Zurück zum Blog
Datenschutz
Regulierung

Automatisierte Einzelentscheidungen: Wann KI entscheiden darf — und wann nicht

Art. 22 DSGVO verbietet grundsätzlich rein automatisierte Entscheidungen mit rechtlicher Wirkung. Was bedeutet das für KI-Systeme in Unternehmen?

KCT
KI Comply TeamKI-Compliance Experten
28. Mai 20255 Min. Lesezeit
Automatisierte Einzelentscheidungen: Wann KI entscheiden darf — und wann nicht

Automatisierte Einzelentscheidungen: Wann KI entscheiden darf — und wann nicht

Das Wichtigste in Kürze: Art. 22 Abs. 1 DSGVO verbietet grundsätzlich Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche Wirkung entfalten oder Betroffene in ähnlicher Weise erheblich beeinträchtigen. Für KI-Systeme in Unternehmen heißt das: Sobald ein Algorithmus ohne echte menschliche Prüfung über Kreditvergabe, Bewerbungen, Versicherungsschutz oder Vertragskündigungen entscheidet, greift das Verbot. Es gibt drei eng begrenzte Ausnahmen -- Vertragserfüllung, gesetzliche Ermächtigung und ausdrückliche Einwilligung. Das EuGH-Urteil zur SCHUFA (C-634/21) hat den Anwendungsbereich erheblich ausgeweitet, und der AI Act (VO (EU) 2024/1689) ergänzt die DSGVO um zusätzliche Anforderungen an die menschliche Aufsicht. Unternehmen müssen jetzt prüfen, ob ihre KI-Systeme unter Art. 22 fallen -- und entsprechende Schutzmaßnahmen umsetzen.

KI-Systeme treffen heute Entscheidungen in Sekundenbruchteilen: Ein Algorithmus bewertet eine Kreditanfrage, ein Chatbot lehnt einen Versicherungsantrag ab, ein Recruiting-Tool sortiert Bewerbungen vor. Die Geschwindigkeit und Skalierbarkeit sind enorme Vorteile -- doch wenn ein KI-System eigenständig Entscheidungen über Menschen trifft, ohne dass ein Mensch wirklich eingreift, bewegen sich Unternehmen auf rechtlich sensiblem Terrain.

Art. 22 DSGVO enthält eines der am häufigsten unterschätzten Verbote im europäischen Datenschutzrecht. Es schützt Betroffene davor, rein maschinellen Entscheidungen ausgeliefert zu sein. Mit dem Aufkommen immer leistungsfähigerer KI-Systeme hat diese Vorschrift massiv an Bedeutung gewonnen -- nicht zuletzt durch das wegweisende SCHUFA-Urteil des EuGH und die ergänzenden Anforderungen des AI Act.

Dieser Artikel erklärt, was Art. 22 DSGVO verbietet, wann Ausnahmen greifen und wie Sie Ihre KI-Systeme rechtskonform gestalten.

Die Grundregel: Art. 22 Abs. 1 DSGVO

Art. 22 Abs. 1 DSGVO bestimmt:

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung -- einschließlich Profiling -- beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt."

Trotz des Wortlauts („Recht") handelt es sich nach herrschender Meinung und der Auslegung durch den Europäischen Datenschutzausschuss (EDSA) nicht nur um ein Widerspruchsrecht, sondern um ein grundsätzliches Verbot. Automatisierte Einzelentscheidungen mit den genannten Wirkungen sind verboten -- es sei denn, eine der eng begrenzten Ausnahmen des Abs. 2 greift.

Die drei Tatbestandsmerkmale

Damit Art. 22 Abs. 1 DSGVO einschlägig ist, müssen drei Voraussetzungen kumulativ erfüllt sein:

  1. Entscheidung: Es muss eine konkrete Maßnahme gegenüber einer natürlichen Person vorliegen -- eine Bewilligung, Ablehnung, Einstufung oder ähnliches.
  2. Ausschließlich auf automatisierter Verarbeitung beruhend: Die Entscheidung wird ohne maßgebliche menschliche Beteiligung getroffen. Ein bloßes „Durchwinken" einer KI-Empfehlung durch einen Mitarbeiter reicht nicht als menschliche Beteiligung.
  3. Rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung: Die Entscheidung muss spürbare Konsequenzen für die betroffene Person haben.

Was ist „rechtliche Wirkung"?

Der Begriff der „rechtlichen Wirkung" umfasst alle Entscheidungen, die den rechtlichen Status einer Person verändern oder ihre vertraglichen Rechte betreffen. Die „ähnlich erhebliche Beeinträchtigung" erweitert den Schutzbereich auf Fälle, die zwar keine unmittelbare Rechtsfolge haben, aber dennoch gravierend in die Lebenssituation der Betroffenen eingreifen.

Typische Beispiele mit rechtlicher Wirkung

  • Kreditablehnung: Ein Scoring-Algorithmus bewertet die Bonität und lehnt den Kreditantrag automatisch ab. Die betroffene Person verliert die Möglichkeit eines Vertragsschlusses.
  • Kündigung eines Vertragsverhältnisses: Ein KI-System erkennt vermeintliche Vertragsverletzungen und löst automatisch die Kündigung eines Versicherungsvertrags oder Abonnements aus.
  • Bewerbungsabsage: Ein KI-gestütztes Applicant Tracking System filtert Bewerbungen automatisch aus und versendet Absagen, ohne dass ein Recruiter die Unterlagen je gesehen hat.
  • Versicherungsablehnung oder Prämienerhöhung: Ein Algorithmus bewertet das individuelle Risikoprofil und verweigert den Versicherungsschutz oder setzt eine deutlich höhere Prämie fest.

Typische Beispiele mit „ähnlich erheblicher" Beeinträchtigung

  • Automatisierte Ablehnung einer Wohnungsbewerbung auf Basis eines Scoring-Werts
  • Sperrung eines Nutzerkontos auf einer Plattform, die für den Betroffenen wirtschaftlich wesentlich ist (z. B. ein Marktplatz-Konto)
  • Automatisierte Leistungsbewertung von Arbeitnehmern, die die Grundlage für Beförderungen oder Versetzungen bildet
  • Personalisierte Preise, die bestimmte Nutzergruppen systematisch benachteiligen

Die Schwelle für eine „ähnlich erhebliche Beeinträchtigung" ist nach ErwG 71 DSGVO niedrig: Es genügt, dass die Entscheidung die Umstände, das Verhalten oder die Wahlmöglichkeiten der betroffenen Personen erheblich beeinflusst.

Was ist Profiling? -- Art. 4 Nr. 4 DSGVO

Art. 22 DSGVO nennt Profiling ausdrücklich als eine Form der automatisierten Verarbeitung, die unter das Verbot fallen kann. Doch was genau ist Profiling?

Art. 4 Nr. 4 DSGVO definiert Profiling als:

„jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen."

Wichtige Unterscheidung: Profiling ist nicht automatisch verboten

Nicht jedes Profiling fällt unter Art. 22 DSGVO. Die Vorschrift verbietet nur solches Profiling, das allein die Grundlage einer Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung bildet. Profiling zu Analysezwecken ohne nachgelagerte Entscheidung -- etwa die Auswertung von Website-Nutzungsdaten zur Verbesserung der Benutzeroberfläche -- ist von Art. 22 nicht erfasst, unterliegt aber selbstverständlich den allgemeinen Anforderungen der DSGVO (Rechtsgrundlage, Transparenz, Zweckbindung).

Wann Profiling + Entscheidung = Art. 22

Kritisch wird es, wenn drei Elemente zusammenkommen:

  1. Ein KI-System erstellt ein Profil einer Person (z. B. Kreditwürdigkeit, Gesundheitsrisiko, Leistungsfähigkeit).
  2. Auf Basis dieses Profils wird eine Entscheidung getroffen oder vorbereitet.
  3. Die Entscheidung hat rechtliche oder ähnlich erhebliche Wirkung für die betroffene Person.

In diesem Fall greift das Verbot des Art. 22 Abs. 1 -- unabhängig davon, wie ausgeklügelt die Technologie ist oder wie präzise die Vorhersagen ausfallen.

Die drei Ausnahmen nach Art. 22 Abs. 2 DSGVO

Das Verbot ist nicht absolut. Art. 22 Abs. 2 DSGVO normiert drei Ausnahmen, unter denen automatisierte Einzelentscheidungen zulässig sein können.

1. Erforderlichkeit für Vertragsabschluss oder -erfüllung (Abs. 2 lit. a)

Die automatisierte Entscheidung ist zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.

Beispiel: Ein Online-Kreditvermittler nutzt ein automatisiertes Scoring, um Kreditanfragen in Echtzeit zu bewerten. Ohne Automatisierung wäre die Bearbeitung der hohen Antragsvolumina wirtschaftlich nicht möglich. Die Entscheidung kann als für die Vertragsanbahnung erforderlich angesehen werden.

Wichtig: Die Ausnahme ist eng auszulegen. „Erforderlich" bedeutet nicht „bequem" oder „effizienter". Es muss eine echte Notwendigkeit bestehen, die ohne Automatisierung nicht zu bewältigen wäre. Zudem müssen gemäß Art. 22 Abs. 3 DSGVO angemessene Maßnahmen zum Schutz der betroffenen Person getroffen werden -- mindestens das Recht auf menschliches Eingreifen, das Recht auf Darlegung des eigenen Standpunkts und das Recht auf Anfechtung der Entscheidung.

2. Gesetzliche Ermächtigung (Abs. 2 lit. b)

Die automatisierte Entscheidung ist zulässig, wenn sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten.

Beispiel: Das Geldwäschegesetz (GwG) verpflichtet Finanzinstitute zur automatisierten Transaktionsüberwachung. Die algorithmische Erkennung verdächtiger Transaktionsmuster und die daraus folgende automatisierte Meldung an die Financial Intelligence Unit (FIU) ist gesetzlich vorgesehen. Auch § 31a BDSG (neu) enthält Regelungen zum Scoring durch Auskunfteien.

Wichtig: Die gesetzliche Grundlage muss selbst angemessene Schutzmaßnahmen vorsehen. Eine pauschale Erlaubnis zur automatisierten Entscheidungsfindung ohne Schutzmechanismen genügt nicht -- wie der EuGH im SCHUFA-Urteil bezüglich § 31 BDSG a. F. festgestellt hat.

3. Ausdrückliche Einwilligung (Abs. 2 lit. c)

Die automatisierte Entscheidung ist zulässig, wenn sie mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Beispiel: Ein Versicherungsunternehmen bietet einen Schnelltarif an, bei dem der Antrag vollautomatisch durch ein KI-System bewertet wird. Der Antragsteller wird transparent darüber informiert und willigt ausdrücklich ein -- im Gegenzug für eine schnellere Bearbeitung.

Wichtig: Die Einwilligung muss den hohen Anforderungen der DSGVO genügen: Sie muss freiwillig, informiert, spezifisch und unmissverständlich sein. Eine versteckte Klausel in den AGB reicht nicht. Auch hier gelten die Schutzmaßnahmen des Art. 22 Abs. 3 DSGVO. Zudem darf bei der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) -- etwa Gesundheitsdaten oder Daten zur ethnischen Herkunft -- die automatisierte Entscheidung gemäß Art. 22 Abs. 4 DSGVO nur auf Einwilligung oder erhebliches öffentliches Interesse gestützt werden; die Vertragsausnahme greift hier nicht.

Das EuGH SCHUFA-Urteil und seine Auswirkungen

Das Urteil des Europäischen Gerichtshofs vom 7. Dezember 2023 in der Rechtssache C-634/21 hat die Reichweite des Art. 22 DSGVO erheblich erweitert. Das Gericht hatte zu entscheiden, ob die Erstellung eines Score-Werts durch die SCHUFA eine automatisierte Einzelentscheidung im Sinne von Art. 22 darstellt -- obwohl die SCHUFA selbst keine Kreditentscheidung trifft, sondern nur den Score an Banken übermittelt.

Die zentralen Feststellungen des EuGH

Erstens: Der EuGH stellte klar, dass bereits die Erstellung eines Score-Werts eine automatisierte Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO sein kann -- nämlich dann, wenn ein Dritter (z. B. eine Bank) diesen Score-Wert maßgeblich seiner eigenen Entscheidung zugrunde legt. Der Begriff der „Entscheidung" ist funktional zu verstehen: Wer faktisch die Entscheidung trifft, nicht wer formal die Erklärung abgibt, ist der richtige Adressat.

Zweitens: Ein formaler „Human in the Loop" schützt nicht automatisch vor der Anwendung des Art. 22 DSGVO. Wenn ein Bankmitarbeiter den SCHUFA-Score lediglich zur Kenntnis nimmt und die Kreditentscheidung faktisch danach richtet, ohne eigenständig zu prüfen, liegt weiterhin eine automatisierte Einzelentscheidung vor. Echte menschliche Aufsicht erfordert, dass der Mensch die Empfehlung des Systems eigenständig prüft, hinterfragt und gegebenenfalls davon abweicht.

Drittens: Der EuGH erklärte den damaligen § 31 BDSG a. F. für unionsrechtswidrig, weil er das Scoring durch Auskunfteien erlaubte, ohne die strengen Schutzmaßnahmen des Art. 22 Abs. 2 und 3 DSGVO vollständig umzusetzen.

Was bedeutet das für KI-Systeme?

Die Konsequenzen gehen weit über das Kredit-Scoring hinaus:

  • KI-gestützte Vorauswahl im Recruiting, bei der ein Algorithmus Bewerbungen bewertet und Recruiter faktisch nur die „Top-Kandidaten" sehen, kann eine automatisierte Einzelentscheidung sein.
  • Automatisierte Risikobewertungen in der Versicherungswirtschaft, deren Ergebnisse von Sachbearbeitern regelmäßig ungeprüft übernommen werden, fallen unter Art. 22.
  • KI-Assistenzsysteme in der öffentlichen Verwaltung, die Bescheide vorbereiten und der Sachbearbeiter nur noch „abzeichnet", unterliegen den gleichen Anforderungen.

Der Maßstab des EuGH ist klar: Entscheidend ist nicht die formale Organisationsstruktur, sondern die tatsächliche Entscheidungsmacht. Wenn das KI-System de facto entscheidet, greift Art. 22 -- unabhängig davon, ob am Ende ein Mensch auf „Bestätigen" klickt.

Zusammenspiel mit Art. 14 AI Act: Menschliche Aufsicht

Mit dem AI Act (VO (EU) 2024/1689) hat der europäische Gesetzgeber ein ergänzendes Regelwerk geschaffen, das die Anforderungen der DSGVO an automatisierte Entscheidungen verstärkt. Besonders relevant ist Art. 14 VO (EU) 2024/1689, der für Hochrisiko-KI-Systeme eine wirksame menschliche Aufsicht vorschreibt.

Was Art. 14 AI Act verlangt

Art. 14 Abs. 1 bestimmt, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt werden müssen, dass sie während ihrer Nutzung wirksam von natürlichen Personen beaufsichtigt werden können. Diese Aufsicht soll Risiken für Gesundheit, Sicherheit oder Grundrechte verhindern oder minimieren.

Die Aufsichtspersonen müssen gemäß Art. 14 Abs. 4 insbesondere in der Lage sein:

  • Die Fähigkeiten und Grenzen des KI-Systems zu verstehen
  • Mögliche Automatisierungsfehler (Automation Bias) zu erkennen
  • Die Ergebnisse des Systems korrekt zu interpretieren
  • In jeder Situation entscheiden zu können, das System nicht zu nutzen oder die Ausgabe zu übersteuern
  • Das System abzuschalten oder den Betrieb zu unterbrechen

Warum Art. 14 AI Act und Art. 22 DSGVO zusammen gedacht werden müssen

Die beiden Vorschriften verfolgen dasselbe Ziel aus unterschiedlichen Blickwinkeln:

  • Art. 22 DSGVO schützt das Recht des Einzelnen, nicht einer rein maschinellen Entscheidung unterworfen zu werden (datenschutzrechtliche Perspektive).
  • Art. 14 AI Act stellt sicher, dass KI-Systeme so gebaut und betrieben werden, dass menschliche Aufsicht technisch und organisatorisch möglich ist (produktsicherheitsrechtliche Perspektive).

Für Unternehmen heißt das: Ein Hochrisiko-KI-System, das die Anforderungen des Art. 14 AI Act an die menschliche Aufsicht erfüllt, hat gute Voraussetzungen, auch die Anforderungen des Art. 22 DSGVO zu erfüllen -- vorausgesetzt, die Aufsicht wird nicht nur technisch ermöglicht, sondern auch tatsächlich ausgeübt. Umgekehrt reicht es für den AI Act nicht aus, lediglich einen „Human in the Loop" zu benennen, wenn dieser den Output des Systems gar nicht verstehen oder bewerten kann.

Übersicht: Wann ist Art. 22 DSGVO relevant?

Die folgende Tabelle zeigt typische KI-Anwendungen und bewertet, ob Art. 22 DSGVO einschlägig ist.

KI-AnwendungAutomatisierte Entscheidung?Art. 22 relevant?
Kreditscoring -- Algorithmus berechnet Score, Bank entscheidet faktisch danachJa (EuGH C-634/21)Ja -- rechtliche Wirkung durch Kreditablehnung
Bewerbungsvorauswahl -- KI filtert Bewerbungen, Recruiter sieht nur Top-KandidatenJa -- KI trifft faktische Entscheidung über AusschlussJa -- ähnlich erhebliche Beeinträchtigung
Chatbot-Kundenservice -- beantwortet allgemeine Fragen, keine VertragsänderungenNein -- keine Entscheidung mit RechtswirkungNein
Automatisierte Betrugserkennung -- System sperrt Konto bei VerdachtJa -- unmittelbare Wirkung auf VertragsbeziehungJa -- rechtliche Wirkung durch Kontosperrung
KI-gestützte Preisbildung -- personalisierte Preise je nach NutzerprofilGrenzfall -- abhängig von Erheblichkeit der BenachteiligungMöglicherweise -- wenn systematisch benachteiligend
Mitarbeiter-Leistungsbewertung -- KI erstellt Performance-Score, der Beförderungen beeinflusstJa -- wenn Score maßgeblich für PersonalentscheidungJa -- ähnlich erhebliche Beeinträchtigung
Versicherungs-Risikobewertung -- Algorithmus lehnt Antrag automatisch abJa -- rein automatisierte AblehnungJa -- rechtliche Wirkung durch Vertragsablehnung
Empfehlungssystem -- Streaming-Dienst schlägt Inhalte vorNein -- keine rechtliche oder ähnlich erhebliche WirkungNein
Automatisierte Mieterbewertung -- KI bewertet Bonität für VermieterJa -- analog zum SCHUFA-ScoringJa -- ähnlich erhebliche Beeinträchtigung
Textübersetzung -- KI übersetzt DokumenteNein -- keine Entscheidung über PersonenNein

Praxis-Leitfaden: Art. 22 DSGVO in 5 Schritten umsetzen

Schritt 1: KI-Systeme identifizieren und klassifizieren

Erstellen Sie ein vollständiges Inventar aller KI-Systeme, die personenbezogene Daten verarbeiten. Für jedes System dokumentieren Sie:

  • Welche Daten werden verarbeitet?
  • Trifft das System eigenständig Entscheidungen über Personen?
  • Welche Auswirkungen haben diese Entscheidungen?
  • Gibt es eine menschliche Überprüfung -- und wenn ja, ist sie substanziell?

Nutzen Sie die Tabelle oben als Orientierung, um einzuschätzen, welche Systeme unter Art. 22 fallen könnten.

Schritt 2: Art. 22-Relevanz prüfen

Prüfen Sie für jedes identifizierte System die drei Tatbestandsmerkmale:

  • Liegt eine Entscheidung vor? Nicht jeder KI-Output ist eine Entscheidung. Eine Empfehlung, die ein Mensch eigenständig bewertet, ist keine automatisierte Entscheidung.
  • Ist sie ausschließlich automatisiert? Entscheidend ist die Realität, nicht die Theorie. Wenn Mitarbeiter den KI-Output zu 95 % unverändert übernehmen, liegt faktisch eine automatisierte Entscheidung vor.
  • Hat sie rechtliche oder ähnlich erhebliche Wirkung? Bewerten Sie die konkreten Konsequenzen für die betroffene Person.

Dokumentieren Sie das Ergebnis dieser Prüfung für jedes System schriftlich.

Schritt 3: Ausnahme bestimmen und Schutzmaßnahmen implementieren

Wenn Art. 22 einschlägig ist, müssen Sie sich auf eine der drei Ausnahmen stützen können. Legen Sie fest:

  • Vertragserfüllung: Ist die Automatisierung tatsächlich erforderlich? Dokumentieren Sie die Begründung.
  • Gesetzliche Ermächtigung: Gibt es eine einschlägige Rechtsgrundlage, die angemessene Schutzmaßnahmen vorsieht?
  • Einwilligung: Holen Sie eine ausdrückliche, informierte Einwilligung ein -- getrennt von AGB und anderen Einwilligungen.

In jedem Fall müssen Sie gemäß Art. 22 Abs. 3 DSGVO mindestens folgende Schutzmaßnahmen vorsehen:

  • Recht auf menschliches Eingreifen durch einen befugten Mitarbeiter
  • Recht der betroffenen Person, ihren Standpunkt darzulegen
  • Recht auf Anfechtung der Entscheidung

Schritt 4: Echte menschliche Aufsicht sicherstellen

Richten Sie eine wirksame menschliche Aufsicht ein, die den Anforderungen sowohl des Art. 22 DSGVO als auch des Art. 14 AI Act genügt:

  • Schulen Sie die Aufsichtspersonen: Sie müssen das System, seine Logik und seine Grenzen verstehen.
  • Räumen Sie ausreichend Zeit ein: Wer 200 KI-Empfehlungen pro Stunde abarbeiten muss, kann nicht eigenständig prüfen.
  • Ermutigen Sie zum Widerspruch: Schaffen Sie eine Kultur, in der Mitarbeiter KI-Empfehlungen auch tatsächlich hinterfragen und ablehnen dürfen.
  • Überwachen Sie die Übereinstimmungsrate: Wenn der Mensch dem System in 99 % der Fälle folgt, ist die Aufsicht wahrscheinlich nicht substanziell.
  • Dokumentieren Sie abweichende Entscheidungen und deren Begründung.

Schritt 5: Transparenz- und Informationspflichten erfüllen

Betroffene Personen haben nach Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO das Recht auf:

  • Die Mitteilung, dass eine automatisierte Entscheidungsfindung einschließlich Profiling stattfindet
  • Aussagekräftige Informationen über die involvierte Logik
  • Informationen über die Tragweite und die angestrebten Auswirkungen der Verarbeitung

Passen Sie Ihre Datenschutzerklärung entsprechend an und stellen Sie sicher, dass die Information vor der Entscheidung erfolgt -- nicht erst auf Nachfrage.

Häufig gestellte Fragen (FAQ)

Reicht ein „Human in the Loop" aus, um Art. 22 DSGVO zu umgehen?

Nein. Der EuGH hat im SCHUFA-Urteil (C-634/21) klargestellt, dass ein formaler „Human in the Loop" nicht ausreicht. Entscheidend ist, ob der Mensch die KI-Empfehlung tatsächlich eigenständig prüft und in der Lage ist, davon abzuweichen. Wer den Output eines KI-Systems lediglich bestätigt, ohne ihn inhaltlich zu bewerten, ändert nichts am automatisierten Charakter der Entscheidung. Die menschliche Beteiligung muss substanziell sein -- keine bloße Formalität.

Gilt Art. 22 DSGVO auch für KI-Systeme, die nur Empfehlungen geben?

Es kommt darauf an, wie die Empfehlung in der Praxis behandelt wird. Wenn ein KI-System eine Empfehlung ausspricht und der menschliche Entscheider diese regelmäßig ungeprüft übernimmt, liegt faktisch eine automatisierte Entscheidung vor. Der EuGH bewertet die tatsächliche Entscheidungsmacht, nicht die formale Bezeichnung als „Empfehlung" oder „Entscheidung". Wenn ein Mensch die Empfehlung jedoch regelmäßig eigenständig prüft, hinterfragt und auch abweichende Entscheidungen trifft, ist Art. 22 nicht einschlägig.

Welche Bußgelder drohen bei Verstößen gegen Art. 22 DSGVO?

Verstöße gegen Art. 22 DSGVO können nach Art. 83 Abs. 5 DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) geahndet werden. Art. 22 gehört damit zur höchsten Bußgeldkategorie der DSGVO. Hinzu kommen mögliche Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO sowie Reputationsschäden. Bei Hochrisiko-KI-Systemen können zusätzlich Sanktionen nach dem AI Act greifen.

Wie verhält sich Art. 22 DSGVO zum AI Act?

Art. 22 DSGVO und der AI Act (VO (EU) 2024/1689) ergänzen sich. Die DSGVO schützt das Recht des Einzelnen, nicht einer rein maschinellen Entscheidung unterworfen zu werden. Der AI Act stellt -- insbesondere in Art. 14 -- sicher, dass Hochrisiko-KI-Systeme technisch so gestaltet werden, dass menschliche Aufsicht möglich ist. Beide Regelwerke gelten parallel: Ein KI-System muss sowohl die datenschutzrechtlichen Anforderungen des Art. 22 DSGVO als auch die produktsicherheitsrechtlichen Anforderungen des AI Act erfüllen. Ein Verstoß gegen eine Vorschrift kann nicht durch Einhaltung der anderen kompensiert werden.

Müssen bestehende KI-Systeme nachgerüstet werden?

Ja. Art. 22 DSGVO gilt seit dem 25. Mai 2018 für alle Verarbeitungen -- auch für KI-Systeme, die bereits vor diesem Datum im Einsatz waren. Es gibt keine Bestandsschutzregelung. Nach dem EuGH-Urteil zur SCHUFA müssen Unternehmen zudem ihre bisherige Einschätzung überprüfen: Systeme, die bisher als „nicht von Art. 22 erfasst" galten, weil formal ein Mensch die letzte Entscheidung traf, können nach der erweiterten Auslegung des EuGH sehr wohl unter das Verbot fallen. Eine zeitnahe Überprüfung aller KI-Systeme ist daher dringend empfohlen.

Fazit: KI-Entscheidungen brauchen Leitplanken

Art. 22 DSGVO ist kein Innovationshemmnis -- sondern eine Leitplanke, die sicherstellt, dass KI-Systeme Menschen nicht zu reinen Objekten algorithmischer Entscheidungsfindung machen. Das EuGH-Urteil zur SCHUFA hat den Anwendungsbereich erheblich erweitert und den Maßstab verschärft: Die tatsächliche Entscheidungsmacht zählt, nicht die formale Organisation.

Unternehmen, die KI-Systeme einsetzen, sollten drei Dinge mitnehmen:

  1. Prüfen Sie jedes KI-System, das Entscheidungen über Personen beeinflusst, auf Art. 22-Relevanz.
  2. Echte menschliche Aufsicht ist keine Formalität -- sie erfordert Schulung, Zeit und eine Kultur des kritischen Hinterfragens.
  3. DSGVO und AI Act zusammen denken: Wer die Anforderungen beider Regelwerke integriert umsetzt, schafft eine belastbare Compliance-Grundlage.

Sie möchten wissen, ob Ihre KI-Systeme unter Art. 22 DSGVO fallen? KI Comply unterstützt Sie mit Schulungen, Compliance-Checks und praxisnahen Handlungsleitfäden. Jetzt kostenlos testen und Ihre automatisierten Entscheidungssysteme rechtssicher gestalten.

Rechtsquellen

  • Automatisierte EntscheidungenArt. 22 VO (EU) 2016/679 (Quelle)
  • Profiling-DefinitionArt. 4 Nr. 4 DSGVO
  • AusnahmenArt. 22 Abs. 2 DSGVO
  • EuGH SCHUFA-UrteilEuGH C-634/21
  • Menschliche Aufsicht AI ActArt. 14 VO (EU) 2024/1689

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine rechtliche Bewertung Ihres konkreten Falls wenden Sie sich bitte an einen spezialisierten Rechtsanwalt.

Artikel teilen:

Weiterlesen

Bild
Regulierung

SCHUFA-Scoring-Urteil des EuGH: Was es für KI-Nutzer bedeutet

Der EuGH hat entschieden: Automatisiertes Scoring wie bei der SCHUFA unterliegt Art. 22 DSGVO. Das Urteil hat weitreichende Folgen für alle KI-gestützten Entscheidungen.

Bild
Praxis

KI im Personalwesen: Rechtssicherer Einsatz von KI im HR

KI im Recruiting, bei Leistungsbewertung oder Personalplanung? HR-KI ist Hochrisiko nach dem AI Act. Was erlaubt ist und worauf Sie achten müssen.

Bild
Datenschutz

Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme: Leitfaden

Wann brauchen Sie eine DSFA für Ihre KI-Anwendungen? Dieser Leitfaden erklärt die Pflicht nach Art. 35 DSGVO und zeigt Schritt für Schritt, wie Sie vorgehen.

Bild
Regulierung

AI Act vs. DSGVO: Wie die beiden Regulierungen zusammenspielen

AI Act und DSGVO — zwei EU-Verordnungen, ein Ziel: verantwortungsvolle KI. Wir erklären die Unterschiede, Überschneidungen und was Unternehmen beachten müssen.

Checkliste: DSFA für KI-Systeme durchführen
Datenschutz

Checkliste: DSFA für KI-Systeme durchführen

Praxisnahe Checkliste für die Datenschutz-Folgenabschätzung bei KI-Anwendungen. Schritt für Schritt durch alle Pflichtinhalte nach Art. 35 DSGVO -- mit Vorlage und Muster.

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage
Regulierung

Ist KI-Output urheberrechtlich geschützt? Aktuelle Rechtslage

Warum rein maschinell erzeugte Inhalte in Deutschland keinen Werkschutz genießen, wo die Grenze zur schützfähigen KI-Assistenz verläuft und wie Unternehmen ihre Rechte an KI-gestütztem Content sichern.

Machen Sie Ihr Team KI-fit

Mit unserer Online-Schulung erfüllen Sie die Anforderungen der KI-Verordnung - einfach und effizient.

Preise ansehen