Die EU-Datenschutzgrundverordnung (EU-DSGVO) wird am 25.Mai 2018 gültig und enthält wichtige Neuerungen für Unternehmen. Änderungen finden sich auch im Bereich des Profilings.
So wird das Profiling in der DSGVO definiert, ein eigener Artikel regelt die Zulässigkeitsvoraussetzungen und Grenzen des Profilings im Rahmen automatisierter Verfahren. Andererseits enthalten die Regelungen der DSGVO auch gewisse Übereinstimmungen zu bisherigen Grundentscheidungen des BDSG, sodass es für Unternehmen v.a. gilt zu erfahren, welche Praktiken bezüglich des Profilings auch nach Mai 2018 beibehalten werden können und welche Praktiken sich ändern müssen. Bereits jetzt sollten Unternehmen gegebenenfalls die Umstellung ihrer Profilingsysteme vornehmen, um Anpassungsschwierigkeiten zu entgehen. Dies gilt umso eindringlicher vor dem Hintergrund der hohen Bußgelddrohungen der DSGVO.
Hintergrund
Grundsätzlich beschreibt das Profiling die (automatisierte) Erstellung von Profilen. Im Zusammenhang mit webbasierten Systemen handelt es sich dabei v.a. um die Erstellung von Nutzerprofilen auf der Grundlage automatisch erhobener personenbezogener Daten, unter Bewertung persönlicher Aspekte (Alter etc.). Dies dient unter anderem der Optimierung von Kundenangeboten z.B. im Bereich des E-Commerce. Art. 4 Nr.4 DSGVO definiert Profiling demgemäß wie folgt:
„Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“
Eine „Bewertung von bestimmten persönlichen Aspekten“ erfolgt nach der Literatur durch die vollautomatisierte Entscheidung dann, wenn sie nicht auf der durch personenbezogene Daten bzw. Persönlichkeitsaspekte repräsentierten Information, sondern auf deren Interpretation fußt. Das Ergebnis einer solchen Bewertung können konkrete Handlungsempfehlungen z.B. für eine Kaufentscheidung sein.
Profiling im Bundesdatenschutzgesetz
Die ausdrückliche Bezeichnung als „Profiling“ und demgemäß auch die Definition in der DSGVO sind neu und existierten in dieser Form im BDSG nicht. Jedoch darf bspw. nach § 28 b BDSG das sog. Scoring durchgeführt werden, wonach zur Begründung, Beendigung oder Durchführung eines Vertragsverhältnisses ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten erhoben oder verwendet werden darf. Allerdings sieht § 28b BDSG eine automatisierte Vorselektion vor, wobei die eigentliche Wahrscheinlichkeitsberechnung auch manuell erfolgen kann. Demgegenüber verbietet § 6a BDSG jegliche Form der vollautomatisierten Datenverarbeitung (mit Ausnahme der beiden in §6a Abs.2 BDSG geregelten Fälle des Vertragsschlusses und der überwiegenden Interessen). Letztlich enthält das BDSG damit einzelne Elemente des Profilings bereits, ohne sie ausdrücklich zu benennen.
Wieso wird das Profiling jetzt gesondert geregelt?
Aufgrund des rasanten technologischen Fortschritts haben sich die vielfältigen Möglichkeiten der automatisierten Datenverarbeitung erweitert, sodass diese nicht mehr einzeln geregelt werden können. Daneben soll gerade vor dem Hintergrund der technischen Entwicklung gemäß Art. 22 Abs.1 DSGVO verhindert werden, dass die betroffene Person „einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen (wird), die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Erwägungsgrund 71 der Datenschutzgrundverordnung nennt als Beispiel die ausschließlich automatische Entscheidung über einen Online-Kreditantrag oder sogar über ein Online-Einstellungsverfahren. Dieser Regelungszweck ist genauer zu untersuchen um die rechtlichen Grenzen des Profiling zu ermitteln.
Wann ist das Profiling gemäß Art. 22 DSGVO zulässig?
Art. 22 Abs.1 stellt grundsätzlich die Verwirklichung des Profiling-Verbotes gemäß Erwägungsgrund 71 der DSGVO dar. Demgemäß ist das Profiling unzulässig, soweit eine ausschließlich automatisch erfolgende Verarbeitung personenbezogener Daten erfolgt und diese Verarbeitung rechtliche oder ähnliche Wirkung für den Betroffenen entfaltet. Dabei ist angesichts des Schutzzweckes von einer weiten Auslegung der „rechtlichen oder ähnlichen Wirkung“ auszugehen. Dennoch fällt personalisierte Werbung nicht unter das Verbot des Art. 22 Abs.1, da eine solche Werbung gänzlich keine rechtliche oder ähnliche Wirkung für den Betroffenen entfaltet.
Zu berücksichtigen ist, dass gemäß Art. 22 Abs.1 DSGVO ein Verbot der „ausschließlich“ auf der Grundlage erfolgenden Verarbeitung personenbezogener Daten erfolgt. Zwar enthält die DSGVO keine ausdrückliche Regelung darüber, wann eine Datenverarbeitung zulässig sein soll, die nicht „ausschließlich“ automatisch erfolgt, jedoch enthält Erwägungsgrund 71 hierzu Hinweise: Demgemäß soll der Verantwortliche (das datenverarbeitende Unternehmen) „geeignete mathematische oder statistische Verfahren für das Profiling verwenden“ sowie, „technische und organisatorische Maßnahmen treffen“ um Transparenz, Richtigkeit und Diskriminierungsfreiheit der Datenverarbeitung zu ermöglichen.
Dieses Erfordernis lässt sich damit begründen, dass gerade die Transparenz ohne geeignete mathematisch-technische Vorgaben aufgrund des Betroffenseins von Betriebsgeheimnissen (die der Datenerhebung z.B in Form von Optimierungsanalysen zugrunde liegen) andernfalls nur schwerlich gewährleistet werden kann. In Verbindung mit Art. 5 Abs.1 lit d und e DSGVO wird man diesen Anforderungen die Pflicht zur regelmäßigen Überprüfung der vollautomatisierten Profilbildung entnehmen können. Durch das Verbot der „ausschließlich“ automatischen Datenverarbeitung mit rechtlicher Auswirkung gemäß Art. 22 Abs.1 DSGVO ändert sich in der unternehmerischen Praxis jedoch wenig im Vergleich zur auch nach der bisherigen Rechtslage gemäß §6a BDSG verbotenen ausschließlich automatischen Datenerhebung.
Daneben bestehen von dem grundsätzlichen Verbot des Profilings Ausnahmen gemäß Art. 22 Abs. 2 DSGVO.
So ist das Profiling gemäß Art. 22 Abs.2 Nr.1 a zulässig, soweit es „für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich“ ist.
Gemeint sind damit v.a. Fälle in denen der Abschluss oder die Erfüllung des Vertrages dem Willen des Betroffenen entsprechen und er deshalb gerade keine Verletzung seiner Rechte und Interessen in der vollautomatisierten Verarbeitung sieht. Der Begriff „erforderlich“ ist daher nicht dahingehend zu verstehen, dass zwingend eine vollautomatische Datenverarbeitung für die Erfüllung oder den Abschluss eines Vertrages (etwa E-Commerce) unerlässlich oder notwendig ist, sondern weniger streng dahingehend zu verstehen, dass z.B. im Sinne der Senkung der Geschäftsprozesskosten schnellere (beidseitig gewollte) Vertragsabschlüsse zustande kommen können, die sich dann wiederum positiv auf den Kaufpreis auswirken.
Weiterhin gewährt Art. 22 Abs.2 b die Zulässigkeit von vollautomatisch zustande gekommenen Entscheidungen, wenn diese nach dem Recht der Europäischen Union oder eines Mitgliedstaates zulässig ist. Dem deutschen Gesetzgeber werden durch diese Öffnungsklausel Möglichkeiten eröffnet Einzelentscheidungen, die im Wege des Profilings zustande kommen für zulässig zu erklären. Unternehmen sollten entsprechende Entwicklungen der nationalen Gesetzgebung daher verfolgen und sich im Zweifel zeitnah beraten lassen.
Erwägungsgrund 71, der wie alle Erwägungsgründe, bei der Auslegung der DSGVO stets heranzuziehen ist erlaubt zudem nationalen Aufsichtsbehörden Betrug und Steuerhinterziehung mittels vollautomatisierter Entscheidungen zu überwachen. Gleiches gilt für voll automatisierte Systeme, die der Überprüfung der Sicherheit und Zuverlässigkeit von Diensten des datenerhebenden Unternehmens dienen.
Artikel 22 Abs.2 c erlaubt die automatisierte Entscheidung zudem dann, wenn der Betroffene eingewilligt hat. Diese Einwilligung muss ausdrücklich erfolgen und muss zudem den Anforderungen des Art. 4 Nr.11 (v.a. Freiwilligkeit, Unmissverständlichkeit, Informiertheit) und des Art. 7 (v.a Nachweispflicht des Unternehmens, Einholen der Einwilligung durch einfache verständliche Sprache, z.B. durch eine Datenschutzerklärung) genügen.
Art. 22 Abs.3 DSGVO sieht für die Fälle der Zulässigkeit der voll automatischen Verarbeitung gemäß Art. 22 Abs. 2 a) (Vertragsabschluss- und Erfüllung) und c) (Einwilligung) Sicherungsmaßnahmen seitens des Unternehmens zur Wahrung der Rechte der betroffenen Person vor. Dazu gehören v.a. ein Anfechtungsrecht, ein Recht auf Darlegung des eigenen Standpunktes sowie v. a .das Recht auf Beteiligung einer natürlichen Person an der Entscheidungsfindung. (Hinweis: Diese Regelung besteht auch nach der aktuellen Rechtslage gemäß § 6a Abs.2 BDSG bezieht sich dort aber gerade auf den Fall der Unzulässigkeit der automatisierten Datenerhebung und ermöglichte somit erst deren Zulässigkeit). Die Regelung des Art. 22 Abs.3 DSGVO setzt Erwägungsgrund 71 um, der entsprechende Garantien sowie eine Mitteilung der erfolgten automatisierten Datenverarbeitung an den Betroffenen verlangt. Dieser Mitteilungspflicht müssen Unternehmen dringend nachkommen, wenn sie sich auf einen der Ausnahmetatbestände des Art. 22 Abs.2 a) und c) berufen wollen.
Wichtig ist zudem, dass Erwägungsgrund 71 verlangt, dass vom Profiling und jeder anderen Form der automatisierten Datenverarbeitung kein Kind betroffen sein sollte.
Art. 22 Abs.4 DSGVO verbietet die Verbreitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs.1 (v.a. besonders sensible personenbezogene Daten, z.B. über die Herkunft).
Verstoß gegen Art. 22 Abs. 1 DSGVO: Rechtliche Folgen
Aus dem Wortlaut der Norm wird nicht ersichtlich ob Rechtsfolge des Verstoßes ein Löschungsanspruch, Berichtigungsanspruch oder Unterlassungsanspruch etc. ist. Sinn und Zweck der Norm – Verhinderung vollautomatisierter Entscheidungen- kann aber wohl am ehesten durch eine Unterlassungs- in Verbindung mit einem Anspruch auf Aufhebung erreicht werden. Welche weiteren Rechtsfolgen ein Verstoß gegen die Norm nach sich zieht, wird sich infolge der Konkretisierung durch die Rechtsprechung zeigen. Darüber hinaus kann es wie bei allen Verstößen gegen die Betroffenenrechte zur Verhängung eines Bußgeldes gemäß der Artikel 83ff. DSGVO kommen.
Welche Anwendungsbereiche verbleiben für das Profiling v.a. in Verbindung mit Big Data?
Die o.g. genannten Ausnahmen vom grundsätzlichen Profilingverbot eröffnen einen breiten Anwendungsspielraum für das Profiling v.a. in Verbindung mit Big Data. Erwägungsgrund 72 weist den europäischen Datenschutzausschuss zur Erarbeitung von Leitlinien zum Profiling an. Für Unternehmen gilt es daher auch die Veröffentlichung dieser Leitlinien abzuwarten und sich auch insoweit im Zweifel rechtzeitig beraten zu lassen.
Ausblick
Unternehmen müssen nicht ihre gesamte Praxis bezüglich des Profilings ändern. Wie geschildert bleiben viele der bisherigen Grundgedanken des §6a BDSG auch nach Inkrafttreten der DSGVO in Kraft. Bezüglich der genannten Änderungen ist jedoch wegen der hohen Schadensersatzpflichten bei Verstößen nach der DSGVO eine rechtzeitige Auseinandersetzung mit den bevorstehenden Änderungen dringend zu empfehlen.