Automatisierte Entscheidungsfindung klingt nach Science-Fiction, nach Algorithmen, die Kredite bewilligen oder Bewerber aussortieren, ohne dass ein Mensch eingreift. Gleichzeitig ist der Begriff im Kontext der DSGVO mit Unsicherheit verbunden. Viele mittelständische Unternehmen fragen sich: Dürfen wir das überhaupt? Und wenn ja, unter welchen Bedingungen?
Zwischen Mythos und Realität liegt ein nüchterner, aber entscheidender Unterschied: Nicht jede Automatisierung ist eine automatisierte Entscheidung im Sinne der DSGVO.
Wer diesen Unterschied versteht, gewinnt Klarheit – und vermeidet unnötige Panik ebenso wie fahrlässige Ignoranz.
Was die DSGVO tatsächlich meint
Die DSGVO spricht von einer „ausschließlich automatisierten Entscheidung“, die rechtliche Wirkung entfaltet oder eine Person erheblich beeinträchtigt. Zwei Elemente sind also entscheidend:
Erstens: Die Entscheidung erfolgt ohne menschliches Eingreifen.
Zweitens: Sie hat rechtliche oder vergleichbar erhebliche Auswirkungen.
Viele Prozesse, die im Alltag als „automatisiert“ gelten, erfüllen diese Kriterien nicht vollständig.
Ein Chatbot, der eine FAQ beantwortet, trifft keine rechtlich bindende Entscheidung. Ein CRM-System, das Leads priorisiert, beeinflusst interne Abläufe, entscheidet aber nicht unmittelbar über Rechte oder Pflichten der betroffenen Person.
Anders sieht es aus, wenn ein System automatisch einen Kreditantrag ablehnt oder eine Bewerbung ohne menschliche Prüfung aussortiert.
Der Mythos: Jede KI ist verboten
Ein verbreiteter Irrtum lautet, dass KI-gestützte Prozesse grundsätzlich problematisch seien. Diese Annahme führt entweder zu übermäßiger Vorsicht oder dazu, dass Systeme inoffiziell genutzt werden, ohne sauber dokumentiert zu sein.
Tatsächlich verbietet die DSGVO automatisierte Entscheidungsfindung nicht pauschal. Sie stellt Anforderungen. Dazu gehören:
- Transparenz gegenüber der betroffenen Person
- Recht auf menschliches Eingreifen
- Möglichkeit zur Anfechtung
- Dokumentation der zugrunde liegenden Logik
Der Kern ist also nicht das Verbot, sondern die Nachvollziehbarkeit.
Die Realität im Mittelstand
Im Mittelstand sind vollständig automatisierte Entscheidungen mit erheblicher Wirkung seltener als angenommen. Häufig handelt es sich um unterstützende Systeme:
- Scoring-Modelle zur Vorstrukturierung von Anfragen
- KI-Tools zur Bewerbervorauswahl
- Automatisierte Bonitätsprüfungen mit manueller Endentscheidung
- Priorisierung von Support-Tickets
Solange ein Mensch die finale Entscheidung überprüft oder freigibt, liegt in der Regel keine ausschließlich automatisierte Entscheidung vor.
Doch diese Abgrenzung sollte dokumentiert sein.
Grauzonen erkennen
Komplex wird es dort, wo Automatisierung schrittweise wächst. Ein System gibt zunächst nur Empfehlungen. Später werden diese Empfehlungen faktisch ungeprüft übernommen. Die menschliche Kontrolle existiert formal, aber nicht praktisch.
Hier entsteht eine Grauzone.
Unternehmen sollten sich ehrlich fragen:
- Wird tatsächlich überprüft oder nur bestätigt?
- Besteht eine reale Möglichkeit zur Korrektur?
- Ist die Entscheidungslogik nachvollziehbar?
Die Dokumentation dieser Fragen ist ebenso wichtig wie die technische Implementierung.
Transparenz als Schlüssel
Die DSGVO verlangt, dass betroffene Personen über automatisierte Entscheidungsprozesse informiert werden. Das bedeutet nicht, Quellcode offenzulegen, sondern die grundlegende Logik zu erklären.
Beispielsweise:
- Welche Kriterien fließen in eine Bewertung ein?
- Welche Daten werden genutzt?
- Welche Auswirkungen kann die Entscheidung haben?
Gerade im Zusammenspiel mit KI-Systemen ist diese Transparenz entscheidend, um Vertrauen zu sichern.
Dokumentationspflichten im Detail
Wer automatisierte Entscheidungsprozesse einsetzt, sollte mindestens dokumentieren:
- Zweck des Systems
- Art der Entscheidung
- Verwendete Datenkategorien
- Risikobewertung
- Kontrollmechanismen
- Eingriffsmöglichkeiten für betroffene Personen
Diese Informationen gehören ins Verzeichnis von Verarbeitungstätigkeiten und sollten mit technischen und organisatorischen Maßnahmen verknüpft sein.
Im Kontext moderner Software-Stacks bedeutet das, nicht nur das einzelne Tool zu betrachten, sondern den gesamten Entscheidungsprozess.
KI-Compliance und EU AI Act
Neben der DSGVO gewinnt auch der EU AI Act an Bedeutung. Hochrisiko-KI-Systeme unterliegen zusätzlichen Anforderungen an Risikomanagement, Dokumentation und Überwachung.
Für KMU ist entscheidend, frühzeitig zu klären, ob ein eingesetztes System in diese Kategorie fallen könnte – etwa bei automatisierten Entscheidungen im HR- oder Kreditbereich.
DSGVO und EU AI Act greifen hier ineinander. Transparenz, Dokumentation und menschliche Aufsicht sind gemeinsame Leitprinzipien.
Vom Bauchgefühl zur Struktur
Viele Unternehmen verlassen sich auf ein Bauchgefühl: „Das ist doch nur eine Unterstützung.“ Doch regulatorische Sicherheit entsteht nicht durch Einschätzung, sondern durch strukturierte Analyse.
Ein sinnvoller Ansatz umfasst:
- Identifikation aller automatisierten Prozesse
- Prüfung auf rechtliche oder erhebliche Wirkung
- Dokumentation menschlicher Kontrollmechanismen
- Bewertung potenzieller Risiken
- Anpassung von Datenschutzhinweisen
Ein KI-gestützter Compliance-Generator wie Fendriova kann diesen Prozess unterstützen, indem er automatisierte Entscheidungslogiken im Software-Stack identifiziert und strukturierte Dokumentationsvorschläge bereitstellt.
So wird aus einem diffusen Risiko eine nachvollziehbare Governance-Struktur.
Fazit
Automatisierte Entscheidungsfindung nach DSGVO ist weder pauschal verboten noch irrelevant. Sie ist reguliert – und verlangt Transparenz, Dokumentation und menschliche Kontrolle.
Der Mythos lautet: Jede KI ist problematisch.
Die Realität lautet: Unklare Prozesse sind problematisch.
Wer Automatisierung strukturiert dokumentiert, Kontrollmechanismen ernst nimmt und Transparenz schafft, kann KI verantwortungsvoll einsetzen – ohne Innovationskraft einzubüßen.
