Entscheidungen automatisiert durch KI treffen (lassen) – Auf Art. 22 DSGVO achten!

von

Dejan Steger

Was regelt Art. 22 DSGVO?

Eine Norm, die bisher wohl eher ein Schattendasein geführt hat, könnte in Zukunft durch den Einsatz von „KI-Technologie“ sehr wichtig werden.

Die Rede ist von Art. 22 DSGVO. Dieser regelt „automatisierte Entscheidungen im Einzelfall einschließlich Profiling“.

Der Wortlaut der Norm ist auf den ersten Blick wenig zugänglich und unverständlich.

Die Auswirkungen können aber durchaus erheblich sein, wie ein aktuelles Urteil des Europäischen Gerichtshofs vom 17.12.2023 (Rechtssache C-634/21) zum „Schufa-Score“ zeigt.

Der EuGH hat Art. 22 DSGVO in einem Fall für anwendbar erklärt, in dem ein (potenzieller) Kreditgeber dem Betroffenen aufgrund des Schufa-Scorewertes einen Kredit verweigert hat.

Art. 22 DSGVO: Ein scharfes Schwert?

Der EuGH sieht in Art. 22 Absatz 1 DSGVO dogmatisch betrachtet ein grundsätzliches Verbot, wenn dessen Voraussetzungen erfüllt.

Der Art. 22 DSGVO ist anwendbar, wenn – wie der EuGH in dem genannten Urteil unter Randnummer 43. ff. ausdrücklich festgestellt hat – folgende Voraussetzungen erfüllt sind:

  1. Es muss eine Entscheidung vorliegen und
  2. diese Entscheidung muss ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen und
  3. diese Entscheidung muss gegenüber einer betroffenen Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise beeinträchtigen.

Ein solches Verbot bestünde nur dann nicht, soweit eine der engen Ausnahmen in Artikel 22 Absatz 2 DSGVO vorlägen.

Dies wäre der Fall, wenn die Entscheidung

  • für den Abschluss eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
  • europäische Rechtsvorschriften dies regeln und diese zusätzlichen Anforderungen genügen oder
  • mit ausdrücklicher Einwilligung des Betroffenen erfolgt.

Verstöße gegen Art. 22 DSGVO können gemäß Art. 83 Abs. 5 DSGVO mit Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden, je nachdem, welcher der Beträge höher ist.

Fazit: Art. 22 DSGVO beim Einsatz von KI mitdenken

Beim Einsatz von KI sind zahlreiche Fallkonstellationen denkbar, in denen die oben dargestellten Voraussetzungen einschlägig sein können.

Zu denken ist etwa an den Fall, dass im Rahmen eines Bewerbungsverfahrens eine Entscheidung zu Ungunsten eines Bewerbers getroffen wird, die ausschließlich auf einer automatisierten Verarbeitung personenbezogener Daten (z. B. der Bewerbungsunterlagen) beruht.

Der EuGH hat sich zu den Voraussetzungen des Art. 22 DSGVO klar geäußert. Auch wenn es in diesem Verfahren nicht explizit um KI-Technologie ging, sind die Voraussetzungen des Art. 22 DSGVO beim Einsatz von KI-Technologie stets zu beachten.

Avatar von Dejan Steger
Dejan Steger
Dejan Steger berät und vertritt als Rechtsanwalt schwerpunktmäßig im Datenschutzrecht, Wettbewerbsrecht und Pharmarecht. Neben seiner juristischen Expertise verfügt er über mehr als 15 Jahre unternehmerische Erfahrung, unter anderem als Gründer und Geschäftsführer im Gesundheits- und Rechtswesen.