So weisen Sie die Einhaltung von Artikel 22 der DSGVO nach

DSGVO-Compliance-Software

Live-Demo buchen

geschäft,team,treffen.,foto,professionelle,investor,arbeiten,neu,start,up

DSGVO Artikel 22 befasst sich mit einem Konzept namens „Datenprofilierung“ – im Wesentlichen einer Methode zur Profilierung der Persönlichkeit einer Person allein durch automatisierte Datenanalyse, die die Chance hat, sie rechtlich oder finanziell zu beeinflussen (z. B. Kreditwürdigkeitsprüfung und Hypothekenanträge).

Gemäß Artikel 22 haben Einzelpersonen das Recht, nicht auf diese Weise profiliert zu werden, es sei denn, dies wurde ausdrücklich in einem Vertrag zwischen der betroffenen Person und der Organisation, die das Profiling durchführt, vereinbart.

DSGVO Artikel 22 Gesetzestext

EU-DSGVO-Version

Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling

  1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
  2. Absatz 1 findet keine Anwendung, wenn die Entscheidung:
    • ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem für die Verarbeitung Verantwortlichen erforderlich;
    • aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften außerdem geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsehen; oder
    • beruht auf der ausdrücklichen Einwilligung der betroffenen Person.

  3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der für die Verarbeitung Verantwortliche geeignete Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, zumindest das Recht auf menschliches Eingreifen seitens der betroffenen Person Verantwortlichen die Möglichkeit, seinen Standpunkt darzulegen und die Entscheidung anzufechten.
  4. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, es sei denn, Artikel 9 Absatz 2 Buchstabe a oder g findet Anwendung und geeignete Maßnahmen zum Schutz der Rechte der betroffenen Person und Freiheiten und berechtigte Interessen bestehen.

Britische DSGVO-Version

Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling

  1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
  2. Absatz 1 findet keine Anwendung, wenn die Entscheidung:
    • ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem für die Verarbeitung Verantwortlichen erforderlich;
    • nach innerstaatlichem Recht erforderlich oder zulässig ist, das auch geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht; oder
    • beruht auf der ausdrücklichen Einwilligung der betroffenen Person.

  3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der für die Verarbeitung Verantwortliche geeignete Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, zumindest das Recht auf menschliches Eingreifen seitens der betroffenen Person Verantwortlichen die Möglichkeit, seinen Standpunkt darzulegen und die Entscheidung anzufechten.
    • 3A. Abschnitt 14 des Gesetzes von 2018 und die darin enthaltenen Vorschriften sehen Bestimmungen zum Schutz der Rechte, Freiheiten und berechtigten Interessen betroffener Personen in Fällen vor, die unter Absatz 2 Buchstabe b fallen (jedoch nicht unter Buchstabe a oder c). dieses Absatzes).

  4. (4) Entscheidungen gemäß Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 beruhen, es sei denn, Artikel 9 Absatz 2 Buchstabe a oder g findet Anwendung und geeignete Maßnahmen zum Schutz der Daten Die Rechte und Freiheiten sowie die berechtigten Interessen des Betroffenen sind gegeben.
Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

Technischer Kommentar

Geltungsbereich

Im Allgemeinen ist Artikel 22 nicht relevant, wenn Entscheidungen mehrere betroffene Personen oder Gruppen von Personen betreffen, die durch bestimmte Variablen verbunden sind – z. B. Alter, Geschlecht, Standort.

Stattdessen konzentriert sich das Gesetz auf das Recht des Einzelnen – also einer Person –, nicht ohne deren Zustimmung einem Profiling unterzogen zu werden.

Was ist eine „Entscheidung“?

Obwohl Entscheidungen das Hauptthema sind, sind sie eine Art Grauzone. Im Gesetz ist unklar, was eine Entscheidung darstellt. Dabei kann es sich um eine Entscheidung einer Regierungsbehörde oder um etwas leichter Erkennbares handeln, beispielsweise um eine Bonitätsbewertung oder Maßnahmen, die im Zusammenhang mit einem Hypothekenantrag ergriffen wurden.

Um die Sache noch unklarer zu machen: Entscheidungen können auch eine Einstellung oder Meinung gegenüber einer betroffenen Person auf der Grundlage ihrer Daten darstellen, allerdings nur, wenn die Wahrscheinlichkeit besteht, dass darauf reagiert wird.

Rechtswirkungen

Eine „Rechtswirkung“ ist eine verbindliche Handlung gegenüber einer Person. Entscheidungen sind Szenarien wie ein Leistungsanspruch, eine Steuererklärung oder eine Gesundheitsbeurteilung.

Während einige oder alle davon den grundlegenden rechtlichen Status einer Person möglicherweise nicht konkret verändern, können sie dennoch tiefgreifende Auswirkungen auf das Leben dieser Person haben, einschließlich:

  • die Umstände oder Wahlmöglichkeiten einer Person ändern;
  • hat im Laufe seines Lebens eine anhaltende Wirkung auf eine Person;
  • (unter bestimmten Umständen) zu Diskriminierung oder ungerechten Handlungen gegenüber jemandem führen.

ISO 27701 Abschnitt 7.2.2 und EU-DSGVO Artikel 22

In diesem Abschnitt sprechen wir über die Artikel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) der DSGVO.

Ermittlung einer rechtmäßigen Grundlage

Um eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu schaffen, sollten Organisationen ihre Handlungen dokumentieren und:

  1. Zustimmung einholen;
  2. einen Vertrag entwerfen oder Kontakte knüpfen;
  3. alle anderen gesetzlichen Verpflichtungen einhalten;
  4. die „lebenswichtigen Interessen“ der Personen und Gruppen schützen, über die sie Daten besitzen;
  5. Stellen Sie sicher, dass sie im öffentlichen Interesse handeln und ein berechtigtes Interesse darstellen.

Organisationen müssen in ihrem Datenklassifizierungsschema auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ihre Organisation beziehen (siehe ISO 27701 Abschnitt 7.2.8) (Klassifizierungen können von Region zu Region unterschiedlich sein).

Wenn Organisationen Änderungen an ihren zugrunde liegenden Gründen für die Verarbeitung personenbezogener Daten feststellen, sollte sich dies unverzüglich in ihrer dokumentierten Rechtsgrundlage widerspiegeln.

Unterstützende ISO 27701-Klauseln

  • ISO 27701 7.2.8

ISO 27701 Abschnitt 7.3.10 und EU-DSGVO Artikel 22

In diesem Abschnitt sprechen wir über die DSGVO Artikel 22 (1) und 22 (3)

Automatisierte Entscheidungsfindung

Organisationen sollten bei der automatisierten Entscheidungsfindung in Bezug auf personenbezogene Daten die Unterschiede in der Rechtsprechung berücksichtigen.

Organisationen sollten das Recht des Einzelnen respektieren, Einspruch zu erheben und menschliches Eingreifen anstelle automatisierter Verfahren zu fordern.

Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln

DSGVO-ArtikelISO 27701-KlauselUnterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)ISO 27701 7.2.2ISO 27701 7.2.8
EU-DSGVO Artikel 22 (1) und 22 (3)ISO 27701 7.3.10Keine

Wie ISMS.online hilft

Durch das Hinzufügen eines PIMS zu Ihrem ISMS auf der ISMS.online-Plattform bleibt Ihr Sicherheitsstatus an einem Ort und Sie vermeiden Doppelarbeit, wenn sich die Standards überschneiden.

Da Ihr PIMS für interessierte Parteien sofort zugänglich ist, war es noch nie so einfach, mit einem Klick sowohl die ISO 27701 als auch die ISO 27001 zu überwachen, zu berichten und zu prüfen.

Finden Sie heraus, wie viel Zeit und Geld Sie auf Ihrem Weg zu einer kombinierten ISO 27701- und ISO 27001-Zertifizierung mit ISMS.online von sparen eine Demo buchen.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.