Automatisierte Einzelentscheidungen
Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen können, dürfen gem. Art. 22 DSGVO nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dient. Ausnahmen sind in Art. 22 Abs. 2 DSGVO geregelt. Ergänzend dazu enthält § 37 BDSG weitere Ausnahmen im Zusammenhang mit der Leistungserbringung im Versicherungsvertrag.
Im Personalbereich können hierunter Verfahren fallen, die Persönlichkeitsprofile erstellen und auswerten und automatisiert ohne Eingriff und Entscheidung durch eine natürliche Person Entscheidungen generieren oder einzelne Persönlichkeitsmerkmale (z. B. Verhalten, berufliche Leistungsfähigkeit oder Zuverlässigkeit einer Person) automatisiert bewerten und gestützt auf diese Bewertungen in einem automatischen Prozess Entscheidungen über den Betroffenen fällen.
Eine Rechtsfolge wäre beispielsweise eine Abmahnung oder eine Bewerberauswahl, eine erhebliche Beeinträchtigung würde z. B. vorliegen, wenn der Betroffene etwa aufgrund einer automatisierten Bewertung und einer damit verbundenen Einstufung Nachteile erfahren würde, wie beispielsweise bei einem automatisierten Personalauswahlprozess.
Es muss sich um eine automatisierte Entscheidung in einem Einzelfall handeln. Massenverarbeitungsprozesse oder Verfahren, die Personaldaten nach gesetzlichen, tariflichen oder mit dem Betroffenen vereinbarten oder ihm bekannten Regeln verarbeiten (z. B. ein Lohn- und Gehaltsabrechnungsverfahren), fallen deshalb nicht darunter. Ebenfalls nicht darunter fallen Verfahren, die lediglich eine Berechtigung prüfen, wie z. B. Zutrittskontrollsysteme oder sonstige Verfahren zur Sicherheitskontrolle.
Damit beschränkt sich die Anwendung des Art. 22 DSGVO auf solche Verfahren, die anstelle einer mit einem Handlungsermessen und Entscheidungsspielraum ausgestatteten natürlichen Person automatisiert Personalentscheidungen treffen. Dazu gehören insbesondere Verfahren zur Bildung von Persönlichkeitsprofilen zur Personal- oder Bewerberauswahl, z. B. im E-Recruiting. Voraussetzung für die Anwendbarkeit des Art. 22 DSGVO ist ferner, dass die Computerentscheidung abschließend ist.
Werden lediglich Entscheidungsgrundlagen gewonnen oder eine Vorauswahl oder Vorentscheidung getroffen, die noch in eine von einem Menschen endgültig zu treffende Entscheidung zur Person des Betroffenen einfließt, handelt es sich nicht um eine automatisierte Entscheidung.
Automatisierte Einzelentscheidungen sind, soweit keine ausdrückliche Einwilligung der betroffenen Person vorliegt, ausnahmsweise zulässig, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten.
Der Verantwortliche hat angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Aus Praktikabilitätsgründen sollte dem Betroffenen für die Darlegung seines Standpunktes eine angemessene Frist gesetzt werden. Die Frist sollte dem Betroffenen nicht zu kurz gesetzt werden, um sich nicht der Vorhaltung auszusetzen, durch eine zu kurze Frist das Vorbringen seines Standpunktes erschwert oder unmöglich gemacht zu haben. Dieser Vorwurf könnte dazu führen, dass wegen einer zu kurzen Frist eine an sich richtige Entscheidung anfechtbar werden könnte.
Ob der Betroffene seinen Standpunkt vorbringen will oder nicht, liegt in seinem eigenen Ermessen. Bringt er seinen Standpunkt nicht innerhalb einer angemessenen Frist vor, verbleibt es bei der automatisiert gewonnenen Entscheidung. Wenn der Einwand nicht berechtigt ist, ist die Entscheidung in der automatisiert getroffenen Form zulässig. Das Ergebnis ist dem Betroffenen mit den Entscheidungsgründen mitzuteilen.
Automatisierte Entscheidungen dürfen, abgesehen von Fällen des Art. 9 Abs. 2 lit. a DSGVO (Verarbeitung aufgrund einer ausdrücklichen Einwilligung) oder Art. 9 Abs. 2 lit. g DSGVO (Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats (…) aus Gründen eines erheblichen öffentlichen Interesses) nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen.
Der nachfolgende Prozess zeigt die Regelungen zu automatisierten Entscheidungen im Überblick.
Fachthema weiterlesen
Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.
Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:
- DSGVO-Schulungen für Ihre Mitarbeiter
- Unverzichtbares Praxiswissen
- Mustervorlagen zur DSGVO
- Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.