datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert

Automatische Einzelfallentscheidungen nach der DSGVO

/von

Um betroffene Personen vor fehlerhaften oder unangemessenen automatisierten Entscheidungen zu schützen hat der Gesetzgeber bereits im heutigen Bundesdatenschutzgesetz (BDSG) in § 6a diesbezügliche Regelungen dazu erlassen. Diese legen grob zusammengefasst fest, dass

  • automatisierte Einzelfallentscheidungen grundsätzlich zulässig sind;
  • für den Betroffenen positive Entscheidungen vollautomatisiert getroffen werden können;
  • bei für den Betroffenen negativen Entscheidungen sichergestellt sein muss, dass angemessene Maßnahmen getroffen wurden, dass diese automatisiert getroffene Entscheidung angemessen ist und den Betroffenen nicht unangemessen benachteiligt. Darüber hinaus bestehen Informationspflichten einschließlich der Pflicht zur Offenlegung, dass es sich um eine automatisierte Entscheidung handelt.

Regelungen auch in der DSGVO

Auch die zukünftige Gesetzgebung nach der EU Datenschutz-Grundverordnung (DSGVO) sieht eigene Regelungen zur automatisierten Einzelfallentscheidung vor. Diese finden sich in Art. 22 DSGVO. Die Formulierungen lesen sich – wenn auch etwas blumiger – durchaus ähnlich.

Ähnlich, aber nicht identisch

Der Teufel steckt hier allerdings im Detail, denn alte und neue Regelung sind nicht 100% identisch. Zwar dürfen negative Entscheidungen auch weiterhin eigentlich nicht vollautomatisiert, also ohne menschliche Mitwirkung getroffen werden, die Ausnahmetatbestände wurden jedoch erweitert:

  • Es ist keine Mitwirkung eines Menschen mehr nötig, sofern die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
  • Auch die (vorherige und ausreichend informierte) Einwilligung der betroffenen Person in die Verarbeitung macht die Mitwirkung eines Menschen an solchen Entscheidungen vollständig überflüssig.

Dabei ist zu beachten, dass die betroffenen Personen ihre Rechte erst im Nachgang geltend machen können. Der Verantwortliche hat den betroffenen Personen im Falle von negativen Entscheidungen ihre Rechte mitzuteilen. Hierzu gehören das Recht auf das Eingreifen einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.

Achtung, Öffnungsklausel!

Darüber hinaus können die Mitgliedsstaaten in nationalem Recht weitere Ausnahmetatbestände definieren, dazu später mehr.

Besondere Kategorien personenbezogener Daten

Neu ist auch, dass die Einbeziehung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) unter bestimmten Umständen zulässig ist. Konkret handelt es sich bei diesen Zulässigkeitstatbeständen um

  • die Einwilligung der betroffenen Person;
  • nationale gesetzliche Regelungen.

Nationale Regelung im BDSG-neu

Von der Möglichkeit durch nationales Recht weitere Zulässigkeitstatbestände zu definieren hat der deutsche Gesetzgeber in § 37 BDSG-neu Gebrauch gemacht. Dort werden speziell für die Versicherungswirtschaft Regelungen für die sogenannte “Dunkelverarbeitung”, also die automatische Verarbeitung von Vorgängen ohne jegliche menschliche Beteiligung, geschaffen. Im Detail wollen wir hier nicht auf diese Spartenregelung eingehen. Grob zusammengefasst wird die allgemein gegenüber dem bisherigen BDSG etwas aufgeweichte Regelung für die Versicherungswirtschaft wieder auf das alte Niveau mit den vollen Informationspflichten gehoben. Die Beteiligung eines Menschen an der Entscheidung, bzw. deren verpflichtende manuelle Überprüfung entfällt allerdings auch hier.

Des Weiteren wird für die Versicherungswirtschaft zumindest die Einbeziehung von Gesundheitsdaten (Art. 4 Abs. 15 DSGVO) erlaubt.

Darüber hinaus wird der betroffenen Person das Recht eingeräumt, einzugreifen. Was genau mit “eingreifen” gemeint ist, werden vermutlich die Gerichte klären müssen. Wir haben hier aktuell keine genaue Vorstellung.

Fazit

Zusammenfassend lässt sich sagen: Die zukünftigen Regelungen erlauben etwas mehr als die bisherigen. Ein akuter Handlungsbedarf besteht also nicht zwingend. Wer die Regelungen des heutigen BDSG umgesetzt hat, sollte die Anforderungen, die sich aus der DSGVO und dem BDSG-neu ergeben, ebenfalls erfüllen. Allerdings gibt es neue Spielräume, insbesondere für Versicherungsunternehmen, die genutzt werden können.

Möchten Sie die Automatisierung von Einzelfallentscheidungen in Ihrem Unternehmen vorantreiben? Rufen Sie uns an, wir unterstützen Sie dabei!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichEuGH kippt PrivacyShield – was ist jetzt zu tun?
meldung datenschutzbeauftragter aufsichtsbehördeDatenschutzbeauftragten bei Behörde richtig anmelden
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukEuGH kippt Safe Harbor
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaKosten für Kontrollen im Rahmen der Auftragsverarbeitung
datenpanne finnland psychotherapie ddg tdddgDatenpanne in Finnland – Psychotherapiedaten gehackt!
brexit datenschutzBrexit – weitere Möglichkeiten ohne Abkommen. Handeln Sie jetzt!