokumentieren Sie die Rechtsgrundlage, die Kategorien betroffener Personen, die verwendeten Daten, die Entscheidungslogik und die implementierten Schutzmaßnahmen. Diese Dokumentation ist nicht nur rechtlich erforderlich, sondern dient auch als Nachweis gegenüber Aufsichtsbehörden.

Scoring, Bonitätsprüfungen und Art. 22 DSGVO in der Praxis

Scoring-Verfahren und Bonitätsprüfungen gehören zu den häufigsten Anwendungsfällen automatisierter Einzelentscheidungen im Sinne des Art. 22 DSGVO. Nahezu jedes Unternehmen, das Verträge mit Verbrauchern abschließt, nutzt in irgendeiner Form eine automatisierte Bonitätsprüfung — sei es bei der Kreditvergabe, beim Abschluss eines Mobilfunkvertrags oder bei der Bestellung auf Rechnung im Online-Handel.

Rechtsprechung zum Scoring

Der Europäische Gerichtshof hat mit seinem wegweisenden Urteil vom 07.12.2023 (C-634/21) klargestellt, dass das automatisierte Kreditscoring durch Auskunfteien eine automatisierte Einzelentscheidung im Sinne des Art. 22 DSGVO darstellt, wenn der Score maßgeblich für die Entscheidung eines Dritten (z. B. einer Bank) ist. Dieses Urteil hat die Rechtslage in Deutschland grundsätzlich verändert und die Position der Verbraucher deutlich gestärkt.

In der Folge müssen Auskunfteien und kreditgebende Unternehmen nun deutlich transparenter über ihre Scoring-Verfahren informieren. Betroffene haben das Recht, die wesentlichen Faktoren zu erfahren, die in die Berechnung ihres Scores eingeflossen sind. Pauschalverweise auf Geschäftsgeheimnisse reichen nach der aktuellen Rechtsprechung nicht mehr aus, um die Auskunft zu verweigern.

Anforderungen an rechtskonformes Scoring

Unternehmen, die Scoring-Verfahren einsetzen oder auf Scoring-Ergebnisse Dritter zurückgreifen, müssen folgende Anforderungen beachten: Die betroffene Person muss vor der erstmaligen Abfrage eines Scores über die geplante Bonitätsprüfung informiert werden. Es muss eine geeignete Rechtsgrundlage vorliegen — in der Regel die Vertragserfüllung nach Art. 22 Abs. 2 lit. a oder ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Die verwendeten Daten müssen sachlich richtig und aktuell sein. Diskriminierende Kriterien wie Geschlecht, ethnische Herkunft oder Wohnort dürfen nicht als alleinige Entscheidungsgrundlage herangezogen werden. Und schließlich muss die Möglichkeit einer menschlichen Überprüfung gewährleistet sein.

Art. 22 DSGVO und Beschäftigtendatenschutz: Automatisierung im Arbeitsrecht

Im Beschäftigungsverhältnis gewinnt Art. 22 DSGVO zunehmend an Bedeutung. Immer mehr Unternehmen setzen automatisierte Systeme in der Personalverwaltung ein — von der Bewerbungsauswahl über die Leistungsbewertung bis hin zu Kündigungsentscheidungen. Für den Beschäftigtendatenschutz gelten dabei besondere Anforderungen.

Automatisierte Entscheidungen im Beschäftigungskontext sind besonders sensibel, da das Abhängigkeitsverhältnis zwischen Arbeitgeber und Arbeitnehmer die Freiwilligkeit einer Einwilligung nach Art. 22 Abs. 2 lit. c DSGVO grundsätzlich infrage stellt. Unternehmen sollten sich daher nicht auf die Einwilligung als Rechtsgrundlage verlassen, sondern stattdessen auf eine echte menschliche Beteiligung an der Entscheidungsfindung setzen. Das bedeutet konkret: KI-Systeme können Vorschläge unterbreiten oder Kandidaten vorfiltern, die finale Entscheidung muss jedoch von einem kompetenten Mitarbeiter getroffen werden, der die KI-Empfehlung tatsächlich überprüft und gegebenenfalls überstimmt.

Zudem unterliegt die Einführung automatisierter Überwachungs- und Bewertungssysteme am Arbeitsplatz der Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG. Unternehmen, die automatisierte Systeme ohne Beteiligung des Betriebsrats einführen, riskieren nicht nur datenschutzrechtliche Bußgelder, sondern auch arbeitsrechtliche Konsequenzen.

Erweiterte FAQ: Weitere häufige Fragen zu Art. 22 DSGVO

Was passiert, wenn ein Unternehmen gegen Art. 22 DSGVO verstößt?

Verstöße gegen Art. 22 DSGVO können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen. Außerdem können betroffene Personen Schadensersatzansprüche nach Art. 82 DSGVO geltend machen. Die automatisierte Entscheidung selbst ist bei einem Verstoß rechtswidrig und muss rückgängig gemacht werden. In der Praxis bedeutet das: Ein automatisiert abgelehnter Kreditantrag muss bei einem Verstoß gegen Art. 22 erneut — diesmal unter menschlicher Beteiligung — geprüft werden.

Müssen kleine Unternehmen Art. 22 DSGVO beachten?

Ja, Art. 22 DSGVO gilt unabhängig von der Unternehmensgröße. Auch kleine Unternehmen, die automatisierte Entscheidungen treffen — etwa bei der automatischen Ablehnung von Online-Bestellungen basierend auf einer Bonitätsprüfung — müssen die Anforderungen des Art. 22 DSGVO einhalten. Ein externer Datenschutzbeauftragter kann gerade kleineren Unternehmen helfen, die Anforderungen pragmatisch und kosteneffizient umzusetzen.

Wie unterscheidet sich Profiling nach DSGVO von herkömmlicher Datenanalyse?

Profiling im Sinne der DSGVO liegt vor, wenn personenbezogene Daten automatisiert verarbeitet werden, um persönliche Aspekte einer natürlichen Person zu bewerten — insbesondere Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Interessen, Zuverlässigkeit oder Verhalten. Eine rein statistische Auswertung anonymisierter Daten fällt hingegen nicht unter den Profiling-Begriff. Wichtig ist, ob die Auswertung auf eine bestimmbare Person bezogen ist und ob daraus Vorhersagen oder Bewertungen über diese Person abgeleitet werden.

Welche Rolle spielt der Datenschutzbeauftragte bei automatisierten Entscheidungen?

Der Datenschutzbeauftragte spielt eine zentrale Rolle bei der Überwachung automatisierter Entscheidungsprozesse. Er berät das Unternehmen bei der Durchführung von Datenschutz-Folgenabschätzungen, überwacht die Einhaltung der Transparenzpflichten und fungiert als Ansprechpartner für betroffene Personen, die eine menschliche Überprüfung verlangen. Gerade bei komplexen KI-Systemen ist die frühzeitige Einbindung des Datenschutzbeauftragten nötig.

Art. 22 DSGVO im internationalen Vergleich

Das Verbot automatisierter Einzelentscheidungen nach Art. 22 DSGVO ist im internationalen Vergleich eine der fortschrittlichsten Regelungen zum Schutz vor algorithmischer Diskriminierung. Während die DSGVO weltweit als Vorbild gilt, haben andere Rechtsordnungen unterschiedliche Ansätze gewählt.

In den USA existiert kein vergleichbares bundesweites Verbot automatisierter Entscheidungen. Einzelne Bundesstaaten wie Illinois (mit dem Biometric Information Privacy Act) oder Kalifornien (mit dem California Consumer Privacy Act) bieten gewissen Schutz, erreichen aber nicht die Regelungstiefe des Art. 22 DSGVO. In China schreibt das Personal Information Protection Law (PIPL) in Art. 24 vor, dass automatisierte Entscheidungen nicht zu einer unangemessenen Ungleichbehandlung bei Preisen oder Transaktionsbedingungen führen dürfen — ein Ansatz, der stärker auf den Schutz vor Preisdiskriminierung fokussiert ist.

Für international tätige Unternehmen bedeutet dies: Wer die Anforderungen des Art. 22 DSGVO erfüllt, hat in der Regel auch die meisten internationalen Standards abgedeckt. Eine DSGVO-konforme Implementierung automatisierter Entscheidungsprozesse bietet daher einen soliden Rahmen für die globale Compliance. Unternehmen, die grenzüberschreitend tätig sind, sollten jedoch zusätzlich prüfen, ob in den jeweiligen Zielmärkten besondere Anforderungen gelten — insbesondere bei der internationalen Datenübermittlung.

Besondere Kategorien personenbezogener Daten und automatisierte Entscheidungen

Art. 22 Abs. 4 DSGVO enthält eine besonders strenge Regelung für automatisierte Entscheidungen, die auf der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO beruhen. Dazu zählen Daten über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten DSGVO, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung.

Für automatisierte Entscheidungen auf Basis dieser sensiblen Daten gelten verschärfte Anforderungen: Die Verarbeitung ist nur zulässig, wenn die betroffene Person ausdrücklich eingewilligt hat (Art. 9 Abs. 2 lit. a DSGVO) oder die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist (Art. 9 Abs. 2 lit. g DSGVO). In jedem Fall müssen angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen werden.

In der Praxis ist diese Regelung besonders relevant für den Gesundheitssektor, wo zunehmend KI-Systeme für Diagnosen und Behandlungsempfehlungen eingesetzt werden, sowie für den Bereich der automatisierten Gesichtserkennung, die biometrische Daten verarbeitet. Unternehmen müssen bei solchen Systemen besonders sorgfältig prüfen, ob alle Voraussetzungen für eine rechtmäßige automatisierte Entscheidungsfindung gegeben sind.

Arbeitgeber, die Gesundheitsdaten oder biometrische Daten von Beschäftigten automatisiert auswerten — beispielsweise durch Fieberkameras am Eingang oder automatisierte Analyse von Krankmeldungsmustern — müssen nicht nur die Vorgaben des Art. 22 DSGVO einhalten, sondern auch die strengen Anforderungen des Art. 9 DSGVO beachten. Eine vollständige Beratung durch einen erfahrenen Datenschutzbeauftragten ist in diesen Fällen dringend zu empfehlen.