Zu einer weniger beachteten Vorschrift aus der DSGVO, die allerdings systematisch den Betroffenenrechten zugeordnet worden ist, zählt der Art. 22 DSGVO. Danach hat die betroffene Person grundsätzlich das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung (einschließlich Profiling) beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. In der rechtswissenschaftlichen Literatur wird derzeit diskutiert, ob diese Norm lediglich einen eigenen Anspruch des Betroffenen begründet oder sogar ein grundsätzliches Verbot bzw. eine zusätzliche Rechtsmäßigkeitsvoraussetzung einer Datenverarbeitung (nach Art. 6 DSGVO) darstellt (Vgl. Abel, ZD 2018, 304, 305).

Voraussetzungen

Der Art. 22 DSGVO sieht verschiedene Voraussetzungen sowie Ausnahmen inklusive Rückausnahmen vor und ist daher recht verzwickt. Mithin muss die Vorschrift so verstanden werden, dass sie die gezielte Auswertung bestimmter Merkmale der Person schützen soll und nicht per se jeden technischen Prozess wie beispielsweise das automatische Öffnen einer Tür oder die Ausgabe von Geldscheinen am Geldautomaten erfasst. Andernfalls entstünde eine unbillige Ausweitung des Regelungsgehalts.

Entscheidung

Zunächst muss überhaupt eine Entscheidung im Sinne von Art. 22 DSGVO getroffen werden, um dessen Anwendungsbereich zu eröffnen. Nach überwiegender Ansicht meint dies einen gestaltenden Akt mit einer in gewisser Weise abschließenden Wirkung, wie z.B. der Abschluss eines Vertrages oder aber die Begründung oder Kündigung eines Beschäftigungsverhältnisses. Technisch vorgelagerte Prozesse wie die computergesteuerte Prüfung von Sachverhalten/Voraussetzungsmerkmalen, die Bestimmung von individuellen Preisen zur Kalkulation von Angeboten oder allgemeine interne, unternehmerische Berechnungen von Umsätzen oder Ausfallquoten begründen noch keine derartige Entscheidung. Diese Systeme mögen ein Fundament legen, stellen aber noch keine endgültige und im Rechtsverkehr unmittelbar geltende Handlung mit konkreten Rechtsfolgen dar.

Wirkung

Die Entscheidung muss sodann auch eine rechtliche Wirkung entfalten oder die Person in ähnlicher Weise erheblich beeinträchtigen. Die rechtliche Wirkung dürfte erst dann anzunehmen sein, wenn sich die Rechtsposition des Einzelnen verändert, indem beispielsweise ein Recht oder Rechtsverhältnis begründet oder aufgehoben wird und daher eine Rechtsfolge nach sich zieht. Zu denken wäre an die automatische Kündigung eines Angestellten allein nach automatisierten Algorithmen, die die Effizienz der Arbeit berechnen und die „schwächsten“ Mitarbeiter aussortiert (So soll es wohl bei Amazon geschehen). Ebenso wäre ein reines Online-Assessment-Center möglich, wenn das System lediglich anhand der Antworten des Bewerbers eine Zusage zum Job erteilt. In Betracht kommt ferner der Zutritt zu einem Kino oder Freizeitpark mit Kauf eines Tickets anhand von einer Gesichtserkennung an einer Schranke. Und auch die neuen Geschäftsfelder von „Robo Advise“ und computergesteuerten Anlagebetreuung finden sich in diesem Bereich wieder.

Alternativ soll die Vorschrift vor in ähnlicher Weise erheblichen Beeinträchtigungen der Person schützen. Dieses Merkmal erlaubt einen gewissen Spielraum. Es müssen gravierende Nachteile bestehen. Um diese Hürde zu überschreiten, müsste jedenfalls eine Störung der wirtschaftlichen oder persönlichen Entfaltung der Person vorliegen, indem diesem generell eine bestimmte Leistung verwehrt wird, wie z.B. Versagung eines Kredits bei allen Banken, Nichtbegründung eines Vertragsverhältnisses, die Aufnahme in einer Blacklist bei allen Telekommunikationsanbietern oder die Sperrung in allen deutschen Spielhallen („Hausverbot“). Diskutiert wird ferner, ob auch personalisierte Werbung und personalisierte Versicherungspreise, beispielsweise bei höheren Zinssätzen gegenüber den öffentlich beworbenen Konditionen aufgrund von einem Profling/Online-Verhalten hierunter fallen.

Ausschließlich automatisiert

Des Weiteren muss diese Entscheidung nach Art. 22 DSGVO ausschließlich automatisiert ergehen, d.h. gem. des Erwägungsgrundes 71 der DSGVO „ohne jegliches menschliches Eingreifen“ getroffen worden sein. Danach sollen solche Vorgänge erfasst sein, die auf Basis von Algorithmen oder technischen Prozessen abschließend Wirkung entfalten, ohne dass jemals ein Mensch hierbei am „Hebel“ sitzt. Der Erwägungsgrund 71 nennt zwei Beispiele wie die automatische Ablehnung eines Online-Kreditantrages oder Online-Einstellungsverfahrens. In der Regel sind bei Vertragsabschlüssen trotz der zunehmenden Automatisierung und Digitalisierung in der Gesellschaft noch menschliche Kontrollen oder zumindest ein menschliches Handeln als Freigabe etabliert. Sowohl um Missbrauch oder Schäden zu verhindern als auch aus Haftungsgründen wird zumeist noch ein Prüfer eingeschaltet sein. Dieses wird sich mutmaßlich bald ändern, weswegen diese Norm zukünftig noch an Bedeutung gewinnen wird.

Profiling

Das in Art. 22 DSGVO ausdrücklich hervorgehobene Profiling wird dem Genannten gleichgestellt. Hiermit soll das zielgerichtete Auswertung und die Analyse des Verhaltens einer Person wie z.B. das Online-Nutzerverhalten als Sonderfall deklaratorisch geregelt – und der Einzelne vor diesen Vorgängen geschützt werden. Da immer mehr Rechtsgeschäfte online abgewickelt werden, liegt es auf der Hand, dass Unternehmen immer mehr auf das Profiling zurückgreifen und Profil-Analysen zur Entscheidungsfindung (z.B. beim Kauf in einem Online-Shop oder beim Abschluss eines Kredites oder einer Versicherung) herangezogen werden.

Zulässige Ausnahmen und Rückausnahme

In der Vorschrift (in Art. 22 Abs. 2 DSGVO) sind jedoch drei Ausnahmen verankert, in denen eine solche automatisierte bzw. eine Wirkung entfaltende Entscheidung zulässig ist. Der Vorgang wäre dann erlaubt, wenn er für den Abschluss oder die Erfüllung eines Vertrages zwischen dem Betroffenen und dem Verantwortlichen erforderlich ist (Art. 22 Abs. 2 lit. a), eine gesetzliche Norm hierfür nach dem Unionsrecht geschaffen worden ist (Art. 22 Abs. 2 lit. b) oder der Betroffene ausdrücklich eingewilligt hat (Art. 22 Abs. 2 lit. c) DSGVO). Im Hinblick auf das Erfordernis der Vertragserfüllung gelten weiterhin strenge Vorgaben, so dass jedwede andere Handlung und alternative Schritte undenkbar sein müssten.

Doch in diesen Fällen hat der Verantwortliche angemessene Maßnahmen zu treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der Person zu wahren. Diese Forderung läuft dem offenkundigen Trend, möglichst immer mehr Daten zu sammeln, gewissermaßen zuwider und soll für eine faire und transparente Datenverarbeitung sorgen.

Trotz dieser drei Ausnahmeregelungen findet sich in Art. 22 Abs. 4 DSGVO noch eine wichtige Rückausnahme, die nicht außer Acht gelassen werden darf. Danach gelten die genannten Ausnahmen nicht bei der Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO (wie bspw. die ethische Herkunft, Gesundheitsdaten, genetische oder biometrische Daten oder die Sexualität), sofern nicht eine Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO oder eine Vorschrift aufgrund des Unionsrechts vorliegt. In Deutschland wurde vom Gesetzgeber in § 37 Abs. 2 BDSG z.B. die Zulässigkeit einer solchen vollautomatisierten Entscheidung auf Grundlage der Verarbeitung von Gesundheitsdaten bei nationalen Versicherern geregelt – und damit möglicherweise der Schutzzweck der europäischen Regelung nach Art. 22 DSGVO unterlaufen.

Zu kritisieren ist, dass die Einwilligung i.S.v. Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 2 lit. a) DSGVO eine derartige Reichweite schafft, dass sie letztlich dieses Betroffenenrecht aushebelt und insgesamt daher ad absurdum führt. Willigt der Betroffene also freiwillig in diese automatisierte Entscheidung ein, gibt es nahezu keine Grenzen.

Fazit

Es sollte deutlich geworden sein, mit welchen Schwierigkeiten die Vorschrift zu kämpfen hat und inwiefern der Schutzzweck, der hiermit eigentlich erreicht werden sollte, in der Realität massiv eingeschränkt werden kann.