Art. 22 DSGVO schützt natürliche Personen vor außchließlich automatisierten Entscheidungen mit rechtlicher oder erheblich beeinträchtigender Wirkung.
Das Verbot
Niemand darf einer Entscheidung unterworfen werden, die außchließlich auf automatisierter Verarbeitung - einschließlich Profiling - beruht und rechtliche Wirkung entfaltet oder erheblich beeinträchtigt (Art. 22 Abs. 1 DSGVO). Beispiele: vollautomatisierte Kreditablehnung, algorithmische Personalauswahl, automatisierte Vertragskündigung.
Ausnahmen (Art. 22 Abs. 2)
Das Verbot gilt nicht bei: Vertragserfüllung (mit Schutzmassnahmen), gesetzlicher Erlaubnis, ausdrücklicher Einwilligung. In jedem Fall muss mindestens das Recht auf menschliches Eingreifen, Darlegung des eigenen Standpunkts und Anfechtung gewährleistet sein.
Sonderregelung für Scoring (Paragraph 31 BDSG)
Scoring-Verfahren (z.B. Schufa-Score) sind nur zuläßig, wenn: die Datenschutzvorschriften eingehalten werden, ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren verwendet wird, nicht außchließlich Anschriftendaten genutzt werden und bei Nutzung von Anschriftendaten die betroffene Person vorher informiert wird. Reines Geo-Scoring ist verboten.