Datenschutz

DSGVO Artikel 22: Automatisierte Entscheidungen und Profiling

DSGVO Artikel 22 verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Folgen haben, mit drei engen Ausnahmen.

Auch verfügbar in:English
TD
Dr. Thiébaut Devergranne
17. Mai 20265 min read

In einem Satz. DSGVO Artikel 22 gewährt der betroffenen Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt — mit drei engen Ausnahmen: (a) für die Vertragserfüllung erforderlich, (b) gesetzlich zugelassen, © auf ausdrücklicher Einwilligung beruhend. Auch wenn eine Ausnahme greift, behält die betroffene Person das Recht auf menschliches Eingreifen, Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung.

Artikel 22 ist eine der folgenreichsten Bestimmungen der DSGVO für KI/ML-Einsätze — und die am häufigsten beanstandete, da automatisierte Entscheidungsfindung allgegenwärtig wird. Der EuGH hat in SCHUFA (Rechtssache C-634/21, Dezember 2023) bestätigt, dass selbst Kreditscoring-Algorithmen unter Artikel 22 fallen, wenn sie nachgelagerte menschliche Entscheidungen erheblich beeinflussen. Während das EU-KI-Gesetz 2026-2027 in Kraft tritt, sitzt Artikel 22 an der Schnittstelle von DSGVO und KI-Gesetz.

Wichtige Punkte

  • Artikel 22 Absatz 1: Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung mit rechtlichen oder ähnlich erheblichen Folgen beruht.
  • Drei Ausnahmen in Artikel 22 Absatz 2: Vertragserfüllung, Gesetz, ausdrückliche Einwilligung.
  • Auch bei Ausnahmen sind angemessene Maßnahmen erforderlich: Recht auf menschliches Eingreifen, Darlegung des Standpunkts, Anfechtung der Entscheidung.
  • Artikel 22 Absatz 4: Ausnahmen gelten nicht für besondere Kategorien personenbezogener Daten (Artikel 9), es sei denn, ausdrückliche Einwilligung ODER wesentliches öffentliches Interesse.
  • Das EuGH-Urteil SCHUFA (2023) erweiterte “ausschließlich auf” auf Fälle, in denen ein Mensch formal abnickt, in der Praxis aber den Algorithmus durchwinkt.

1. Artikel 22 Absatz 1 — das Verbot

Drei kumulative Bedingungen lösen das Verbot aus:

  1. Die Entscheidung beruht ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling)
  2. Sie entfaltet rechtliche Wirkung ODER beeinträchtigt sie in ähnlicher Weise erheblich
  3. Die betroffene Person hat nicht eingewilligt oder es greift keine andere Ausnahme

“Ausschließlich auf” — die SCHUFA-Klarstellung

Der EuGH hat in SCHUFA (Dezember 2023) klargestellt, dass “ausschließlich” keine null menschliche Beteiligung erfordert. Wenn ein Mensch formal abnickt, in der Praxis aber vollständig dem Algorithmus folgt, ist die Entscheidung immer noch “ausschließlich automatisiert”.

“Rechtliche oder ähnlich erhebliche Folgen”

Beispiele — IM Anwendungsbereich Beispiele — AUSSERHALB des Anwendungsbereichs
Kreditgenehmigung/-ablehnung Personalisierte Produktempfehlungen
Versicherungsprämienberechnung Suchergebnis-Reihenfolge
Bewerber-Screening Filmempfehlungen
Visa-/Einwanderungsentscheidungen Newsletter-Inhaltsauswahl
Anspruch auf Sozialleistungen A/B-Test-Variantenzuweisung
Beschäftigungs-Leistungsbewertung UI-Anpassung
Kreditscoring (SCHUFA) Allgemeines Werbe-Targeting

2. Die drei Ausnahmen (Artikel 22 Absatz 2)

(a) Vertragserfüllung

Die Entscheidung ist erforderlich für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen.

(b) Gesetzlich zugelassen

Spezifisches Recht erlaubt die automatisierte Entscheidung und sieht Garantien vor.

© Ausdrückliche Einwilligung

Die betroffene Person hat ausdrücklich eingewilligt. Unterliegt den Artikel 7-Bedingungen + muss unmissverständlich + freiwillig erteilt sein.

3. Erforderliche Garantien (Artikel 22 Absatz 3)

Auch wenn eine Ausnahme greift, muss der Verantwortliche mindestens angemessene Maßnahmen ergreifen:

  • Recht auf Erwirkung menschlichen Eingreifens (ein echter Mensch mit Befugnis zur Aufhebung)
  • Recht auf Darlegung des eigenen Standpunkts
  • Recht auf Anfechtung der Entscheidung

4. Besondere Kategorien (Artikel 22 Absatz 4)

Automatisierte Entscheidungen, die besondere Kategorien personenbezogener Daten betreffen (Artikel 9: Gesundheit, Biometrie usw.), sind nur zulässig, wenn:

  • Ausdrückliche Einwilligung (Artikel 9 Absatz 2 Buchstabe a), ODER
  • Wesentliches öffentliches Interesse nach EU-/Mitgliedstaatsrecht (Artikel 9 Absatz 2 Buchstabe g)

5. Informationspflichten

Die Artikel 13 Absatz 2 Buchstabe f und 14 Absatz 2 Buchstabe g verlangen, dass der Verantwortliche die betroffene Person informiert über:

  • Das Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling)
  • Aussagekräftige Informationen über die involvierte Logik
  • Die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung

Der EuGH bestätigte in SCHUFA, dass dies die Offenlegung der Algorithmus-Logik für die betroffene Person auf Anfrage einschließt.

6. Schnittstelle zum KI-Gesetz

Das EU-KI-Gesetz (Verordnung 2024/1689) klassifiziert viele automatisierte Entscheidungssysteme als “Hochrisiko-KI”. Die Verpflichtungen aus Artikel 22 DSGVO sind kumulativ mit den Verpflichtungen aus dem KI-Gesetz.

7. DSFA-Pflicht

Artikel 35 Absatz 3 Buchstabe a macht eine Datenschutz-Folgenabschätzung (DSFA) für “systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet” obligatorisch.

8. Durchsetzung

Jahr Sanktion Artikel 22-Problem
2023 SCHUFA (EuGH) — Vorabentscheidung Kreditscoring als Artikel 22
2024 Mehrere KI-Anbieter (CNIL) — 50K€-500K€ Automatisierte Entscheidungen ohne DSFA, kein menschlicher Eingriffsmechanismus

9. Implementierungs-Checkliste

Für jedes automatisierte Entscheidungssystem:

  • ☐ DSFA durchgeführt (Artikel 35) — obligatorisch
  • ☐ Rechtsgrundlage dokumentiert (Artikel 6)
  • ☐ Für besondere Kategorien: Artikel 9-Ausnahme identifiziert
  • ☐ Artikel 22-Ausnahme anwendbar: dokumentiert
  • ☐ Mechanismus für menschliches Eingreifen implementiert und getestet
  • ☐ Mechanismus zur Anfechtung von Entscheidungen dokumentiert
  • ☐ Datenschutzerklärung (Artikel 13/14) offenbart: Bestehen, Logik, Tragweite, Folgen
  • ☐ Algorithmus-Erklärbarkeit dokumentiert
  • ☐ KI-Gesetz-Konformitätsbewertung wenn Hochrisiko

10. Werkzeuge

Legiscope bildet die Artikel 22-Verpflichtungen auf Ihre KI/ML-Einsätze über das Verzeichnis ab, generiert die erforderliche DSFA und stellt Vorlagen für den menschlichen Eingriffs-Workflow bereit.

Für verwandte Vertiefungen: Datenschutz-Folgenabschätzung, DSGVO Artikel 6 Rechtsgrundlagen, DSGVO Artikel 7 Einwilligung.

Fazit

Artikel 22 ist die DSGVO-Antwort auf algorithmische Entscheidungsfindung. Mit der Skalierung von KI wird er zur am häufigsten ausgelösten Bestimmung. Das SCHUFA-Urteil hat den einfachen Ausweg (“wir haben einen Menschen in der Schleife”) beseitigt — sinnvolle menschliche Überprüfung ist erforderlich, nicht formale Abnahme.

FAQ

Wann gilt DSGVO Artikel 22?

Wenn eine Entscheidung ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling) beruht und rechtliche Wirkungen entfaltet oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigt. Kredite, Versicherungen, Bewerber-Screening, Kreditscoring qualifizieren alle.

Was bedeutet “ausschließlich auf automatisierter Verarbeitung beruhend” nach SCHUFA?

Der EuGH stellte 2023 klar, dass “ausschließlich” Fälle einschließt, in denen ein Mensch formal abnickt, aber den Algorithmus durchwinkt. Echte menschliche Überprüfung mit Befugnis zur Aufhebung ist erforderlich.

Kann ich automatisierte Entscheidungen für die Einstellung verwenden?

Nur wenn (a) für die Vertragserfüllung erforderlich (selten — manuelle Überprüfung ist meist möglich), (b) gesetzlich zugelassen oder © ausdrückliche Einwilligung (selten im Beschäftigungskontext). Auch dann müssen Mechanismen für menschliches Eingreifen vorhanden sein.

Welche Informationen muss ich über den Algorithmus bereitstellen?

Artikel 13 Absatz 2 Buchstabe f und 14 Absatz 2 Buchstabe g erfordern “aussagekräftige Informationen über die involvierte Logik” plus die Tragweite und die angestrebten Auswirkungen.

Ersetzt das KI-Gesetz Artikel 22?

Nein — beide gelten kumulativ. Artikel 22 schützt einzelne betroffene Personen über die DSGVO; das KI-Gesetz reguliert das KI-System selbst mit Anforderungen an Konformitätsbewertung, Dokumentation und Aufsicht.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →