Profiling und automatisierte Entscheidungen operationalisieren, ohne die Produktentwicklung zu verlangsamen

Profiling und automatisierte Entscheidungen werden beherrschbar, wenn sie als Produktprozess behandelt werden und nicht als verspätetes Rechtsgutachten. Das Team muss wissen, welche Funktionen Personen bewerten, welche Ergebnisse wichtige Entscheidungen beeinflussen, wer die Prüfung verantwortet, welche Schutzmaßnahmen nötig sind und welche Nachweise belegen, dass die Arbeit tatsächlich erledigt wurde.

Nach der DSGVO bedeutet Profiling eine automatisierte Verarbeitung personenbezogener Daten, mit der persönliche Aspekte bewertet werden. Artikel 22 ist enger und risikoreicher: Er betrifft Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Wirkungen haben. Nicht jeder Score ist also ein Artikel-22-Fall, aber viele Scores brauchen trotzdem Rechtsgrundlage, Transparenz, Datenminimierung, Rechteprozesse, Sicherheit, Aufbewahrungsregeln und nachvollziehbare Prüfung.

Beginnen Sie mit einem Auslöser in Produktfindung, Lieferantenaufnahme, KI-Review, Sicherheitsprüfung, DPIA-Screening und Launch Readiness. Fragen Sie, ob ein Feature Personen bewertet, einordnet, vorhersagt, empfiehlt, markiert, genehmigt, ablehnt, sperrt, priorisiert oder bepreist. Fragen Sie auch, ob ein Mensch das Ergebnis wirklich versteht und ändern kann.

Klassifizieren Sie den Workflow, bevor Sie Kontrollen auswählen. Gewöhnliche Automatisierung kann ein Ticket nach Sprache routen oder eine Erinnerung versenden, ohne eine Person zu bewerten. Profiling oder automatisierte Entscheidungsunterstützung bewertet Personen, etwa durch Fraud Risk, Churn Risk, Lead Scoring, Support-Priorität, Moderationsrisiko oder Trust Scores. Ausschließlich automatisierte Entscheidungen mit erheblichen Wirkungen sind die Hochrisikozone, etwa automatische Ablehnung, Sperrung, Kündigung, wesentliche Preis- oder Zugangsentscheidungen oder Entscheidungen mit Auswirkungen auf Arbeit, Finanzen, Bildung, Gesundheit oder wichtige Dienste.

Halten Sie die Klassifizierung sichtbar im Ticket, Intake oder Assessment fest. Notieren Sie auch, was die Bewertung ändern würde. Eine harmlose Support-Regel kann sensibler werden, wenn sie später Zugriff, Durchsetzung, Mitarbeiterbewertung oder Preise beeinflusst.

Jeder Workflow braucht einen Mindestdatensatz: Zweck, Eingabedaten, betroffene Personen, Verantwortlicher, System oder Anbieter, Ergebnis, Nutzer des Ergebnisses, beabsichtigte Entscheidungsnutzung, Rechtsgrundlage, Aufbewahrung, Sicherheitskontrollen, Betroffenenrechte und mögliche Betroffenheit von Kindern, Beschäftigten, besonderen Datenkategorien oder vulnerablen Gruppen. Die wichtigste Frage lautet: Was kann einer Person aufgrund dieses Ergebnisses passieren?

Weisen Sie einen verantwortlichen Owner zu, ohne jede kleine Änderung zu blockieren. Niedrigrisikofälle können mit einem kurzen Screening und Standardkontrollen abgeschlossen werden. Mittlere Risiken brauchen oft Hinweise in Datenschutzhinweisen, Datenqualitätsprüfung, Lieferantenprüfung und Support-Routing. Hohe Risiken oder ausschließlich automatisierte erhebliche Entscheidungen brauchen rechtliche Prüfung, DPIA-Erwägung, konkrete Schutzmaßnahmen und gegebenenfalls Risikoakzeptanz.

Schutzmaßnahmen gehören vor den Launch: verständliche Informationen, begrenzte Eingabedaten, Datenqualitätskontrollen, Bias- und Genauigkeitstests, menschliche Prüfung, Override-Rechte, Anfechtungswege, Support-Skripte, Aufbewahrungsgrenzen, Zugriffskontrollen, Monitoring und Benachrichtigung bei Anbieteränderungen. Wenn Artikel 22 greift, muss die Person menschliches Eingreifen verlangen, ihren Standpunkt darlegen und die Entscheidung anfechten können.

Transparenz ist kein einzelner Absatz im Datenschutzhinweis. Manche Informationen gehören in den Hinweis, andere in Produkttexte, Account-Statusmeldungen, Einspruchsflüsse, Support-Antworten oder Kundendokumentation. Wenn der Workflow Endnutzer eines Kunden betrifft, müssen auch Controller- und Processor-Rollen sauber getrennt werden.

Prüfen Sie Anbieter und KI-Funktionen früh. CRM-Anreicherung, Fraud Detection, Identitätsprüfung, Customer-Success-Plattformen, Werbung, Analytics, KI-Assistenten, Moderation und Security-Tools können Menschen klassifizieren oder bewerten. Entscheidend ist nicht nur, ob KI verwendet wird, sondern ob das System etwas über Menschen entscheidet oder eine Entscheidung wesentlich beeinflusst.

Nach dem Launch müssen Modelle, Schwellenwerte, Beschwerden, Overrides, Fehlerquoten, Anbieteränderungen und neue Nutzungen überwacht werden. Ein Score für Support-Priorisierung kann später zu einem Enforcement-, Sales- oder Pricing-Signal werden. Diese Wiederverwendung muss die Prüfung neu öffnen.

FAQ

Was ist der praktische Zweck?

Teams sollen erkennen, wann ein System Menschen bewertet oder wichtige Entscheidungen beeinflusst, und dann Kontrollen passend zum Risiko anwenden.

Wann betrifft das SaaS-Teams?

Immer dann, wenn ein Produkt oder interner Workflow Personen mit personenbezogenen Daten bewertet, rankt, vorhersagt, markiert, empfiehlt, genehmigt, ablehnt, sperrt, priorisiert oder routet.

Was sollte zuerst dokumentiert werden?

Workflow-Inventar, Klassifizierung, Owner, Entscheidungsnutzung, menschliche Prüfung, Nutzerinformation und Nachweisort.

Sources

Dieser Artikel stützt sich auf die DSGVO, vom EDPB bestätigte WP29-Leitlinien und ICO-Leitlinien zu automatisierten Entscheidungen und Profiling.