Published on

Automatisierte Einzelentscheide nach Art. 21 DSG

Authors

Wer in der Schweiz KI-Systeme einsetzt, die Personen betreffende Entscheidungen ohne menschliches Zutun fällen, bewegt sich im Anwendungsbereich von Artikel 21 des Bundesgesetzes über den Datenschutz (DSG). Die Norm ist eine der zentralen Schnittstellen zwischen Datenschutzrecht und automatisierter Datenverarbeitung — und sie wird in der Praxis oft mit den europäischen Regeln verwechselt, obwohl der Schweizer Weg eigene Konturen hat.

Schweizer Rechtsrahmen

Das totalrevidierte DSG ist seit dem 1. September 2023 in Kraft. Es löst das alte Datenschutzgesetz von 1992 ab und führt mit Art. 21 erstmals eine ausdrückliche Regelung zur «automatisierten Einzelentscheidung» ein. Flankiert wird die Bestimmung von der Datenschutzverordnung (DSV) sowie von der Aufsichts- und Beratungspraxis des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Eine automatisierte Einzelentscheidung im Sinne des Gesetzes liegt vor, wenn eine Entscheidung ausschliesslich auf einer automatisierten Bearbeitung von Personendaten beruht und für die betroffene Person mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Beide Tatbestandsmerkmale müssen erfüllt sein: die Ausschliesslichkeit der Automatisierung und die qualifizierte Wirkung auf die Person.

Konkrete Regelung

Liegt eine solche Entscheidung vor, trifft den Verantwortlichen nach Art. 21 Abs. 1 DSG eine Informationspflicht: Er muss die betroffene Person darüber informieren, dass die Entscheidung automatisiert ergangen ist. Diese Information ist nicht optional und nicht an einen Antrag der betroffenen Person geknüpft.

Nach Art. 21 Abs. 2 DSG hat die betroffene Person zudem das Recht, ihren Standpunkt darzulegen und zu verlangen, dass die automatisierte Einzelentscheidung von einer natürlichen Person überprüft wird. Damit verankert das Gesetz einen menschlichen Rückgriff: Der Algorithmus darf den Prozess vorbereiten und vorschlagen, aber die betroffene Person kann eine Kontrolle durch einen Menschen einfordern.

Art. 21 Abs. 3 DSG sieht Ausnahmen von der Informationspflicht vor. Sie greifen insbesondere dann, wenn die automatisierte Entscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags mit der betroffenen Person steht und ihrem Begehren entsprochen wird, oder wenn die betroffene Person ausdrücklich eingewilligt hat. Für Bundesorgane bestehen über das DSG hinaus besondere Regeln. Wichtig ist die systematische Einordnung: Die Ausnahmen befreien punktuell von der Informationspflicht, heben aber den datenschutzrechtlichen Schutzgedanken nicht generell auf.

In der Praxis betrifft Art. 21 DSG eine breite Palette von Anwendungen — etwa automatisierte Kreditentscheide, algorithmisches Scoring, automatisiertes Bewerber-Screening oder die maschinelle Tarifeinstufung in Versicherungen. Sobald ein menschlicher Sachbearbeiter eine vom System vorgeschlagene Entscheidung lediglich formal durchwinkt, ohne eigenen Beurteilungsspielraum auszuüben, kann die Entscheidung weiterhin als «ausschliesslich automatisiert» gelten. Die blosse Existenz eines Menschen im Prozess genügt also nicht, um aus dem Anwendungsbereich herauszufallen.

Abgrenzung zum EU AI Act

Art. 21 DSG ist Datenschutzrecht, nicht KI-Recht. Er knüpft an die Entscheidung über eine Person an und ist das funktionale Gegenstück zu Art. 22 der EU-Datenschutz-Grundverordnung — nicht zum EU AI Act. Der EU AI Act verfolgt einen anderen Regelungsansatz: Er reguliert KI-Systeme nach Risikoklassen und knüpft Pflichten an die Eigenschaft als Anbieter oder Betreiber eines Systems, unabhängig davon, ob im Einzelfall eine automatisierte Personenentscheidung getroffen wird.

Für Schweizer Unternehmen heisst das: Art. 21 DSG gilt aus eigenem Schweizer Recht und ist unabhängig vom EU AI Act zu beachten. Wer parallel KI-Systeme im EU-Markt anbietet, kann zusätzlich vom EU AI Act erfasst sein — diese marktzugangsbezogene Brücke wird auf der Bridge-Site ki-verordnung.ch vertieft. Das Konzept risikobasierter Pflichten, wie es der EU AI Act für Hochrisiko-Systeme kennt, wird unter hochrisiko-ki.com erläutert.

Praxis für Schweizer Unternehmen

Operativ empfiehlt sich ein dreistufiges Vorgehen. Erstens: Inventarisieren, welche Prozesse Personen betreffende Entscheidungen automatisiert fällen, und für jeden prüfen, ob beide Tatbestandsmerkmale (Ausschliesslichkeit und qualifizierte Wirkung) vorliegen. Zweitens: Für die erfassten Prozesse die Informationspflicht umsetzen — etwa in Datenschutzerklärung, Vertragsunterlagen oder Entscheidungsmitteilung — und einen funktionierenden Kanal für die menschliche Überprüfung einrichten. Drittens: Den Prozess dokumentieren, denn Nachweisbarkeit ist im Streit- oder Aufsichtsfall entscheidend.

Wo automatisierte Einzelentscheide mit einem hohen Risiko für die Persönlichkeit der betroffenen Person einhergehen, ist zusätzlich eine Datenschutz-Folgenabschätzung nach Art. 22 DSG zu prüfen. Beide Bestimmungen greifen ineinander: Art. 22 DSG steuert die vorgelagerte Risikobeurteilung, Art. 21 DSG die laufende Transparenz und das Überprüfungsrecht.

Verweise

  • Bundesgesetz über den Datenschutz (DSG), SR 235.1 — insbesondere Art. 21 und Art. 22
  • Verordnung über den Datenschutz (DSV), SR 235.11
  • Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Erläuterungen und Leitfäden zum revidierten DSG, abrufbar über edoeb.admin.ch
  • Fedlex, die amtliche Gesetzessammlung des Bundes: fedlex.admin.ch

Trust-Infrastructure die Schweizer und EU-Anforderungen gleichzeitig adressiert: aegira.ai.

Discuss on TwitterView on GitHub