DSGVO Art. 22 nach SCHUFA: Wann automatisierte Sperrungen rechtswidrig sind

In der Rechtssache C-634/21 hat der EuGH am 7. Dezember 2023 entschieden, dass schon die automatisierte Berechnung eines Risiko-Scores eine Entscheidung im Sinne von Art. 22 DSGVO ist - nicht erst die darauf basierende Folge­handlung.

Der entscheidende Satz: Eine Entscheidung ist „automatisiert" auch dann, wenn ein Mensch formal beteiligt ist, sich aber faktisch auf den maschinellen Output verlässt, ohne eigene Prüfung. Reine Rubber-Stamping-Vorgänge bleiben automatisiert im Sinne der Norm.

Übertragen auf Plattform-Sperrungen heißt das: Ein Mod, der einen Anti-Cheat-Verdacht „bestätigt", ohne den Sachverhalt eigenständig zu prüfen, schafft keine menschliche Entscheidung. Die Sperre bleibt im Anwendungs­bereich von Art. 22 DSGVO.

Art. 22 DSGVO greift nur bei Entscheidungen mit „rechtlicher Wirkung" oder „erheblicher Beeinträchtigung" für die betroffene Person. Bei Plattform-Sperrungen wird oft argumentiert, das treffe nicht zu - es handle sich ja nur um den Verlust eines „Zusatz­dienstes".

Das überzeugt nicht mehr. Bei beruflichen Creator-Konten (Twitch, YouTube), bei Seller-Konten (Amazon, eBay), bei Zahlungs­diensten (PayPal) und bei substantiellen digitalen Inhalten (CS2-Inventar, Fortnite-Skins, Steam-Bibliothek) ist die wirtschaftliche und persönliche Auswirkung erheblich.

Die Schwelle ist deutlich niedriger als oft angenommen: Schon ein nachhaltig genutztes Social-Media-Konto mit aufgebauter Reichweite überschreitet sie - das hat das BGH-Urteil zu Facebook (III ZR 179/20) bereits 2021 implizit anerkannt.

EasyAntiCheat (Epic), Vanguard (Riot), VAC (Valve), BattleEye - sie alle treffen Sperr­entscheidungen ohne strukturierte menschliche Prüfung. Ihre Outputs werden in der Regel direkt umgesetzt: Account permanent gesperrt, ohne Anhörung.

Das ist nach Art. 22 DSGVO unzulässig. Selbst bei tatsächlichem Cheating wäre eine permanente Sperre ohne menschliche Prüfung verfahrens­mäßig fehlerhaft - der Schutz greift unabhängig von der materiellen Berechtigung.

In der Praxis fragen wir per Art. 15 DSGVO die Anti-Cheat-Logs ab und decken auf, dass die Entscheidung allein heuristisch (also: spekulativ) erfolgte. Damit ist die Sperre regelmäßig anfechtbar - und die Plattformen wissen das.

Art. 82 DSGVO gewährt Schadens­ersatz auch für immaterielle Schäden. Der EuGH hat in C-300/21 (Österreichische Post) klargestellt: Es bedarf keiner „Erheblichkeits­schwelle" - jeder konkret nachweisbare Schaden ist ersatzfähig.

Bei rechtswidrigen Account-Sperrungen kommen typischerweise drei Schadens­positionen in Betracht: Zeitaufwand für die Wieder­herstellung, persönlicher Frust und Stress (Belastung), und konkrete wirtschaftliche Schäden (verlorene Items, entgangene Einnahmen).

Übliche Größen­ordnungen: 500-3.000 € für reine Sperrung mit moderatem Aufwand; 3.000-15.000 € bei substantiellen wirtschaftlichen Folgen. Bei Großfällen mit 6-stelligen Folge­schäden öffnet sich der Rahmen entsprechend.