Art. 22 DSGVO: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
| veröffentlicht am |
27.04.2024 |
|---|---|
| Änderung | Die GRA wurde um Hinweise zum § 31a SGB X ergänzt. |
| Stand | 18.04.2024 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 005.00 |
- Inhalt der Regelung
- Entscheidung aufgrund einer ausschließlich automatisierten Verarbeitung einschließlich Profiling (Absatz 1)
- Ausnahmen (Absatz 2)
- Angemessene Schutzmaßnahmen des Verantwortlichen (Absatz 3)
- Besondere Kategorien personenbezogener Daten (Absatz 4)
Inhalt der Regelung
Art. 22 DSGVO schützt die betroffene Person davor, dass eine sie betreffende Entscheidung mit rechtlichen Auswirkungen ausschließlich auf einer automatisierten, maschinellen Verarbeitung ohne jegliches menschliches Eingreifen beruht.
Die Norm soll verhindern, dass eine natürliche Person zum Objekt einer ausschließlich automatisiert ablaufenden Verarbeitung wird, in der persönliche Aspekte bewertet werden und im Anschluss für die Person rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Der Verordnungsgeber sieht hier ein besonders hohes Risiko- und Gefährdungspotential.
Die betroffene Person soll nur in Ausnahmesituationen und unter der Beachtung angemessener Schutzmaßnahmen solchen, als hoch bewerteten Verarbeitungsrisiken ausgesetzt werden dürfen.
Ergänzende/korrespondierende Regelungen
Art. 4 DSGVO regelt grundsätzliche Begrifflichkeiten, so zum Beispiel Verarbeitung (Art. 4 Nr. 2 DSGVO) und Profiling (Art. 4 Nr. 4 DSGVO).
Art. 9 Abs. 1 DSGVO in Verbindung mit Art. 4 Nr. 13 bis 15 DSGVO definiert den Begriff der besonderen personenbezogenen Daten.
Art. 12 DSGVO regelt Modalitäten bezüglich der Information der betroffenen Person.
Art. 13 Abs. 2 Buchst. f DSGVO und Art. 14 Abs. 2 Buchst. g DSGVO beinhalten Informationspflichten für den Verantwortlichen im Fall einer automatisierten Entscheidungsfindung.
Art. 15 Abs. 1 Buchst. h DSGVO regelt das korrespondierende Auskunftsrecht der betroffenen Person.
Gemäß Art. 35 DSGVO ist im Fall einer Datenverarbeitung, die auf eine automatisierte Entscheidungsfindung abzielt, eine Datenschutz-Folgenabschätzung erforderlich.
Art. 47 Abs. 2 Buchst. e DSGVO legt fest, dass die verbindlichen internen Datenschutzvorschriften (vergleiche Art. 4 Nr. 20 DSGVO) auch Angaben zu den Rechten der betroffenen Person nach Art. 22 DSGVO enthalten müssen.
Gemäß Art. 70 Abs. 1 Buchst. f DSGVO hat der Europäische Datenschutzausschuss (vergleiche Art. 68 DSGVO) Leitlinien, Empfehlungen und bewährte Verfahren zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen bereitzustellen.
Weitere Erläuterungen und Auslegungshilfen finden sich im ErwG 71 DSGVO.
Nach § 31a SGB X können Verwaltungsakte im Geltungsbereich des Sozialgesetzbuches vollständig durch automatisierte Einrichtungen erlassen werden, wenn kein Anlass besteht, den Einzelfall durch einen Amtsträger zu bearbeiten.
Entscheidung aufgrund einer ausschließlich automatisierten Verarbeitung einschließlich Profiling (Absatz 1)
Die betroffene Person soll ausdrücklich nur vor den Entscheidungen geschützt werden, die auf einer ausschließlich automatisierten Datenverarbeitung einschließlich Profiling beruhen, wenn diese ihr gegenüber rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.
Die Bewertung von persönlichen Aspekten, die zu einer Entscheidung führen, lässt sich als „Profiling“ bezeichnen (vergleiche Art. 4 Nr. 4 DSGVO). Profiling ist insofern nur ein (Teil-)Prozess der Datenverarbeitung, der den allgemeinen Datenschutzgrundsätzen nach Art. 5 DSGVO unterliegt und dessen Rechtmäßigkeit nach Art. 6 DSGVO oder Art. 9 DSGVO betrachtet werden muss.
Die Rechtmäßigkeit der Datenverarbeitung beziehungsweise die Profilbildung selbst wird somit nicht von Art. 22 DSGVO reglementiert. Sie ist weiterhin nach Art. 6 DSGVO oder Art. 9 DSGVO zu bestimmen. Art. 22 DSGVO regelt somit lediglich die Nutzung der Ergebnisse aus einer automatisierten Datenverarbeitung.
Eine automatisierte Entscheidung liegt vor, wenn maschinell verarbeitete Daten unmittelbar zu einer computergestützten, das heißt durch Datenverarbeitungsanlagen getroffenen Entscheidung führen, die einer auch nur teilweisen Bewertung oder Mitbestimmung durch eine natürliche Person entzogen ist.
Automatisierte Verarbeitung mit anschließender Entscheidung einer natürlichen Person
Werden Daten maschinell gesammelt und ausgewertet und bilden im Anschluss nur die Grundlage für eine von einer natürlichen Person zu treffenden Entscheidung, liegt keine ausschließlich auf einer automatisierten Verarbeitung basierende Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO vor. Dies ist zum Beispiel der Fall, wenn Bewerberdaten in einem Programm gelistet und ein Ranking nach definierten Kriterien erstellt wird, anhand dessen dann eine natürliche Person über die in Betracht kommenden Bewerber entscheidet.
Die Bonitätsauskünfte einer Auskunftei sind einzeln betrachtet ebenfalls keine automatisierten Entscheidungen im Sinne von Art. 22 Abs. 1 DSGVO. Hier trifft nicht die Auskunftei, sondern der Auskunftsempfänger im Anschluss die Entscheidung auf Basis der gelieferten Daten.
Voraussetzung für das fehlende Vorliegen der automatisierten Entscheidungsfindung in diesen Fällen ist, dass die natürliche Person auch mit den entsprechenden Entscheidungskompetenzen ausgestattet ist.
Automatisierte Verarbeitung ohne anschließende Entscheidung
Das bloße Berechnen von Wahrscheinlichkeiten oder die Ergebnisse einer Suchmaschine sind keine Entscheidungen im Sinne von Art. 22 DSGVO, solange dort kein abschließender Akt mit direkten rechtlichen Wirkungen für die betroffene Person vorliegt.
Auch einfache „Wenn-Dann-Entscheidungen“ stehen nicht in Verbindung mit dem Schutzzweck von Art. 22 DSGVO. So ist zum Beispiel die Zuteilung eines Parkplatzes nach festen Regeln oder die Gewährung gewisser Kostenzuschüsse für Beschäftigte keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO.
Mit der betroffenen Person vereinbarte automatisierte Verarbeitungen
Laut Art. 22 Abs. 1 DSGVO darf eine betroffene Person einer auf ausschließlich automatisierte Verarbeitung beruhenden Entscheidung nicht unterworfen werden. Dies wäre der Fall, wenn die Bedingungen und Regeln für die Entscheidung einseitig festgelegt werden und nicht von der betroffenen Person beeinflussbar sind.
Werden die Bedingungen und Regelungen aber durch (Kollektiv-)Vereinbarungen festgelegt, ist die Verarbeitung zulässig. Ein Beispiel dafür sind Abhebungen am Geldautomaten. Hier werden die Daten zwar automatisiert verarbeitet, jedoch erfolgt lediglich eine Überprüfung des Kontos. Im Rahmen der vorher mit der Bank getroffenen Vereinbarung ergibt sich daraus die zwingende Folge der (Nicht-)Auszahlung. Hier liegt keine Entscheidung im Sinne von Art. 22 Abs. 1 DSGVO vor. Auch für die Abrechnung von Gehalt oder Zuschüssen gilt Ähnliches. Hier bilden vorher getroffene (Kollektiv-)Vereinbarungen die Grundlage für die Berechnung von Zahlungen.
Rechtliche Wirkung und erhebliche Beeinträchtigung
Die Entscheidung aufgrund einer ausschließlich automatisierten Verarbeitung muss für die betroffene Person „rechtliche Wirkung entfalten“ oder sie „in ähnlicher Weise erheblich beeinträchtigen“. Von einer erheblichen Beeinträchtigung kann ausgegangen werden, wenn die betroffene Person durch diese Entscheidung in ihrer wirtschaftlichen oder persönlichen Entfaltung nachhaltig gestört wird. Dies impliziert, dass vollständig begünstigende Entscheidungen nicht von Art. 22 DSGVO erfasst sind.
Wird nach einer ausschließlich automatisierten Verarbeitung etwa ein Vertrag nur zu bestimmten Konditionen angeboten, ist damit keine Rechtsfolge verbunden und Art. 22 DSGVO ebenfalls nicht einschlägig. Auch die Gewährung bestimmter Zahlverfahren, um das Risiko für den Händler zu minimieren, wird möglicherweise als unbequem empfunden, stellt aber keine erhebliche Beeinträchtigung dar.
Wird hingegen ein Online-Kreditantrag automatisch aufgrund der ausschließlich maschinellen Berechnungen abgelehnt, ist dies laut Erwägungsgrund 71 (ErwG 71 DSGVO) eine unter Art. 22 Abs. 1 DSGVO fallende Entscheidung.
Ausnahmen (Absatz 2)
Art. 22 Abs. 2 DSGVO listet abschließend die Fallkonstellationen auf, die das in Art. 22 Abs. 1 DSGVO genannte Verbot durchbrechen.
Erforderlichkeit für den Abschluss oder die Erfüllung eines Vertrages (Buchstabe a)
Die ausschließlich automatisierte Entscheidungsfindung ist demnach zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrages zwischen dem Verantwortlichen und der betroffenen Personen notwendig ist. Klassisches Beispiel ist hier wieder die Anbahnung eines Darlehensvertrages: Die maximale Darlehenshöhe, Bonität, Höhe der Raten und Zins dürfen mithilfe automatisierter Verarbeitungen berechnet werden.
Rechtsvorschriften in den Mitgliedstaaten – Öffnungsklausel (Buchstabe b)
Nach der Öffnungsklausel können ausschließlich automatisierte Entscheidungen auch aufgrund von Rechtsvorschriften der Mitgliedstaaten zulässig sein, soweit diese die besonderen Anforderungen der DSGVO erfüllen.
Der deutsche Gesetzgeber hat hiervon mit § 37 BDSG Gebrauch gemacht. Dieser bezieht sich auf automatisierte Entscheidungen im Rahmen der Leistungserbringung nach einem Versicherungsvertrag.
Mit § 31a SGB X hat der nationale Gesetzgeber ebenfalls eine Ausnahme geschaffen. Danach können Verwaltungsakte vollständig durch automatisierte Entscheidungen erlassen werden, sofern im Einzelfall der Verwaltung weder ein Beurteilungsspielraum noch ein Ermessen zusteht.
Der Einfluss des Menschen beschränkt sich in den Fällen der automatisierten Entscheidungsfindung darauf, im Vorfeld den Entscheidungsprozess durch einen Algorithmus zu programmieren.
Beispiel 1:
Eine Versicherte stellt einen Antrag auf Regelaltersrente. Der Antrag R100 enthält ausschließlich Angaben zum Zahlungsweg und zum Rentenbeginn. Es werden keine weiteren rentenrechtlichen Sachverhalte geltend gemacht . Das Versicherungskonto ist geklärt. Die Daten zum Rentenbeginn und zum Zahlungsweg können direkt maschinell aus dem Antragsformular ausgelesen werden. Der Rentenbescheid kann somit direkt ohne Einschaltung der Sachbearbeitung automatisiert erlassen werden.
Beispiel 2:
Eine Versicherte stellt einen Antrag auf Regelaltersrente. Der Antrag R100 enthält neben Angaben zum Zahlungsweg und zum Rentenbeginn auch Angaben zu weiteren rentenrechtlichen Sachverhalten. Dieser Antrag muss aus dem automatisierten Verfahren ausgesteuert und der Sachbearbeitung als Einzelfall vorgelegt werden. Nach Klärung der weiteren rentenrechtlichen Sachverhalte könnte der Antrag wieder in die automatisierte Bearbeitung zurückgeführt und der Bescheid automatisiert erlassen werden.
Die Rentenversicherungsträger erlassen schon seit Jahren automatisierte Verwaltungsakte. So werden die von der Deutschen Post AG gemäß § 119 Abs. 2 SGB VI im Namen der Träger der Rentenversicherung versandten Anpassungsmitteilungen nunmehr von der klarstellenden Regelung des § 31a SGB X erfasst. Auch Feststellungsbescheide über rentenrechtliche Zeiten, die ohne Tätigwerden der Sachbearbeitung erlassen werden, weil der Versicherte nach maschineller Versendung eines Versicherungsverlaufs nicht innerhalb von sechs Monaten dessen Inhalt widersprochen hat (vergleiche § 149 Abs. 5 S. 1 SGB VI), sind Verwaltungsakte im Sinne des § 31a SGB X.
Einwilligung (Buchstabe c)
Art. 22 Abs. 1 DSGVO findet keine Anwendung, wenn die betroffene Person ihre Einwilligung (vergleiche Art. 4 Nr. 11 DSGVO) in die Entscheidung aufgrund ausschließlich automatisierter Verarbeitung erteilt hat. Dabei sind die Anforderungen an eine Einwilligung gemäß Art. 7 DSGVO zu beachten. Insbesondere ist die betroffene Person hier gem. Art. 13 Abs. 2 Buchst. f DSGVO über die verwendete Entscheidungslogik und Tragweite der automatisierten Entscheidungen zu informieren.
Angemessene Schutzmaßnahmen des Verantwortlichen (Absatz 3)
Wenn die ausschließlich automatisierte Entscheidung im Einzelfall aufgrund der Ausnahmen des Art. 22 Abs. 2 Buchst. a und Buchst. c DSGVO gestattet ist, so hat der Verantwortliche Vorkehrungen zu treffen, die der betroffenen Person die Möglichkeit einräumen, auf die Entscheidungen korrigierend einzuwirken.
Dies kann zum Beispiel dadurch geschehen, dass die betroffene Person über die ausschließlich automatisierte Entscheidung, deren zugrunde liegende Logik und deren Folgen informiert und das Erwirken des Eingreifens einer natürlichen Person ermöglicht wird. Diese Information sollte nicht erst „auf Antrag“ der betroffenen Person erfolgen, sondern im Verfahren verankert sein. Sollte die ausschließlich automatisiert herbeigeführte Entscheidung auch nach Überprüfung durch eine natürliche Person bestehen bleiben, so bleibt diese auch bis zu etwaigen Sanktionierung (gemäß Art. 83 Abs. 5 Buchst. b DSGVO) wirksam.
Im Bereich der Personaldatenverarbeitung ist hier das Verfahren der automatisierten Entscheidungsfindung der Mitbestimmung des Betriebsrates zu unterwerfen.
Art. 22 Abs. 3 DSGVO definiert Rechte der betroffenen Person, die die allgemeinen Rechte ab Art. 12 DSGVO ergänzen.
Art. 15 Abs. 1 Buchst. g DSGVO verpflichtet den Verantwortlichen, betroffene Personen zumindestens in den Fällen des Art. 22 Abs. 1 und 4 DSGVO über die involvierte Logik sowie die Tragweite und die Auswirkungen der automatisierten Entscheidung zu informieren.
Das Recht auf Berichtigung der Daten gem. Art. 16 DSGVO besteht nur, wenn die der automatisierten Entscheidung zugrunde liegenden Daten unrichtig sind.
Besondere Kategorien personenbezogener Daten (Absatz 4)
Laut Art. 22 Abs. 4 DSGVO sind Entscheidungen, die auf einer ausschließlich automatisierten Verarbeitung besonderer Kategorien personenbezogener Daten (vergleiche Art. 9 Abs. 1 DSGVO in Verbindung mit Art. 4 Nr. 13 bis 15 DSGVO) beruhen, grundsätzlich verboten. Auch hier gelten jedoch die Ausnahmen aus Art. 22 Abs. 2 Buchst. b DSGVO und Art. 22 Abs. 2 Buchst. c DSGVO in Verbindung mit Art. 9 Abs. 2 Buchst. a DSGVO und Art. 9 Abs. 2 Buchst. g DSGVO.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.