Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Automatische Einzelfallentscheidungen nach der DS-GVO

29. Juni 2017

Um betroffene Personen vor fehlerhaften oder unangemessenen automatisierten Entscheidungen zu schützen hat der Gesetzgeber bereits im heutigen Bundesdatenschutzgesetz (BDSG) in § 6a diesbezügliche Regelungen erlassen. Diese legen grob zusammengefasst fest, dass

  • automatisierte Einzelfallentscheidungen grundsätzlich zulässig sind;
  • für den Betroffenen positive Entscheidungen vollautomatisiert getroffen werden können;
  • bei für den Betroffenen negativen Entscheidungen sichergestellt sein muss, dass angemessene Maßnahmen getroffen wurden, dass diese automatisiert getroffene Entscheidung angemessen ist und den Betroffenen nicht unangemessen benachteiligt. Darüber hinaus bestehen Informationspflichten einschließlich der Pflicht zur Offenlegung, dass es sich um eine automatisierte Entscheidung handelt.

Regelungen auch in der DS-GVO

Auch die zukünftige Gesetzgebung nach der EU Datenschutz-Grundverordnung (DS-GVO) sieht eigene Regelungen zur automatisierten Einzelfallentscheidung vor. Diese finden sich in Art. 22 DS-GVO. Die Formulierungen lesen sich – wenn auch etwas blumiger – durchaus ähnlich.

Ähnlich, aber nicht identisch

Der Teufel steckt hier allerdings im Detail, denn alte und neue Regelung sind nicht 100% identisch. Zwar dürfen negative Entscheidungen auch weiterhin eigentlich nicht vollautomatisiert, also ohne menschliche Mitwirkung getroffen werden, die Ausnahmetatbestände wurden jedoch erweitert:

  • Es ist keine Mitwirkung eines Menschen mehr nötig, sofern die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
  • Auch die (vorherige und ausreichend informierte) Einwilligung der betroffenen Person in die Verarbeitung macht die Mitwirkung eines Menschen an solchen Entscheidungen vollständig überflüssig.

Die Rechte der Betroffenen können erst im Nachhinein geltend gemacht werden. So hat der Verantwortliche dem Betroffenen im Nachgang zu einer automatisierten Einzelfallentscheidung die Rechte auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung einzuräumen.

Achtung, Öffnungsklausel!

Darüber hinaus können die Mitgliedsstaaten in nationalem Recht weitere Ausnahmetatbestände definieren – dazu später mehr.

Besondere Kategorien personenbezogener Daten

Neu ist auch, dass die Einbeziehung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO) unter bestimmten Umständen zulässig ist. Konkret handelt es sich bei diesen Zulässigkeitstatbeständen um

  • die Einwilligung der betroffenen Person;
  • nationale gesetzliche Regelungen.

Nationale Regelung im BDSG-neu

Von der Möglichkeit durch nationales Recht weitere Zulässigkeitstatbestände zu definieren hat der deutsche Gesetzgeber in § 37 BDSG-neu Gebrauch gemacht. Dort werden speziell für die Versicherungswirtschaft Regelungen für die sogenannte „Dunkelverarbeitung“, also die automatische Verarbeitung von Vorgängen ohne jegliche menschliche Beteiligung, geschaffen. Im Detail wollen wir hier nicht auf diese Spartenregelung eingehen. Grob zusammengefasst wird die allgemein gegenüber dem bisherigen BDSG etwas aufgeweichte Regelung für die Versicherungswirtschaft wieder auf das alte Niveau mit den vollen Informationspflichten gehoben. Die Beteiligung eines Menschen an der Entscheidung, bzw. deren verpflichtende manuelle Überprüfung entfällt allerdings auch hier.

Des Weiteren wird für die Versicherungswirtschaft zumindest die Einbeziehung von Gesundheitsdaten (Art. 4 Abs. 15 DS-GVO) erlaubt.

Darüber hinaus wird der betroffenen Person das Recht eingeräumt, einzugreifen. Was genau mit „eingreifen“ gemeint ist, werden vermutlich die Gerichte klären müssen. Wir haben hier aktuell keine genaue Vorstellung.

Fazit

Zusammenfassend lässt sich sagen: Die zukünftigen Regelungen erlauben etwas mehr als die bisherigen. Ein akuter Handlungsbedarf besteht also nicht. Wer die Regelungen des BDSG umgesetzt hat, sollte die Anforderungen, die sich aus DS-GVO und des BDSG-neu ergeben, ebenfalls erfüllen. Allerdings gibt es neue Spielräume, insbesondere für Versicherungsunternehmen, die genutzt werden können.

Möchten Sie die Automatisierung von Einzelfallentscheidungen in Ihrem Unternehmen vorantreiben? Rufen Sie uns an, wir unterstützen Sie dabei!