DSGVO Artikel 22 verstehen: Ihre Rechte im Hinblick auf automatisierte Entscheidungsfindung
Datenschutz Artikel 22 befasst sich mit einem Konzept namens „Datenprofilierung“ – im Wesentlichen einer Methode zur Profilierung der Persönlichkeit einer Person allein durch automatisierte Datenanalyse, die die Chance hat, sie rechtlich oder finanziell zu beeinflussen (z. B. Kreditwürdigkeitsprüfung und Hypothekenanträge).
Gemäß Artikel 22 haben Einzelpersonen das Recht, nicht auf diese Weise profiliert zu werden, es sei denn, dies wurde ausdrücklich in einem Vertrag zwischen der betroffenen Person und der Organisation, die das Profiling durchführt, vereinbart.
DSGVO Artikel 22 Gesetzestext
EU-DSGVO-Version
Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling
- Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Absatz 1 findet keine Anwendung, wenn die Entscheidung:
- ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem für die Verarbeitung Verantwortlichen erforderlich;
- aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften außerdem geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsehen; oder
- beruht auf der ausdrücklichen Einwilligung der betroffenen Person.
- In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der für die Verarbeitung Verantwortliche geeignete Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, zumindest das Recht auf menschliches Eingreifen seitens der betroffenen Person Verantwortlichen die Möglichkeit, seinen Standpunkt darzulegen und die Entscheidung anzufechten.
- Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, es sei denn, Artikel 9 Absatz 2 Buchstabe a oder g findet Anwendung und geeignete Maßnahmen zum Schutz der Rechte der betroffenen Person und Freiheiten und berechtigte Interessen bestehen.
Britische DSGVO-Version
Automatisierte individuelle Entscheidungsfindung, einschließlich Profiling
- Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Absatz 1 findet keine Anwendung, wenn die Entscheidung:
- ist für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem für die Verarbeitung Verantwortlichen erforderlich;
- nach innerstaatlichem Recht erforderlich oder zulässig ist, das auch geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorsieht; oder
- beruht auf der ausdrücklichen Einwilligung der betroffenen Person.
- In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der für die Verarbeitung Verantwortliche geeignete Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, zumindest das Recht auf menschliches Eingreifen seitens der betroffenen Person Verantwortlichen die Möglichkeit, seinen Standpunkt darzulegen und die Entscheidung anzufechten.
- 3A. Abschnitt 14 des Gesetzes von 2018 und die darin enthaltenen Vorschriften sehen Bestimmungen zum Schutz der Rechte, Freiheiten und berechtigten Interessen betroffener Personen in Fällen vor, die unter Absatz 2 Buchstabe b fallen (jedoch nicht unter Buchstabe a oder c). dieses Absatzes).
- (4) Entscheidungen gemäß Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 beruhen, es sei denn, Artikel 9 Absatz 2 Buchstabe a oder g findet Anwendung und geeignete Maßnahmen zum Schutz der Daten Die Rechte und Freiheiten sowie die berechtigten Interessen des Betroffenen sind gegeben.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Technischer Kommentar
Geltungsbereich
Im Allgemeinen ist Artikel 22 nicht relevant, wenn Entscheidungen mehrere betroffene Personen oder Gruppen von Personen betreffen, die durch bestimmte Variablen verbunden sind – z. B. Alter, Geschlecht, Standort.
Stattdessen konzentriert sich das Gesetz auf das Recht des Einzelnen – also einer Person –, nicht ohne deren Zustimmung einem Profiling unterzogen zu werden.
Was ist eine „Entscheidung“?
Obwohl Entscheidungen das Hauptthema sind, sind sie eine Art Grauzone. Im Gesetz ist unklar, was eine Entscheidung darstellt. Dabei kann es sich um eine Entscheidung einer Regierungsbehörde oder um etwas leichter Erkennbares handeln, beispielsweise um eine Bonitätsbewertung oder Maßnahmen, die im Zusammenhang mit einem Hypothekenantrag ergriffen wurden.
Um die Sache noch unklarer zu machen: Entscheidungen können auch eine Einstellung oder Meinung gegenüber einer betroffenen Person auf der Grundlage ihrer Daten darstellen, allerdings nur, wenn die Wahrscheinlichkeit besteht, dass darauf reagiert wird.
Rechtswirkungen
Eine „Rechtswirkung“ ist eine verbindliche Handlung gegenüber einer Person. Entscheidungen sind Szenarien wie ein Leistungsanspruch, eine Steuererklärung oder eine Gesundheitsbeurteilung.
Während einige oder alle davon den grundlegenden rechtlichen Status einer Person möglicherweise nicht konkret verändern, können sie dennoch tiefgreifende Auswirkungen auf das Leben dieser Person haben, einschließlich:
- die Umstände oder Wahlmöglichkeiten einer Person ändern;
- hat im Laufe seines Lebens eine anhaltende Wirkung auf eine Person;
- (unter bestimmten Umständen) zu Diskriminierung oder ungerechten Handlungen gegenüber jemandem führen.
ISO 27701 Abschnitt 7.2.2 und EU-DSGVO Artikel 22
In diesem Abschnitt sprechen wir über die Artikel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) der DSGVO.
Ermittlung einer rechtmäßigen Grundlage
Um eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu schaffen, sollten Organisationen ihre Handlungen dokumentieren und:
- Zustimmung einholen;
- einen Vertrag entwerfen oder Kontakte knüpfen;
- alle anderen gesetzlichen Verpflichtungen einhalten;
- die „lebenswichtigen Interessen“ der Personen und Gruppen schützen, über die sie Daten besitzen;
- Stellen Sie sicher, dass sie im öffentlichen Interesse handeln und ein berechtigtes Interesse darstellen.
Organisationen müssen in ihrem Datenklassifizierungsschema auch alle „besonderen Kategorien“ personenbezogener Daten berücksichtigen, die sich auf ihre Organisation beziehen (siehe ISO 27701 Abschnitt 7.2.8) (Klassifizierungen können von Region zu Region unterschiedlich sein).
Wenn Organisationen Änderungen an ihren zugrunde liegenden Gründen für die Verarbeitung personenbezogener Daten feststellen, sollte sich dies unverzüglich in ihrer dokumentierten Rechtsgrundlage widerspiegeln.
Unterstützende ISO 27701-Klauseln
- ISO 27701 7.2.8
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 7.3.10 und EU-DSGVO Artikel 22
In diesem Abschnitt sprechen wir über die DSGVO Artikel 22 (1) und 22 (3)
Automatisierte Entscheidungsfindung
Organisationen sollten bei der automatisierten Entscheidungsfindung in Bezug auf personenbezogene Daten die Unterschiede in der Rechtsprechung berücksichtigen.
Organisationen sollten das Recht des Einzelnen respektieren, Einspruch zu erheben und menschliches Eingreifen anstelle automatisierter Verfahren zu fordern.
Index der verknüpften EU-DSGVO-Artikel und ISO 27701-Klauseln
| DSGVO-Artikel | ISO 27701-Klausel | Unterstützende Klauseln der ISO 27701 |
|---|---|---|
| EU-DSGVO Artikel 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU-DSGVO Artikel 22 (1) und 22 (3) | ISO 27701 7.3.10 | Non |
Wie ISMS.online hilft
Durch das Hinzufügen eines PIMS zu Ihrem ISMS auf der ISMS.online-Plattform bleibt Ihr Sicherheitsstatus an einem Ort und Sie vermeiden Doppelarbeit, wenn sich die Standards überschneiden.
Da Ihr PIMS für interessierte Parteien sofort zugänglich ist, war es noch nie so einfach, mit einem Klick sowohl die ISO 27701 als auch die ISO 27001 zu überwachen, zu berichten und zu prüfen.
Finden Sie heraus, wie viel Zeit und Geld Sie auf Ihrem Weg zu einer kombinierten ISO 27701- und ISO 27001-Zertifizierung mit ISMS.online von sparen eine Demo buchen.
