Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

Automatisierte Entscheidung / Profiling

Zu den Betroffenenrechten gehört nach Art. 22 DSGVO das Recht der betroffenen Person, nicht einer Entscheidung unterworfen zu sein, die ausschließlich auf einer automatisierten Verarbeitung beruht. Das schließt Profiling mit ein. Was heißt das für die Praxis?

➜ Hinweise für Datenschutzbeauftragte

Gratis
Klarna steht derzeit massiv in der Kritik. In der Berliner Datenschutzbehörde sind bereits mehrere Beschwerden über den Online-Bezahldienst aufgelaufen.
Bild: Chainarong Prasertthai / iStock / Getty Images Plus
Datenschutz beim online-Shopping

Kaufen Sie gerne online ein? Dann haben Sie sicher schon den Online-Bezahldienst Klarna genutzt. Der ist nun massiv in die Kritik geraten wegen seines Umgangs mit persönlichen Daten und seiner viel zu langen und unverständlichen Datenschutzerklärung.

Gratis
Die Mehrheit der EU-Parlamentarier stimmen klar für ein Verbot der automatischen Gesichtserkennung. Sie kämpfen für die Aufnahme im KI-Gesetz.
Bild: doble-d / iStock / Getty Images Plus
Datenschutz in Europa

Das Europaparlament lehnt biometrische Verfahren zur Massenüberwachung in der Öffentlichkeit ab und fordert ein Verbot der automatischen Gesichtserkennung. Die Abgeordneten stellen sich damit gegen die Position der EU-Kommission und der EU-Ratspräsidentschaft.

Gratis
Die Kreditauskunftei CRIF Bürgel missbraucht Adressdaten zur Berechnung der Kreditwürdigkeit Millionen Deutscher. Fast jeder ist betroffen!
Bild: invincible_bulldog / iStock / Getty Images Plus
Datenhandel

Die deutsche Kreditauskunftei CRIF Bürgel handelt rechtswidrig mit personenbezogenen Daten von Millionen Deutschen. Der Datenschutzverein none of your business (noyb) reichte deshalb am 18. Oktober 2021 Beschwerde gegen das Unternehmen und gegen den Adresshändler Acxiom ein.

Gratis
Verarbeitet TikTok Daten von Kindern und gibt diese nach China weiter? Irische Datenschutzbehörde leitet Untersuchungen ein. Tiktok streitet die Vorwürfe ab.
Bild: Sinenkiy / iStock / Getty Images Plus
Datenschutz & Soziale Medien

Hat das Videoportal TikTok Daten von Kindern verarbeitet und Kundendaten nach China weitergegeben? Diese Vorwürfe stehen schon seit längerer Zeit im Raum – nun hat die irische Data Protection Commission (DPC) Untersuchungen eingeleitet.

Gratis
Wie können online-Prüfungen an Hochschulen richtig abgehalten werden? Die neue Handreichnung des LfDI Baden-Württemberg setzt einen Standard.
Bild: nadia_bormotova / iStock / Getty Images Plus
Datenschutz an Universitäten und Hochschulen

Wie können Hochschulen ihre online-Prüfungen für Studierende so organisieren, dass sie den datenschutzrechtlichen Anforderungen genügen? Das erklärt die neue Handreichung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg.

Gratis
Ab 1. Dezember 2021 tritt das neue TTDSG in Kraft und somit gelten neue Regelungen für Coockies und PIMS.
Bild: peterschreiber.media / iStock / Getty Images Plus
TTDSG - Neue Regelungen für Cookies und PIMS

Wie kommen wir zu mehr Klarheit und Rechtsicherheit bei den Datenschutzbestimmungen im Telekommunikationsbereich? Was bedeutet das für Cookies und „Personal Information Management Services“ (PIMS)? Darüber diskutieren Politik und Verbände schon seit Langem – und nun steht das Ergebnis fest: Der Bundestag verabschiedete am 20. Mai 2021 das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG).

BDSG & DSGVO

Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem neuen Bundesdatenschutzgesetz. Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.

Gratis
Stefan Brink (LfDI BaWü) prüft ob die Online-Prüfungen datenschutzkonform umgesetzt werden. Er will die Rechte der Studierenden wahren.
Bild: Pheelings Media / iStock / Getty Images Plus
Datenschutz an Universitäten und Hochschulen

Wie können Universitäten und Hochschulen die Online-Prüfungen für Studierende während der Pandemie angemessen und datenschutzkonform durchführen? Das prüft aktuell der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) – und will die Rechte der Studierenden wahren.

Gratis
FLoC wird Third-Party-Cookies ersetzen - aber nicht das ONline-Tracking komplett
Bild: iStock.com / TarikVision
Personalisierte oder interessenbasierte Werbung

Google will keine alternativen Tracking-Verfahren einsetzen, wenn Browser keine Drittanbieter-Cookies mehr unterstützen. Diese Ankündigung hat in der Werbeindustrie und bei Datenschützern für Aufsehen gesorgt. Doch bedeutet sie wirklich das Ende der personalisierten Werbung und des Online-Trackings?

Gratis
Sichere Messengerdienste: Alternativen zu WhatsApp
Bild: HStocks / iStock Editorial / Getty Images Plus
Messengerdienste

Soll ich wegen des Zwangsupdates bei WhatsApp zu einem anderen Messengerdienst wechseln? Das fragen sich im Moment sehr viele Nutzer der weltweit beliebtesten Messenger-App. Bis Mitte Mai haben sie noch Zeit und können sich für eine der zahlreichen Alternativen entscheiden.

1 von 2

Voraussetzung für das Betroffenenrecht ist, dass die automatisierte Entscheidung bzw. das Profiling gegenüber der betroffenen Person eine rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.

Der Begriff „automatisierte Entscheidung“

Eine automatisierte Entscheidung im Einzelfall liegt vor, wenn ausschließlich die Ergebnisse eines Algorithmus darüber entscheiden, ob ein Antrag genehmigt oder abgelehnt ist, ohne dass ein Mensch das Resultat geprüft hat. Dabei ist es unerheblich, ob der Antrag online oder klassisch auf Papier erfolgt.

Die Datenschutz-Grundverordnung (DSGVO) weitet die automatisierte Entscheidung im Einzelfall auf das Profiling aus. So darf eine automatisierte Entscheidung im Einzelfall grundsätzlich auch nicht aufgrund eines Profilings erfolgen.

Allerdings kann Automatisierung durchaus Bestandteil einer Entscheidung sein. In diesem Fall muss der Verantwortliche die betroffene Person auf den Vorgang der Automatisierung aufmerksam machen. Und sie muss  Gelegenheit haben, zu der Entscheidung Stellung zu nehmen.

Der Begriff „Profiling“

Die DSGVO definiert Profiling wie folgt: „Profiling [ist] jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ (Art. 4 Nr. 4 DSGVO).

Profile erfordern das Vorhandensein von personenbezogenen oder personenbeziehbaren Daten. Ohne solche Daten kein Profiling. Die wichtigste Methode, Persönlichkeitsbilder in digitaler Form zu erstellen, ist das Scoring.

Profiling ohne das Element einer daran anknüpfenden automatisierten Entscheidungsfindung stellt keine gesonderten Anforderungen an die Auskunfts- oder Informationspflichten. Setzt das Profiling dagegen auf einer automatisierten Entscheidung auf, muss der Verantwortliche etwa über das eingesetzte Verfahren, die involvierte Logik und die möglichen Auswirkungen informieren.

Um die Transparenzpflicht beim Profiling zu erfüllen, genügt ein allgemeiner Text, der die eingesetzten Verfahren generell erläutert.

Gesetze und Vorschriften

Alle einschlägigen Datenschutzgesetze, angefangen bei der DSGVO, stellen sehr hohe Anforderungen an die Wirksamkeit automatisierter Entscheidungen im Einzelfall.

Sie alle verbieten derartige automatisierte Entscheidung, wenn sie dazu führen, dass ein Unternemen einen Antrag ablehnt oder ihn zwar bewilligt, die betroffene Person jedoch schlechtere Vertragsbedingungen oder Konditionen erhält. Das gilt beispielsweise für einen schlechteren Zinssatz.

Beispiele für automatisierte Entscheidungen

Jemand stellt online einen Antrag für eine Versicherung. Direkt nach dem Absenden des Antrags kommt die Mitteilung, dass die Versicherung den  Antrag aus nicht näher genannten Gründen ablehnen müsse.

Schon allein die sofortige Mitteilung legt den Verdacht nahe, dass kein Sachbearbeiter und keine Sachbearbeiterin den Antrag geprüft hat. Da hier von einer Schlechterstellung der Person auszugehen ist, wäre diese automatisierte Entscheidung ein Verstoß gegen die Vorgaben der DSGVO.

Ein Kreditantrag, den jemand online ausfüllt, wird direkt bewilligt. Auch hier ist davon auszugehen, dass allein der im Programm hinterlegte Algorithmus die Entscheidung getroffen hat. In diesem Fall liegt mutmaßlich keine Benachteiligung der Person, die den Antrag gestellt hat, vor.

Zu automatisierten Entscheidungen im Einzelfall zählen auch Fälle, in denen ein Mensch im Nachgang den Antrag formal bearbeitet. Doch besitzt dieser Mensch gar keine Befugnis oder ausreichende Datengrundlage, um von der automatisierten Entscheidung abzuweichen. So ist die persönliche Entscheidung nur vorgespiegelt.

Automatisierte Entscheidung im Einzelfall kann auch erlaubt sein

Zulässig sind automatisierte Entscheidungen, wenn sie im Rahmen eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergehen und dem Begehren der betroffenen Person stattgeben.

Ebenfalls erlaubt sind sie, wenn sie die berechtigten Interessen der betroffenen Person durch geeignete Maßnahmen gewährleisten. Außerdem muss der Verantwortliche der betroffenen Person mitteilen, dass eine automatisierte Entscheidung im Einzelfall vorliegt. Darüber hinaus muss er auf  Verlangen die wesentlichen Gründe dieser Entscheidung erläutern.

Hinweise für Datenschutzbeauftragte

Da automatisierte Entscheidungen im Einzelfall häufig auf Online-Portalen oder in Online-Shops stattfinden, sollten sich Datenschutzbeauftragte vergewissern, ob das eigene Unternehmen derartige Vertragsmöglichkeiten anbietet oder mit Profiling arbeitet.

Auch wenn beispielsweise ein Auftragnehmer im Sinne der Auftragsverarbeitung die Vertriebsfunktion übernimmt, sollten Datenschutzbeauftragte prüfen, ob es hierbei zu automatisierten Entscheidungen im Einzelfall kommt oder kommen kann.

Ist das der Fall, müssen Verantwortliche bei einer Ablehnung die Betroffenenrechte gemäß Art. 22 DSGVO wahren. Sie müssen insbesondere sicherstellen, dass bei einem negativen Bescheid stets ein Mensch die Entscheidung getroffen oder zumindest bestätigt hat.

Außerdem muss für Bearbeitende grundsätzlich die Möglichkeit bestehen, vom Entscheidungsvorschlag des Algorithmus abzuweichen. Ferner ist sicherzustellen, dass die betroffenen Personen, die von ihrem Recht auf Auskunft Gebrauch machen, erfahren, wie der logische Aufbau der automatisierten Verarbeitung der Daten aussieht, die sie betreffen.

Am besten ist es, sicherzustellen, dass betroffene Personen die Möglichkeit erhalten, ihren Standpunkt gegenüber dem Verantwortlichen geltend zu machen, der anschließend die Entscheidung erneut zu überprüfen hat.

Darüber hinaus sind Verantwortliche, die Verfahren zur automatisierten Einzelentscheidung einsetzen, verpflichtet, die betroffenen Personen über diese Tatsache zu informieren. Dies sollten Verantwortliche in geeigneter Weise dokumentieren.

Unterrichtung und Beratung der Beschäftigten:

Finden beim Verantwortlichen automatisierte Entscheidungen in den Prozessen statt, müssen die beschäftigten Personen, die an diesen Prozessen beteiligt sind, angemessen über die Bedeutung der automatisierten Entscheidung und der persönlichen Überprüfung unterwiesen sein.

Einhaltung der Datenschutzvorgaben überwachen:

Zuerst prüfen Datenschutzbeauftragte, ob beim Verantwortlichen überhaupt Verarbeitungstätigkeiten vorkommen, bei denen automatisierte Entscheidungen ablaufen.

Ist das der Fall, ist zu prüfen, ob die Bedingung erfüllt ist, dass immer noch einmal ein Mensch die Entscheidung überprüft. Sodann ist festzustellen, ob davon auszugehen ist, dass diese Entscheidung im Sinne der DSGVO unkritisch für die Rechte und Freiheiten betroffener Personen ist. Gegebenenfalls sind spezielle Schulungen nötig.

Beratung im Zusammenhang mit Datenschutz-Folgenabschätzung:

Prozesse, bei denen automatisierte Entscheidungen inklusive Profiling eine Rolle spielen, gehören von vornherein zu den Prozessen, bei denen Verantwortliche sehr genau prüfen müssen, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.

Die Verantwortung hierfür trägt der Verantwortliche. Die Erfahrung zeigt jedoch, dass Verantwortliche diese Aufgabe nicht immer präsent haben. Ein entsprechender Impuls durch den / die Datenschutzbeauftragte(n) kann hier sicherlich nicht schaden.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.