Verbot automatisierter Entscheidungen nach Art. 22 DSGVO: Was Unternehmen jetzt beachten müssen

Automatisierte Entscheidungen sind längst fester Bestandteil moderner Geschäftsmodelle. Ob KI-Systeme, Machine-Learning-Modelle oder einfache regelbasierte Entscheidungslogiken („Business Rules“) – Unternehmen nutzen digitale Verfahren, um Prozesse zu beschleunigen, Risiken zu bewerten oder Verträge effizient abzuwickeln. Was viele Verantwortliche jedoch übersehen: Art. 22 DSGVO enthält ein grundsätzliches Verbot automatisierter Einzelentscheidungen, wenn diese rechtliche oder ähnlich erhebliche Auswirkungen haben. Viele Unternehmen unterschätzen dieses Thema – insbesondere, weil automatisierte Prozesse häufig als rein technische oder operative Fragestellung betrachtet werden. Tatsächlich handelt es sich jedoch um eine datenschutzrechtliche Kernfrage mit erheblichem Bußgeld- und Haftungsrisiko. Dieser Leitfaden zeigt:

• und wie Unternehmen ihre Prozesse rechtssicher gestalten.
• wann eine „automatisierte Entscheidung“ im Sinne der DSGVO vorliegt,
• welche rechtlichen Anforderungen gelten,
• welche Auswirkungen das SCHUFA-Urteil des EuGH hat,
• und wie Unternehmen ihre Prozesse rechtssicher gestalten.

Warum automatisierte Entscheidungen für Unternehmen ein Datenschutz-Thema sind

Digitalisierung, KI und regelbasierte Systeme als Treiber. Automatisierte Entscheidungsfindung entsteht heute auf unterschiedliche Weise:

• durch KI-gestützte Modelle,
• durch statistische Scoring-Systeme,
• durch regelbasierte Entscheidungslogiken,
• oder durch Kombinationen aus mehreren Systemen.

Typische Anwendungsfälle sind:

• Scoring & Bonitätsbewertungen
• Bewerbervorauswahl im Recruiting
• Betrugs- und Risikobewertungen
• Zugangs- oder Vertragsentscheidungen
• Limit- oder Pricing-Entscheidungen

Besonders relevant: Auch scheinbar einfache Entscheidungsbäume oder Schwellenwertsysteme („Wenn Score < X → Ablehnung“) können unter Art. 22 DSGVO fallen.

Warum Art. 22 DSGVO bei automatisierte Entscheidungen oft unterschätzt wird

In der Praxis wird Art. 22 DSGVO häufig falsch interpretiert:

• als reine „KI-Vorschrift“,
• als Regelung nur für Großkonzerne,
• oder als bloße Transparenzpflicht.

Tatsächlich enthält Art. 22 DSGVO ein grundsätzliches Verbot automatisierter Einzelentscheidungen, sofern diese erhebliche Auswirkungen haben.

Was gilt rechtlich als „automatisierte Entscheidung“?

Eine automatisierte Entscheidung nach Art 22 DSGVO  liegt vor, wenn:

• sie ausschließlich automatisiert erfolgt (also ohne echte menschliche Mitwirkung),
• und sie eine rechtliche Wirkung entfaltet oder die betroffene Person ähnlich erheblich beeinträchtigt.

Wesentliche Abgrenzungen:

• Entscheidung vs. Entscheidungsgrundlage: Ein bloß vorbereitendes Scoring kann bereits entscheidungsrelevant sein, wenn es faktisch maßgeblich ist.
• Empfehlung vs. bindendes Ergebnis: Eine „Empfehlung“ ist rechtlich nicht neutral, wenn sie faktisch nie hinterfragt wird.
• Theoretische vs. tatsächliche Intervention: Ein Mitarbeiter „könnte“ eingreifen reicht nicht – entscheidend ist, ob er es tatsächlich kann und darf.

Typische Fehlannahmen in Unternehmen

In der Beratungspraxis zeigen sich immer wieder dieselben Irrtümer:

• „Wir nutzen nur ein Scoring, keine Entscheidung.“
• „Ein Mitarbeiter könnte theoretisch eingreifen.“
• „Regelbasierte Systeme sind keine KI.“

Praxis-Hinweis: Auch einfache Business Rules können Art. 22 DSGVO auslösen, wenn sie faktisch ein bindendes Ergebnis produzieren.

Die rechtlichen Anforderungen für automatisierte Entscheidungen nach Art. 22 DSGVO

Grundsatz: Verbot automatisierter Einzelentscheidungen

Art. 22 Abs. 1 DSGVO formuliert ein grundsätzliches Verbot. Automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung sind unzulässig – es sei denn, eine Ausnahme greift.Diese Vorschrift schützt Betroffene vor „Black-Box-Entscheidungen“ ohne Einflussmöglichkeit.

Zulässige Ausnahmen (Art. 22 Abs. 2 DSGVO)

Eine automatisierte Entscheidung ist nur zulässig, wenn eine der folgenden Alternativen  vorliegt:

1. Sie ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich,
2. sie ist aufgrund einer Rechtsvorschrift zulässig,
3. oder sie beruht auf einer ausdrücklichen Einwilligung der betroffenen Person.

Wichtig ist:

• Es handelt sich um alternative Tatbestände, nicht kumulative Voraussetzungen.
• Insbesondere bei der „Erforderlichkeit“ ist ein strenger Maßstab anzulegen.
• Organisatorische Bequemlichkeit oder Effizienz genügen nicht.

⚠️ Auch wenn eine Ausnahme greift, müssen zusätzliche Schutzmaßnahmen umgesetzt werden.

Empfohlene Schutzmaßnahmen (Art. 22 Abs. 3 DSGVO)

Unabhängig von der gewählten Ausnahme müssen Unternehmen sicherstellen:

• das Recht auf menschliche Intervention,
• das Recht, den eigenen Standpunkt darzulegen,
• das Recht, die Entscheidung anzufechten,
• sowie transparente Information nach Art. 13 / 14 DSGVO.

Diese Rechte müssen praktisch funktionsfähig sein – nicht nur auf dem Papier existieren.

Aktuelle Rechtsprechung: Warum das Thema jetzt besonders brisant ist

Das SCHUFA-Urteil des EuGH (C-634/21)

Mit seinem Urteil zum SCHUFA-Scoring hat der Europäische Gerichtshof die Reichweite von Art. 22 DSGVO deutlich präzisiert – und erheblich verschärft.

Der EuGH stellt klar:

• Ein Scoring kann selbst eine automatisierte Entscheidung im Sinne von Art. 22 DSGVO darstellen.
• Auch vorbereitende Verarbeitungsschritte sind rechtlich relevant, wenn sie faktisch maßgeblich für die spätere Entscheidung sind.
• Unternehmen können sich nicht darauf berufen, es handele sich lediglich um eine „Empfehlung“, wenn diese in der Praxis entscheidungsleitend ist.

Entscheidend ist die tatsächliche Wirkung – nicht die formale Bezeichnung. Das Urteil betrifft nicht nur das Kreditwesen. Es hat Signalwirkung für alle datengetriebenen Geschäftsmodelle, insbesondere dort, wo Scores, Risikoklassen oder algorithmische Bewertungen Grundlage für Vertrags-, Zugangs- oder Preisentscheidungen sind

Bußgeldfälle und behördliche Praxis

Die Datenschutzaufsichtsbehörden prüfen automatisierte Entscheidungen inzwischen gezielt – und verhängen empfindliche Sanktionen.

Hamburgische Datenschutzbehörde: 900.000 Euro Bußgeld gegen Bank

Die Hamburger Datenschutzbehörde verhängte im Jahr 2023 ein Bußgeld in Höhe von 900.000 Euro gegen die Sutor Bank. In Grundzügen ging es um:

• automatisierte Ablehnungen von Kreditanträgen,
• unzureichende Transparenz gegenüber betroffenen Kunden,
• fehlende nachvollziehbare Erläuterung der Entscheidungslogik,
• Verstöße gegen Informationspflichten nach Art. 13, 14 und 22 DSGVO.

Die Bank konnte Betroffenen nicht hinreichend erklären, wie das eingesetzte System zu seiner Entscheidung gelangte.

Berliner Datenschutzbehörde: Bußgeld in Höhe von 300.000€ wegen unzulässiger automatisierter Ablehnungen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte ein Bußgeld in Höhe von 300.000 Euro gegen ein Kreditunternehmen (Name wurde nicht veröffentlicht). Kern der Beanstandung:

• automatisierte Ablehnungsentscheidungen,
• fehlende wirksame menschliche Überprüfung,
• unzureichende Information über die Entscheidungsmechanismen.

Die Datenschutzbehörde stellte klar:
Ein bloß theoretisches Interventionsrecht genügt nicht. Die Überprüfung muss tatsächlich möglich und wirksam ausgestaltet sein.

Human Intervention bei automatisierten Entscheidungen richtig umsetzen – und nicht nur formal

Was echte menschliche Intervention bedeutet

• Keine rein formale Bestätigung,
• tatsächliche Prüfkompetenz,
• Entscheidungsbefugnis,
• reale Möglichkeit zur Abweichung.

Eine „automatisierte Entscheidung mit menschlichem Stempel“ genügt nicht.

Typische Fehler

• Intervention nur „auf Anfrage“, aber ohne echte Prüfstruktur
• fehlende Zuständigkeiten
• unzureichende Prozessdokumentation
• keine Schulung der Entscheidenden zur Logik des Systems

Best Practices

• klar definierte Eskalationsprozesse
• dokumentierte Prüfabläufe
• Schulung der Mitarbeitenden zur Systemlogik
• nachvollziehbare Entscheidungsprotokolle

Was Unternehmen bei automatisierten Entscheidungen jetzt konkret tun sollten

Checkliste für Verantwortliche

• Alle automatisierten Entscheidungsprozesse identifizieren
• Entscheidung vs. Entscheidungsgrundlage sauber abgrenzen
• Rechtsgrundlage prüfen und dokumentieren
• Erforderlichkeitstests durchführen
• Transparenzmechanismen überprüfen
• Interventionsprozesse formal und praktisch absichern
• Mitarbeiter (Human Assessors) regelmäßig zu den System und Algorithmen schulen

Wann ist eine Datenschutz-Folgenabschätzung bei automatisierte Entscheidungen erforderlich?

Eine DSFA ist regelmäßig erforderlich bei:

• systematischer Bewertung persönlicher Aspekte,
• umfangreichem Scoring,
• hohem Risiko für Betroffene.

Gerade bei KI- oder Risikomodellen ist eine DSFA häufig verpflichtend.

Transparenzpflichten bei automatisierten Entscheidungen: Keine „Black Box“-Entscheidungen

Unternehmen müssen Betroffene informieren über:

• das Bestehen automatisierter Entscheidungsfindung,
• die wesentliche Logik des Verfahrens,
• die Bedeutung und die möglichen Folgen.

Dabei gilt keine Offenlegung von Geschäftsgeheimnissen, aber verständliche Beschreibung der Entscheidungslogik.

Praxisgerechte Umsetzung kann erfolgen durch:

• gestufte Informationsmodelle,
• separate Informationsblätter,
• klar strukturierte Hinweise auf Interventionsrechte.

Fazit: Automatisierte Entscheidungen brauchen Datenschutz-Governance

Automatisierte Entscheidungen sind kein reines IT-Thema.
Sie sind eine zentrale Compliance-Frage.

Unternehmen sollten:

• Datenschutz frühzeitig in Digitalisierungsprojekte integrieren,
• Governance-Strukturen etablieren,
• Entscheidungslogiken dokumentieren,
• Human-Intervention-Prozesse belastbar implementieren.

Gerade bei komplexen ADM- oder KI-Systemen kann ein externer Datenschutzbeauftragter als Sparringspartner helfen, Risiken frühzeitig zu erkennen und rechtskonforme Strukturen aufzubauen.

FAQ: Automatisierte Entscheidungen nach Art. 22 DSGVO