# Automatisierte Einzelentscheidung (Art. 22 DSGVO)

Grundsätzliches Verbot, Tatbestand und Ausnahmen der automatisierten Einzelentscheidung nach Art. 22 DSGVO: ausschließliche Automatisierung, Profiling und Scoring, Schutzmaßnahmen nach Abs. 3, sensible Daten und das Verhältnis zur KI-VO.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/1.3.14-automatisierte-einzelentscheidung
> Sprache: en



[Art. 22 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-22-dsgvo/) verbietet es grundsätzlich, eine Person einer Entscheidung zu unterwerfen, die ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruht und ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Geschützt wird der Einzelne davor, zum bloßen Objekt einer Maschinenentscheidung zu werden. Die Vorschrift steht in engem Bezug zur Menschenwürde und zum Recht auf Schutz personenbezogener Daten ([Art. 8 GRCh](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:12012P/TXT)).

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Art. 22 Abs. 1 DSGVO ist ein **objektives Verbot**, kein bloßes Antragsrecht. Der Betroffene muss es nicht erst geltend machen; er kann darauf nur durch ausdrückliche Einwilligung verzichten.
  * Vier Tatbestandsmerkmale: eine **Entscheidung**, die **ausschließlich automatisiert** ergeht, die **rechtliche Wirkung oder eine erhebliche Beeinträchtigung** entfaltet und der die Person **unterworfen** ist.
  * Maßgeblich ist nicht, ob ein Mensch eingreifen *darf*, sondern ob er **tatsächlich mit eigener Entscheidungsbefugnis** eingreift. Eine rein formale Bestätigung genügt nicht.
  * Drei Ausnahmen (Art. 22 Abs. 2 DSGVO): **Vertrag** (lit. a), **Rechtsvorschrift** (lit. b), **ausdrückliche Einwilligung** (lit. c). Sie sind abschließend.
  * Auch bei zulässigen Entscheidungen sind **Schutzmaßnahmen** Pflicht (Abs. 3); bei **sensiblen Daten** gilt eine enge Rückausnahme (Abs. 4).
  * Daneben greift für KI-gestützte Systeme die KI-VO **selbständig** (Hochrisiko-Scoring, menschliche Aufsicht, Erläuterungsrecht).
</Callout>

## 1. Überblick und Einordnung [#1-überblick-und-einordnung]

### 1.1 Schutzzweck und Rechtsnatur [#11-schutzzweck-und-rechtsnatur]

Art. 22 Abs. 1 DSGVO will Konstellationen erfassen, in denen kein relevanter menschlicher Entscheidungsschritt mehr dazwischentritt. Die Norm ist nach Wortlaut und systematischer Stellung im Kapitel über die Rechte der betroffenen Person zwar als subjektives Recht formuliert. Sie ist aber als **umfassendes, von der individuellen Geltendmachung unabhängiges Verbot** zu verstehen. Andernfalls liefe der Schutz leer, weil Anbieter darauf vertrauen könnten, dass Betroffene den Anspruch nicht kennen oder nicht durchsetzen. Das stützt auch Art. 22 Abs. 4 DSGVO, der selbst dort, wo automatisierte Entscheidungen ausnahmsweise zulässig sind, ein von der Geltendmachung unabhängiges Verbot anordnet.

Von dem [Widerspruchsrecht nach Art. 21 DSGVO](https://dsgvo-gesetz.de/art-21-dsgvo/) ist Art. 22 DSGVO abzugrenzen: Art. 21 DSGVO erlaubt den Widerspruch gegen Profiling, das eine Entscheidung lediglich vorbereitet; Art. 22 DSGVO verbietet die vollautomatisierte Entscheidung selbst.

Der Schutzgedanke knüpft an die aus der Menschenwürde abgeleitete Objektformel an (Art. 1 GRCh): Der Einzelne soll nicht zum bloßen Objekt einer maschinellen Bewertung werden. Daraus folgt aber **kein** Automatismus: Nicht jede automatisierte Entscheidung verletzt die Menschenwürde, sonst wären die Ausnahmen des Art. 22 Abs. 2 DSGVO unzulässig, weil die Menschenwürde keinen Einschränkungen unterliegt. Die praktische Schutzrichtung der Norm zielt deshalb vor allem darauf, **unrichtige oder diskriminierende** Ergebnisse einer rein maschinellen Verarbeitung zu verhindern. Mit bloßer Transparenz lässt sich das Verbot nicht begründen, denn Transparenz stellen bereits die Informations- und Auskunftsrechte der [Art. 13 bis 15 DSGVO](https://dsgvo-gesetz.de/art-13-dsgvo/) her.

### 1.2 Verhältnis zu Art. 6 DSGVO [#12-verhältnis-zu-art-6-dsgvo]

Art. 22 Abs. 1 DSGVO ist kein eigener Erlaubnistatbestand. Er tritt als **zusätzliche Rechtmäßigkeitsvoraussetzung** neben die Rechtsgrundlagen des [Art. 6 DSGVO](https://dsgvo-gesetz.de/art-6-dsgvo/) und befreit nicht von deren Anforderungen. Das ergibt ein gestuftes Prüfprogramm: Die Datenverarbeitung muss zunächst nach Art. 6 (oder Art. 9) DSGVO erlaubt sein; trotz dieser Erlaubnis greift bei einer vollautomatisierten Einzelentscheidung das Verbot des Abs. 1; und erst eine Ausnahme nach Abs. 2 macht sie wieder zulässig. Eine automatisierte Einzelentscheidung braucht also **beides**: eine Rechtsgrundlage nach Art. 6 DSGVO und eine Ausnahme nach Art. 22 Abs. 2 DSGVO. Adressat des Verbots ist, wer die Entscheidung trifft.

### 1.3 Prüfungsaufbau [#13-prüfungsaufbau]

Die folgende Übersicht zeigt den Aufbau der Prüfung. Erst wenn alle vier Tatbestandsmerkmale vorliegen, greift das Verbot; danach ist zu fragen, ob eine Ausnahme einschlägig ist und ob Schutzmaßnahmen sowie die Sonderregel für sensible Daten beachtet wurden.

<Mermaid
  chart="flowchart TD
  A[Verarbeitung mündet in Entscheidung] --> B{Bewertung persönlicher<br/>Aspekte?}
  B -->|Nein| X[Art. 22 nicht einschlägig]
  B -->|Ja| C{Ausschließlich automatisiert,<br/>kein relevanter<br/>menschlicher Schritt?}
  C -->|Nein| X
  C -->|Ja| D{Rechtliche Wirkung oder<br/>erhebliche Beeinträchtigung?}
  D -->|Nein| X
  D -->|Ja| E{Person der Entscheidung<br/>unterworfen?}
  E -->|Nein| X
  E -->|Ja| F[Grundsätzliches Verbot<br/>Art. 22 Abs. 1]
  F --> G{Ausnahme nach Abs. 2?<br/>Vertrag, Rechtsvorschrift,<br/>Einwilligung}
  G -->|Nein| H[Verarbeitung unzulässig]
  G -->|Ja| I{Sensible Daten<br/>nach Art. 9 Abs. 1?}
  I -->|Ja, ohne Erlaubnis| H
  I -->|Nein oder mit Erlaubnis| J[Zulässig, aber Schutzmaßnahmen<br/>nach Abs. 3]"
/>

## 2. Das grundsätzliche Verbot (Abs. 1) [#2-das-grundsätzliche-verbot-abs-1]

### 2.1 Entscheidung [#21-entscheidung]

Erfasst ist nicht jeder automatisierte Vorgang, sondern nur eine **Entscheidung**. Das sind gestaltende Akte, die eine Wahl zwischen mindestens zwei Alternativen treffen und eine Wirkung in der Außenwelt erzielen. Neben Willenserklärungen können auch sonstige Maßnahmen erfasst sein, die nur auf einen tatsächlichen Erfolg gerichtet sind. Die Maßnahme muss sich auf einen **Einzelfall** beziehen; abstrakt-generelle Regelungen und reine Empfehlungen genügen nicht.

Dass ein System nur einfache Wenn-dann-Entscheidungen trifft (etwa ein Bankautomat oder ein Abrechnungsprogramm), schließt eine Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO **nicht** aus. Die Verbotsfolge knüpft nicht an den Komplexitätsgrad, sondern allein daran, dass die Entscheidung ohne weiteres menschliches Einwirken ergeht.

Nach dem Schutzzweck setzt die Entscheidung allerdings ein **Mindestmaß an Bewertung persönlicher Aspekte** des Betroffenen voraus. Diese Eingrenzung folgt aus [Erwägungsgrund 71 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-71/) und der Nähe zum [Profiling-Begriff des Art. 4 Nr. 4 DSGVO](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.4-profiling). Reine Identifikationsvorgänge ohne Bewertung, etwa ein Zugangssystem, das allein einen Fingerabdruck abgleicht, erfüllen diese Voraussetzung nicht.

### 2.2 Ausschließlich automatisiert [#22-ausschließlich-automatisiert]

Das Wort „ausschließlich" verlangt, dass kein relevanter menschlicher Entscheidungsschritt dazwischentritt. Das Verbot erfasst zunächst alle Fälle, in denen ein System ohne jegliche menschliche Einflussnahme entscheidet, etwa über die Vergabe von Kredit-, Studien- oder Arbeitsplätzen, über Sozial- oder Versicherungsleistungen oder über automatisch erstellte Bußgeldbescheide.

#### 2.2.1 Keine rein formale menschliche Entscheidung [#221-keine-rein-formale-menschliche-entscheidung]

Schwierig sind mehrstufige Verfahren, bei denen ein System eine Entscheidung vorbereitet und ein Mensch sie nur noch umsetzt. Erschöpft sich die menschliche Tätigkeit in einem **rein formalen Bestätigungsakt**, bleibt es bei einer automatisierten Entscheidung. Maßgeblich ist nicht, ob ein Mensch eingreifen darf, sondern ob er **tatsächlich mit eigener Entscheidungsbefugnis** eingreift. Der Normzusammenhang wird nur unter zwei kumulativen Voraussetzungen unterbrochen: Dem Bearbeiter muss ein eigener Entscheidungsspielraum zustehen, und er muss ihn auch wahrnehmen.

Kein menschliches Einwirken in diesem Sinne sind:

* die bloße Entscheidung, in den Prozess nicht einzugreifen,
* reine Stichprobenkontrollen oder das Aussortieren offensichtlich unplausibler Fälle,
* die manuelle Vorbereitung (etwa das Einscannen von Unterlagen) ohne eigene Entscheidungskompetenz,
* das Eingreifen in die Trainingsphase eines lernenden Systems oder das bloße Programmieren der Software.

Steht einer natürlichen Person dagegen die Befugnis zu, das maschinelle Ergebnis inhaltlich zu prüfen und abzuändern, und nimmt sie diese tatsächlich wahr, liegt eine **teilautomatisierte** Entscheidung vor. Sie fällt nicht unter das Verbot; das Recht auf menschliches Eingreifen nach Abs. 3 läuft dann leer, weil die Prüfung bereits stattgefunden hat. Auf welcher Verfahrensstufe diese Prüfung erfolgt, ist unerheblich.

#### 2.2.2 Entscheidungsunterstützung und Automation Bias [#222-entscheidungsunterstützung-und-automation-bias]

Reine Entscheidungsunterstützung fällt nicht unter Art. 22 DSGVO. Sortiert ein System Daten nur vor (Bewerberranking, Aufbereitung von Rechtsprechung) oder berechnet es eine Rückfallwahrscheinlichkeit als Hinweis für einen menschlichen Entscheider, liegt keine automatisierte Entscheidung vor, solange die Auswahl nicht selbst die endgültige Entscheidung trifft. Reine Assistenzsysteme, die nur analysieren, aufbereiten oder Hintergrundinformationen liefern, ohne einen konkreten Entscheidungsvorschlag zu unterbreiten (etwa ein Sprachmodell, das einem Sachbearbeiter allgemeine Informationen zuarbeitet), bleiben außerhalb des Anwendungsbereichs.

<Callout type="warn">
  Entscheidungsunterstützende Systeme können faktisch in automatisierte Entscheidungen **umschlagen**. Übernimmt der zuständige Bearbeiter den Vorschlag des Systems regelmäßig ungeprüft, etwa aus Zeitdruck oder mangels Fachkenntnis (sogenannter Automation Bias), entscheidet im Ergebnis die Software. Eine hohe Übernahmequote ist dafür ein Indiz, aber kein hinreichender Beleg. Entscheidend ist, ob tatsächlich eine **inhaltliche Prüfung** mit hinreichender Zeit und Kompetenz stattfindet. Ein geeigneter Mechanismus ist, dem Bearbeiter Argumentationslasten aufzuerlegen, wenn er dem Vorschlag folgt.
</Callout>

### 2.3 Profiling und Scoring als Anwendungsfall [#23-profiling-und-scoring-als-anwendungsfall]

Art. 22 Abs. 1 DSGVO erklärt eine allein auf [Profiling](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.4-profiling) gestützte Entscheidung grundsätzlich für unzulässig, nicht aber das Profiling als solches. Profiling ist nur eine denkbare, nicht notwendige Gestaltungsform der automatisierten Verarbeitung. Scoring ist der praktisch wichtigste Unterfall: Aus vorhandenen Daten wird ein Wahrscheinlichkeitswert über künftiges Verhalten errechnet.

Lange galt: Die bloße Berechnung eines Scorewerts durch eine Auskunftei bereitet eine Entscheidung nur vor; erfasst war erst die darauf gestützte Entscheidung des Verwenders (etwa der Bank). Der EuGH hat diese Trennung aufgeweicht: Schon die automatisierte Erstellung des Scorewerts ist eine automatisierte Einzelentscheidung, wenn ein Dritter den Wert **maßgeblich** zur Entscheidung über ein Vertragsverhältnis heranzieht ([EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring)](/docs/dsgvo-hub/rechtsprechung/1.4.32-eugh-schufa-scoring)). „Maßgeblich" hat der Gerichtshof nicht näher umrissen; das Urteil ist deshalb kritisiert worden. Für die Praxis zählt vor allem eine Frage: Prüft eine fachkundige Person das maschinelle Ergebnis tatsächlich inhaltlich und kann sie es ändern, oder wird es nur formal „abgenickt" (Rubber-Stamping)? Im ersten Fall greift das Verbot nicht.

Daraus folgen konkrete Konsequenzen:

* **Kreditinstitute** dürfen einen fremden Scorewert nicht unbesehen übernehmen, sondern müssen ihn in eine eigene, inhaltliche Bonitätsentscheidung einfließen lassen (so auch § 18a Abs. 3 KWG, § 505a BGB).
* **Auskunfteien** sichern sich ab, indem sie ihre Kunden vertraglich verpflichten, den übermittelten Wert weder allein noch „maßgeblich" zugrunde zu legen.
* Zu trennen ist **internes Scoring** (der Verwender rechnet selbst, oft unter Einbeziehung fremder Werte) von **externem Scoring** (Zulieferung durch eine Auskunftei).

Für das Scoring enthält das nationale Recht in [§ 31 BDSG](https://www.gesetze-im-internet.de/bdsg_2018/__31.html) eine Regelung, deren Unionsrechtskonformität der EuGH offengelassen hat und die in der Sache als zweifelhaft gilt. Eine Reform (neuer § 37a BDSG, u.a. Ausschluss von Social-Media-Daten und reiner Kontoanalysen, erweiterte Informationspflichten) scheiterte an der Diskontinuität des Gesetzgebungsverfahrens; die Rechtslage bleibt vorerst unsicher. Interne Risikomess- und Ratingsysteme von Banken fallen nicht unter Art. 22 DSGVO, sondern unter § 10 Abs. 2 KWG.

### 2.4 Unterworfen [#24-unterworfen]

Das Verbot greift nur, wenn die Person der Entscheidung **unterworfen** ist, also einem System ausgesetzt ist, dessen Regeln ein Dritter einseitig vorgibt und auf die sie nicht substanziell einwirken kann. Dass sie mit der Nutzung einverstanden ist oder die Entscheidung auf einer vertraglichen Vereinbarung beruht, ändert daran nichts; das folgt im Umkehrschluss aus den Ausnahmen des Art. 22 Abs. 2 lit. a und lit. c DSGVO. Nicht unterworfen ist dagegen, wer eine Anwendung **vollständig selbst konfigurieren** kann (etwa ein Smart-Home-Thermostat) oder wer ein Ergebnis selbst durch seine Eingabe steuert (etwa Suchmaschinentreffer).

### 2.5 Wirkung der Entscheidung [#25-wirkung-der-entscheidung]

Erfasst sind nur Entscheidungen mit rechtlicher Wirkung oder einer in ähnlicher Weise erheblichen Beeinträchtigung.

* **Rechtliche Wirkung** liegt vor, wenn die Maßnahme den rechtlichen Status verändert, also eine Rechtsfolge auslöst (Kündigung, Annahme oder Ablehnung eines Vertragsangebots, vollautomatisch erlassener Verwaltungsakt nach [§ 35a VwVfG](https://www.gesetze-im-internet.de/vwvfg/__35a.html), § 155 Abs. 4 AO, § 31a SGB X). Rein mittelbare Auswirkungen genügen nicht.
* **Erhebliche Beeinträchtigung** meint Wirkungen, die einer rechtlichen Wirkung gleichkommen, etwa eine Diskriminierung, die Ablehnung eines für die Lebensführung wesentlichen Vertrags (Gesundheitsleistungen, Versicherung) oder die automatische Ablehnung eines Online-Kreditantrags.

Die **Ablehnung eines Vertragsschlusses** (etwa eines Kredits) ändert die Rechtslage des Betroffenen nach herrschender Auffassung nicht und hat daher für sich genommen keine rechtliche Wirkung. Sie kann aber eine erhebliche Beeinträchtigung sein, wenn der Vertrag der Grundversorgung dient, es keine zumutbare Bezugsalternative gibt oder ein Kontrahierungszwang besteht (z.B. Anspruch auf ein Basiskonto nach § 31 Zahlungskontengesetz).

Die folgende Übersicht ordnet typische Praxisfälle ein:

| Konstellation                                                                         | Wirkung iSd Art. 22 Abs. 1                                        |
| ------------------------------------------------------------------------------------- | ----------------------------------------------------------------- |
| Vollautomatischer Verwaltungsakt, Kündigung, Annahme/Ablehnung eines Vertragsangebots | rechtliche Wirkung (+)                                            |
| Verweigerung einer Geldautomaten-Auszahlung zur Betrugsprävention                     | rechtliche Wirkung möglich (+), oft über Vertrag (lit. a) gedeckt |
| Ablehnung eines Vertrags der Grundversorgung / bei Kontrahierungszwang                | erhebliche Beeinträchtigung (+)                                   |
| Automatisierte Vorauswahl von Bewerbungen, Scouting, Inkasso-Maßnahmen                | regelmäßig keine erhebliche Beeinträchtigung (-)                  |
| Personalisierte Werbung, geringfügige Preisdifferenzierung                            | regelmäßig keine erhebliche Beeinträchtigung (-)                  |

Hintergrund: **Preisdifferenzierung** ist im Regelfall nur eine invitatio ad offerendum, und geringe Preisunterschiede überschreiten die Erheblichkeitsschwelle nicht; anders kann es bei prohibitiven Preisen oder faktischem Teilhabeausschluss liegen. **Personalisierte Werbung** entfaltet typischerweise keine erhebliche Beeinträchtigung, was der Umkehrschluss zum Widerspruchsrecht gegen Direktwerbung bestätigt ([Art. 21 Abs. 2 DSGVO](https://dsgvo-gesetz.de/art-21-dsgvo/)). Eine automatisierte **Vorauswahl** (Bewerbung, Scouting) bereitet eine spätere menschliche Entscheidung nur vor und erreicht die Erheblichkeitsschwelle in der Regel nicht.

Erfasst sind nur **nachteilige** Entscheidungen. Gibt das System dem Begehren der betroffenen Person vollständig statt (etwa eine antragsgemäße Bewilligung), greift das Verbot nicht. Das bestätigt auch die Begründung zur geplanten BDSG-Reform, die § 37 Abs. 1 Nr. 1 BDSG (Ausnahme bei stattgebender Entscheidung) als überflüssig streichen wollte, weil eine vollumfänglich stattgebende Entscheidung schon nicht unter Art. 22 Abs. 1 DSGVO fällt.

## 3. Ausnahmen vom Verbot (Abs. 2) [#3-ausnahmen-vom-verbot-abs-2]

Das Verbot ist nicht absolut. Art. 22 Abs. 2 DSGVO lässt drei **abschließende** Ausnahmen zu.

| Ausnahme                           | Norm                        | Kernvoraussetzung                                                           |
| ---------------------------------- | --------------------------- | --------------------------------------------------------------------------- |
| Vertragliche Bindung               | Art. 22 Abs. 2 lit. a DSGVO | für Abschluss oder Erfüllung des Vertrages **erforderlich**                 |
| Rechtsvorschrift (Öffnungsklausel) | Art. 22 Abs. 2 lit. b DSGVO | Unions- oder mitgliedstaatliches Recht mit **angemessenen Schutzmaßnahmen** |
| Ausdrückliche Einwilligung         | Art. 22 Abs. 2 lit. c DSGVO | informiert, freiwillig und **ausdrücklich** auf Vollautomatisierung bezogen |

### 3.1 Vertragliche Bindung (lit. a) [#31-vertragliche-bindung-lit-a]

Zulässig ist die Entscheidung, soweit sie **erforderlich** ist, um den Vertrag abzuschließen oder zu erfüllen. „Erforderlich" meint nicht „nützlich" oder „wünschenswert", sondern unumgänglich. Bezugspunkt ist nicht die Vollautomatisierung, sondern die Entscheidung: Maßgeblich ist, ob die mit der Verarbeitung verbundene Entscheidung für den Vertrag erforderlich ist, nicht, ob sie sich auch manuell durchführen ließe. Erfasst sind auch öffentlich-rechtliche Verträge und die Vorbereitung von Verträgen, nicht aber einseitige Rechtsgeschäfte oder gesetzliche Schuldverhältnisse. Anders als die frühere Regelung des § 6a BDSG a.F. greift die Ausnahme auch bei **Ablehnung** des Vertragsschlusses. Zur Erforderlichkeit gilt der unionsrechtliche Maßstab wie bei [Art. 6 Abs. 1 lit. b DSGVO](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.2-vertrag-und-vorvertragliche-massnahmen).

### 3.2 Öffnungsklausel (lit. b) [#32-öffnungsklausel-lit-b]

Lit. b erlaubt es der Union und den Mitgliedstaaten, automatisierte Entscheidungen durch Rechtsvorschrift zuzulassen, sofern diese **angemessene Schutzmaßnahmen** vorsieht. „Rechtsvorschriften" müssen nicht zwingend formelle Gesetze sein; auch materielles Gesetzesrecht genügt, nicht aber bloße Verwaltungsvorschriften oder Selbstregulierungsregeln, weil sie für den Normadressaten nicht hinreichend vorhersehbar sind. Vom Spielraum hat der deutsche Gesetzgeber etwa in [§ 37 BDSG](https://www.gesetze-im-internet.de/bdsg_2018/__37.html) (automatisierte Entscheidungen über Versicherungsleistungen) sowie in § 35a VwVfG, § 31a SGB X und § 155 Abs. 4 AO Gebrauch gemacht. Ob § 31 BDSG (Scoring) als solche Rechtsvorschrift trägt, ist umstritten und vom EuGH offengelassen (dazu oben unter [2.3](#23-profiling-und-scoring-als-anwendungsfall)). Die KI-VO ist ihrerseits **keine** taugliche Rechtsvorschrift im Sinne von lit. b: Sie autorisiert keine bestimmte automatisierte Entscheidung, sondern stellt nur Produkt- und Verfahrensanforderungen auf (näher unter [7.](#7-verhältnis-zur-ki-vo)).

Im **öffentlichen Bereich** zieht das Verfassungsrecht eine zusätzliche Grenze: Ein vollständig automatisierter Verwaltungsakt ist nur zulässig, wo kein Ermessen und kein Beurteilungsspielraum besteht (§ 35a VwVfG; ähnlich § 31a SGB X, § 155 Abs. 4 AO). Ermessensentscheidungen, unbestimmte Rechtsbegriffe und Härtefallprüfungen (etwa „unbillige Härte" im BAföG) verlangen die Mitwirkung einer natürlichen Person; hier sind nur entscheidungsvorbereitende Systeme denkbar. Für den Einzelfall bedeutsame Angaben des Beteiligten müssen auch im automatisierten Verfahren berücksichtigt werden.

Die Offenlegung des Programmcodes verlangen die Schutzmaßnahmen regelmäßig **nicht**; das würde Geschäftsgeheimnisse verletzen und über das Ziel hinausschießen. Es genügt, dem Betroffenen Einsicht in die Bewertungsmaßstäbe und aussagekräftige Informationen über die involvierte Logik zu gewähren (näher unter [6.](#6-informations-und-auskunftsrechte)).

### 3.3 Ausdrückliche Einwilligung (lit. c) [#33-ausdrückliche-einwilligung-lit-c]

Die Einwilligung schließt das Verbot aus, wenn sie informiert, freiwillig und mit Einsichtsfähigkeit erteilt wird. Sie muss **ausdrücklich** auf die vollständig automatisierte Verarbeitung bezogen sein; eine allgemeine Einwilligung, die auch Teilautomatisierungen umfasst, genügt nicht. Maßstab für Freiwilligkeit und Bestimmtheit sind [Art. 4 Nr. 11](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.11-einwilligung) und Art. 7 DSGVO. An der Freiwilligkeit fehlt es insbesondere bei einem strukturellen Machtungleichgewicht oder wenn der Betroffene sich auf das automatisierte Verfahren einlassen muss, um eine Leistung zu erhalten. Die Einwilligung ist zu dokumentieren (Nachweispflicht, Art. 5 Abs. 2, Art. 7 Abs. 1 DSGVO).

Ein Widerruf wirkt nur für die Zukunft. Eine bereits getroffene Entscheidung wird dadurch nicht automatisch rückgängig; der Widerruf ist aber als Anfechtung zu behandeln und gibt dem Betroffenen die Rechte aus Abs. 3 (insbesondere die menschliche Überprüfung).

## 4. Schutzmaßnahmen bei zulässigen Entscheidungen (Abs. 3) [#4-schutzmaßnahmen-bei-zulässigen-entscheidungen-abs-3]

Bei Entscheidungen aufgrund eines Vertrages (lit. a) oder einer Einwilligung (lit. c) knüpft Art. 22 Abs. 3 DSGVO die Zulässigkeit an **Mindestgarantien**, auf die der Betroffene nicht verzichten kann. Sie sind zugleich Pflichtbestandteil der [Datenschutz-Folgenabschätzung](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung) (Art. 35 Abs. 3 lit. a iVm Abs. 7 lit. d DSGVO).

### 4.1 Eingreifen, Standpunkt und Neubewertung [#41-eingreifen-standpunkt-und-neubewertung]

* **Recht auf Eingreifen einer Person.** Der Betroffene kann verlangen, dass eine Person in den Prozess eingreift. Das ist kein Recht, von automatisierten Entscheidungen generell verschont zu bleiben, und zwingt nicht zur Änderung der Entscheidung. Der Bearbeiter darf das Ergebnis nach inhaltlicher Prüfung auch bestätigen, darf sich dabei aber nicht auf einen rein formellen Akt beschränken.
* **Recht, den eigenen Standpunkt darzulegen.** Es genügt nicht, sich äußern zu dürfen; der Vortrag muss tatsächlich Gehör finden. Das setzt voraus, dass ein **Mensch** ihn würdigt. Eine Auswahl aus vorformulierten Aussagen genügt nicht.
* **Recht auf Anfechtung und inhaltliche Neubewertung.** „Anfechtung" meint nicht die Anfechtung nach §§ 119 ff. BGB und ist kein Rechtsbehelf, mit dem der Betroffene die Entscheidung einseitig „aus der Welt schaffen" könnte. Er kann nur eine ernsthafte, nicht bloß formale Neubewertung durch eine Person verlangen. Bestätigt diese das Ergebnis nach inhaltlicher Prüfung, hat es Bestand; im privaten Bereich zwingt die Privatautonomie nicht dazu, von einer Vertragsentscheidung abzuweichen.

### 4.2 Faire und transparente Verarbeitung [#42-faire-und-transparente-verarbeitung]

Aus dem Grundsatz von [Treu und Glauben und der Transparenz](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.3-transparenz) (Art. 5 Abs. 1 lit. a DSGVO, Erwägungsgrund 71 DSGVO) folgt, dass das System auf **geeigneten mathematischen oder statistischen Verfahren** beruhen muss. In das Entscheidungsmodell dürfen nur Kriterien einfließen, die für die Entscheidung nachweisbar erheblich sind; je größer der mögliche Schaden, desto höher muss die Wahrscheinlichkeit der richtigen Schlussfolgerung sein. Zudem muss die Datengrundlage richtig und aktuell sein; der Verantwortliche hat das Fehlerrisiko durch technische und organisatorische Maßnahmen zu minimieren (Grundsatz der [Richtigkeit](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.6-richtigkeit), Art. 5 Abs. 1 lit. d DSGVO) und diskriminierende Wirkungen nach Möglichkeit auszuschließen.

### 4.3 Keine generelle Begründungspflicht [#43-keine-generelle-begründungspflicht]

Eine allgemeine Pflicht, die Entscheidung zu begründen, folgt aus der DSGVO **nicht**. Eine Erläuterung ist nur insoweit geschuldet, als sie erforderlich ist, um dem Betroffenen zu zeigen, wie sein dargelegter Standpunkt in die Entscheidung eingeflossen ist. Ein weitergehendes Recht auf Erläuterung der Entscheidungsfindung im Einzelfall besteht für Hochrisiko-KI-Systeme nach Art. 86 Abs. 1 KI-VO (dazu [7.](#7-verhältnis-zur-ki-vo)).

## 5. Sensible Daten (Abs. 4) [#5-sensible-daten-abs-4]

Auch wenn eine Ausnahme nach Abs. 2 greift, ist es grundsätzlich unzulässig, die Entscheidung auf [besondere Kategorien personenbezogener Daten](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien) im Sinne von [Art. 9 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-9-dsgvo/) zu stützen (Rückausnahme). Zulässig ist die Einbeziehung sensibler Daten nur in zwei Fällen: bei **ausdrücklicher Einwilligung** (Art. 9 Abs. 2 lit. a DSGVO) oder wenn die Verarbeitung aus Gründen eines **erheblichen öffentlichen Interesses** erforderlich und verhältnismäßig ist (Art. 9 Abs. 2 lit. g DSGVO). In beiden Fällen müssen angemessene Maßnahmen zum Schutz der Betroffenen bestehen. Bei gemischten Datensätzen gilt Abs. 4 grundsätzlich nur für die sensiblen Daten; sind sensible und nicht-sensible Daten untrennbar verzahnt, erfasst er den gesamten Datensatz.

## 6. Informations- und Auskunftsrechte [#6-informations--und-auskunftsrechte]

Wer eine vollständig automatisierte Entscheidung mit rechtlicher oder vergleichbarer Wirkung trifft, muss die betroffene Person aussagekräftig informieren: über das **Bestehen** der automatisierten Entscheidungsfindung sowie über die **involvierte Logik und die Tragweite** der Verarbeitung ([Art. 13 Abs. 2 lit. f](https://dsgvo-gesetz.de/art-13-dsgvo/), [Art. 14 Abs. 2 lit. g](https://dsgvo-gesetz.de/art-14-dsgvo/) und [Art. 15 Abs. 1 lit. h DSGVO](https://dsgvo-gesetz.de/art-15-dsgvo/)).

Wie tief die Information über die „involvierte Logik" reichen muss, hat der EuGH konkretisiert: Der Verantwortliche muss das **Verfahren und die Grundsätze** so erläutern, dass der Betroffene nachvollziehen kann, welche seiner Daten auf welche Weise verwendet wurden. Weder die bloße Mitteilung komplexer Formeln noch die Offenlegung des Algorithmus sind geschuldet, wohl aber eine verständliche, am Einzelfall orientierte Erklärung. Kollidiert die Auskunft mit Geschäftsgeheimnissen oder Rechten Dritter, ist ein **In-Camera-Verfahren** möglich: Der Verantwortliche legt die Informationen der Aufsichtsbehörde oder dem Gericht vor, die den Umfang des Auskunftsrechts bestimmen ([EuGH, Urt. v. 27.02.2025, C-203/22, Dun & Bradstreet Austria](/docs/dsgvo-hub/rechtsprechung/1.4.52-eugh-dun-bradstreet)).

Ein Anspruch auf Offenlegung des ermittelten **Profiling- oder Scorewerts** selbst besteht regelmäßig nicht; geschuldet ist Auskunft über die zugrunde gelegten Tatsachen und die angewandte Logik, nicht über das Werturteil als solches. Über die nach Abs. 3 getroffenen Schutzmaßnahmen ist der Betroffene auf Antrag zu unterrichten (Art. 12 Abs. 3 S. 1 DSGVO).

Praktisch wirkt diese Auskunftspflicht beim Scoring spürbar: Auskunfteien und Kreditinstitute können sich nicht mehr pauschal auf das Geschäftsgeheimnis zurückziehen, sondern müssen die verwendeten Daten und Kriterien, deren Gewichtung und die Aussagekraft des Wertes verständlich offenlegen. Dabei darf die Information nicht zur Holschuld der betroffenen Person werden. In dieselbe Richtung weist die [Verbraucherkreditrichtlinie (EU) 2023/2225](https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX:32023L2225): Wird ein Kreditvertrag aufgrund einer Datenbankabfrage abgelehnt, ist der Verbraucher hierüber zu unterrichten.

## 7. Verhältnis zur KI-VO [#7-verhältnis-zur-ki-vo]

Für KI-gestützte Entscheidungen gelten die DSGVO und die [KI-VO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689) **selbständig nebeneinander** (Art. 2 Abs. 7 KI-VO). Die Schutzlogik ist verschieden: Die DSGVO ist individualrechtlich und fragt nach der konkreten Beeinträchtigung der betroffenen Person; die KI-VO ist systemisch und stuft KI-Systeme nach ihrem Risikopotenzial ein. Ein KI-System, das den Anforderungen der KI-VO genügt, ist deshalb nicht schon datenschutzkonform; es bleibt am Maßstab des Art. 22 DSGVO zu messen.

### 7.1 Risikobasierter Ansatz der KI-VO [#71-risikobasierter-ansatz-der-ki-vo]

Die KI-VO reguliert nicht die automatisierte Entscheidung als solche, sondern das System. Sie unterscheidet vier Risikostufen:

* **Verbotene Praktiken** (Art. 5 KI-VO), die den Schutzgedanken des Art. 22 DSGVO aufgreifen, etwa Social Scoring (lit. c), KI zur Risikobewertung strafbarer Handlungen (lit. d), Emotionserkennung am Arbeitsplatz (lit. f) und biometrische Kategorisierung (lit. g). Das Verbot gilt auch für den bloßen Einsatz zur Entscheidungsunterstützung.
* **Hochrisiko-Systeme** (Art. 6 iVm Anhang III KI-VO), darunter Kreditscoring sowie Zulassungs- und Bewerberauswahlverfahren. Sie unterliegen den strengen Pflichten der Art. 8 ff. KI-VO (Transparenz, menschliche Aufsicht, Genauigkeit, Risiko- und Qualitätsmanagement). Beeinflusst das System das Ergebnis der Entscheidungsfindung nicht wesentlich, fällt es ausnahmsweise heraus (Art. 6 Abs. 3 KI-VO); ein Profiling natürlicher Personen macht es aber stets hochriskant.
* **Systeme mit Transparenzpflichten** (Art. 50 KI-VO), etwa Chatbots oder Deepfakes.
* **Minimales Risiko** ohne besondere Pflichten.

### 7.2 Kein eigener Erlaubnistatbestand, aber faktische Schutzmaßnahmen [#72-kein-eigener-erlaubnistatbestand-aber-faktische-schutzmaßnahmen]

Die KI-VO ist **keine** Rechtsvorschrift, die eine automatisierte Entscheidung im Sinne von Art. 22 Abs. 2 lit. b DSGVO erlaubt. Sie autorisiert keine konkrete Entscheidung gegenüber Einzelpersonen, sondern lässt das Datenschutzrecht ausdrücklich unberührt (Erwägungsgründe 10 und 41 KI-VO); die Regelungen zu regulatorischen Sandboxen (Art. 57 ff. KI-VO) gelten ausdrücklich nicht als Schutzgesetz. Wer ein KI-System einsetzt, kann sich also nicht auf dessen KI-VO-Konformität berufen, sondern muss zusätzlich eine Ausnahme nach Art. 22 Abs. 2 DSGVO und eine Rechtsgrundlage nach Art. 6 DSGVO haben. Greift keine Ausnahme, darf die Entscheidung nicht allein einem System überlassen werden; fehlt eine besondere gesetzliche Grundlage, ist der Einsatz unzulässig (so für das österreichische Arbeitsmarktchancen-Modell die dortige Verwaltungsgerichtsbarkeit).

In der Praxis greifen beide Regime ineinander: Die Betreiberpflichten für Hochrisiko-Systeme (Art. 26 KI-VO) und die Rechtsbehelfe der Betroffenen (Beschwerde nach Art. 85, Erläuterungsrecht nach Art. 86 KI-VO) wirken faktisch wie die Schutzmaßnahmen, die Art. 22 Abs. 3 DSGVO verlangt. Wer ein solches System einsetzt (der „Betreiber"), ist dabei regelmäßig zugleich der datenschutzrechtlich Verantwortliche.

### 7.3 Menschliche Aufsicht als gemeinsame Klammer [#73-menschliche-aufsicht-als-gemeinsame-klammer]

Die von Art. 14 KI-VO geforderte wirksame **menschliche Aufsicht** über Hochrisiko-Systeme zielt in dieselbe Richtung wie Art. 22 DSGVO (Human-in-the-Loop). Wer organisatorisch und technisch sicherstellt, dass ein Mensch an entscheidender Stelle tatsächlich prüfend eingreift, überschreitet die Schwelle des Art. 22 Abs. 1 DSGVO gar nicht erst. Ein bloßes „Abnicken" (Rubber-Stamping) genügt dafür nicht; der Mensch muss das Ergebnis prüfen und abändern können. So ergänzen sich beide Regelungswerke: Die KI-VO sichert das System, die DSGVO die rechtmäßige Verwendung im Einzelfall.

## 8. Durchsetzung, Sanktionen und Sonderfälle [#8-durchsetzung-sanktionen-und-sonderfälle]

Ein Verstoß gegen Art. 22 DSGVO ist bußgeldbewehrt: Möglich sind Geldbußen bis 20 Mio. EUR oder bis 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. b DSGVO). Die Aufsichtsbehörde kann zudem warnen, verwarnen und anweisen, Betroffenenrechten zu entsprechen (Art. 58 DSGVO).

Zwei Sonderfälle sind zu beachten:

* **Polizei und Justiz.** Automatisierte Entscheidungen im Bereich der Strafverfolgung richten sich nicht nach Art. 22 DSGVO, sondern nach § 54 BDSG (Umsetzung von Art. 11 der Richtlinie (EU) 2016/680); ein diskriminierendes Profiling auf Basis sensibler Daten ist dort ausdrücklich verboten.
* **Kinder.** Automatisierte Entscheidungen sollen grundsätzlich keine Kinder betreffen (Erwägungsgrund 71 DSGVO). Zulässig sind sie nur ausnahmsweise und mit besonderen Schutzvorkehrungen, etwa eine Altersverifikation als Zugangsvoraussetzung.

<Cards>
  <Card title="Profiling (Art. 4 Nr. 4 DSGVO)" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.4-profiling" description="Begriff und Abgrenzung; Scoring als praktisch wichtigster Unterfall." />

  <Card title="EuGH SCHUFA (Scoring)" href="/docs/dsgvo-hub/rechtsprechung/1.4.32-eugh-schufa-scoring" description="C-634/21: Scorewert als automatisierte Entscheidung, wenn maßgeblich." />

  <Card title="EuGH Dun & Bradstreet" href="/docs/dsgvo-hub/rechtsprechung/1.4.52-eugh-dun-bradstreet" description="C-203/22: Reichweite der Auskunft über die involvierte Logik." />

  <Card title="Besondere Kategorien (Art. 9 DSGVO)" href="/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien" description="Rückausnahme des Art. 22 Abs. 4 DSGVO bei sensiblen Daten." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.