Art.22 – EU-DSGVO – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

> Art.22 - EU-DSGVO - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Art.22 - DSGVO - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015 Stand: 27.04.2016

 Pflichten des für die Verarbeitung Verantwortlichen

 Pflichten und Rechenschaftspflicht des für die Verarbeitung Verantwortlichen

Pflichten des für die Verarbeitung Verantwortlichen

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(ehem. Art. 20)

1. Der für die Verarbeitung Verantwortliche stellt durch geeignete Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden und er den Nachweis dafür erbringen kann.

1. Der für die Verarbeitung Verantwortliche stellt durch geeignete und nachweisbare technische und organisatorische Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden und er in transparenter Weise den Nachweis dafür erbringen kann, dies erfolgt unter Berücksichtigung des Stands der Technik, der Art der Verarbeitung personenbezogener Daten, dem Zusammenhang, der Tragweite und der Zwecke der Verarbeitung, der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie der Art der Organisation sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst.

1. Der für die Verarbeitung Verantwortliche führt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete Maßnahmen durch und muss den Nachweis dafür erbringen können, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden.

1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

 

1a. Der für die Verarbeitung Verantwortliche unternimmt unter Berücksichtigung des Stands der Technik und der Implementierungskosten alle angemessenen Schritte, um Maßnahmen und Verfahren zur Einhaltung umzusetzen, durch die die autonome Wahl betroffener Personen kontinuierlich respektiert wird. Diese Maßnahmen zur Einhaltung werden mindestens alle zwei Jahre überprüft und erforderlichenfalls aktualisiert.

 1a. (entfällt)

 

2. Die in Absatz 1 genannten Maßnahmen umfassen insbesondere

2. (keine Änderung)

2. (entfällt) 

2. Absatz 1 gilt nicht, wenn die Entscheidung

a) die Dokumentation nach Maßgabe von Artikel 28;

a) (keine Änderung)

2a. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den für die Verarbeitung Verantwortlichen umfassen. a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) die Umsetzung der in Artikel 30 vorgesehenen Vorkehrungen für die Datensicherheit;

b) (keine Änderung)

2b. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 38 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 39 kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des für die Verarbeitung Verantwortlichen nachzuweisen.

 
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 33;

c) (keine Änderung)

 c) (entfällt) c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

d) die Umsetzung der nach Artikel 34 Abätze 1 und 2 geltenden Anforderungen in Bezug auf die vorherige Genehmigung oder Zurateziehung der Aufsichtsbehörde;

d) (keine Änderung)

d) (entfällt)  

e) die Benennung eines Datenschutzbeauftragten gemäß Artikel 35 Absatz 1.

e) (keine Änderung)

e) (entfällt)   

3. Der für die Verarbeitung Verantwortliche setzt geeignete Verfahren zur Überprüfung der Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen ein. Die  berprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies angemessen ist.

3. Der für die Verarbeitung Verantwortliche muss in der Lage sein, die Angemessenheit und Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen nachzuweisen. Regelmäßige Berichte über die Tätigkeiten des für die Verarbeitung Verantwortlichen, wie die obligatorischen Berichte von kapitalmarktorientierten Unternehmen beinhalten eine zusammenfassende Beschreibung der in Absatz 1 genannten Strategien und Maßnahmen.

 3. (entfällt)

3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

 

3a. Der für die Verarbeitung Verantwortliche hat das Recht, personenbezogene Daten innerhalb einer Unternehmensgruppe in der EU, zu der der für die Verarbeitung Verantwortliche gehört, zu übermitteln, wenn die Verarbeitung für berechtigte interne administrative Zwecke von verbundenen Geschäftsbereichen in der Unternehmensgruppe erforderlich ist, und ein angemessenes Niveau des Datenschutzes sowie die Interessen der betroffenen Personen im Rahmen von internen Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln im Sinne von Artikel 38 hinreichend berücksichtigt werden.

 3a. (entfällt)

 

4. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um etwaige weitere, in Absatz 2 nicht genannte Kriterien und Anforderungen für die in Absatz 1 genannten Maßnahmen, die Bedingungen für die in Absatz 3genannten Überprüfungs- und Auditverfahren und die Kriterien für die in Absatz 3 angesprochene Angemessenheitsprüfung festzulegen und spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen zu prüfen.

4. (keine Änderung)

4. (entfällt) 4. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 71, 72

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

 

(Visited 2.695 times, 1 visits today)

Kommentar

Art.22 - DSGVO - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015 Stand: 27.04.2016

 Pflichten des für die Verarbeitung Verantwortlichen

 Pflichten und Rechenschaftspflicht des für die Verarbeitung Verantwortlichen

Pflichten des für die Verarbeitung Verantwortlichen

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

(ehem. Art. 20)

1. Der für die Verarbeitung Verantwortliche stellt durch geeignete Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden und er den Nachweis dafür erbringen kann.

1. Der für die Verarbeitung Verantwortliche stellt durch geeignete und nachweisbare technische und organisatorische Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden und er in transparenter Weise den Nachweis dafür erbringen kann, dies erfolgt unter Berücksichtigung des Stands der Technik, der Art der Verarbeitung personenbezogener Daten, dem Zusammenhang, der Tragweite und der Zwecke der Verarbeitung, der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie der Art der Organisation sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung selbst.

1. Der für die Verarbeitung Verantwortliche führt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete Maßnahmen durch und muss den Nachweis dafür erbringen können, dass personenbezogene Daten in Übereinstimmung mit dieser Verordnung verarbeitet werden.

1. Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

 

1a. Der für die Verarbeitung Verantwortliche unternimmt unter Berücksichtigung des Stands der Technik und der Implementierungskosten alle angemessenen Schritte, um Maßnahmen und Verfahren zur Einhaltung umzusetzen, durch die die autonome Wahl betroffener Personen kontinuierlich respektiert wird. Diese Maßnahmen zur Einhaltung werden mindestens alle zwei Jahre überprüft und erforderlichenfalls aktualisiert.

 1a. (entfällt)

 

2. Die in Absatz 1 genannten Maßnahmen umfassen insbesondere

2. (keine Änderung)

2. (entfällt) 

2. Absatz 1 gilt nicht, wenn die Entscheidung

a) die Dokumentation nach Maßgabe von Artikel 28;

a) (keine Änderung)

2a. Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den für die Verarbeitung Verantwortlichen umfassen. a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,

b) die Umsetzung der in Artikel 30 vorgesehenen Vorkehrungen für die Datensicherheit;

b) (keine Änderung)

2b. Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 38 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 39 kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des für die Verarbeitung Verantwortlichen nachzuweisen.

 
b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder

c) die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 33;

c) (keine Änderung)

 c) (entfällt) c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

d) die Umsetzung der nach Artikel 34 Abätze 1 und 2 geltenden Anforderungen in Bezug auf die vorherige Genehmigung oder Zurateziehung der Aufsichtsbehörde;

d) (keine Änderung)

d) (entfällt)  

e) die Benennung eines Datenschutzbeauftragten gemäß Artikel 35 Absatz 1.

e) (keine Änderung)

e) (entfällt)   

3. Der für die Verarbeitung Verantwortliche setzt geeignete Verfahren zur Überprüfung der Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen ein. Die  berprüfung wird von unabhängigen internen oder externen Prüfern durchgeführt, wenn dies angemessen ist.

3. Der für die Verarbeitung Verantwortliche muss in der Lage sein, die Angemessenheit und Wirksamkeit der in den Absätzen 1 und 2 genannten Maßnahmen nachzuweisen. Regelmäßige Berichte über die Tätigkeiten des für die Verarbeitung Verantwortlichen, wie die obligatorischen Berichte von kapitalmarktorientierten Unternehmen beinhalten eine zusammenfassende Beschreibung der in Absatz 1 genannten Strategien und Maßnahmen.

 3. (entfällt)

3. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

 

3a. Der für die Verarbeitung Verantwortliche hat das Recht, personenbezogene Daten innerhalb einer Unternehmensgruppe in der EU, zu der der für die Verarbeitung Verantwortliche gehört, zu übermitteln, wenn die Verarbeitung für berechtigte interne administrative Zwecke von verbundenen Geschäftsbereichen in der Unternehmensgruppe erforderlich ist, und ein angemessenes Niveau des Datenschutzes sowie die Interessen der betroffenen Personen im Rahmen von internen Datenschutzbestimmungen oder gleichwertigen Verhaltensregeln im Sinne von Artikel 38 hinreichend berücksichtigt werden.

 3a. (entfällt)

 

4. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um etwaige weitere, in Absatz 2 nicht genannte Kriterien und Anforderungen für die in Absatz 1 genannten Maßnahmen, die Bedingungen für die in Absatz 3genannten Überprüfungs- und Auditverfahren und die Kriterien für die in Absatz 3 angesprochene Angemessenheitsprüfung festzulegen und spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen zu prüfen.

4. (keine Änderung)

4. (entfällt) 4. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden.

<<ZURÜCK   Übersicht   VOR >>

Erwägungsgrund: 71, 72

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

 

(Visited 2.695 times, 1 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.