Modul 2, 26. September 2016 Webinar@Weblaw: DSGVO Bearbeitung von Personendaten, Einwilligungserklärung, Einzelfallentscheide. Nicolas Passadelis Einzelfallentscheide und Profiling.
Inhaltsverzeichnis. I. Rechtsgrundlagen Begriffe Einzelfallentscheidung / Profiling Grundsatz und Ausnahmen Rechtsanwendung Anwendungsbeispiele II. III. Rechtsfolgen Interessenswahrung Information Interaktion Zusammenfassung
1. Automatische Einzelfallentscheidungen. Keine Legaldefinition Definition geht im Regelungsgehalt von Art. 22 I DSGVO auf Automatisiert getroffene Entscheidungen, die für einen einzelnen Betroffenen rechtliche Folgen haben oder ihn in vergleichbarer Weise beeinträchtigen
2. Profiling. Art. 4 Ziff. 4 DSGVO personenbezogene Daten automatisierte Verarbeitung Analyse oder Vorhersage von Persönlichkeitsaspekten
3. Grundsatz. Art. 22 I DSGVO Natürliche Personen dürfen nicht: einer Entscheidung unterworfen werden, die ausschliesslich auf einer automatisierten Verarbeitung mit oder ohne Profiling beruht und ihr gegenüber eine rechtliche Wirkung entfaltet bzw. sie in ähnlicher Weise erheblich beeinträchtigt
4. Ausnahmen. Art. 22 II DSGVO Ist die Entscheidung: 1. für den Abschluss oder Erfüllung eines Vertrages zwischen Verarbeiter und betroffene Person erforderlich? (lit. a) 2. aufgrund von Rechtsvorschriften der EU oder eines Mitgliedstaates zulässig? (lit. b) (Bsp. Steuervergehen, Terrorismusbekämpfung, Geldwäscherei). Vorbehalt der Wahrung der Rechte und Freiheiten bzw. Interessen der betroffenen Person 3. von einer ausdrücklichen Einwilligung der betroffenen Person gedeckt? (lit. c) Ausnahme: Kinder (Erw. 71)
5. Rechtsanwendung. Nein automatisierte Verarbeitung von Personendaten? Nein Ja Einzelfallentscheidung/ Profiling? Art. 22 IV i.v. m 9 II DSGVO Ja Ja Menschliche Intervention? Sensitive Daten Nein Art. 6 DSGVO Nein Rechtliche Wirkung / ähnliche Beeinträchtigung? Ja Art. 22 DSGVO
6. Retargeting. Personenbezogene Daten? automatisierte Verarbeitung? Analyse oder Vorhersage von Persönlichkeitsmerkmale Entscheidung mit rechtlichen Wirkung oder ähnlicher Beeinträchtigung? Cookies Internet Interessen Anzeige von Werbung Quelle: http://www.recruemedia.com/retargeting.php
7. Intelligente Windeln. Quelle: https://www.pixiescientific.com/ Personenbezogene Daten? automatisierte Verarbeitung? Analyse oder Vorhersage von Persönlichkeitsmerkmale? Entscheidung mit rechtlichen Wirkung oder ähnlicher Beeinträchtigung? Gesundheitsdaten Sensor / Internet / Mobile Gesundheit Diagnose / Behandlungsvorschlag
8. Online-Versicherung. Personenbezogene Daten? automatisierte Verarbeitung? Analyse oder Vorhersage von Persönlichkeitsmerkmale Diverse Internet Risikodaten Quelle: http://veepixels.com/insurance/how-to-buy-your-car-insurance-online/ Entscheidung mit rechtlichen Offerte oder Ablehnung Wirkung oder ähnlicher Beeinträchtigung? «ähnliche Weise» Ebenso wohl auch: Ablehnung Vertragsschluss, höherer Zins, höhere Prämien, Vorauskasse, e-recuiting, Organzuteilung etc.
9. Rechtsfolgen. Interessenswahrung (Erw. 71 DSGVO) Information (Art. 13 II lit. f DSGVO) Interaktion (Art. 22 III DSGVO) Auskunft (Art. 15 I lit. h DSGVO) ( Passadelis, Modul 3) Widerspruch (Art. 21 I DSGVO) ( Passadelis, Modul 3) Folgeabschätzung (Art. 35 III lit. a DSGVO) ( Vasella, Modul 3) Leitlinien EDSA (Art. 70 I lit. f DSGVO) Interne Vorschriften (Art. 47 I lit. e DSGVO) ( Schneider, Modul 1)
10. Interessenswahrung. Verarbeiter muss faire und transparente Verarbeitung gewährleisten (Erw. 71 DSGVO) Verwendung von mathematisch-statistischen Verfahren für das Profiling Minimierung und Korrektur von Fehlern Verhinderung einer Diskriminierung oder Massnahmen mit diskriminierender Wirkung Spannungsfeld zum eigentlichen Zweck des Profilings In der Praxis: schwierig umzusetzen bzw. zu kontrollieren
11. Information. Hinweis auf eine automatisierte Entscheidung bzw. Profiling Zweck der Verarbeitung Logik der Verarbeitung Tragweite der Verarbeitung Auswirkungen der Verarbeitung
12. Textbeispiel Online-Versicherung. Automatisierte Entscheidung und Profiling Wir verarbeiten Ihre personenbezogenen Daten ferner im Hinblick auf die automatisierte Entscheidung, ob der Versicherungsvertrag mit Ihnen abgeschlossen, geändert oder beendet werden soll. Diese Entscheidung beruht ausschliesslich auf einer automatisierten Verarbeitung Ihrer personenbezogenen Daten bzw. einer Analyse und Vorhersage Ihrer persönlichen Aspekte wie Alter, Verhalten, Interessen oder wirtschaftliche Lage (Profiling). Die Entscheidung erfolgt somit ohne Prüfung Ihres Versicherungsantrages oder sonstige Einwirkung auf das Entscheidungsverfahren durch einen unserer Mitarbeiter. Sie haben aber das Recht auf eine Intervention eines unserer Mitarbeiter sowie die Möglichkeit der Darlegung ihres Standpunktes. Ebenso können Sie die automatisierte Entscheidung anfechten. Soweit bei der automatisierten Entscheidung gewisse Wahrscheinlichkeitswerte berücksichtigt werden, beruhen diese auf einem wissenschaftlich anerkannten mathematisch-statistischem Verfahren. Wir können den Versicherungsvertrag mit Ihnen insbesondere ablehnen, ändern oder beenden, wenn die mit dem Versicherungsvertrag verbundenen Risiken aufgrund Ihrer persönlicher Aspekte für uns nicht oder nicht mehr tragbar erscheinen. Je höher die entsprechenden Risiken für uns sind, desto wahrscheinlicher ist, dass wir den Abschluss eines Versicherungsvertrages mit Ihnen ablehnen bzw. den mit Ihnen bestehenden Versicherungsvertrag ändern oder beendigen.
13. Intervention. Verarbeiter hat bei automatisierten Entscheidungen und Profiling basierend auf Vertragsrechtfertigung (Art. 22 II lit. a DSGVO) bzw. Einwilligung (Art. 22 II lit. c DSGVO) die Rechte und Freiheiten der betroffenen Personen sowie deren berechtigte Interessen zu wahren (Art. 22 III DSGVO) Formulierung von nicht-abschliessenden Mindestansprüchen Betroffene Person hat zumindest Anspruch auf: Eingreifen einer Person bevor automatisierte Entscheidung getroffen wird Darlegung des eigenen Standpunkts Anfechtung der Entscheidung Praktische Tragweise und Umsetzung noch unklar
14. Umsetzungsmöglichkeit Online-Versicherung? Wirksamkeit? Rücktritt Ausfüllen Online-Versicherungsantrag Nein Einigung? Online Offerte Call Center / Feedback Formular Nein Wahlmöglichkeit: Online-Abschluss? Ja Ja Anfechtung? Ja Abschluss Online-Versicherungsvertrag
15. Zusammenfassung. Anwendungsbereich von Art. 22 DSGVO vergleichsweise eingeschränkt Massgebend ist die Kausalität zwischen automatisierter Verarbeitung / Profiling und einer Entscheidung Anwendung vor allem im Dunstkreise von Vertragsanbahnung, Vertragskonditionen und Vertragsbeendigung Rechtliche Bedeutung von Art. 22 DSGVO liegt vor allem in den zusätzlichen Ansprüchen der betroffenen Person Keine Anwendung bei Kindern (< 16 Jahre; Art. 8 I DSGVO) Faire Behandlung / Diskriminierungsverbot
Baker & McKenzie Zürich Dr. iur. Nicolas Passadelis, LL.M. Holbeinstrasse 30 8034 Zürich Tel. +41 44 384 12 09 Nicolas.Passadelis@bakermckenzie.com www.bakermckenzie.com Besten Dank für Ihre Aufmerksamkeit!