4. April 2019Datenschutz

Profiling: Die Herausforderungen durch die DSGVO

Die europäische Datenschutz-Grundverordnung (DSGVO) verfolgt das Ziel der Harmonisierung des Datenschutzrechtes innerhalb der Union. Sie ist bereits seit einiger Zeit als unmittelbar in Deutschland geltendes Recht in Kraft. Sie enthält im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) wenige Neuerungen. Vieles wurde lediglich umstrukturiert.

Wesentliche Neuerungen bezüglich des Profilings durch die DSGVO: Das Profiling wird in der DSGVO erstmals ausdrücklich definiert und ein eigener Artikel regelt die Zulässigkeitsvoraussetzungen sowie Grenzen des Profilings im Rahmen automatisierter Verfahren. Es finden sich aber auch Regelungen mit gewissen Übereinstimmungen zu bisherigen Grundentscheidungen des BDSG, sodass Unternehmen im Einzelfall in Erfahrung bringen sollten, welche Praktiken beibehalten werden können und welche gegebenenfalls geändert werden müssen.

Profiling als Spezialfall automatisierter Verarbeitung personenbezogener Daten

Nach Artikel 4 Nr. 4 DSGVO ist Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, um auf dessen Grundlage bestimmte persönliche Aspekte zu bewerten. Schließlich werden diese persönlichen Aspekte herangezogen, um zum Beispiel die Arbeitsleistung einer Person, ihre wirtschaftliche Lage, ihre persönlichen Vorlieben und dergleichen zu analysieren und entsprechende Vorhersagen zu treffen. Hierzu werden regelmäßig – vor allem im Rahmen von webbasierten Systemen – umfassende (Nutzer-)Profile erstellt.

In diesem Zusammenhang sollte auch Artikel 22 DSGVO Erwähnung finden. Dieser verbietet es dem Verantwortlichen, betroffene Personen einer Entscheidung zu unterwerfen, die ausschließlich auf einer automatisierten Verarbeitung beruht, wenn diese Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.  Art. 22 DSGVO nennt das Profiling in diesem Zusammenhang als Spezialfall.

Im Nachfolgenden ein kurzes Beispiel für eine solch unzulässige automatisierte Entscheidung auf Grundlage eines zuvor erstellten Profils:

Über Monate hinweg sammelt ein unternehmensinternes System Daten über einen Mitarbeiter – insbesondere Leistungsdaten. Mithilfe dieser Informationen erstellt dieses System ein Profil und wertet es zum Termin des nächsten Feedback-Gesprächs aus. Anschließend entscheidet es selbständig, ob dem Mitarbeiter eine Gehaltserhöhung gewährt wird oder nicht. Die Personen, die das Feedback-Gespräch führen, sind lediglich berechtigt, dem Mitarbeiter das Ergebnis mitzuteilen, ohne zuvor Einfluss auf den Entscheidungsprozess gehabt zu haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Das Bundesdatenschutzgesetz trifft auch Regelungen zum Scoring

Die ausdrückliche Bezeichnung als Profiling und demgemäß auch die Definition in der Datenschutz-Grundverordnung sind neu und existierten in dieser Form im alten Bundesdatenschutzgesetz nicht.

Das neue, an die Datenschutz-Grundverordnung angepasste BDSG hingegen ergänzt Artikel 22 DSGVO insofern, als es in seinem §31 BDSG (§ 28b BDSG-alt) einen Teilbereich des Profilings, nämlich das Scoring, regelt. Beim Scoring geht es um die Verwendung eines Wahrscheinlichkeitswertes über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person. § 31 bestimmt, wann ein solches Scoring zulässig ist. Klassisches Beispiel hierfür ist die Berechnung eines Score-Werts durch Auskunfteien. Hier ist jedoch darauf hinzuweisen, dass dieser Score-Wert interessierten Unternehmen lediglich auf Anfrage bereitgestellt wird, ohne dass die betroffene Person unmittelbar einer rechtlichen Wirkung ausgesetzt wird. Es handelt sich in diesen Fällen nicht um eine automatisierte Einzelentscheidung, da das anfragende Unternehmen lediglich auf Grundlage des Score-Wertes eigenständig eine Entscheidung trifft. Denkbar sind jedoch auch Fälle, in denen ein Score-Wert automatisiert berechnet, ausgewertet und als Entscheidungsgrundlage eines Computerprogramms herangezogen wird – ohne menschliches Dazwischentreten.

Daneben sieht § 37 BDSG eine weitere Ausnahme vom Verbot der automatisierten Einzelentscheidung vor. Im Einzelnen geht es darum, den Belangen der Versicherungswirtschaft Rechnung zu tragen. § 37 soll zwar insbesondere die automatisierte Abrechnung von Versicherungsleistungen der privaten Krankenversicherung ermöglichen. Begrenzt auf eine bestimmte Versicherungsbranche ist der Anwendungsbereich aber nicht.

Erwähnenswert: Die Regelungen des ehemaligen § 6a des alten BDSG finden sich nun gewissermaßen in Artikel 22 DSGVO wieder. Daher wurde § 6a gestrichen.

Profiling wird durch die DSGVO nicht per se verboten

Zur Erinnerung: Unzulässig ist das Profiling, soweit eine ausschließlich automatisch erfolgende Verarbeitung von personenbezogenen Daten erfolgt und eine darauf beruhende Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei ist angesichts des Schutzzweckes von einer weiten Auslegung dieses Begriffs auszugehen. Trotz dieser weiten Auslegung fällt etwa personalisierte Werbung nicht unter dieses Verbot, da sie keine rechtliche Wirkung entfaltet und den Betroffenen auch nicht in anderer Weise erheblich beeinträchtigt.

Zulässig ist Profiling hingegen nach Artikel 22 Absatz 2 DSGVO ausnahmsweise in folgenden drei Fällen:

Vertragsschluss/-erfüllung: Die (automatisierte) Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich. Wann diese Erforderlichkeit gegeben ist, richtet sich maßgeblich nach dem Zweck, den der Vertrag verfolgt und ist insofern immer individuell festzustellen.
Gemeint sind damit jedoch generell die Fälle, in denen der Abschluss oder die Erfüllung des Vertrages dem Willen des Betroffenen entspricht und er deshalb gerade keine Verletzung seiner Rechte und Interessen in der vollautomatisierten Verarbeitung und Entscheidung sieht. Der Begriff „erforderlich“ ist daher nicht dahingehend zu verstehen, dass zwingend eine vollautomatische Datenverarbeitung für die Erfüllung oder den Abschluss eines Vertrages (etwa im Bereich des E-Commerce) unerlässlich oder notwendig ist, sondern weniger streng dahingehend zu verstehen, dass zum Beispiel im Sinne einer Kostensenkung schnellere Vertragsabschlüsse zustande kommen können, die sich dann wiederum zum Beispiel positiv auf den Kaufpreis auswirken.

Rechtsvorschrift: Eine nationale oder unionale Rechtsvorschrift (Gesetz, Verordnung etc.) erlaubt eine oder mehrere Arten automatisierter Entscheidungen explizit und sieht gleichzeitig Maßnahmen vor, die dem Schutz der Rechte und Freiheiten betroffener Personen dienen.

Einwilligung: Die Entscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person. Hierbei ist die Beachtung des Artikel 4 Nr. 11 DSGVO (Freiwilligkeit, Unmissverständlichkeit, Informiertheit) sowie die Einhaltung des Artikel 7 DSGVO (Nachweisbarkeit, klare und einfache Sprache etc.) unerlässlich.
Erwähnt werden sollte noch, dass der Verantwortliche bei der ersten und dritten Möglichkeit angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie berechtigten Interessen der betroffenen Personen treffen muss. Betroffene Personen sollten zumindest die Möglichkeit haben die Entscheidung anzufechten, ihren eigenen Standpunkt darzulegen und zu erwirken, dass der Verantwortliche eingreift.

Außerdem gibt auch Erwägungsgrund 71 einige spezifische Vorgaben bezüglich des Profilings: So sollten Verantwortliche geeignete mathematische oder statistische Verfahren verwenden. Wichtig ist, dass technische und organisatorische Maßnahmen getroffen werden, mit denen sichergestellt wird, dass unrichtige personenbezogene Daten korrigiert werden und generell das Risiko von Fehlern minimiert wird. Zudem sollte gewährleistet sein, dass es nicht zu einer Diskriminierung bzw. einer diskriminierenden Wirkung kommt. Kinder sollten in keinem Fall betroffen sein.

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (etwa Gesundheitsdaten) ist nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder eine Einwilligung erteilt wurde.

Ein Verstoß gegen Artikel 22 DSGVO birgt das Risiko hoher Bußgelder

Direkt aus dem Wortlaut der Norm ergibt sich keine Rechtsfolge. Wohl aber bestimmt Artikel 83 Absatz 5 Buchstabe b DSGVO, dass bei einem Verstoß gegen Artikel 22 Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden können. Somit kann eine Aufsichtsbehörde den erhöhten Bußgeldrahmen der Datenschutz-Grundverordnung ausschöpfen.

Denkbar ist auch eine Ergänzung durch aufsichtsbehördliche Maßnahmen. Schließlich gewährt Artikel 58 DSGVO der Aufsichtsbehörde umfassende Abhilfebefugnisse. Berücksichtigt man den Zweck der Norm (Verhinderung vollautomatisierter Einzelentscheidungen), so erscheint es aus behördlicher Sicht sinnvoll, dem verstoßenden Unternehmen aufzutragen, die jeweilige Verarbeitung einzustellen und bereits erfolgte Verarbeitungen bzw. die darauf beruhenden Entscheidungen rückgängig zu machen. Es ist davon auszugehen, dass die zuständige Aufsichtsbehörde auf diese Instrumente zurückgreifen wird, um den Schutz personenbezogener Daten sicherzustellen.

Handlungsempfehlung für Unternehmen

Unternehmen müssen nicht ihre gesamte Profiling-Praxis ändern. Wie geschildert, wurden viele der Grundgedanken des alten § 6a BDSG durch die Datenschutz-Grundverordnung übernommen. Bezüglich der genannten Änderungen ist den verantwortlichen Unternehmen jedoch wegen der hohen Bußgeldandrohung zu empfehlen, ihre Praxis zumindest einmal und möglichst zeitnah dahingehend zu überprüfen, ob diese immer noch den gesetzlichen Anforderungen entspricht.

Entwarnung: Einen Paradigmenwechsel oder dergleichen bringt die DSGVO im Bereich des Profilings jedenfalls nicht mit sich. Unternehmen sollten jedoch vor dem Hintergrund umfassender Rechenschaftspflichten in der Lage sein, vor allem betroffenen Personen, aber auch der Aufsichtsbehörde umfassend Auskunft über die Datenverarbeitung erteilen zu können.

Die Leitlinien zu automatisierten Einzelentscheidungen und zum Profiling (WP 251) finden Sie hier.

Sie haben Fragen oder Beratungsbedarf zum Profiling? Sie benötigen weitere Informationen zur Umsetzung der Datenschutz-Grundverordnung? Sprechen Sie uns an!

nach oben
Mehr zum Thema

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.