Automatisierte Entscheidungen DS-GVO-konform
Im Datenschutz gilt es Betroffenenrechte entsprechend der Vorgaben in der Datenschutzgrundverordnung (DS-GVO) umzusetzen. Das gilt auch dann, wenn Profiling oder automatisierte Entscheidungen genutzt werden.
Definition Profiling im Sinne des Datenschutzes
Was bedeutet Profiling laut DS-GVO? Unter Profiling versteht man im Datenschutz jede Art der automatisierten Verarbeitung von personenbezogenen Daten. In Art. Nr. 4 der Datenschutzgrundverordnung ist dies wie folgt definiert:
„„Profiling“ [ist] jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen[…]“ (Quelle Art. Nr. 4 DS-GVO]
Ein Profiling im Sinne der Datenschutzgrundverordnung kann also nur dann vorliegen, wenn auch personenbezogene Daten verarbeitet werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Was ist eine „automatisierte Entscheidung“ im Zusammenhang mit Datenschutz?
Entscheiden ausschließlich Ergebnisse von Algorithmen darüber, ob zum Beispiel Anträge genehmigt werden, spricht man von automatisierten Entscheidungen. Wenn also keine Person an der Entscheidung beteiligt ist, egal ob zum Beispiel ein Antrag analog oder digital gestellt wurde, liegt eine automatisierte Entscheidung vor.
Die Betroffenenrechte im Datenschutz sagen aus, dass ein Betroffener nicht einer Entscheidung unterworfen werden darf, die ausschließlich auf einer automatisierten Entscheidung basiert.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Wann sind automatisierte Entscheidungen und Profiling nach DS-GVO erlaubt?
Die Datenschutz-Grundverordnung schließt dabei auch das Profiling in weiten Teilen mit ein. Das bedeutet, dass grundsätzlich erst einmal die Verarbeitung auf diese Art und Weise der Entscheidung nicht zulässig ist, außer „wenn die Entscheidung
-
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
-
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
-
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.“ (Quelle Art. 22 DS-GVO)
BLOG-TIPP: EINWILLIGUNG IM DATENSCHUTZ FÜR DIE RECHTMÄSSIGE VERARBEITUNG
Welche Vorgaben sind zu beachten?
Können automatisierte Entscheidungen nach den o.g. Vorgaben im Datenschutz eingesetzt werden, muss der Verantwortliche bestimmte Auswirkungen bei der Einhaltung des Datenschutzes beachten.
Wenn das Profiling nicht mit der automatisierten Entscheidung kombiniert wird, dann stellt der Datenschutz keine weiteren Auskunfts- und Informationspflichten über die gegebenen hinaus. Wird das Profiling mit der automatisierten Entscheidung kombiniert, muss der Verantwortliche die Informationspflichten entsprechend erweitern.
Dabei muss er z.B. angeben, welche Systeme eingesetzt werden und welche möglichen Auswirkungen diese Verarbeitung haben kann. Die Pflicht auf Transparenz muss gegeben sein, was zum Beispiel durch einen Text gegeben ist der allgemein die entsprechend genutzten Verfahren beschreibt.
Die automatisierte Entscheidung wird durch den Datenschutz und dessen gesetzliche Vorgaben im Einzelfall und nur unter hohen Anforderungen erlaubt. Wenn der Betroffene durch diese Art der Verarbeitung aber einen Nachteil hat (z.B. eine Entscheidung gegen ihn getroffen wird oder für ihn schlechter ausfällt – Beispiele Konditionen bei Verträgen, Krediten oder Zinsen) dann ist diese Verarbeitung verboten.
BLOG-TIPP: PRAXISTIPP DATENSCHUTZ – INFORMATIONSPFLICHTEN RICHTIG UMSETZEN
Beschäftigte unterrichten
Auch wenn automatisierte Entscheidungen im Nachgang durch einen Menschen geprüft werden, ist Vorsicht geboten, da aufgrund der automatisierten Verarbeitung der zuständige Mitarbeiter nicht die entsprechende Befugnis oder Grundlage zur Entscheidung hat.
Erlaubt sind automatisierte Entscheidungen im Einzelfall, zum Beispiel, wenn sie im Rahmen eines Vertragsverhältnisses, sonst. Rechtverhältnisses oder im berechtigten Interesse des Betroffenen stattfinden. Hierbei sollte der Verantwortliche in jedem Fall einen Fachmann wie den (externen) Datenschutzbeauftragten hinzuziehen.
Die beteiligten Mitarbeiter, die mit den entsprechenden Verarbeitungsprozessen zu tun haben, sollten daher auch regelmäßig über die Vorgaben im Datenschutz unterrichtet werden.
BLOG-TIPP: MITARBEITERSCHULUNGEN ALS NOTWENDIGE MASSNAHMEN IM DATENSCHUTZ
Datenschutz-Folgenabschätzung
Wann immer personenbezogene Daten in automatisierten Verfahren, sowie im Profiling verarbeitet werden, muss geprüft werden, ob eine Datenschutz-Folgenabschätzung durchgeführt werden sollte. Dafür ist auch der Verantwortliche verantwortlich.
BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG NACH DS-GVO
Datenschutzbeauftragten hinzuziehen – Profiling
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.