Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden
Home » DSGVO » Rechte der betroffenen Person » Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden
Gemäß Artikel 22 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Wie von Bygrave (2021) erläutert, liegt der Grund für diese Bestimmung in den potenziell schwerwiegenden Auswirkungen, die Profiling und andere automatisierte Verarbeitungen auf den Entscheidungsprozess der betroffenen Person haben könnten.[1] Forscher könnten beispielsweise Software entwickeln, um eine große Menge personenbezogener Daten zu verarbeiten, die betroffenen Personen entsprechend zu klassifizieren, Vorhersagen zu treffen und Ergebnisse zu ermitteln, die zu einer Diskriminierung der Daten führen könnten, wenn sie später im Kontext der öffentlichen Verwaltung (z. B. Bereitstellung von Sozial- und Gesundheitsdiensten) oder des privaten Sektors (z. B. zielgerichtete Werbung und elektronische Personalbeschaffung) angewendet werden.

Eine vieldiskutierte Frage ist die Natur von Artikel 22 DSGVO. Die Artikel-29-Datenschutzgruppe legt diese Bestimmung einerseits als allgemeines Verbot aus und begründet ihre Auslegung hauptsächlich mit Erwägungsgrund 71, der klarstellt, dass die Verarbeitung nach Artikel 22 DSGVO generell nicht zulässig ist.[2] Auf der anderen Seite argumentieren Bygrave und andere Autoren, dass diese Auslegung dem eigentlichen Wortlaut von Artikel 22 DSGVO sowie seiner Einordnung in die Struktur der Verordnung (nämlich Kapitel 3 über die Rechte der betroffenen Person) und seiner besonderen Berücksichtigung in den Artikeln13 Absatz 2 Buchstabe f, 14 Absatz 2 Buchstabe g, 15 Absatz 1 Buchstabe h und 35 Absatz 3 Buchstabe a zuwiderläuft.[3] Während die Auslegung von Artikel 22 DSGVO als Verbot erfordert, dass der Verantwortliche dieses Verbot unabhängig von der Handlung der betroffenen Person zu diesem Zweck anwendet, beinhaltet die Auslegung als Recht, dass die Ausübung dieses Rechts gemäß den oben genannten Anforderungen in Artikel 12 DSGVO erfolgt, auf die ebenfalls weiter unten eingegangen wird.

Die automatisierte Entscheidungsfindung ist die Fähigkeit, mit technischen Mitteln ohne menschliche Beteiligung Entscheidungen zu treffen. Automatisierte Entscheidungen können auf jeder Art von Daten beruhen, z. B. auf Daten, die direkt von den betroffenen Personen zur Verfügung gestellt werden (z. B. Antworten auf einen Fragebogen), auf Daten, die über die Personen beobachtet werden (z. B. Standortdaten, die über eine Anwendung erfasst werden), oder auf aus Rückschlüssen erzeugten oder hergeleiteten Daten wie einem bereits erstellten Profil der Person (z. B. einer Kreditwürdigkeit)[4].

Profiling ist jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen (siehe Artikel 4 DSGVO).

Obwohl die DSGVO die Konzepte„rechtliche Wirkung“und„in ähnlicher Weise erheblich beeinträchtigt“, die sich aus der automatisierten Entscheidungsfindung ergeben, nicht definiert, stellt die Artikel 29-Datenschutzgruppe klar, dass rechtliche Wirkung verlangt, dass eine Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung beruht, die Rechte einer Person betrifft, beispielsweise die Vereinigungsfreiheit, das Wahlrecht oder das Recht, rechtliche Schritte einzuleiten. Sie kann auch den rechtlichen Status einer Person oder deren Rechte aus einem Vertrag betreffen. [5] Beispiele für Rechtsfolgen sind die Auflösung eines Vertrags, die Verweigerung einer gesetzlich gewährten Sozialleistung, die Verweigerung der Staatsbürgerschaft oder der Aufenthaltsgenehmigung. Was die ähnlichen Auswirkungen betrifft, so betrachtet die Artikel-29-Datenschutzgruppe sie als die Folge einerEntscheidung, bei der die Möglichkeit besteht, dass sie die Umstände, das Verhalten oder die Entscheidungen der betroffenen Person erheblich beeinträchtigt, die betroffene Person über einen längeren Zeitraum oder dauerhaft beeinträchtigt oderim schlimmsten Fall zum Ausschluss oder zur Diskriminierung von Personen führt[6]. Dies zeigt sich bei elektronischen Einstellungsverfahren, die weiße Männer gegenüber Frauen oder Angehörigen von Minderheiten oder gefährdeten Gruppen bevorzugen.

Gemäß Artikel 22 Absatz 4 DSGVO kann eine automatisierte Entscheidungsfindung erfolgen, wenn besondere Kategorien personenbezogener Daten betroffen sind, sofern die betroffene Person ausdrücklich eingewilligt hat oder wenn dies aus Gründen eines wichtigen öffentlichen Interesses nach dem Recht der EU oder der EU-Mitgliedstaaten erforderlich ist. In diesem Zusammenhang muss der Verantwortliche alle geeigneten Maßnahmen ergreifen, um die Rechte und Freiheiten der betroffenen Person zu schützen.

Wie bereits erwähnt, ist der Verantwortliche gemäß Artikel 12 DSGVO verpflichtet, die betroffene Person über die Existenz einer automatisierten Entscheidungsfindung zu informieren. Darüber hinaus sollte sich die Information nicht auf die Tatsache beschränken, dass eine solche Entscheidungsfindung stattfindet, sondern auch die damit verbundene Logik und die möglichen Folgen für die betroffene[7] Person erläutern.

Artikel 22 Absatz 2 der Datenschutz-Grundverordnung sieht drei Ausnahmen vom Verbot der automatisierten Entscheidungsfindung vor, und zwar

  • Die Entscheidung ist für den Abschluss oder die Einhaltung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich.
  • Die Entscheidung ist nach dem Recht der EU oder der EU-Mitgliedstaaten, dem der Verantwortliche unterliegt, zulässig.
  • Die Entscheidung beruht auf der ausdrücklichen Einwilligung der betroffenen Person.

In den Fällen, in denen eine dieser Ausnahmen zutrifft, muss der Verantwortliche besondere Garantien einführen, die über die in Artikel 12 DSGVO allgemein vorgesehenen hinausgehen. Auf der Grundlage von Artikel 22 Absatz 3 DSGVO hat die betroffene Person in den Fällen, in denen Ausnahmen für Vertrag und Einwilligung gelten, zusätzlich zu den allgemeinen Garantien, die der Verantwortliche zum Schutz ihrer Grundrechte und -freiheiten sowie ihrer berechtigten Interessen anwenden sollte, immer noch das Recht, eine menschliche Überprüfung der vollautomatisierten Entscheidung zu verlangen. Um eine faire und transparente Datenverarbeitung zu gewährleisten, muss der Verantwortliche gemäß Erwägungsgrund 71 außerdem geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und unter anderem verhindern, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu einer Verarbeitung kommt, die eine solche Wirkung hat. Für diese Zwecke ist die Umsetzung des Grundsatzes des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen von größter Bedeutung. Darüber hinaus wird in Erwägungsgrund 91 klargestellt, dass eine Datenschutz-Folgenabschätzung im Zusammenhang mit automatisierten Entscheidungsfindungsprozessen immer dann durchgeführt werden sollte, wenn die Datenfür das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen.

Checkliste für die Beantwortung eines Antrags, keiner automatisierte Entscheidungsfindung unterworfen zu werden

Wie Sie alle DSGVO-Pflichten einhalten können:

☐ Fällt die automatisierte Entscheidungsfindung unter eine der in den Artikeln 22 Absatz 2 und 22 Absatz 4 festgelegten Ausnahmen? Wenn ja, können Sie mit der Datenverarbeitung fortfahren.

☐ Unterrichtung der betroffenen Person über das Bestehen einer automatisierten Entscheidungsfindung, einschließlich einer Erläuterung der damit verbundenen Logik und der möglichen Folgen für die betroffene Person.

 

Quellenangaben

1L. A. Bygrave, Artikel 22. Automated individual decision-making, including profiling, in C. Kuner, L. A. Bygrave & C. DockseyThe EU General Data Protection Regulation (GDPR) A Commentary, Oxford: Oxford University Press, 2020, S. 526

2Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 2018, WP251rev.01, S. 19–20

3L. A. Bygrave, op. cit., S. 531–532

4Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, op. cit. , S. 8

5Artikel-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, op. cit., S. 21

6 Ebd.

7Agentur der Europäischen Union für Grundrechte (Hrsg.), op. cit., S. 234 </p

Skip to content