Art 22 DSGVO – ein Überblick

Die automatisierte Entscheidungsfindung im Online-Bereich gestaltet Verarbeitungsprozesse effizient. Lästige Verzögerungen und lange Bearbeitungszeiten gehören der Vergangenheit an. Das gibt den Mitarbeitern in Unternehmen die Chance, sich anderen Tätigkeitsfeldern zu widmen. Für Verbraucher und Internetnutzer stellt sich die Frage, ob automatisierte Entscheidungen – getroffen von künstlicher Intelligenz oder auf Grundlage eines Algorithmus – ausschließlich Vorteile mit sich bringt. Um die Personen vor den Folgen dieser Art der Entscheidungsfindung zu schützen, befindet sich Art 22 in der DSGVO. Hierbei handelt es sich um ein Instrument, um beispielsweise für das Profiling einen festen Rahmen zu stecken.

Art 22 in der DSGVO: die Bedeutung

Artikel 22 der Datenschutz-Grundverordnung regelt die automatisierten Entscheidungen im Einzelfall, einschließlich das Profiling.

In vier Absätzen beschreibt er die Rechte Betroffener. Diese brauchen sich laut der DSGVO keinen Entscheidungen, die ausschließlich auf einer automatisierten Datenverarbeitung basieren, zu unterwerfen.

Beeinträchtigen diese Entscheidungen sie rechtlich, greift Art 22 in der DSGVO.

Dieser verdeutlicht die unterschiedlichen Voraussetzungen für die automatisierte Entscheidungsfindung. Des Weiteren erhalten die Leser einen Überblick über die Ausnahmen, inklusive der Rückausnahmen.

Auf den ersten Blick wirkt der Artikel verzwickt. Für ein besseres Verständnis empfiehlt es sich, bei Art 22 DSGVO die Bedeutung für den Einzelnen zu klären.

Die Vorschrift schützt Personen vor der gezielten Auswertung bestimmter Merkmale. Jedoch handelt es sich im Gegensatz zur automatischen Datenerhebung durch Cookies nicht um ein Verbot mit Erlaubnisvorbehalt.

Der Grund: Die DSGVO verbietet in diesem Artikel das Profiling oder eine automatisierte Entscheidungsfindung nicht per se.

Art 22 DSGVO und § 31 BDSG ergänzen sich

Die Kategorisierung der Datenauswertung als Profiling und die entsprechende Regelung in der Datenschutz-Grundverordnung existieren seit dem Jahr 2018.

Im alten Bundesdatenschutzgesetz fanden sich keine Vorgaben zu dieser Art der automatisierten Datenverarbeitung.

Anders sieht es im neuen, an die DSGVO angepassten Datenschutzgesetz des Bundes aus. Ein Blick auf beide Regelungen zeigt, dass sich Art 22 DSGVO und § 31 BDSG ergänzen.

Der Paragraf 31 im Bundesdatenschutzgesetz regelt einen Teilbereich des Profilings, das Scoring. Der Begriff bezeichnet die Verwendung von Wahrscheinlichkeitswerten, die das zukünftige Verhalten einer Person ermitteln. Das geschieht beispielsweise, um Entscheidungen zu treffen und diese zu begründen.

Unter Umständen kommt das Scoring zum Einsatz, um das Vertragsverhältnis mit einem Menschen aufgrund seines ermittelten Werts zu beenden.

Ein klassisches Beispiel besteht in einem Score-Wert, den Wirtschaftsauskunfteien wie die Schufa berechnen. Dieser Score entscheidet über die Kreditwürdigkeit einer Person.

Alternativ nutzen Unternehmen das Scoring, um die Leistung der Mitarbeiter im Auge zu behalten.

Das Bundesdatenschutzgesetz regelt, wann das Scoring zulässig ist.

Stellen Unternehmen, die diesen Score-Wert ermitteln, ihn Firmen auf Anfrage zur Verfügung, handelt es sich nicht um eine automatisierte Entscheidung. Der Grund besteht darin, dass betroffene Personen unmittelbar keine rechtliche Wirkung spüren.

 

Des Weiteren treffen die Unternehmen, die den Score-Wert einkaufen, die Entscheidung selbstständig auf Grundlage dieses Werts.

Unter Umständen existieren Fälle, in denen Computerprogramme einen Score automatisch berechnen und auswerten. Sofern sie diesen ohne menschliches Eingreifen als Entscheidungsgrundlage nutzen, besteht die Gefahr einer Rechtsverletzung der betroffenen Person.

INFO: Eine weitere Ausnahme vom Verbot automatischer Einzelentscheidungen regelt Paragraf 37 im Bundesdatenschutzgesetz. Dieser bezieht sich auf die Belange der Versicherungswirtschaft. Er soll es der privaten Krankenversicherung ermöglichen, Versicherungsleistungen automatisch abzurechnen.

Wie definiert Art 22 DSGVO automatisierte Entscheidungen?

Damit Art 22 in der DSGVO automatisierte Entscheidungen berücksichtigt, existieren bestimmte Voraussetzungen. Die Verordnung bezieht sich auf einen Entscheidungsakt mit einer abschließenden Wirkung.

Letztere besteht beispielsweise in einem Vertragsabschluss oder der Begründung einer Kündigung. Diese Definition schließt folgende automatisierte Entscheidungen aus:

  • computergesteuerte Prüfung von Sachverhalten oder Voraussetzungsmerkmalen,
  • Bestimmung individueller Preise zur Angebotskalkulation,
  • allgemeine unternehmerische Umsatzberechnungen oder betriebsinterne Berechnung der Ausfallquote.

Obgleich diese Daten die Basis für eine spätere Entscheidung legen, bilden sie keine unmittelbar geltende Handlung mit konkreter Rechtsfolge.

Des Weiteren greift Artikel 22 in der DSGVO, sofern eine rechtliche Wirkung aufgrund der automatisierten Entscheidung erfolgt.

Diese entsteht, sofern die Datenverwaltung die Rechtsposition des Einzelnen verändert. Das geschieht, wenn sie ein Rechtsverhältnis begründet oder aufhebt. In beiden Fällen zieht sie eine Rechtsfolge nach sich.

Ein Beispiel stellt eine automatische Kündigung eines Angestellten aufgrund automatisierter Algorithmen, welche die Arbeitseffizienz berechnen, dar.

Ebenfalls wirkt sich der Artikel auf die Arbeit eines reinen Online-Assessment-Centers aus. Teilweise treffen die Systeme Jobzusagen ausschließlich aufgrund der automatisch ausgewerteten Antworten eines Bewerbers. Alternativ fallen in den Bereich neue Geschäftsbereiche wie die computergesteuerte Anlagenbetreuung oder das Robo Advise.

Art 22 DSGVO: Erklärung im Hinblick auf Cookies und Big Data

Suchen Betreiber von Internetseiten für Art 22 in der DSGVO eine Erklärung, wappnen sie sich für mögliche Rechtsverstöße. Damit ihnen beim Verstoß gegen die DSGVO keine Geldbußen drohen, ist bei einer automatisierten Datenverwaltung Vorsicht geboten.

Gereicht die maschinelle Auswertung von Daten einer Person zum Nachteil, greift Art 22 DSGVO in mehreren Situationen ein.

In diesem steht, dass sich keine Person der automatisierten Entscheidung unterwerfen muss. Sammeln Unternehmen mithilfe von Big Data Datenwerte über Mitarbeiter und benachteiligen sie dadurch, handeln sie rechtswidrig.

Mithilfe von Cookies besteht die Möglichkeit, Daten über den Besucher einer Internetseite zu sammeln.

Das erweist sich als zulässig, sofern die Betreiber die Nutzer über die Verwendung von Cookies informieren und ihre Erlaubnis einholen.

Besteht bei einer automatisierten Entscheidungsfindung die ausdrückliche Akzeptanz der Betroffenen, egalisiert diese das Verbot im ersten Absatz von Artikel 22 in der Datenschutz-Grundverordnung.

Dementsprechend steht bei der Cookies-Nutzung sowie der automatischen Datenerhebung das Einverständnis der User an erster Stelle.

Um finanzielle Schwierigkeiten zu vermeiden, sollten Websites Cookies DSGVO-konform nutzen.

Art 22 DSGVO und die Schufa

Obgleich der Artikel 22 in der Datenschutz-Grundverordnung auf den ersten Blick verständlich und verbraucherfreundlich wirkt, existieren gravierende Ausnahmen.

Beispielsweise nimmt Art 22 DSGVO auf die Schufa keinen Einfluss.

Der Artikel 15 Abs. 1 verpflichtet Unternehmen, die entsprechende Algorithmen rechtskonform einsetzen, Auskunft zu erteilen. Folglich können sich Betroffene informieren, wie ein bestimmter Score zustande kommt.

Legen sie offen, wie die Algorithmen funktionieren und die Entscheidungsfindung stattfindet, ermöglicht das eine unabhängige Kontrolle.

Allerdings besteht für die Schufa keine Notwendigkeit, ihre Algorithmen vollständig offenzulegen. Wie andere Auskunfteien trifft sie eigenständig keine Entscheidung über eine Person.

Sie verkauft den ermittelten Score-Wert an Unternehmen, die ihn als Basis für die Entscheidungsfindung nutzen. Als Beispiel schauen Banken auf den Schufa-Score, um über die Kreditwürdigkeit eines Menschen zu entscheiden.

Folglich tritt die Schufa nicht als Entscheidungsträger auf. Sie führt keine automatisierten Einzelfallentscheidungen im Sinne von Art 22 in der DSGVO durch. Aus dem Grund fällt sie nicht in den gesetzlichen Auskunftsanspruch nach Artikel 15 Abs. 1 lith h DSGVO.

Wie regelt Art 22 in der DSGVO das Profiling?

Hinter dem Profiling verbirgt sich die automatisierte Verarbeitung personenbezogener Daten und deren Nutzung als Entscheidungsgrundlage. Verwenden Unternehmen die Personendaten, um das Verhalten eines Menschen vorherzusagen, wirkt Artikel 22 in der Datenschutz-Grundverordnung.

Das Profiling kommt zum Einsatz, um bestimmte Aspekte im Zusammenhang mit einer natürlichen Person zu bewerten. Vorwiegend beim Marketing zeigt sich der Prozess, um eine Zielgruppe zu definieren und Kampagnen an deren Ansprüche anzupassen.

Zu beachten ist, dass Art 22 in der DSGVO das Profiling nicht grundsätzlich verbietet. Es zeigt sich unzulässig, sofern die Entscheidungsfindung ausschließlich auf automatisch erhobenen Daten basiert.

Personalisierte Werbung fällt nicht unter das Verbot. Sie entfaltet bei den Verbrauchern keine rechtliche Wirkung oder beeinträchtigt sie in anderer Weise.

Des Weiteren erlaubt Artikel 22 das Profiling in drei Fällen:

  • sofern es bei Vertragsabschlüssen oder -erfüllung unabdingbar ist,
  • eine Rechtsvorschrift es voraussetzt oder
  • der Betroffene seine Einwilligung erteilt.

Wann ein Vertragsabschluss das Profiling erfordert, hängt vom Vertragszweck ab. Dementsprechend fällt die Entscheidung individuell aus. Vorwiegend bezieht sich dieser Punkt auf Vertragsinhalte, die dem Willen des Betroffenen entsprechen.

Demzufolge ziehen sie keine negativen Konsequenzen bei einer voll automatisierten Verarbeitung nach sich.

Durch den Verarbeitungsprozess besteht beispielsweise die Möglichkeit einer Kostensenkung. Diese wirkt sich positiv auf den Kaufpreis aus. In der Folge profitieren beide Vertragsparteien.

Eine weitere Ausnahme für Art 22 besteht, wenn eine Rechtsvorschrift automatisierte Entscheidungen erlaubt oder voraussetzt.

Der dritte Ausnahmegrund zeigt sich in der Einwilligung betroffener Personen. Akzeptieren diese die automatisierte Datenverarbeitung ausdrücklich, schließt das die Wirkung von Artikel 22 in der Datenschutz-Grundverordnung aus.

Als unerlässlich gelten in dem Fall Artikel 4 Nr. 11 DSGVO und Artikel 7 DSGVO.

Ersterer stellt Freiwilligkeit, Unmissverständlichkeit und Informiertheit in den Vordergrund. Der zweitgenannte Artikel bezieht sich auf die Nachweisbarkeit sowie eine klare und einfache Sprache.

Die betroffenen Personen erhalten bei einer automatisierten Entscheidung dennoch die Möglichkeit, diese anzufechten.

Bezüglich des Profilings gibt der Erwägungsgrund 71 spezifische Vorgaben vor. Beispielsweise sollten die Verantwortlichen geeignete statistische und mathematische Vorgaben nutzen. Technische sowie organisatorische Maßnahmen stellen im Fehlerfall die schnelle Korrektur personenbezogener Daten sicher.

Beim Profiling darf es nicht zu einer Diskriminierung oder diskriminierenden Wirkung kommen. Keinesfalls sollten Kinder betroffen sein.

INFO: Die Verarbeitung von Daten bestimmter Kategorien, beispielsweise Gesundheitsdaten, ist nach Art 9 Abs. 1 DSGVO zulässig, sofern eine Rechtsvorschrift sie erlaubt oder Betroffene einwilligen.

Redakteur Marek Hansen
Nach oben
×
Dein Bonus Code:
Das Bonusangebot hat sich bereits in einem weiteren Fenster geöffnet. Falls nicht, kannst du es aber auch nochmal über den folgenden Link öffnen:
Zum Anbieter