Icon Datenschutzbeauftragter
Datenschutz

Automatisierte Entscheidungen erklären: Transparenz nach DSGVO

Verfasst von:

Avatar
Jessica Henning
Beraterin für Datenschutz und Informationssicherheit

Kreditprüfung, Bewerbungsverfahren, dynamische Preise: Immer öfter entscheiden Algorithmen über Menschen. In diesem Beitrag erfahren Sie, wann automatisierte Entscheidungen datenschutzrechtlich kritisch werden, welche Transparenzanforderungen die DSGVO stellt und wie Sie Betroffenenrechte praxisnah umsetzen.

Was ist eine „automatisierte Entscheidung“ – und wo beginnt ihr Risiko?

Automatisierte Entscheidungen sind Vorgänge, bei denen ein System ohne menschliches Zutun über die Bewertung oder Behandlung einer Person entscheidet. Typische Beispiele:

  • automatische Kredit- oder Bonitätsscores
  • automatisierte Bewerber*innen-Vorselektion
  • Profiling-basierte Preisgestaltung
  • Fraud-Detection-Systeme
  • automatisierte Zulassungs- oder Prüfvorgänge

Datenschutzrechtlich besonders relevant wird es, wenn die Entscheidung rechtliche Wirkung entfaltet oder die betroffene Person erheblich beeinträchtigt. Hier greift Art. 22 DSGVO sowie ergänzende Informationspflichten nach Art. 13, 14 und 15 DSGVO.

Die Risiko-Schwelle: drei typische Szenarien

  1. Rechtswirkung
    – z. B. Ablehnung eines Kredits, Kündigung eines Vertrags, Gewährung oder Versagung einer Leistung.
  2. Erhebliche Beeinträchtigung
    – z. B. Einstufung als “hohes Risiko” durch Fraud-Systeme, die zu Nachteilen führt.
  3. Gewichtige Folgewirkungen
    – z. B. Preis- oder Tarifunterschiede, die wirtschaftlich ins Gewicht fallen.

Nicht jede automatisierte Entscheidungsfindung ist riskant. Aber immer, wenn ein Output über die Zukunft der betroffenen Person entscheidet, besteht ein erhöhtes Transparenz- und Erklärungsgebot.

Automatisierung verschärft die Anforderungen

Moderne Automatisierung ist oft intransparent, probabilistisch und datenintensiv. Für Verantwortliche bedeutet das:

  • Erklärbarkeit muss aktiv geschaffen werden
  • Training und Daten müssen dokumentiert sein
  • Risikobewertungen (DSFA) sind Pflicht
  • Betroffenenrechte müssen organisatorisch abgesichert sein

Die zentrale Herausforderung lautet: Wie erklärt man eine komplexe, nicht-lineare Entscheidungslogik so, dass ein Mensch sie versteht – und die DSGVO zufrieden ist?

Begründungserfordernis verständlich umsetzen

Die DSGVO verlangt, dass Betroffene eine „verständliche Erklärung der zugrunde liegenden Logik“ sowie Informationen zu Bedeutung und Folgen der automatisierten Entscheidung erhalten (Art. 13–15 DSGVO). Wichtig: Es geht nicht um die technische Dokumentation, sondern um eine für Laien nachvollziehbare Begründung.

Damit das gelingt, sind zwei Arten von Erklärungen notwendig:

  1. Modellbezogene Erklärungen
    („Wie funktioniert das System grundsätzlich?“)
  2. Individuelle Fall-Erklärungen
    („Warum hat das System in diesem Fall so entschieden?“)

Beide sind wichtig – aber sie unterscheiden sich deutlich.

1. Modell-Erklärungen: die Grundlage verständlich machen

Modell-Erklärungen beschreiben allgemein, wie das System arbeitet – ohne Quellcode oder mathematische Formeln. Ziel ist es Prinzipien einfach zu erklären. 

Beispiel einer guten Modell-Erklärung:

„Das System analysiert die in Ihrem Antrag gemachten Angaben sowie externe Bonitätsinformationen. Es bewertet verschiedene Faktoren wie Zahlungsverhalten, laufende Verpflichtungen und statistische Vergleichsdaten. Auf Basis dieser Merkmale berechnet das System eine Wahrscheinlichkeit (Score), die das Risiko eines Zahlungsausfalls einschätzt. Wenn dieser Wert über einem definierten Schwellenwert liegt, wird der Antrag abgelehnt.“

Wichtig:

  • keine technischen Details
  • verständlich für juristische oder fachfremde Leser
  • beschreibt Methoden (Regeln, Vergleiche, Wahrscheinlichkeiten)
  • benennt Kategorien der verwendeten Daten

Nicht notwendig:

  • Quellcode
  • mathematische Formeln
  • Modellparameter

 

2. Individuelle Erklärungen: „Warum genau ich?“

Hier geht es um den konkreten Fall: Welche Faktoren waren ausschlaggebend? Die DSGVO verlangt eine „Aussage zur Logik“, keine exakte mathematische Berechnung.

Beispiel zur individuellen Erklärung:

„Ihr Antrag wurde abgelehnt, weil mehrere der geprüften Faktoren auf ein erhöhtes Zahlungsausfallrisiko hindeuten. Besonders ausschlaggebend waren in Ihrem Fall:

  • zwei offene Forderungen aus den letzten zwölf Monaten,
  • eine hohe Auslastung bestehender Kreditlinien,
  • sowie ein statistischer Vergleich mit ähnlichen Profilen in der verwendeten Datenbasis.“

Diese Form von „Impact-Stories“, also konkret nachvollziehbaren Faktoren, die zum Ergebnis geführt haben, erhöht Transparenz enorm.

Anforderungen an gute Erklärungen:

  1. konkret statt abstrakt
  2. nicht diskriminierend formuliert
  3. keine Geschäftsgeheimnisse offenlegen
  4. keine Falschpräzision (z. B. „Ihr Risiko beträgt 7,843 %“)
  5. für juristische Laien verständlich
  6. kontextualisiert, nicht technisch

Praxis-Tipp!

  • Impact-Stories: Erklären Sie anhand nachvollziehbarer Beispiele, welche Faktoren das Ergebnis beeinflusst haben.
  • Explainable AI-Tools: Intern helfen Methoden wie SHAP, LIME, Feature-Importance-Analysen oder Heatmaps, um die Entscheidungslogik aufzubereiten.
  • Keine Blackbox-Kommunikation: Vermeiden Sie rein technische Details, die Laien nicht verstehen.

Transparenzbausteine: Hinweise, Logik-Informationen, Folgen – praxistauglich formuliert

Die Transparenzpflichten sind klar definiert (Art. 13, 14, 15 DSGVO). Für automatisierte Entscheidungen müssen Verantwortliche drei Kernbausteine bereitstellen:

1. Hinweis, dass eine automatisierte Entscheidung stattfindet

2. Informationen zur Logik der Verarbeitung

3. Informationen zu Bedeutung und Folgen

Hier die Pflichtbausteine mit praxisnahen Formulierungsbeispielen.

1. Hinweistext: automatisierte Entscheidung: ja oder nein?

Pflicht:
Schon beim Erheben der Daten muss klar sein, dass eine automatisierte Entscheidung erfolgt.

Beispiel (Formular, Online-Antrag):
„Dieser Prozess umfasst eine teilweise oder vollständig automatisierte Entscheidungsfindung gem. Art. 22 DSGVO. Die Entscheidung kann rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen.“

Kurz, sachlich, klar – ohne Interpretationsspielraum.

2. Logik-Informationen: wie die Entscheidung zustande kommt

Pflicht:
Pflicht:  Aussagekräftige Informationen über die involvierte Logik.

Beispiel:
„Unser System bewertet verschiedene Faktoren wie Ihr Nutzungsverhalten, Vergleichsdaten ähnlicher Kunden oder die von Ihnen gemachten Angaben. Diese Faktoren fließen in ein statistisches Modell ein, das die Wahrscheinlichkeit bestimmter Ereignisse schätzt. Liegt diese Wahrscheinlichkeit über einem definierten Grenzwert, trifft das System eine entsprechende Entscheidung (z. B. Genehmigung oder Ablehnung eines Antrags).“

Keine technischen Details

Verständlich für juristische oder fachfremde Leser

Benennung der Datenkategorien

3. Bedeutung und Folgen: was passiert für die betroffene Person?

Pflicht:
Welche Konsequenzen die Entscheidung hat.

Beispiel:
„Das Ergebnis beeinflusst, ob wir Ihnen den beantragten Vertrag anbieten können und unter welchen Bedingungen. Bei einer negativen Bewertung kann der Antrag abgelehnt werden.“

Diese Erklärung muss vorher erfolgen – nicht erst im Ablehnungsbescheid.

Good Practice: verständlich, kurz, durchdacht

Empfehlungen:

Klare Sprache statt technischer Beschreibungen
Sichtbarkeit: Hinweise nicht verstecken
Mehrstufige Transparenz: Kurzinfo + Link zur detaillierten Beschreibung
Konsistenz zwischen Datenschutzhinweisen, Prozessbeschreibung und Betroffenenkommunikation
Regelmäßige Überprüfung der Texte (Trainingsdaten ändern sich!)

Betroffenenrechte: Widerspruch, menschliches Eingreifen, Review-Prozesse

Betroffene haben innerhalb der automatisierten Entscheidungen besondere Rechte. Diese sind:

  1. Recht auf menschliches Eingreifen

    Kein rein maschinelles Urteil – eine qualifizierte Person muss die Entscheidung prüfen und ggf. ändern können.

  2. Recht, die eigene Sicht darzustellen

    Betroffene dürfen ihre Argumente und zusätzliche Informationen einbringen.

  3. Recht auf Anfechtung / Überprüfung der Entscheidung

    Anspruch auf einen echten Review-Prozess.

  4. Recht auf Auskunft zu Logik, Bedeutung und Folgen

    Transparenz über die Entscheidungsgrundlagen.

  5. Recht auf Widerspruch

    Greift insbesondere beim Profiling zu Marketingzwecken oder wenn die Verarbeitung auf berechtigtem Interesse basiert.

Es gelten zusätzlich die „normalen“ Betroffenenrechte nach Kapitel 3 der DSGVO.

Menschliches Eingreifen: es muss echtes Eingreifen sein

Die DSGVO verlangt einen realen, qualifizierten menschlichen Review. Das heißt:

  • Die Person muss befugt sein, die Entscheidung zu ändern
  • Sie muss die Einzelumstände prüfen
  • Sie muss kompetent sein, das Modell zu überblicken
  • Entscheidungen dürfen nicht bloß „durchgewunken“ werden

Auskunft: konkrete Gründe, nicht nur Modell-Logik

Auskunftsanfragen müssen folgende Punkte umfassen:

  • ob ein automatisiertes Verfahren angewendet wurde
  • welche Faktoren relevant waren
  • welche Daten genutzt wurden
  • wie die Entscheidung in diesem Fall zustande kam
  • wie ein menschlicher Review beantragt werden kann

Achtung Missverständnis:

Viele Unternehmen glauben, sie müssten den Algorithmus offenlegen. Das ist falsch. Betroffene haben keinen Anspruch auf Offenlegung des Quellcodes oder interne Modelle. Sie haben Anspruch auf aussagekräftige Erklärungen, wie oben beschrieben.

Widerspruch: wann ist er möglich?

Das Widerspruchsrecht greift, wenn die Verarbeitung auf berechtigtes Interesse basiert oder Profiling zu Marketingzwecken erfolgt. Bei Verträgen oder gesetzlichen Pflichten gilt dieses Recht nicht. Trotzdem: Ein freiwilliges Widerspruchsverfahren erhöht Vertrauen und senkt Konflikte.

Prozesse: das Herzstück der DSGVO-Konformität

Technisches Compliance reicht nicht. Entscheidend sind organisatorische Prozesse, die klar definieren:

  • Wie erfolgt der menschliche Eingriff?
  • Wie schnell wird er vorgenommen?
  • Wer ist verantwortlich?
  • Wie wird dokumentiert?
  • Wie wird die Entscheidung kommuniziert?
  • Was passiert bei Änderungen am Modell?

Ohne diese Prozesse ist echte DSGVO-Konformität nicht möglich – egal wie gut das Modell ist.

Privatsphäre by Design: Datenminimierung, Zweckbindung, Löschkonzept

Automatisierte Entscheidungen funktionieren nur mit Daten. Umso wichtiger ist ein konsequentes Privacy by Design. Für KI bedeutet das:

1. Datenminimierung: weniger ist mehr

Verantwortliche sind dazu angehalten nur notwendige Daten für einen bestimmten Zweck zu verarbeiten. Dabei müssen sie nachweisen können: 

  • Welche Daten notwendig sind
  • Warum diese benötigt werden (Zweck der Datenverarbeitung)
  • Warum ein geringerer Datensatz nicht ausreichend wäre

2. Zweckbindung: klare Grenzen definieren

Daten, die für eine Entscheidung genutzt wurden, dürfen nicht einfach für neue Zwecke verwendet werden. Typisches Risiko: Daten aus einem Bewerbungsverfahren werden für Marketingzwecke genutzt.
Folge: Zweckänderung → neue Rechtsgrundlage nötig → Informationspflicht → Risiko Bußgeld.

Best Practice:

  • Verarbeitungsverzeichnis führen und dort die Zwecke dokumentieren.
  • Datenverwendungsregeln im Governance-Rahmen festlegen
  • Keine „Hidden Features“ oder stiller Funktionszuwachs

Fazit: Automatisierte Entscheidungen sind machbar – wenn man sie erklärt

Automatisierte Entscheidungen werden in der Praxis immer wichtiger und immer komplexer. Unternehmen können sie rechtssicher einsetzen, wenn sie:

✔ klare Modell-Erklärungen bereitstellen
✔ individuelle Begründungen geben
✔ Transparenzpflichten ernst nehmen
✔ Betroffenenrechte proaktiv ermöglichen
✔ Privacy by Design tief verankern
✔ nachvollziehbare, dokumentierte Prozesse etablieren

Transparenz ist kein Hindernis, sondern der Schlüssel zur verantwortungsvollen Nutzung.
Wer Erklärbarkeit ernst nimmt, schafft nicht nur Datenschutz-Compliance, sondern auch Akzeptanz, Fairness und unternehmerische Sicherheit. Mit klaren Prozessen und verständlicher Kommunikation lassen sich Risiken minimieren und Chancen nutzen.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.