DSGVO Art. 22 und automatisierte Entscheidungen
Art. 22 DSGVO verbietet automatisierte Einzelentscheidungen mit erheblicher Wirkung im Grundsatz und lässt sie nur in drei eng umrissenen Ausnahmen zu. Das EuGH-Urteil C-634/21 (SCHUFA, 7. Dezember 2023) hat die Reichweite des Verbots deutlich erweitert: Auch eine Score-Berechnung gilt bereits als automatisierte Einzelentscheidung, sofern Dritte sie zur Letzt-Entscheidung übernehmen. Wer 2026 KI in Bonitätsbewertung, Personalauswahl oder Kunden-Klassifizierung einsetzt, muss seine Architektur anhand dieses Urteils neu prüfen.
Was Art. 22 verlangt
Verbot von Entscheidungen, die ausschliesslich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Wirkung entfalten. Drei Ausnahmen: erforderlich für Vertragsabschluss, gesetzlich erlaubt, ausdrückliche Einwilligung. In allen drei Fällen Recht auf menschliches Eingreifen, Darlegung des eigenen Standpunkts und Anfechtung.
EuGH-SCHUFA-Urteil
Der EuGH hat klargestellt, dass eine Score-Berechnung als automatisierte Einzelentscheidung gilt, wenn Dritte (z. B. Banken) die Entscheidung über Kreditvergabe massgeblich auf den Score stützen. Das verschiebt den Anwendungsbereich von Art. 22 deutlich Richtung Vorgelagerte-Score-Anbieter.
Was menschliches Eingreifen praktisch bedeutet
Eine fachkundige Person muss die Letzt-Entscheidung treffen, das Modell-Ergebnis nachvollziehen, abweichen können. Stempel-Entscheidungen ohne echte Prüfung erfüllen Art. 22 nicht. BfDI und Landes-Aufsichten sind hier zunehmend kritisch.
Auskunfts- und Erklärungs-Rechte
Betroffene haben nach Art. 15 Abs. 1 lit. h DSGVO Anspruch auf aussagekräftige Informationen über die involvierte Logik, Tragweite und angestrebte Auswirkungen. Bei KI-Modellen heisst das: Eingangs-Variablen, Gewichtungs-Logik in Klartext, typische Entscheidungs-Faktoren. Geschäftsgeheimnis ist kein pauschaler Ausschluss-Grund.
Folgen für KI-Architektur
Hybride Architekturen mit dokumentierter menschlicher Letzt-Entscheidung sind die robusteste Antwort. Modell liefert Vorschlag plus Begründung, Mensch entscheidet, Entscheidung wird mit Modell-Vorschlag und Abweichungs-Grund protokolliert. Das deckt Art. 22 und ist DSGVO-Audit-fähig.
Bezug zur EU-KI-Verordnung
Hochrisiko-Systeme nach Anhang III EU-KI-Verordnung verlangen menschliche Aufsicht (Art. 14). DSGVO Art. 22 und EU-KI-Verordnung Art. 14 überschneiden sich, aber Art. 22 greift bereits bei begrenzt-Risiko-Systemen, sobald die Wirkung erheblich ist. In Praxis decken sich die Schutz-Niveaus weitgehend, und ein integriertes Aufsichts-Konzept reicht für beide.
Diese deutsche Fassung wird laufend ausgebaut. Für ein konkretes Projekt nutzen Sie bitte das Beratungsgespräch oder schreiben an info@ainora.lt.