§ 3 § 3Automatisierte Entscheidungen
In Kraft seit 13. Juni 2025
Up-to-date
(1) Soweit von Verantwortlichen Leistungen als Träger von Privatrechten erbracht werden, ist es zulässig, die dafür notwendigen Entscheidungen durch Informationstechnologie, welche keine KI-Systeme nach der VO (EU) 2024/1689 darstellen, vollständig automatisiert vorzunehmen.
(2) Ausfertigungen dieser Entscheidungen haben eine Begründung zu enthalten, müssen als Ergebnis eines automatisierten Entscheidungsprozesses gekennzeichnet sein und sind mit der Amtssignatur (§ 19 E-GovG) des Verantwortlichen zu versehen.
(3) Der Verantwortliche hat zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person angemessene Maßnahmen, die mehrere gleichartige Verarbeitungsvorgänge umfassen können, zu ergreifen. Diese Maßnahmen sind jedenfalls:
1. die Dokumentation, dass die bestimmungsgemäße Funktionsweise des Systems vor seinem tatsächlichen Einsatz (Produktivsetzung) gründlich überprüft, validiert und getestet wurde,
2. der Einsatz (Implementierung) wirksamer Kontrollen samt regelmäßiger Überprüfung der Richtigkeit und Zweckerreichung (Relevanz) der automatisierten Entscheidungen,
3. die Erstellung einer Dokumentation vor Produktivsetzung, die auf dem neuesten Stand zu halten und für einen Zeitraum von zehn Jahren ab Beendigung der Datenverarbeitung aufzubewahren ist und insbesondere Folgendes umfasst:
a) eine allgemeine Beschreibung, einschließlich der Systemarchitektur, der Systemzusammenhänge und der Zweckbestimmung, sowie allfällige Bezugnahmen (Interaktionen) mit anderen Systemen,
b) aussagekräftige Informationen über die involvierte Logik und die Algorithmen des Systems,
c) die ergriffenen technischen und organisatorischen Maßnahmen zur Daten- und Informationssicherheit,
4. die Protokollierung über tatsächlich durchgeführte Verarbeitungsvorgänge (Anwendungsprotokolle), wie beispielsweise Änderungen und Übermittlungen, im zur Nachvollziehbarkeit notwendigen Ausmaß, welche für mindestens sechs Monate gespeichert wird,
5. das Speichern von Zugriffsdateien (Logdateien), die aus technischen Gründen geführt werden, für mindestens sechs Monate, und
6. geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen für die Verfügbarkeit und Integrität der Daten.
Rückverweise
Keine Verweise gefunden