Wann Profiling und automatisierte Entscheidungen gelten und was als Naechstes zu tun ist

Profiling und automatisierte Entscheidungen gelten, wenn ein SaaS-Workflow personenbezogene Daten nutzt, um Personen zu bewerten, Verhalten vorherzusagen, Risiken einzustufen, Behandlung zu beeinflussen oder Entscheidungen ueber Einzelpersonen zu treffen. Die praktische Antwort ist nicht, jede Produktidee zu stoppen. Das Team sollte den Workflow klassifizieren, die Wirkung auf Menschen klaeren, einen Owner benennen und passende Schutzmassnahmen festlegen.

Nach der DSGVO ist Profiling eine automatisierte Verarbeitung personenbezogener Daten zur Bewertung persoenlicher Aspekte. Automatisierte Entscheidungsfindung ist eine Entscheidung durch technische Mittel ohne menschliche Beteiligung. Artikel 22 ist enger: Er wird besonders relevant, wenn eine ausschliesslich automatisierte Entscheidung rechtliche oder aehnlich erhebliche Wirkung hat.

Ein Score, Flag, Ranking oder eine Empfehlung kann Datenschutzkontrollen erfordern, auch wenn Artikel 22 nicht greift. Fuer typische Fehler siehe haeufige Fehler bei Profiling und automatisierten Entscheidungen. Fuer den Ablauf siehe den Praxisleitfaden zur Operationalisierung.

Die einfache Ausloeserfrage

Nutzt dieser Workflow personenbezogene Daten, um eine Person zu bewerten, zu scoren, einzuordnen, vorherzusagen, zu empfehlen, zu genehmigen, abzulehnen, zu sperren, zu priorisieren, weiterzuleiten oder zu bepreisen?

Wenn ja oder vielleicht, oeffnen Sie einen Profiling-Review. Er kann kurz sein, wenn das Risiko niedrig ist. Er muss tiefer werden, wenn Zugang, Eignung, Durchsetzung, Preise, arbeitsnahe Bewertung, Finanzen, Bildung, Gesundheit, Sicherheit oder wichtige Chancen betroffen sind.

Wann Profiling meistens gilt

Profiling gilt typischerweise, wenn ein System eine Person bewertet oder etwas ueber sie ableitet. Beispiele sind Betrugsrisiko, Trust Scores, Verhaltenssegmente, Churn-Prognosen, Lead Scoring, Arbeitsplatzanalysen, Customer-Health-Scores mit benannten Kontakten, Identitaetsrisiken, Moderationsrisiken, Security-Ranking, personalisierte Preise und KI-Ausgaben, die Personen klassifizieren.

Das System muss nicht die endgueltige Entscheidung treffen. Wenn ein Mensch den Score nutzt, kann trotzdem Profiling vorliegen.

Wann Artikel 22 relevant wird

Artikel 22 kann relevant werden, wenn drei Elemente zusammenkommen: Die Entscheidung beruht ausschliesslich auf automatisierter Verarbeitung, betrifft eine Person und hat rechtliche oder aehnlich erhebliche Auswirkungen.

Menschliche Beteiligung muss sinnvoll sein. Eine Person, die nur das Maschinenergebnis bestaetigt, ohne Kontext, Zeit, Befugnis oder Aenderungsmoeglichkeit, reicht kaum aus. Bei Artikel-22-Faellen braucht das Team eine zulaessige Grundlage und geeignete Schutzmassnahmen, etwa menschliche Intervention, Stellungnahme und Anfechtung.

Was zuerst zu dokumentieren ist

Beginnen Sie mit einem kurzen Betriebsnachweis: Zweck, betroffene Personen, Dateninputs, System oder Anbieter, Owner, Output, Nutzer des Outputs, moegliche Wirkung auf die Person, Rechtsgrundlage, Aufbewahrung, Sicherheitskontrollen und Nachweisort.

Klassifizieren Sie dann den Workflow: gewoehnliche Automatisierung, Profiling mit menschlicher Nutzung, automatisierte Entscheidungshilfe oder ausschliesslich automatisierte Entscheidung mit erheblicher Wirkung. Entscheidend ist die Wirkung: Ein Risiko-Score fuer eine Review-Queue ist anders als ein Score, der automatisch ein Konto sperrt.

Was als Naechstes zu tun ist

Bei niedrigem Risiko reichen Owner, Inputs, Zweck, Transparenztext, Aufbewahrung und Review-Trigger. Bei mittlerem Risiko kommen Datenschutzreview, Anbieterreview, Datenqualitaet, Support-Routing, Beschwerdehandling und Monitoring hinzu. Bei hoher Wirkung braucht es oft DPIA, Rechtsreview, Bias- und Genauigkeitstests, starke menschliche Pruefung, Override-Pfade und geplantes Monitoring.

Bei Artikel-22-Faellen sollten Intervention, Anfechtung, Erklaerung und Entscheidungsnachweis vor dem Launch gestaltet werden.

FAQ

Wann gilt Profiling fuer SaaS-Teams?

Wenn ein Produkt, interner Workflow oder Anbieter Personen mit personenbezogenen Daten scored, bewertet, vorhersagt, markiert, empfiehlt, genehmigt, ablehnt, sperrt, priorisiert oder weiterleitet.

Was sollte zuerst geaendert werden?

Starten Sie mit Owner, Dateninputs, Output, Entscheidungsnutzung, Wirkung, Klassifizierung, menschlichem Review, Transparenztext und Nachweisort.

Loest ein menschlicher Reviewer das Problem?

Nur wenn die Pruefung sinnvoll ist und die Person Kontext, Zeit, Befugnis und Aenderungsmoeglichkeit hat.

Quellen

• Europaeische Union, Datenschutz-Grundverordnung.
• Europaeischer Datenschutzausschuss, Leitlinien zu automatisierten Entscheidungen und Profiling.
• Information Commissioner's Office, Guidance zu automated decision-making and profiling.
• Information Commissioner's Office, Rights related to automated decision making including profiling.