Gesetzestext des Artikel 22 DSGVO
- Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Absatz 1 gilt nicht, wenn die Entscheidung
- für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
- aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
- mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
- In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
- Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
Bedeutung des Artikel 22 der DSGVO
Art. 22 DSGVO regelt die automatisierte Entscheidungsfindung einschließlich Profiling, welche bedeutende Auswirkungen auf die betroffenen Personen haben können. Im Kern zielt die Vorschrift darauf ab, die Rechte und Freiheiten der Einzelnen zu schützen und dabei den Unternehmen den notwendigen Spielraum zu lassen, um innovative, datengetriebene Lösungen zu entwickeln.
- Einzelfallentscheidungen: Der Artikel untersagt grundsätzlich Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und die rechtliche Wirkung entfalten oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigen.
- Ausnahmen: Es gibt Ausnahmen von diesem Verbot, beispielsweise wenn die betroffene Person ihre ausdrückliche Einwilligung gegeben hat, oder wenn die automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist.
- Profiling: Profiling, die automatisierte Verarbeitung personenbezogener Daten zur Bewertung bestimmter persönlicher Aspekte, wird ebenfalls durch den Artikel 22 geregelt. Unternehmen müssen sicherstellen, dass sie die Datenschutzprinzipien einhalten und die Rechte der betroffenen Personen wahren.
Profiling – DSGVO Artikel 4 Abs 4
Der Gesetzestext lautet hier:
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
Erwägungsgrund 81 DSGVO zum Profiling
Der Gesetzgeber sagt hier:
1Die betroffene Person sollte das Recht haben, keiner Entscheidung – was eine Maßnahme einschließen kann – zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. 2Zu einer derartigen Verarbeitung zählt auch das „Profiling“, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. 3Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat. 4In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. 5Diese Maßnahme sollte kein Kind betreffen.
6Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat. 7Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.
Was bedeutet Profiling in der Praxis
In der Praxis ist wichtig zu berücksichtigen, dass die Profiling nur dann vorliegt, wenn auch personenbezogene Entscheidungen auch stattfinden. So ist die automatische Datenverarbeitung bei Radarkontrollen mit anschließendem Bußgeldbescheid nicht nach Artikel 22 DSGVO verboten, weil hier keine Person identifiziert wird, sondern nur ein personenbezogenes Merkmal wie das Kennzeichen. Das lässt zwar im Sinne der Pseudonymisierung Rückschlüsse auf den Halter zu, nicht aber auf den Fahrer, der zu schnell fuhr. Die Unterkategorie Scoring, also die Erstellung einer Bonität einer Person wird dabei in § 31 Abs. 1 BDSG vom Profiling ausgenommen und ist unter bestimmten Umständen erlaubt.
Hier ein paar Praxisbeispiele für automatisierte Entscheidungen und Profiling:
- Zusammenstellung und Auswertung persönlicher Informationen von Kunden zur Vorhersage ihrer Interessen und dem Versand von zielgerichteter Direktwerbung.
- Automatisierte Einschätzung der Kreditwürdigkeit einer Person mittels eines Scoring-Wertes.
- Im Bewerbermanagement, wo ein Algorithmus anhand der Daten der Bewerber eine Vorentscheidung für die Personalauswahl trifft
- Angebote in Banner Ads, die einem auf Basis von Gerätemerkmalen und persönlichen Cookies aus einem Angebot ausschließen
Implementierungsstrategien
Für Unternehmen, die auf automatisierte Datenverarbeitung setzen, ist es essentiell, eine umfassende Compliance-Strategie zu entwickeln. Hier sind einige Schritte, die Sie in Erwägung ziehen sollten:
- Transparenz und Aufklärung: Informieren Sie die betroffenen Personen klar und verständlich über die Logik, sowie die Bedeutung und die angestrebten Auswirkungen der automatisierten Entscheidungsfindung.
- Einwilligung einholen: Wo erforderlich, holen Sie die ausdrückliche Einwilligung der betroffenen Personen für die automatisierte Verarbeitung ihrer Daten ein.
- Menschliche Überprüfung: Eine Alternative / Ergänzung zur Einwilligung ist die Einbindung menschlicher Überprüfung in die Entscheidungsprozesse. Beispielweise setzen Finanzinstitute auf Mitarbeiter in Endkontrollen, die automatisierte Kreditentscheidungen überprüfen und gegebenenfalls korrigieren.
- Technische und organisatorische Maßnahmen: Implementieren Sie robuste technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten und die DSGVO-Compliance zu überprüfen.
- Regelmäßige Überprüfung: Führen Sie regelmäßige Datenschutz-Folgenabschätzungen durch und überprüfen Sie die Wirksamkeit Ihrer Maßnahmen.
Um die richtigen Rahmenbedingungen für so eine Compliance Strategie zu schaffen empfehlen wir Ihnen daher unsere Datenschutzberatung, um die bestehenden Prozesse zu durchleuchten und ggf. datenschutzkonform anzupassen.