Artikel 22 EU-DSGVO: Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
- Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
- Absatz 1 gilt nicht, wenn die Entscheidung
- für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
- aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
- mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
- In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
- Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.
Kommentar zu Art. 31 DSGVO
Der Art. 31 DSGVO behandelt das Verhältnis zwischen Aufsichtsbehörden und Verantwortlichen, Auftragsverarbeitern und deren Vertretern.
Gemäß Art. 31 DSGVO haben der Verantwortliche, der Auftragsverarbeiter und ggf. dessen Vertreter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen zu arbeiten.
Vor der DSGVO gab es im BDSG-alt ähnliche Vorschriften für öffentliche Stellen, die eine Unterstützungspflicht inne hatten. Nicht-öffentliche Stellen hatten jedoch nur eine Auskunftspflicht. Der Art. 31 DSGVO hat hauptsächlich deklaratorische Funktion, da die Pflicht zur Zusammenarbeit sich schon aus anderen spezielleren Normen ergibt, sowie aus der Funktion und Zuständigkeit der Aufsichtsbehörde. Daher bleibt eine weitere Zusammenarbeit wie nach der BDSG-Lage erhalten, jedoch werden nun die Auftragsverarbeiter unmittelbar in die Pflicht gestellt.
Somit ergibt sich hieraus, dass nicht-öffentliche Stellen zukünftig weiterhin in der Pflicht sind mit den Aufsichtsbehörden zusammen zu arbeiten. Insbesondere sind nun auch die Auftragsverarbeiter von dieser Pflicht erfasst.