Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Absatz 1 gilt nicht, wenn die Entscheidung
für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
Art. 22 DSGVO regelt in vier Absätzen die Rechte des Betroffenen bei Entscheidungen in automatisierten Verfahren einschließlich Profiling.
Betroffene müssen sich nicht Entscheidungen unterwerfen, die ausschließlich auf Basis einer automatisierten Verarbeitung einschließlich dem Profiling erfolgt ist und sie dabei rechtlich oder anderweitig erheblich beeinträchtigen.
Ausgenommen von dieser Nichtunterwerfungsklausel sind Entscheidungen,
die für einen Vertragsabschluss oder dessen Erfüllung zwischen dem Betroffenen und dem Verantwortlichen notwendig sind
die auf Basis von Rechtsvorschriften auf EU-Ebene oder einzelner Mitgliedstaaten zulässig sind und dabei in der entsprechenden Vorschrift von angemessenen Maßnahmen zum Schutz der Rechte, der Freiheiten und berechtigten Interessen des Betroffenen flankiert werden.
die aufgrund ausdrücklicher Einwilligung des Betroffenen erfolgen.
Der Verantwortliche hat bei Entscheidungen, die im Kontext eines Vertrages oder der Einwilligung des Betroffenen erfolgen, angemessene Maßnahmen zu treffen, um die Rechte, Freiheiten und berechtigten Interessen des Betroffenen zu schützen. Im Rahmen dieser Maßnahmen geht es vor allem darum, dass der Betroffene seinen eigenen Standpunkt darlegen, auf die Entscheidung einwirken und die Entscheidung anfechten kann.
Allgemein sind Entscheidungen im Sinne von Abs. 2 nicht auf besondere Kategorien personenbezogener Daten zu begründen, wenn nicht die besonderen Anforderungen von Art. 9 Abs. 2 Buchstaben a oder g erfüllt sind.
Das Unternehmen muss vorrangig eine Organisationsstruktur schaffen, die dem Betroffenen die Wahrnehmung seiner Rechte aus Art. 22 DSGVO ermöglicht.
Wir empfehlen Ihnen einen Datenschutzaudit und eine Datenschutzberatung, um die bestehenden Strukturen zu durchleuchten und neue Strukturen für den Datenschutz zu schaffen.
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr