Checkliste Profiling und automatisierte Entscheidungen fuer Gruender und Compliance Leads

Profiling und automatisierte Entscheidungen sind checklistenfaehig, wenn ein SaaS-Team zeigen kann, welche Systeme Menschen bewerten, welche Ergebnisse Entscheidungen beeinflussen, wer die Pruefung verantwortet, welche Schutzmassnahmen bestehen und wo die Nachweise liegen. Die Checkliste ist nicht nur fuer Legal gedacht. Sie hilft bei Produktplanung, Vendor Intake, KI-Review, Kunden-Due-Diligence und Audit Readiness.

Unter der DSGVO ist Profiling automatisierte Verarbeitung personenbezogener Daten zur Bewertung persoenlicher Aspekte. Artikel 22 ist enger: Er betrifft Entscheidungen, die ausschliesslich auf automatisierter Verarbeitung beruhen und rechtliche oder aehnlich erhebliche Wirkungen haben.

Checkliste

1. Inventarisieren Sie alle Workflows, die Personen scoren, ranken, vorhersagen, markieren, empfehlen, genehmigen, ablehnen, sperren, routen, priorisieren oder bepreisen. Dazu gehoeren Produktfunktionen, Dashboards, Support-Tools, CRM-Scoring, Fraud Detection, Identitaetspruefung, Security Alerts, Moderation, Customer Success und KI-Assistenten.

2. Dokumentieren Sie Systemname, Owner, Zweck, betroffene Personen, Datenkategorien, Ergebnis, Nutzer des Ergebnisses und Fundort der Entscheidung. Verlinken Sie Tickets, Architekturhinweise, Vendor-Unterlagen, Modellbeschreibungen, Regel-Logik und Support-Playbooks.

3. Klassifizieren Sie den Workflow: gewoehnliche Automatisierung, Profiling, automatisierte Entscheidungsunterstuetzung oder ausschliesslich automatisierte erhebliche Entscheidung. Halten Sie die Begruendung fest und notieren Sie, was die Klassifizierung aendern wuerde, etwa Wiederverwendung fuer Enforcement, Pricing, Eligibility, Account-Zugriff oder Beschaeftigung.

4. Pruefen Sie Rechtsgrundlage und Scope. Klaeren Sie, ob besondere Datenkategorien, Kinder, Beschaeftigte, vulnerable Gruppen, biometrische Daten, Standortdaten, Finanzdaten, Gesundheitsdaten oder grossflaechiges Monitoring betroffen sind.

5. Wenn Artikel 22 moeglich ist, pruefen Sie, ob Vertragserforderlichkeit, gesetzliche Erlaubnis oder ausdrueckliche Einwilligung passt und ob die erforderlichen Schutzmassnahmen tatsaechlich verfuegbar sind. Wenn nicht, sollte der Workflow in dieser Form nicht starten.

6. Klaeren Sie Controller- und Processor-Rollen. Ein SaaS-Anbieter kann Processor fuer kundenseitiges Scoring und Controller fuer eigene Missbrauchspraevention, Telemetrie oder Account-Risiken sein. Vermischte Rollen fuehren zu schwachen Hinweisen und schlechter Evidenz.

7. Benennen Sie einen accountable Owner. Definieren Sie, wer Launch genehmigt, wer blockieren darf, wer Massnahmen umsetzt und wer nach Aenderungen erneut prueft.

8. Entwerfen Sie Transparenz frueh. Entscheiden Sie, was in Datenschutzhinweise, Produkttexte, Account-Statusmeldungen, Einspruchswege, Kundendokumentation und Support-Skripte gehoert.

9. Bauen Sie Rechte- und Contest-Routen. Personen koennen Datenherkunft, Richtigkeit, Widerspruch, Auskunft oder automatisierte Ergebnisse ansprechen. Fuer Artikel 22 muessen menschliches Eingreifen, eigener Standpunkt und Anfechtung moeglich sein.

10. Testen Sie Eingaben, Ergebnisse und Fairness. Beobachten Sie Datenqualitaet, False Positives, False Negatives, Overrides, Beschwerden, Drift, Schwellenwerte und ungewoehnliche Auswirkungen auf Gruppen.

11. Pruefen Sie Vendoren und KI-Funktionen. Fragen Sie, welche Daten genutzt werden, welche Outputs entstehen, ob der Vendor Modelle trainiert, wie Modellwechsel kommuniziert werden und wie Rechteanfragen behandelt werden.

12. Bewahren Sie Nachweise zusammenhaengend auf: Trigger, Klassifizierung, Rechtsgrundlage, Dateninputs, Owner, Review-Pfad, Schutzmassnahmen, Transparenz, Rechteprozess, Vendor Review, Tests, Approval, Monitoring und Refresh-Trigger.

FAQ

Was muessen Teams verstehen?

Ob der Workflow Menschen bewertet, ob er wichtige Entscheidungen beeinflusst, welche Kontrollen gelten und welche Evidenz die Pruefung belegt.

Warum ist das praktisch wichtig?

Es beeinflusst Produktdesign, Vendor-Auswahl, Kundentrust, Betroffenenrechte, Audit-Nachweise und die Erklaerbarkeit, wenn etwas schiefgeht.

Was ist der groesste Fehler?

Profiling als einmalige Rechtsauslegung zu behandeln statt als wiederholbaren Workflow mit Ownern, Triggern, Schutzmassnahmen, Evidenz und Refresh-Punkten.

Sources

Dieser Artikel stuetzt sich auf die DSGVO, vom EDPB bestaetigte WP29-Leitlinien und ICO-Leitlinien zu automatisierten Entscheidungen und Profiling.