Was regelt Art. 22 DSGVO überhaupt?
Mit Art. 22 DSGVO wird die betroffene Person vor ausschließlich automatisierten Entscheidungen – einschließlich Profiling – geschützt, die für sie rechtliche Wirkung entfalten oder in ähnlicher Weise erheblich beeinträchtigend sind.
Der Zweck der Norm liegt im Schutz vor Entscheidungen ohne menschliches Zutun, die für die betroffene Person nachteilige Folgen haben können. Die DSGVO reagiert hier auf die fortschreitende Automatisierung und KI-gestützte Entscheidungsfindung, die das Risiko birgt, dass Kontext, individuelle Umstände oder fehlerhafte Daten unbemerkt bleiben.
Damit Art. 22 Abs. 1 DSGVO eingreift, müssen drei Voraussetzungen erfüllt sein:
(vgl. EuGH, „SCHUFA/Scoring“, C-634/21, Urt. v. 07.12.2023;
Für weiterführende Informationen siehe: Kremer Legal/ Schufa-Urteil)
1. Es liegt eine Entscheidung vor,
2. die Entscheidung beruht ausschließlich auf automatisierter Verarbeitung (erfolgt also vollständig durch ein IT-System, ohne dass ein Mensch die Entscheidung prüft oder bestätigt),
3. die Entscheidung hat rechtliche Wirkung oder beeinträchtigt den Betroffenen erheblich.
Art. 22 DSGVO ist kein Betroffenenrecht, was aktiv ausgeübt werden müsste, sondern wirkt unmittelbar als Verbot. Damit sind automatisierte Entscheidungen stets unzulässig, es sei denn, einer der Ausnahmefälle des Art. 22 Abs. 2 DSGVO greift:
(a) Vertragserfüllung, (b) gesetzliche Grundlage oder (c) ausdrückliche Einwilligung.
Die Entscheidung des VG Bremen: Was ist passiert ?
(Urteil vom 14.07.2025 – 2 K 763/23)
Der Kläger erhielt einen Abfallgebührenbescheid, der automatisiert erstellt wurde und erhob daraufhin Widerspruch mit der Begründung, dass ein Verstoß gegen Art. 22 DSGVO vorliege, weil durch die Festlegung der Abfallgebühren seine persönlichen Daten und die seiner Familie verarbeitet wurden. Hierdurch sei es einer Geldforderung gekommen, die rechtliche Wirkung auf ihn persönlich hatte.
Die Stadt wies den Widerspruch des Klägers ab.
Wie entschied das VG Bremen?
Das VG Bremen stimmte der betroffenen Person zu. Der Abfallgebührenbescheid basiere ausschließlich auf einer automatisierten Verarbeitung personenbezogener Daten. Ausnahmen nach Art. 22 Abs. 2 lit.b DSGVO seien nicht ersichtlich, da sich die Stadt einerseits nicht darauf berufen hat, das VG jedoch ohnehin klarstellte, dass eine Ausnahme, mangels eines Art.22 Ab.1 lit.b DSGVO entsprechenden Gesetzes in Bremen nicht existiert. Zwar enthält § 35a VwVfG auf Bundesebene eine Regelung zur Zulässigkeit automatisierter Verwaltungsentscheidungen, doch findet diese Norm im Land Bremen keine Anwendung. Letztendlich wurde ein Verstoß gegen Art. 22 Abs. 1 DSGVO also bejaht.
Allerdings nahm das Gericht an, dass der menschliche Eingriff im Widerspruchsverfahren den anfänglichen Formmangel heilt, weil Ausgangs- und Widerspruchsbescheid als eine rechtliche Einheit zu verstehen seien. Der ursprüngliche DSGVO-Verstoß entfällt also nicht, wird aber im Ergebnis durch nachträgliche menschliche Kontrolle „geheilt“.
Warum ist das Urteil für Unternehmen bedeutsam?
Das VG Bremen macht deutlich, dass Art. 22 DSGVO in der Praxis oft unterschätzt wird:
Viele automatisierte Verwaltungs- oder Unternehmensprozesse erfüllen die Voraussetzungen einer automatisierten Entscheidung, ohne dass eine der in Art. 22 Abs. 2 DSGVO vorgesehenen Ausnahmen vorliegt. Bei automatisierten Entscheidungen sollte daher eine vorherige Auseinandersetzung mit den Regelungen des Art. 22 DSGVO erfolgen.
Ein Beispiel aus der Unternehmenspraxis ist die automatisierte Ablehnung von Reisekostenanträgen:
Wird ein Antrag durch ein HR-System automatisch geprüft und abgelehnt (etwa, weil vermeintlich eine Quittung fehlt oder die Reisekategorie nicht hinterlegt ist), ohne dass ein Mensch die Entscheidung überprüft oder korrigieren kann, handelt es sich um eine ausschließlich automatisierte Entscheidung i.S.v. Art. 22 Abs. 1 DSGVO.
Diese Entscheidung hat zwar keine „klassische“ rechtliche Wirkung im verwaltungsrechtlichen Sinn, sie kann aber die betroffene Person „in ähnlicher Weise erheblich beeinträchtigen“.
Denn:
– die Ablehnung führt dazu, dass der/die Mitarbeitende finanzielle Aufwendungen nicht erstattet bekommt,
– sie beeinflusst das Arbeitsverhältnis unmittelbar,
– und sie kann faktisch Druck ausüben, künftig auf die Erstattung von Reisekosten stets zu verzichten.
Nach der Rechtsprechung des EuGH (s.o.) ist der Begriff der „erheblichen Beeinträchtigung“ weit zu verstehen. Schon die maßgebliche Einflussnahme einer automatisierten Bewertung auf eine spätere Entscheidung genügt, um Art. 22 DSGVO auszulösen.
Daher spricht vieles dafür, dass auch die automatisierte Ablehnung eines begründeten Reisekostenantrags unter das Verbot des Art. 22 Abs. 1 DSGVO fällt, sofern kein Mensch tatsächlich prüft oder eingreift.
Eine Ausnahme könnte nur dann greifen, wenn
– die automatisierte Entscheidung zur Vertragserfüllung erforderlich ist (Art. 22 Abs. 2 lit. a DSGVO), oder
– der Mitarbeitende ausdrücklich eingewilligt hat (lit. c).
Beides dürfte in der Regel nicht vorliegen. Somit läge ein Verstoß gegen Art. 22 DSGVO vor.
Fazit
Art. 22 DSGVO reicht weiter, als auf den ersten Blick vielfach vermutet. Insbesondere, wenn KI ins Spiel kommt, sollte immer auch Art. 22 DSGVO (und die DSGVO im Übrigen) betrachtet werden. Scheitert ein automatisierter Prozess wie im Beispiel die Bearbeitung von Reisekostenerstattungsanträgen bereits an der Hürde der automatisierten Entscheidungsfindung, ist der Blick auf die KI-Verordnung schon gar nicht mehr erforderlich.
Autoren: Sascha Kremer, Dante Browder, Anastasia Löffler