Nachricht

Jun 04, 2023

Rechte im Zusammenhang mit der automatisierten Entscheidungsfindung, einschließlich Profiling

Artikel durchsuchen

Artikel durchsuchen

Zur Einhaltung der britischen DSGVO...

☐ Wir verfügen über eine gesetzliche Grundlage zur Durchführung von Profiling und/oder automatisierter Entscheidungsfindung und dokumentieren dies in unserer Datenschutzerklärung.

☐ Wir senden Einzelpersonen einen Link zu unserer Datenschutzerklärung, wenn wir ihre personenbezogenen Daten indirekt erhalten haben.

☐ Wir erklären, wie Personen auf Details zu den Informationen zugreifen können, die wir zur Erstellung ihres Profils verwendet haben.

☐ Wir teilen den Personen, die uns ihre personenbezogenen Daten zur Verfügung stellen, mit, wie sie der Profilerstellung, einschließlich der Profilerstellung zu Marketingzwecken, widersprechen können.

☐ Wir verfügen über Verfahren, mit denen Kunden auf die in die Profile eingegebenen personenbezogenen Daten zugreifen können, damit sie diese überprüfen und auf etwaige Genauigkeitsprobleme hin bearbeiten können.

☐ Wir verfügen über zusätzliche Kontrollen für unsere Profiling-/automatisierten Entscheidungssysteme, um gefährdete Gruppen (einschließlich Kinder) zu schützen.

☐ Wir erfassen nur die minimal erforderliche Datenmenge und haben eine klare Aufbewahrungsrichtlinie für die von uns erstellten Profile.

Als Musterbeispiel für Best Practice...

☐ Wir führen eine DSFA durch, um die Risiken zu prüfen und anzugehen, bevor wir mit einer neuen automatisierten Entscheidungsfindung oder einem Profiling beginnen.

☐ Wir informieren unsere Kunden über das von uns durchgeführte Profiling und die automatisierte Entscheidungsfindung, welche Informationen wir zur Erstellung der Profile verwenden und woher wir diese Informationen beziehen.

☐ Für unsere Profiling-Aktivitäten verwenden wir anonymisierte Daten.

Zur Einhaltung der britischen DSGVO...

☐ Wir führen eine DSFA durch, um die Risiken für Einzelpersonen zu ermitteln, zu zeigen, wie wir mit ihnen umgehen und welche Maßnahmen wir ergreifen, um die DSGVO-Anforderungen des Vereinigten Königreichs zu erfüllen.

☐ Wir führen die Verarbeitung gemäß Artikel 22 Absatz 1 zu Vertragszwecken durch und können nachweisen, warum dies erforderlich ist.

ODER

☐ Wir führen die Verarbeitung gemäß Artikel 22 Absatz 1 durch, weil wir die ausdrückliche Einwilligung der Person protokollieren lassen. Wir können nachweisen, wann und wie wir die Einwilligung eingeholt haben. Wir erklären Einzelpersonen, wie sie ihre Einwilligung widerrufen können, und bieten ihnen eine einfache Möglichkeit, dies zu tun.

ODER

☐ Wir führen eine Verarbeitung gemäß Artikel 22 Absatz 1 durch, weil wir dazu berechtigt oder verpflichtet sind. Dies ist der geeignetste Weg, unsere Ziele zu erreichen.

☐ Wir verwenden in unseren automatisierten Entscheidungssystemen keine Daten besonderer Kategorien, es sei denn, wir verfügen über eine gesetzliche Grundlage dafür und können nachweisen, was diese Grundlage ist. Wir löschen alle versehentlich erstellten Sonderkategoriedaten.

☐ Wir erklären, dass wir automatisierte Entscheidungsprozesse, einschließlich Profiling, nutzen. Wir erklären, welche Informationen wir verwenden, warum wir sie verwenden und welche Auswirkungen dies haben kann.

☐ Wir haben eine einfache Möglichkeit für Menschen, uns aufzufordern, eine automatisierte Entscheidung zu überdenken.

☐ Wir haben in unserer Organisation Mitarbeiter identifiziert, die befugt sind, Überprüfungen und Änderungsentscheidungen durchzuführen.

☐ Wir überprüfen unsere Systeme regelmäßig auf Genauigkeit und Voreingenommenheit und fließen etwaige Änderungen in den Designprozess ein.

Als Musterbeispiel für Best Practice...

☐ Wir verwenden visuelle Darstellungen, um zu erklären, welche Informationen wir sammeln/verwenden und warum diese für den Prozess relevant sind.

☐ Wir haben uns einer Reihe ethischer Grundsätze verpflichtet, um Vertrauen bei unseren Kunden aufzubauen. Dies ist auf unserer Website und in Papierform verfügbar.

Bei der automatisierten individuellen Entscheidungsfindung handelt es sich um eine Entscheidung, die automatisiert und ohne menschliche Beteiligung getroffen wird.

Beispiele hierfür sind:

Eine automatisierte individuelle Entscheidungsfindung muss kein Profiling beinhalten, obwohl dies häufig der Fall ist.

Die britische DSGVO besagt, dass Profiling Folgendes ist:

„Jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit oder der persönlichen Vorlieben dieser natürlichen Person zu analysieren oder vorherzusagen. Interessen, Zuverlässigkeit, Verhalten, Standort oder Bewegungen.“

[Artikel 4 Absatz 4]

Organisationen beziehen persönliche Informationen über Einzelpersonen aus verschiedenen Quellen. Internetsuchen, Kaufgewohnheiten, Lebensstil- und Verhaltensdaten, die von Mobiltelefonen, sozialen Netzwerken, Videoüberwachungssystemen und dem Internet der Dinge erfasst werden, sind Beispiele für die Arten von Daten, die Organisationen sammeln könnten.

Mithilfe von Algorithmen und maschinellem Lernen werden Informationen analysiert, um Menschen in verschiedene Gruppen oder Sektoren einzuteilen. Diese Analyse identifiziert Zusammenhänge zwischen verschiedenen Verhaltensweisen und Merkmalen, um Profile für Einzelpersonen zu erstellen. Weitere Informationen zu Algorithmen und maschinellem Lernen finden Sie in unserem Artikel zu Big Data, künstlicher Intelligenz, maschinellem Lernen und Datenschutz.

Basierend auf den Merkmalen anderer, die ähnlich erscheinen, nutzen Organisationen Profiling, um:

Dies kann für Organisationen und Einzelpersonen in vielen Bereichen, einschließlich Gesundheitswesen, Bildung, Finanzdienstleistungen und Marketing, sehr nützlich sein.

Automatisierte individuelle Entscheidungsfindung und Profilierung können zu schnelleren und konsistenteren Entscheidungen führen. Bei unverantwortlichem Einsatz drohen jedoch erhebliche Risiken für den Einzelnen. Die britischen DSGVO-Bestimmungen sind darauf ausgelegt, diesen Risiken zu begegnen.

Die britische DSGVO verbietet es Ihnen, ausschließlich automatisierte Entscheidungen zu treffen, einschließlich solcher, die auf Profiling basieren und rechtliche oder ähnlich erhebliche Auswirkungen auf Einzelpersonen haben.

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

[Artikel 22 Absatz 1]

Damit etwas vollständig automatisiert wird, darf kein Mensch in den Entscheidungsprozess eingebunden sein.

Die Beschränkung erstreckt sich ausschließlich auf automatisierte Entscheidungen im Einzelfall, die rechtliche oder ähnlich erhebliche Wirkungen entfalten. Diese Arten von Auswirkungen sind in der britischen DSGVO nicht definiert, aber die Entscheidung muss schwerwiegende Auswirkungen auf eine Person haben, um von dieser Bestimmung erfasst zu werden.

Eine Rechtswirkung ist etwas, das sich auf die gesetzlichen Rechte einer Person auswirkt. Ähnlich signifikante Auswirkungen sind schwieriger zu definieren, würden aber beispielsweise die automatische Ablehnung eines Online-Kreditantrags und E-Recruiting-Praktiken ohne menschliches Eingreifen umfassen.

Eine ausschließlich automatisierte Entscheidungsfindung im Einzelfall – einschließlich Profiling – mit rechtlicher oder ähnlich erheblicher Wirkung wird eingeschränkt, wobei diese Einschränkung unter bestimmten Umständen aufgehoben werden kann.

Du kannstnureine ausschließlich automatisierte Entscheidungsfindung mit rechtlichen oder ähnlich erheblichen Auswirkungen durchführen, wenn die Entscheidung:

Wenn Sie personenbezogene Daten einer besonderen Kategorie verwenden, können Sie dies tunnurdie in Artikel 22 Absatz 1 beschriebene Verarbeitung durchführen, wenn:

Da diese Art der Verarbeitung als risikoreich gilt, verlangt die britische DSGVO von Ihnen die Durchführung einer Datenschutz-Folgenabschätzung (DPIA), um nachzuweisen, dass Sie diese Risiken identifiziert und bewertet haben und wie Sie ihnen begegnen werden.

Die britische DSGVO schränkt nicht nur die Umstände ein, unter denen Sie eine ausschließlich automatisierte individuelle Entscheidungsfindung durchführen können (wie in Artikel 22 Absatz 1 beschrieben), sondern auch Folgendes:

Diese Bestimmungen sollen dazu beitragen, dass Einzelpersonen besser verstehen, wie Sie ihre personenbezogenen Daten verwenden.

Sie müssen:

Artikel 22 gilt für ausschließlich automatisierte Entscheidungen im Einzelfall, einschließlich Profiling, mit rechtlicher oder ähnlich erheblicher Wirkung.

Wenn Ihre Verarbeitung nicht dieser Definition entspricht, können Sie weiterhin ein Profiling und eine automatisierte Entscheidungsfindung durchführen.

Sie müssen jedoch weiterhin die britischen DSGVO-Grundsätze einhalten.

Sie müssen Ihre Rechtsgrundlage für die Verarbeitung ermitteln und dokumentieren.

Es müssen Prozesse vorhanden sein, damit die Menschen ihre Rechte ausüben können.

Unter bestimmten Umständen haben Einzelpersonen das Recht, der Profilerstellung zu widersprechen. Sie müssen sie ausdrücklich auf die Einzelheiten dieses Rechts aufmerksam machen.

Externer Link

Ausführlicher – ICO-Anleitung

Ausführlicher – Europäischer Datenschutzausschuss

Dem Europäischen Datenschutzausschuss (EDPB), der die Artikel-29-Datenschutzgruppe (WP29) ersetzt hat, gehören Vertreter der Datenschutzbehörden jedes EU-Mitgliedstaats an. Sie erlässt Richtlinien zur Einhaltung der Anforderungen der EU-Version der DSGVO.

WP29 hat Leitlinien zur automatisierten individuellen Entscheidungsfindung und zum Profiling verabschiedet, die vom EDSA gebilligt wurden.

Zu den weiteren relevanten Leitlinien, die von WP29 veröffentlicht und vom EDPB gebilligt wurden, gehören:

WP29-Leitlinien zur Datenschutz-Folgenabschätzung

Weiterführende Literatur – ICO-Leitfaden

Das Accountability Framework befasst sich mit den Erwartungen des ICO in Bezug auf Rechte im Zusammenhang mit automatisierter Entscheidungsfindung, einschließlich Profiling.