automatisierte Entscheidung
Automatisierte Entscheidungen beruhen auf einer automatischen Datenverarbeitung ohne menschliches Zutun. Beispiele für eine derartige Verarbeitung, die in der Datenschutz-Grundverordnung erwähnt sind, sind die automatische Ablehnung eines Online-Kreditantrags oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Solche automatisierten Entscheidungen sind gemäß der Datenschutz-Grundverordnung nur zulässig, wenn Verbraucher*innen einwilligen, wenn sie für eine Vertragserfüllung erforderlich sind oder wenn nationale Gesetze diese Entscheidungen erlauben. Betroffene können in diesen Fällen verlangen, dass eine Person beim Datenverarbeiter in die automatisierte Entscheidung eingreift. Verbraucher*innen haben zudem das Recht, ihren eigenen Standpunkt zur Entscheidungsfindung darzulegen und die automatisierte Entscheidung anzufechten.
Darüber hinaus sieht die Datenschutz-Grundverordnung vor, dass Betroffene über die „involvierte Logik“ und die Auswirkungen der automatisierten Entscheidung aufgeklärt werden müssen. Was genau unter dem Begriff „involvierte Logik“ zu verstehen ist, muss im Einzelnen erst noch im Wege gerichtlicher Entscheidungen geklärt werden. Eine Interpretation der Artikel-29-Arbeitsgruppe, des datenschutzrechtlichen Beratungsgremiums der EU, ist hier zu finden (PDF-Datei; Englisch). Demnach muss eine Erklärung der involvierten Logik keine Erläuterung komplexer Algorithmen sein, sondern eine einfach verständliche Kommunikation darüber, welche Kriterien für die automatisierte Entscheidung angelegt wurden. Zudem solle mit konkreten Beispielen darauf hingewiesen werden, welche Bedeutung eine automatisierte Entscheidung für Betroffene hat.
Eng verknüpft mit dem Begriff der automatisierten Entscheidungen sind Profiling und Scoring. Profiling ist die automatisierte Verarbeitung von personenbezogenen Daten, um bestimmte Vorhersagen über Personen zu treffen. Dazu gehören etwa die erwartete Arbeitsleistung, Aussagen über die erwartete Gesundheit oder zu persönlichen Vorlieben. Dies wird zum Beispiel oft in der Onlinewerbung genutzt, um personalisierte Anzeigen basierend auf den vermuteten Interessen oder Vorliegen zu platzieren.
Scoring ist eine spezielle Form des Profiling, die hauptsächlich im Zusammenhang mit dem Abschluss von Kredit- oder Versicherungsverträgen zum Einsatz kommt. Beim Kredit-Scoring wird beispielsweise aufgrund der Daten von Betroffenen errechnet, mit welcher Wahrscheinlichkeit sie gewährte Kredite zurückzahlen werden.
In Deutschland regelt das Bundesdatenschutzgesetz das Scoring. Die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten müssen auf einem wissenschaftlich anerkannten mathematisch-statistischen Verfahren beruhen und dürfen sich nicht ausschließlich auf Anschriftendaten von Betroffenen verlassen. Wenn Anschriftendaten genutzt werden, müssen Betroffene darüber informiert werden.
Artikel 22 DSGVO (Automatisierte Entscheidungen im Einzelfall einschließlich Profiling):
(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
(2) Absatz 1 gilt nicht, wenn die Entscheidung
a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
(3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
(4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
Quelle: Verordnung (EU) 2016/679 (siehe auch Erwägungsgrund 71)
Artikel 14 Absatz 2 DSGVO (Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden)
[der Verantwortliche stellt] der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
(…)
(g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Quelle: Verordnung (EU) 2016/679 (siehe auch Erwägungsgründe 60, 61 und 62)
§ 31 BDSG (Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften):
(1) Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist nur zulässig, wenn
1. die Vorschriften des Datenschutzrechts eingehalten wurden,
2. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt wurden und
4. im Fall der Nutzung von Anschriftendaten die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.
(2) Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person ist im Fall der Einbeziehung von Informationen über Forderungen nur zulässig, soweit die Voraussetzungen nach Absatz 1 vorliegen und nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind,
3. die der Schuldner ausdrücklich anerkannt hat,
4. bei denen
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat oder
5. deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
Die Zulässigkeit der Verarbeitung, einschließlich der Ermittlung von Wahrscheinlichkeitswerten, von anderen bonitätsrelevanten Daten nach allgemeinem Datenschutzrecht bleibt unberührt.
Quelle: Bundesdatenschutzgesetz
§ 37 BDSG (Automatisierte Entscheidungen im Einzelfall einschließlich Profiling):
(1) Das Recht gemäß Artikel 22 Absatz 1 der Verordnung (EU) 679/2016, keiner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht über die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 679/2016 genannten Ausnahmen hinaus nicht, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht und
1. dem Begehren der betroffenen Person stattgegeben wurde oder
2. die Entscheidung auf der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen beruht und der Verantwortliche für den Fall, dass dem Antrag nicht vollumfänglich stattgegeben wird, angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung zählt; der Verantwortliche informiert die betroffene Person über diese Rechte spätestens zum Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wird.
(2) Entscheidungen nach Absatz 1 dürfen auf der Verarbeitung von Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 679/2016 beruhen. 2Der Verantwortliche sieht angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person gemäß § 22 Absatz 2 Satz 2 vor.
Quelle: Bundesdatenschutzgesetz