Automatisierte Entscheidungen Art. 22 DSGVO

Automatisierte Entscheidungen Art. 22 DSGVO

Art. 22 DSGVO schützt Personen vor Entscheidungen, die ausschließlich auf automatisierter Verarbeitung — also ohne menschliche Überprüfung — beruhen und erhebliche Auswirkungen auf die betroffene Person haben. Beim Einsatz von KI-Systemen in Kanzleien ist dieses Verbot besonders relevant: Keine rechtlich bedeutsame Entscheidung darf allein auf der Grundlage eines KI-Outputs getroffen werden.

Rechtlicher Hintergrund

Art. 22 Abs. 1 DSGVO: Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Art. 22 Abs. 2 DSGVO: Ausnahmen — Vertragsdurchführung (lit. a), gesetzliche Grundlage (lit. b), ausdrückliche Einwilligung (lit. c). Art. 22 Abs. 3 DSGVO: Bei Ausnahmen müssen geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen getroffen werden, mindestens: Recht auf menschliche Einflussnahme, Darlegung des eigenen Standpunkts, Anfechtung der Entscheidung. Art. 22 Abs. 4 DSGVO: Besonders sensitive Kategorien nach Art. 9 DSGVO dürfen nicht Grundlage automatisierter Entscheidungen sein, außer bei ausdrücklicher Einwilligung oder erheblichem öffentlichem Interesse. Erwägungsgrund 71 DSGVO: Klarstellung zum Anwendungsbereich.

Vorgehen

1. Entscheidungstypen identifizieren: Welche Entscheidungen in der Kanzlei könnten vollständig oder teilweise durch KI-Systeme getroffen werden?
2. Automatisierungsgrad prüfen: Eine Entscheidung ist nur dann nach Art. 22 DSGVO verboten, wenn sie ausschließlich automatisiert ergeht und eine erhebliche Wirkung hat. Menschliche Endkontrolle durchbricht den Tatbestand.
3. Ausnahmen prüfen: Liegt eine der Ausnahmen des Art. 22 Abs. 2 DSGVO vor?
4. Menschliche Aufsicht sicherstellen: Für jede relevante Entscheidung muss ein Mensch die finale Verantwortung übernehmen und die Möglichkeit haben, das KI-Ergebnis zu korrigieren.
5. Sensible Daten ausschließen: Bei Entscheidungen, die auf besonderen Datenkategorien nach Art. 9 DSGVO beruhen, ist besondere Vorsicht geboten.
6. Betroffenenrechte kommunizieren: Mandanten und Beschäftigte müssen über ihr Recht informiert werden, automatisierte Entscheidungen anzufechten.

Vorlagentext / Bausteine

Baustein Verbot automatisierter Letztentscheidung: Kein KI-System trifft in der Kanzlei eine abschließende Entscheidung mit rechtlicher Wirkung oder erheblicher tatsächlicher Beeinträchtigung für eine natürliche Person. Alle von KI-Systemen erzeugten Empfehlungen, Einstufungen oder Bewertungen sind ausnahmslos von einer qualifizierten menschlichen Person zu überprüfen, zu bewerten und freizugeben. Dies gilt insbesondere für: Mandatszuordnungen, Honorarberechnungen, Bonitätsbewertungen von Mandanten sowie Personalentscheidungen.

Baustein Menschliche Überprüfung: Mitarbeitende, die KI-generierte Ergebnisse für Entscheidungsprozesse nutzen, sind angewiesen, das KI-Ergebnis stets als Hilfsmittel — nicht als Entscheidung — zu behandeln. Die menschliche Überprüfung muss inhaltlich erfolgen; ein rein formales "Abnicken" des KI-Outputs ohne eigene Prüfung genügt nicht den Anforderungen des Art. 22 DSGVO.

Baustein Betroffenenrechte: Sofern KI-Systeme an Entscheidungen mit Auswirkungen auf Mandanten oder Dritte beteiligt sind, informiert die Kanzlei betroffene Personen auf Anfrage über die Logik der Entscheidungsfindung sowie über das Recht, eine menschliche Überprüfung der Entscheidung zu verlangen (Art. 22 Abs. 3 DSGVO).

Hinweise zur Aktualisierung

Mit zunehmender Integration von KI-Systemen in Kanzleimanagement-Software (z.B. automatische Mandatszuordnung, Dokumentenpriorisierung) steigt die Relevanz des Art. 22 DSGVO. Neue EuGH- oder BGH-Entscheidungen zur Auslegung von Art. 22 DSGVO sowie Leitlinien des Europäischen Datenschutzausschusses (EDSA) sind regelmäßig zu prüfen.

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Zentrale Normen (Paragrafenkette)

• Art. 22 Abs. 1 DSGVO — Verbot vollautomatisierter Einzelentscheidungen mit Rechtswirkung
• Art. 22 Abs. 2 lit. a-c DSGVO — Ausnahmen (Vertrag, gesetzliche Pflicht, Einwilligung)
• Art. 22 Abs. 3 DSGVO — Widerspruchsrecht und menschliche Pruefung
• Art. 13/14 DSGVO — Informationspflichten bei automatisierten Entscheidungen
• § 26 BDSG — Beschaeftigtendatenschutz bei KI-Mitarbeiterbewertung

Triage zu Beginn

1. Liegt eine vollautomatisierte Entscheidung mit Rechtswirkung oder erheblicher Beeintraechtigung vor?
2. Ist eine Rechtsgrundlage nach Art. 22 Abs. 2 lit. a-c DSGVO gegeben?
3. Ist ein menschlicher Ueberpruefer vorgesehen — oder stempelt er nur ab (Stempel-Risiko)?
4. Werden Betroffene nach Art. 13/14 DSGVO ueber die automatisierte Entscheidung informiert?
5. Ist ein Widerspruchsrecht und eine Korrekturmoeglichkeit nach Art. 22 Abs. 3 DSGVO implementiert?

Output-Template — Art. 22 DSGVO-Pruefprotokoll

Adressat: DSB / Compliance — Tonfall: strukturiert, rechtlich

ART. 22 DSGVO-PRUEFPROTOKOLL
[DATUM] — System: [SYSTEMNAME] — Anwendungsfall: [BESCHREIBUNG]

Vollautomatisiert: [JA / NEIN]
Rechtswirkung / erhebliche Beeintraechtigung: [JA / NEIN — BEGRUENDUNG]
Art. 22 Abs. 1 DSGVO einschlaegig: [JA / NEIN]

Falls einschlaegig — Rechtsgrundlage Art. 22 Abs. 2:
☑/☐ lit. a — Vertragserfuellung
☑/☐ lit. b — gesetzliche Pflicht
☑/☐ lit. c — ausdrueckliche Einwilligung

Human-in-the-Loop: [JA — wie: BESCHREIBUNG / NEIN / NOMINELL — Stempel-Risiko]
Widerspruchsrecht implementiert: [JA / NEIN]
Informationspflicht Art. 13/14 DSGVO erfuellt: [JA / NEIN]

Ergebnis: [ZULASSIG / UNZULASSIG — MASSNAHME ERFORDERLICH]
Massnahme: [BESCHREIBUNG bis DATUM]
Geprueft von: [NAME], [DATUM]