Startseite
BeLogical
produkt-updates

Art. 22 DSGVO & KI: Automatisierte Entscheidungen im B2B

Wann Profiling erlaubt ist, welche Rechte gelten und wie B2B Teams Risiken reduzieren.

BeLogical Team
Autor
BeLogical Team - Team

BeLogical Team schreibt bei BeLogical über praxisnahe B2B-Themen.

Key Takeaways
Inhalt

Management Summary: ## Einführung: Automatisierte Entscheidungen im Zeitalter der KI Künstliche Intelligenz (KI) ermöglicht es Unternehmen, Entscheidungen automatisiert zu treffen – von Lead-Scoring über Ranking-Algorithmen bis hin zu automatisierten Bewertungen. Diese Automatisierung wirft jedoch komplexe rechtliche Fragen auf, insbesondere im Hinblick auf Art. 22 DSGVO, der automatisierte Entscheidungen einschließlich Profiling regelt. Dieser

Einführung: Automatisierte Entscheidungen im Zeitalter der KI

Was ist Art. 22 DSGVO & KI? Die Definition für B2B

Art. 22 DSGVO & KI ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist Art. 22 DSGVO & KI essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

Künstliche Intelligenz (KI) ermöglicht es Unternehmen, Entscheidungen automatisiert zu treffen – von Lead-Scoring über Ranking-Algorithmen bis hin zu automatisierten Bewertungen. Diese Automatisierung wirft jedoch komplexe rechtliche Fragen auf, insbesondere im Hinblick auf Art. 22 DSGVO, der automatisierte Entscheidungen einschließlich Profiling regelt.

Dieser Artikel erklärt Art. 22 DSGVO im Kontext von KI und automatisierten Entscheidungen: Was regelt Art. 22 wirklich? Wann liegt eine automatisierte Entscheidung vor? Welche Risiken bestehen bei Scoring und Ranking? Und warum ist menschliche Kontrolle wichtig?

Dieser Artikel ist ein Supporting-Artikel zum PILLAR-Artikel “KI im B2B-SaaS: DSGVO, AI Act und Verantwortung”, der die grundlegenden Aspekte von KI im B2B-Kontext ausführlich behandelt.

Was Art. 22 DSGVO wirklich regelt

Art. 22 DSGVO regelt automatisierte Entscheidungen einschließlich Profiling. Die Bestimmung ist komplex und wird häufig missverstanden.

Art. 22 Abs. 1 DSGVO: Grundsatz

Art. 22 Abs. 1 DSGVO besagt, dass betroffene Personen nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen werden dürfen, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Die drei entscheidenden Kriterien sind:

Rechtliche Wirkung oder erhebliche Beeinträchtigung: Die Entscheidung muss rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen

  • Profiling: Die Entscheidung kann auf Profiling beruhen (automatisierte Verarbeitung zur Bewertung persönlicher Aspekte)

Wichtig: Art. 22 DSGVO gilt nur, wenn alle drei Kriterien erfüllt sind. Wenn eine menschliche Person in die Entscheidung eingreift, greift Art. 22 DSGVO nicht.

Art. 22 Abs. 2 DSGVO: Ausnahmen

Art. 22 Abs. 2 DSGVO erlaubt automatisierte Entscheidungen in folgenden Fällen:

Art. 22 Abs. 2 lit. b DSGVO: Zulässig aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten (z.B. automatische Steuerberechnung)

  • Art. 22 Abs. 2 lit. c DSGVO: Mit ausdrücklicher Einwilligung der betroffenen Person

Wichtig: Auch bei Ausnahmen müssen die Rechte nach Art. 22 Abs. 3 DSGVO gewährleistet sein (menschliche Intervention, Erklärung der Logik, Widerspruch).

Art. 22 Abs. 3 DSGVO: Rechte der betroffenen Person

Art. 22 Abs. 3 DSGVO gewährleistet folgende Rechte:

Erklärung der Logik: Recht auf Erklärung der Logik der automatisierten Entscheidung

  • Widerspruch: Recht auf Widerspruch gegen die automatisierte Entscheidung

Praktisch: Diese Rechte müssen technisch und organisatorisch umgesetzt werden, z.B. durch Überprüfungsprozesse, Dokumentation der Entscheidungslogik und Widerspruchsverfahren.

Abgrenzung: Entscheidungsunterstützung vs. Entscheidung

Eine wichtige Abgrenzung ist die zwischen Entscheidungsunterstützung und automatisierter Entscheidung. Diese Abgrenzung ist entscheidend für die Anwendung von Art. 22 DSGVO.

Entscheidungsunterstützung (Art. 22 DSGVO greift nicht)

Entscheidungsunterstützung liegt vor, wenn ein System Vorschläge oder Empfehlungen gibt, aber eine menschliche Person die finale Entscheidung trifft:

Mensch entscheidet: Eine menschliche Person prüft den Vorschlag und trifft die finale Entscheidung

  • Menschliche Kontrolle: Die menschliche Person kann den Vorschlag ablehnen oder abändern

Beispiel: Ein CRM-System wie RankedLogical schlägt Leads vor, die am wahrscheinlichsten konvertieren. Ein Verkäufer prüft die Vorschläge und entscheidet, welche Leads kontaktiert werden. Dies ist Entscheidungsunterstützung, Art. 22 DSGVO greift nicht.

Automatisierte Entscheidung (Art. 22 DSGVO greift)

Automatisierte Entscheidung liegt vor, wenn ein System die Entscheidung ohne menschliche Intervention trifft:

Keine menschliche Kontrolle: Keine menschliche Person prüft oder kontrolliert die Entscheidung vor der Umsetzung

  • Automatische Umsetzung: Die Entscheidung wird automatisch umgesetzt

Beispiel: Ein System lehnt automatisch Kreditanträge ab, ohne dass eine menschliche Person die Entscheidung prüft. Dies ist eine automatisierte Entscheidung, Art. 22 DSGVO greift.

Grauzone: Scheinbare menschliche Kontrolle

Eine Grauzone ist die scheinbare menschliche Kontrolle:

Keine echte Kontrolle: Die menschliche Person hat keine Möglichkeit, die Entscheidung zu ändern oder abzulehnen

  • Rechtliche Konsequenz: Dies wird als automatisierte Entscheidung gewertet, Art. 22 DSGVO greift

Wichtig: Für echte Entscheidungsunterstützung muss die menschliche Person die Möglichkeit haben, die Entscheidung zu ändern oder abzulehnen, und dies auch tatsächlich tun können.

Risiken bei Scoring & Ranking

Scoring und Ranking sind häufige Anwendungsfälle von KI im B2B-Kontext. Sie bergen jedoch rechtliche Risiken, insbesondere wenn sie als automatisierte Entscheidungen gewertet werden.

Lead-Scoring

Lead-Scoring bewertet Leads basierend auf verschiedenen Kriterien:

Priorisierung: Leads werden nach Score priorisiert

  • Automatisierung: Leads mit hohem Score werden automatisch weitergeleitet

Rechtliche Risiken:

Erhebliche Beeinträchtigung: Wenn Leads mit niedrigem Score nicht kontaktiert werden, kann dies eine erhebliche Beeinträchtigung darstellen

Diskriminierung: Scoring-Algorithmen können diskriminierend sein, wenn sie auf geschützte Merkmale basieren

Risikominimierung: Menschliche Kontrolle bei der finalen Entscheidung, Transparenz über Scoring-Kriterien, regelmäßige Prüfung auf Diskriminierung.

Ranking-Algorithmen

Ranking-Algorithmen sortieren Ergebnisse nach Relevanz oder anderen Kriterien:

Sichtbarkeit: Ergebnisse mit hohem Ranking sind sichtbarer

  • Automatisierung: Ranking erfolgt automatisch basierend auf Algorithmen

Rechtliche Risiken:

Art. 22 DSGVO: Wenn Ranking automatisch erfolgt, ohne menschliche Kontrolle, kann Art. 22 DSGVO greifen

Diskriminierung: Ranking-Algorithmen können diskriminierend sein

Beispiel: RankedLogical verwendet Ranking-Algorithmen zur Sortierung von Suchergebnissen. Wenn die Sortierung automatisch erfolgt, ohne menschliche Kontrolle, und zu erheblicher Beeinträchtigung führt, kann Art. 22 DSGVO greifen. Menschliche Kontrolle und Transparenz sind wichtig.

Automatisierte Bewertungen

Automatisierte Bewertungen bewerten Personen oder Unternehmen automatisch:

Bonität: Automatische Bewertung der Bonität

  • Eignung: Automatische Bewertung der Eignung für eine Position oder einen Vertrag

Rechtliche Risiken:

Rechtliche Wirkung: Bewertungen können rechtliche Wirkung entfalten (z.B. Kreditverweigerung)

Diskriminierung: Bewertungsalgorithmen können diskriminierend sein

Risikominimierung: Menschliche Kontrolle bei der finalen Entscheidung, Transparenz über Bewertungskriterien, regelmäßige Prüfung auf Diskriminierung, Widerspruchsverfahren.

Warum menschliche Kontrolle wichtig ist

Menschliche Kontrolle ist nicht nur rechtlich erforderlich, sondern auch aus praktischen Gründen wichtig:

Rechtliche Anforderungen

Art. 22 DSGVO verlangt menschliche Kontrolle:

Widerspruch: Betroffene Personen haben das Recht, der automatisierten Entscheidung zu widersprechen

  • Erklärung: Betroffene Personen haben das Recht auf Erklärung der Logik

Konsequenz: Ohne menschliche Kontrolle greift Art. 22 DSGVO, was zu Bußgeldern und Schadensersatzansprüchen führen kann.

Praktische Gründe

Menschliche Kontrolle ist auch aus praktischen Gründen wichtig:

Kontextverständnis: Menschen können Kontext verstehen, den Algorithmen nicht erfassen

Vertrauen: Kunden vertrauen menschlichen Entscheidungen mehr als rein automatisierten

  • Anpassung: Menschen können Entscheidungen anpassen, wenn sich Umstände ändern

Technische Umsetzung

Menschliche Kontrolle muss technisch umgesetzt werden:

Widerspruchsverfahren: Verfahren, die es betroffenen Personen ermöglichen, Widerspruch einzulegen

Schulungen: Schulungen für Mitarbeiter, die Entscheidungen überprüfen

Beispiel: Ein System wie RankedLogical sollte Überprüfungsprozesse haben, die es Verkäufern ermöglichen, KI-Vorschläge zu prüfen und anzupassen, bevor sie umgesetzt werden.

Best Practices für Art. 22 DSGVO-Compliance

Die folgenden Best Practices können helfen, Art. 22 DSGVO-Compliance zu gewährleisten:

1. Entscheidungsunterstützung statt automatisierter Entscheidung

Mensch entscheidet: Menschen treffen die finalen Entscheidungen

  • Echte Kontrolle: Menschen haben echte Kontrolle und können Entscheidungen ändern oder ablehnen

2. Transparenz über Entscheidungslogik

Dokumentation: Entscheidungslogik muss dokumentiert werden

  • Information: Betroffene Personen müssen über die Entscheidungslogik informiert werden

3. Widerspruchsverfahren

Überprüfung: Widersprüche müssen von Menschen überprüft werden

  • Information: Betroffene Personen müssen über Widerspruchsrechte informiert werden

4. Regelmäßige Prüfung auf Diskriminierung

Anpassung: Anpassung von Algorithmen bei festgestellter Diskriminierung

  • Dokumentation: Dokumentation der Prüfungen und Anpassungen

Fazit: Art. 22 DSGVO & KI: Automatisierte Entscheidungen im B2B

Dieser Artikel beleuchtet die Facetten von Art. 22 DSGVO & KI: Automatisierte Entscheidungen im B2B. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.

Produkt Updates

Integrierte Compliance-Lösung

Bündeln Sie ISMS-Strukturen und NIS-2-Governance in einer zentralen Plattform.

Mehr erfahren