Datenschutz für Unternehmen und OrganisationenLesezeit: 3 Min

Betroffenenrechte nach DS-GVO

Im Datenschutz gibt es eine Vielzahl von Betroffenenrechten. Diese sollen den Betroffenen bei der Verarbeitung seiner personenbezogenen Daten schützen. Eines der Rechte betroffener Personen ist in Artikel 22 der Datenschutz-Grundverordnung (DS-GVO) festgehalten und regelt die Verwendung von automatisierten Entscheidungen einschließlich des Profilings.

Was besagt Artikel 22 DS-GVO genau und warum ist das für Unternehmen und Organisationen in Bezug auf den Datenschutz so wichtig?

Automatisierte Entscheidungen im Datenschutz

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Artikel 22 Abs. 1 Datenschutzgrundverordnung – DS-GVO)

Das bedeutet also, wenn Unternehmen und Organisationen Entscheidungen aufgrund von der automatisierten Entscheidung durch ein System treffen, welche einen Betroffenen betreffen, hat dieser das Recht darauf, dass diese nicht ausschließlich automatisiert erfolgen. Artikel 22 der DS-GVO schränkt damit die Umstände ein, automatisierte Entscheidungen zu treffen.

BLOG-TIPP: AUSKUNFT IM DATENSCHUTZ – WIE UNTERNEHMEN ARTIKEL 15 DS-GVO UMSETZEN

Artikel 22 DS-GVO: Automatisierte Entscheidungen im Datenschutz – Was Unternehmen wissen und umsetzen müssen

Im Rahmen der Datenschutzgrundverordnung (DS-GVO) spielt Artikel 22 eine zentrale Rolle, wenn es um automatisierte Entscheidungen einschließlich Profiling geht. Für Unternehmen ist es essenziell, die Vorgaben dieses Artikels zu kennen und korrekt umzusetzen, um sowohl die Rechte der Betroffenen zu wahren als auch rechtliche Risiken zu minimieren.

Artikel 22 schützt Personen vor Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und rechtliche Auswirkungen haben oder sie in ähnlicher Weise erheblich beeinträchtigen. Dies betrifft insbesondere Entscheidungen, die ohne menschliches Zutun getroffen werden, etwa bei Kreditvergaben, Bewerbungsverfahren oder der automatisierten Risikobewertung.

Kernpunkte von Artikel 22 sind:

  • Verbot automatisierter Einzelentscheidungen mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung, sofern keine Ausnahmen greifen.
  • Recht auf menschliches Eingreifen: Betroffene haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, ohne dass eine Person die Entscheidung überprüft.

Wann sind automatisierte Entscheidungen verboten?

Automatisierte Entscheidungen sind grundsätzlich verboten, wenn sie eine rechtliche Wirkung entfalten oder eine sie die betroffene Person erheblich beeinträchtigen (z.B. beim Ausschluss von bestimmten Dienstleistungen).

Es muss also immer eine Prüfung der Entscheidung durch eine natürliche Person erfolgen. Das gilt auch für das Profiling, „das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Erwägungsgrund 71)

BLOG-TIPP: VERBOT MIT ERLAUBNISVORBEHALT – VERARBEITUNG VON PERSONENBEZOGENEN DATEN

Ausnahmen von Artikel 22 DS-GVO

Es gibt unterschiedliche Ausnahmen, warum automatisierte Entscheidungen auch im Sinne des Datenschutzes erlaubt sind:

  1. Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich,
  2. Wenn die betroffene Person ausdrücklich eingewilligt hat,
  3. Wenn die Verarbeitung durch das Unionsrecht oder das nationale Recht, dem der Verantwortliche unterliegt, erlaubt ist und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen getroffen wurden.

Umsetzung des Betroffenenrechts

Aus Artikel 22 Abs.1 der DS-GVO geht ein Verbot automatisierter Entscheidungen ohne Rechtsgrundlage hervor. Verantwortliche müssen also unabhängig von einer aktiven Handlung des Betroffenen sicherstellen, dass dies umgesetzt wird und sollten die Vorgaben aus Artikel 22 nicht vorliegen, ist eine Verarbeitung verboten.

Darüber hinaus müssen Unternehmen sicherstellen, dass Betroffene:

  • über die automatisierte Entscheidungsfindung informiert werden, inklusive der verwendeten Logik,
  • die Möglichkeit erhalten, eine menschliche Überprüfung der Entscheidung zu verlangen,
  • und ihre Rechte auf Korrektur, Widerspruch oder Löschung wahrnehmen können.

BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ

Praktische Umsetzung im Unternehmen

Um Artikel 22 DS-GVO rechtskonform umzusetzen, sollten transparente Beschreibungen der eingesetzten Algorithmen und deren Funktionsweise dokumentieren und menschliche Überprüfung automatisierter Entscheidungen, insbesondere bei sensiblen oder weitreichenden Folgen, sicherstellen.

Mitarbeiter und Betroffene sollten über Rechte und Abläufe aufgeklärt werden. In diesem Zusammenhang sollten Mitarbeiter auch im Umgang mit automatisierten Entscheidungen geschult werden. Durch entsprechende technische und organisatorische Maßnahmen (TOM) sollten Verantwortliche sicherstellen, dass automatisierte Systeme datenschutzkonform arbeiten und Missbrauch vermieden werden kann.

Datenschutz-Folgenabschätzung durchführen

Bei automatisierten Entscheidungen und bei Profiling muss der Verantwortliche eine Datenschutzf-Flgenabschätzung gemäß der DS-GVO durchführen, da hier entsprechende Risiken für den Betroffenen bestehen können.

BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG: WANN UND WIE?

Fazit

Artikel 22 DS-GVO schützt Personen vor unbegründeten Nachteilen durch automatisierte Entscheidungen. Unternehmen sind verpflichtet, diese Vorgaben sorgfältig zu beachten, um Transparenz und Fairness zu gewährleisten. Die Einbindung menschlicher Kontrolle und umfassende Information der Betroffenen sind dabei zentrale Elemente.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Automatisierte Entscheidungen und Profiling und der Datenschutz
Markiert in:         
×
Anfrage