Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Der heutige Spaziergang betrifft automatisierte Entscheidungen im Einzelfall einschließlich Profiling, also einen Bereich im Datenschutz, der sich – anders als üblich – nicht in erster Linie damit befasst, dass möglichst wenige Daten in möglichst sicherer Weise verarbeitet werden. Der rechtspolitische Hintergrund für Artikel 22 DS-GVO ist vielmehr die Befürchtung, dass menschliches Leben durch Maschinen verwaltet und gestaltet wird. Diese Dystopie hat angesichts der KI-Entwicklung derzeit wieder an Aktualität gewonnen.
Artikel 22 beginnt in Absatz 1 radikal mit einem Verbot vollautomatisierter Verarbeitungen, wenn sie Menschen erheblich beeinträchtigen. Das wird dann in Absatz 2 und Absatz 3 durch weitgehende Ausnahmen eingeschränkt. Absatz 4 bringt Rück-Ausnahmen und Rück-Rück-Ausnahmen.
Absatz 1
Das radikale Verbot bezieht sich auf automatisierte Verarbeitung einschließlich Profiling. Für Profiling findet sich eine gesetzliche Definition in Art. 4 Nr. 4 DS-GVO: automatisierte Verarbeitung personenbezogener Daten zur Bewertung „bestimmter persönlicher Aspekte“. Die Verarbeitung ist in Art. 4 Nr. 2 DS-GVO sehr allgemein definiert und automatisierte Verarbeitung dürfte dann alle Fälle betreffen, in denen die Prozesse ohne menschliches Zutun ablaufen. Diese Verfahrensabschnitte können natürlich mehr oder weniger lang und umfangreich sein. Sie beginnen nach dem letzten menschlichen Zutun, z. B. manuelle Dateneingabe, und enden wiederum vor der ersten menschlichen Aktion, z. B. manuelle Durchsicht der Verarbeitungsergebnisse.
Wichtig und richtig ist in Absatz 1 zunächst die Grundentscheidung: Automatisierte Verarbeitungen sind nicht immer (ihrer Natur nach) für Betroffene problematisch. Zum Beispiel wird bei einer vollständig automatisierten Kreditantrags-Prüfung mit positivem Ergebnis (Kreditbewilligung) der Betroffene zufrieden sein. Den Wortlaut von Absatz 1 muss und darf man deshalb wohl etwas „zurechtstutzen“. Dort heißt es nämlich, die Entscheidung dürfe schon dann nicht automatisiert erfolgen, wenn sie Betroffenen gegenüber „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“. Dabei ist übersehen, dass „rechtliche Wirkung“ nicht immer „erhebliche Beeinträchtigung“ bedeutet. Bei vorteilhafter rechtlicher Wirkung greift Absatz 1 nicht ein. Verbesserungsvorschlag für den Gesetzestext: „[…] unterworfen zu werden, die sie erheblich beeinträchtigt“.
Absätze 2 und 3
Die Absätze 2 und 3 klären, wann vollautomatisierte Entscheidungen doch erlaubt sind: a) bei Erforderlichkeit vor Abschluss oder Erfüllung eines Vertrags, b) bei gesetzlicher Grundlage oder c) bei Einwilligung. In allen drei Ausnahmefällen müssen die Betroffenenrechte natürlich gewährleistet sein.
Bei Buchstaben b) wird das gleich im Absatz 2 geklärt. Für die Buchstaben a) und c) regelt es der Gesetzgeber – damit das Gesetz nicht zu leicht lesbar wird – gesondert in Absatz 3. Mindestens nötig ist nach Absatz 3 – das wird man auch auf Abs. 2 lit. b) übertragen können –, dass Betroffene sich über die automatisierte Entscheidung beschweren, ihren eigenen Standpunkt darlegen können und dann auf Seiten des Verantwortlichen ein Mensch eingreift – also die Entscheidung noch einmal prüft. Fast immer wird bei automatisierten Entscheidungen eine Datenschutz-Folgenabschätzung erforderlich sein. Am besten führt man sie bei „vollautomatisierten“ Verfahren immer durch.
Absatz 4
Der letzte Absatz klingt beim Überfliegen logisch und richtig: Besondere Kategorien personenbezogener Daten bekommen natürlich besonderen Schutz. Aber näher betrachtet ist Absatz 4 wahrscheinlich völlig überflüssig. Der besondere Schutz für solche Daten ist durch Art. 9 DS-GVO bereits gewährleistet. Wenn die dortigen Voraussetzungen eingehalten sind, ist gar nicht verständlich, weshalb bei automatisierten Entscheidungen nochmals spezielle Regeln gelten sollen.
Nach Art. 22 Abs. 4 DS-GVO wäre z. B. verboten, dass ein elektronisches Schließsystem automatisch Beschäftigten, die wegen Krankheit arbeitsunfähig sind oder wegen Schwangerschaft einem Beschäftigungsverbot unterliegen, den Zugang verweigert (Transponder, Schlüsselkarten etc. deaktiviert). Nötig und sinnvoll scheint das nicht. Außerdem sind die Rück-Rück-Ausnahmen in Absatz 4 – bezogen auf Art. 9 Abs. 2 Buchstaben a) und g) –praktisch deckungsgleich mit Art. 22 Abs. 2 lit. b) und c) DS-GVO. Die Rück-Ausnahme in Absatz 4 betrifft also letztlich nur die Ausnahme nach Absatz 2 lit. a). Einmal mehr gilt: Mit der DSGVO können wir Datenschützer niemandem erklären, wie klare und verständliche Texte aussehen.
Mitmach-Aufgaben zum Schluss der Etappe: Ein Anwendungsbeispiel für Art. 22 Abs. 2 lit. a) DS-GVO ist wahrscheinlich der Bargeld-Automat, wenn er kein Geld herausrückt. Fallen Ihnen noch andere ein?
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
