Zum Hauptinhalt springen
Datenschutz / DSGVO

Automatisierte Einzelentscheidung

Eine ausschließlich auf automatisierter Verarbeitung einschließlich Profiling beruhende Entscheidung, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt; nach Art. 22 DSGVO grundsätzlich verboten.

Eine automatisierte Einzelentscheidung im Sinne des Art. 22 DSGVO liegt vor, wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung - einschließlich Profiling - beruht und gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlich erheblicher Weise beeinträchtigt. Entscheidend ist, dass kein wesentliches menschliches Eingreifen stattfindet: Eine nur formale Bestätigung eines maschinell erzeugten Ergebnisses genügt nicht, um den Anwendungsbereich zu verlassen. Typische Beispiele sind die automatisierte Ablehnung eines Online-Kreditantrags oder ein vollautomatisches Bewerber-Screening ohne inhaltliche Prüfung durch einen Menschen.

Art. 22 Abs. 1 DSGVO statuiert ein grundsätzliches Verbot mit Erlaubnisvorbehalt: Die betroffene Person hat das Recht, einer solchen Entscheidung nicht unterworfen zu werden. Ausnahmen sind nur zulässig, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, durch Unionsrecht oder mitgliedstaatliches Recht ausdrücklich zugelassen wird oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. Werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet, gelten zusätzliche Schranken: Hier kommen nur die ausdrückliche Einwilligung oder ein erhebliches öffentliches Interesse als Grundlage in Betracht, jeweils flankiert von angemessenen Schutzmaßnahmen.

Selbst wenn eine Ausnahme greift, schuldet der Verantwortliche nach Art. 22 Abs. 3 DSGVO geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person - mindestens das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Hinzu treten verschärfte Transparenzpflichten: Nach Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g und Art. 15 Abs. 1 lit. h DSGVO ist über das Bestehen einer automatisierten Entscheidungsfindung, die involvierte Logik sowie die Tragweite und angestrebten Auswirkungen zu informieren. In der Praxis ist regelmäßig eine Datenschutz-Folgenabschätzung durchzuführen, da automatisierte Entscheidungen mit Rechtsfolge typischerweise ein hohes Risiko begründen.

Rechtliche Grundlage

Art. 22 DSGVO (i. V. m. Art. 9, Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g, Art. 15 Abs. 1 lit. h DSGVO)

Praxisbeispiel

Ein Online-Versandhändler setzt ein Scoring-System ein, das Bestellungen auf Rechnung vollautomatisch ablehnt, sobald ein algorithmisch ermittelter Bonitätswert unterschritten wird. Da die Ablehnung ausschließlich maschinell erfolgt und die Vertragsanbahnung beeinträchtigt, prüft die Datenschutzbeauftragte: Sie dokumentiert die Vertragserforderlichkeit als Rechtsgrundlage nach Art. 22 Abs. 2 lit. a DSGVO, richtet einen Prozess für die manuelle Überprüfung auf Wunsch der Kundin ein, ergänzt die Datenschutzerklärung um Angaben zur Logik und Tragweite des Verfahrens und veranlasst eine Datenschutz-Folgenabschätzung für das Scoring.

Häufige Fragen

Verboten ist sie nach Art. 22 Abs. 1 DSGVO, wenn sie ausschließlich automatisiert erfolgt und rechtliche oder ähnlich erhebliche Wirkung entfaltet. Erlaubt ist sie nur ausnahmsweise bei Vertragserforderlichkeit, gesetzlicher Zulassung oder ausdrücklicher Einwilligung. Zudem müssen Schutzmaßnahmen wie das Recht auf menschliches Eingreifen gewährleistet sein.
Nein, eine nur formale Abnahme eines maschinell erzeugten Ergebnisses genügt nicht. Erforderlich ist ein wesentliches menschliches Eingreifen durch eine befugte Person, die das Ergebnis inhaltlich prüfen und ändern kann. Andernfalls bleibt die Entscheidung im Sinne des Art. 22 DSGVO ausschließlich automatisiert.
Ja, bei der Verarbeitung besonderer Kategorien nach Art. 9 DSGVO ist eine automatisierte Einzelentscheidung nur auf Grundlage ausdrücklicher Einwilligung oder eines erheblichen öffentlichen Interesses zulässig. In beiden Fällen müssen angemessene Maßnahmen zum Schutz der Rechte und Freiheiten getroffen werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Profiling Einwilligung (Consent) Datenschutz-Folgenabschätzung (DSFA) Betroffenenrechte Besondere Kategorien personenbezogener Daten
Zurück zum Glossar