datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselung

Automatische Einzelfallentscheidungen nach der DSGVO

/von

Um betroffene Personen vor fehlerhaften oder unangemessenen automatisierten Entscheidungen zu schützen hat der Gesetzgeber bereits im heutigen Bundesdatenschutzgesetz (BDSG) in § 6a diesbezügliche Regelungen dazu erlassen. Diese legen grob zusammengefasst fest, dass

  • automatisierte Einzelfallentscheidungen grundsätzlich zulässig sind;
  • für den Betroffenen positive Entscheidungen vollautomatisiert getroffen werden können;
  • bei für den Betroffenen negativen Entscheidungen sichergestellt sein muss, dass angemessene Maßnahmen getroffen wurden, dass diese automatisiert getroffene Entscheidung angemessen ist und den Betroffenen nicht unangemessen benachteiligt. Darüber hinaus bestehen Informationspflichten einschließlich der Pflicht zur Offenlegung, dass es sich um eine automatisierte Entscheidung handelt.

Regelungen auch in der DSGVO

Auch die zukünftige Gesetzgebung nach der EU Datenschutz-Grundverordnung (DSGVO) sieht eigene Regelungen zur automatisierten Einzelfallentscheidung vor. Diese finden sich in Art. 22 DSGVO. Die Formulierungen lesen sich – wenn auch etwas blumiger – durchaus ähnlich.

Ähnlich, aber nicht identisch

Der Teufel steckt hier allerdings im Detail, denn alte und neue Regelung sind nicht 100% identisch. Zwar dürfen negative Entscheidungen auch weiterhin eigentlich nicht vollautomatisiert, also ohne menschliche Mitwirkung getroffen werden, die Ausnahmetatbestände wurden jedoch erweitert:

  • Es ist keine Mitwirkung eines Menschen mehr nötig, sofern die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
  • Auch die (vorherige und ausreichend informierte) Einwilligung der betroffenen Person in die Verarbeitung macht die Mitwirkung eines Menschen an solchen Entscheidungen vollständig überflüssig.

Dabei ist zu beachten, dass die betroffenen Personen ihre Rechte erst im Nachgang geltend machen können. Der Verantwortliche hat den betroffenen Personen im Falle von negativen Entscheidungen ihre Rechte mitzuteilen. Hierzu gehören das Recht auf das Eingreifen einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.

Achtung, Öffnungsklausel!

Darüber hinaus können die Mitgliedsstaaten in nationalem Recht weitere Ausnahmetatbestände definieren, dazu später mehr.

Besondere Kategorien personenbezogener Daten

Neu ist auch, dass die Einbeziehung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) unter bestimmten Umständen zulässig ist. Konkret handelt es sich bei diesen Zulässigkeitstatbeständen um

  • die Einwilligung der betroffenen Person;
  • nationale gesetzliche Regelungen.

Nationale Regelung im BDSG-neu

Von der Möglichkeit durch nationales Recht weitere Zulässigkeitstatbestände zu definieren hat der deutsche Gesetzgeber in § 37 BDSG-neu Gebrauch gemacht. Dort werden speziell für die Versicherungswirtschaft Regelungen für die sogenannte „Dunkelverarbeitung“, also die automatische Verarbeitung von Vorgängen ohne jegliche menschliche Beteiligung, geschaffen. Im Detail wollen wir hier nicht auf diese Spartenregelung eingehen. Grob zusammengefasst wird die allgemein gegenüber dem bisherigen BDSG etwas aufgeweichte Regelung für die Versicherungswirtschaft wieder auf das alte Niveau mit den vollen Informationspflichten gehoben. Die Beteiligung eines Menschen an der Entscheidung, bzw. deren verpflichtende manuelle Überprüfung entfällt allerdings auch hier.

Des Weiteren wird für die Versicherungswirtschaft zumindest die Einbeziehung von Gesundheitsdaten (Art. 4 Abs. 15 DSGVO) erlaubt.

Darüber hinaus wird der betroffenen Person das Recht eingeräumt, einzugreifen. Was genau mit „eingreifen“ gemeint ist, werden vermutlich die Gerichte klären müssen. Wir haben hier aktuell keine genaue Vorstellung.

Fazit

Zusammenfassend lässt sich sagen: Die zukünftigen Regelungen erlauben etwas mehr als die bisherigen. Ein akuter Handlungsbedarf besteht also nicht zwingend. Wer die Regelungen des heutigen BDSG umgesetzt hat, sollte die Anforderungen, die sich aus der DSGVO und dem BDSG-neu ergeben, ebenfalls erfüllen. Allerdings gibt es neue Spielräume, insbesondere für Versicherungsunternehmen, die genutzt werden können.

Möchten Sie die Automatisierung von Einzelfallentscheidungen in Ihrem Unternehmen vorantreiben? Rufen Sie uns an, wir unterstützen Sie dabei!

Das könnte Sie auch interessieren
betriebliches Eingliederungsmanagement bem dienstleisterBEM – das betriebliche Eingliederungsmanagement
nudging cookie banner tracking edsa taskforceNudging Cookie-Banner – alles im grünen oder doch grauen, dunkelgrauen Bereich?
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotBundesarbeitsgericht lässt alte Videoaufzeichnungen als Beweismittel zu
auftragsverarbeitung vertrag informationspflichten ausnahmenWann gelten die Ausnahmen für die Informationspflichten?
cookies einwilligung nachweis consentmanagerCookies – Nachweisbarkeit der Einwilligung
bußgeld ermittlungen staatsanwaltschaft herausgabeWeitergabe personenbezogener Daten an Ermittlungsbehörden
Datenverarbeitung im Beschäftigungsverhältnis nach der DSGVObetriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoActive Sourcing und Datenschutz