Automatisierte Entscheidungsfindungen – Wann haben betroffene Personen das Recht auf einen Menschen?

2. WEITERE BEISPIELE, IN DENEN MASCHINEN ÜBER MENSCHEN ENTSCHEIDEN¹Vertiefte Lesehinweise: Filusch/Fünfstück, GTUBE, EICAR und GeoIP – Testing und Art. 22 DSGVO in der Praxis, Datenschutz-Berater 01/2026, 15.

Auch Virenscanner und Spamfilter können solche Maschinen sein, die Entscheidungen über uns Menschen treffen. Wir sind uns dessen nicht unbedingt bewusst, weil die Prozesse still im Hintergrund ablaufen.

Virenscanner

Die unterschiedlichen Virenscanner am Markt können technisch unterschiedlich arbeiten. Gemein haben sie, dass sie das geprüfte Material als unschädlich, verdächtig oder bösartig klassifizieren können und daraus können wiederum unterschiedliche tatsächliche und rechtliche Wirkungen entstehen. Je nach Sensitivität des Programms in Bezug auf die Schutzziele werden die Daten entweder sofort gelöscht oder in Quarantäne verschoben. Damit tritt zumindest bei der Löschung eine rechtswirksame Entscheidung auf vollautomatisierter Basis ein. Die betroffene Person findet mit ihrem Anliegen kein Gehör und wird womöglich in der Ausübung ihrer Rechte beeinträchtigt, weil der Empfänger das Anliegen nicht zur Kenntnis nimmt. Auch die Quarantäne verzögert zumindest den Zugang der Nachricht der betroffenen Personen.

Spamfilter

Spamfilter und andere Techniken zur Abwehr unerwünschter Inhalte und Werbung funktionieren ähnlich wie Virenscanner. Eingehende E-Mails werden zunächst technisch geprüft. Im Anschluss findet eine inhaltliche Bewertung statt. Dabei suchen sie nach bekannten Mustern und beziehen weitere Faktoren ein. Daraus errechnet die Software einen Score, der die Wahrscheinlichkeit für Spam angibt.

Nutzende greifen vermehrt auf Einmal- oder Wegwerf- E-Mail-Adressen zurück. Diese Wegwerf-Mail- Adressen reduzieren die Auswirkungen von Datenlecks, erschweren das Tracking durch die reduzierte Möglichkeit der Identi kation und ermöglichen Transparenz der Weiterverwendung der Daten. Wenn Nutzer sich beispielsweise mit ihrem Apple-Account (früher: Apple-ID) anmelden, verwendet Apple Account solche Wegwerf- E-Mail-Adressen. Positiver Nebeneffekt von diesen Adressen ist, dass damit Adresshandel aufgedeckt werden kann, sofern es zu einer Datenpanne kommt und die Wegwerf-Mail-Adresse dann in den einschlägigen Foren gelistet wird wie z. B. www.haveibeenpwned.com.

„Diese Wegwerf-Mail-Adressen reduzieren die Auswirkungen von Datenlecks, erschweren das Tracking durch die reduzierte Möglichkeit der Identifikation und ermöglichen Transparenz der Weiterverwendung der Daten“

Viele Spamfilter erkennen solche Wegwerf-Mail-Adressen automatisch und stufen sie möglicherweise als verdächtig ein. Einige Systeme blockieren Nachrichten von Wegwerf-Domains komplett oder erhöhen den Spam- Score deutlich. Wichtige Nachrichten werden nicht zugestellt oder ignoriert. Auch Unternehmen sind sich des Problems zunehmend bewusst: Durch Awareness-Trainings sensibilisieren sie ihre Mitarbeitenden auf Absender- Mailadressen und löschen verdächtige Nachrichten gegebenenfalls sofort.

Elster.de als weiteres Beispiel

Ein weiteres Beispiel stammt aus der Steuerverwaltung. Auf der Website „www.elster.de“ können Dokumente hochgeladen werden. Während des Uploads wird eine automatisierte Überprüfung der Dateien auf Schadcode und aktive Elemente vorgenommen. Wird die Datei etwa verschlüsselt, weil sie z. B. sog. sensible Daten (Gesundheitsdaten, Daten zur ethnischen Herkunft, Daten zur Sexualität usw.) enthält, werden diese verschlüsselten Dokumente gelöscht. – Die von der Steuerverwaltung genutzte Technik stuft verschlüsselte Dateien automatisch als sicherheitsrelevant ein und löscht diese automatisiert. Betroffene erhalten dort eine Quittung über die erfolgte Löschung. Es ist Betroffenen damit praktisch unmöglich, sog. sensible Daten zu verschlüsseln und auf elster.de hochzuladen. Damit wird im Ergebnis bereits das Recht auf Online-Zugang nach Onlinezugangsgesetz beschränkt.

3. WAS IST AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG?

Art. 22 Datenschutzgrundverordnung (DSGVO) regelt die automatisierte Entscheidungsfindung und das Profiling. Lediglich Letzteres wird in Art. 4 Nr. 4 DSGVO legal definiert. Dabei handelt es sich im Wesentlichen um „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, (…) zu analysieren oder vorherzusagen“. Die automatisierte Entscheidungsfindung kennzeichnet sich dadurch, dass die jeweilige Entscheidung auf einer automatisierten Bewertung beruht und keine andere Entscheidungshilfe genutzt wird, insbesondere findet kein Eingreifen durch eine Person statt.²Von Lewinski in Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht, 54. Edition, Art. 22 Rn. 21. – Diese Definition hat durch die aktuelle EuGH-Rechtsprechung eine Modifizierung erfahren (s. Punkt 4 unter SCHUFA-Urteil des EuGH).

Die meisten Virenscanner und Spamfilter unterfallen den obigen Definitionen, da dort praktisch keine menschliche Entscheidung mehr getroffen wird.

4. WANN IST AUTOMATISIERTE ENTSCHEIDUNGSFINDUNG ERLAUBT UND WAS ENTSCHIED DER EUGH?

Allgemein

Grundsätzlich ist die automatisierte Entscheidungsfindung verboten. Außer es liegt ausnahmsweise einer der Fälle des Art. 22 Abs. 2 DSGVO vor. Art. 22 Abs. 2 DSGVO lässt die automatisierte Entscheidungsfindung verkürzt zu,

• wenn dies für einen Vertragsschluss erforderlich ist
• oder die Vorschriften der Union oder eines Mitgliedstaates dies zulassen
• oder die ausdrückliche Einwilligung der betroffenen Person vorliegt.

In den meisten Fällen wird es praktisch nicht möglich sein, bei Virenscannern und Spamfiltern eine vorherige Einwilligung der betroffenen Person einzuholen. Vor allem bei E-Mails ist es faktisch ausgeschlossen, da nicht absehbar ist, welche Person an wen eine E-Mail schreiben möchte, sodass die Person vorher auch nicht einwilligen kann.

In einem Bewerbungsverfahren wäre es hingegen möglich, auf einem von einer Arbeitgeberin/einem Arbeitgeber genutzten Bewerbungsportal vor Upload der Bewerbung eine Einwilligung einzuholen. Jedoch dürften dann Bewerbungen von den Bewerbenden, die entweder nicht eingewilligt haben bzw. ihre Bewerbung auf einem anderen Weg zugesandt haben (z. B. per E-Mail), nicht vollautomatisiert geprüft werden.

Transparenzpflichten

Verpflichtend ist auf jeden Fall, dass die Person oder das Unternehmen über den Einsatz von Virenscannern und Spamfiltern zumindest im Rahmen einer Information nach den Art. 13, 14 DSGVO Auskunft gibt. – Solch eine Information lässt sich jedoch in der Praxis nur selten nden, obwohl Virenscanner und Spamfilter regelmäßig eingesetzt werden.

SCHUFA-Urteil des EuGH

In der EuGH-Entscheidung vom 7.12.2023, Rs. C-634/21 – SCHUFA Holding (Scoring) beschäftigt sich der EuGH mit dem Geschäftsmodell der SCHUFA. Daraus können jedoch allgemeingültige Rückschlüsse auf die automatisierte Entscheidungsfindung gezogen werden. Im Ergebnis gilt nach der Entscheidung folgendes Prüfungsschema für ein Verbot für die Erstellung von Scorewerten bzw. eine automatisierte Entscheidungsfindung:

1. Ist der Scorewert durch ausschließlich automatische Datenverarbeitung zustande gekommen?
2. Wird dieser Scorewert „maßgebliches“ (nach hiesiger Lesart: „fast ausschließliches“) Entscheidungskriterium für Entscheidungen Dritter (z. B. von Banken)?
3. Erzeugt die Entscheidung Dritter eine rechtliche Wirkung oder eine ähnlich erhebliche Beeinträchtigung?

Wenn alle drei Voraussetzungen vorliegen, dann ist es nach Wertung des EuGH angemessen, die Scorewerterstellung als „Entscheidung“ im Sinne des Art. 22 DSGVO zu sehen und zu verbieten. Der EuGH hat damit einen weiteren Begriff („maßgeblich“) eingeführt, dessen Begrifflichkeit in Zukunft erst geklärt werden muss. Im Augenblick ist aber vor allem klar, dass Dritte sich weiterer Kriterien neben dem SCHUFA-Scorewert bedienen müssen, um nicht unter eine rechtswidrige automatisierte Entscheidungsfindung zu fallen, z. B., indem eine Person die finale Entscheidung über das Zustandekommen eines Vertrages trifft.

5. FAZIT

Die Beispiele von SCHUFA-Scoring, von einer automatisierten Bewerber*innen-Auswahl, von Virenscannern und Spamfiltern zeigen, dass Entscheidungen zunehmend im Hintergrund getroffen werden, ohne dass Verbraucher*innen davon wissen oder sich dagegen wehren können.

„Das ,Recht auf einen Menschen‘ bedeutet damit nicht die Ablehnung technischer Systeme, sondern den Anspruch auf Transparenz, Kontrolle und menschliche Verantwortung“

Art. 22 DSGVO setzt hier eine klare Grenze: Wo eine Entscheidung ausschließlich automatisiert erfolgt und erhebliche Auswirkungen hat, muss der Mensch erreichbar bleiben. Das „Recht auf einen Menschen“ bedeutet damit nicht die Ablehnung technischer Systeme, sondern den Anspruch auf Transparenz, Kontrolle und menschliche Verantwortung.

Das EuGH-Urteil zur SCHUFA verdeutlicht, dass automatisierte Bewertungen nicht zum maßgeblichen Kriterium werden dürfen, ohne dass Schutzmechanismen greifen. In Zukunft wird entscheidend sein, wie weit diese Prinzipien auch auf alltägliche Systeme übertragen werden – denn je mehr Maschinen entscheiden, desto wichtiger bleibt die Frage, wann Verbraucher*innen wieder einen Menschen brauchen.