CR-online.de Blog

Rechtliche Rahmenbedingungen des Profilings gemäß der DSGVO

avatar  Niko Härting

28.2.2025 – 10:42

Im März 2025 wird die 8. Auflage des Handbuchs zum Internetrecht von RA Prof. Niko Härting erscheinen. Der vorliegende Beitrag aus dem Kapitel „Datenschutzrecht“ soll dem Leser einen Einblick in das runderneuerte Werk geben. Er erläutert die rechtlichen Anforderungen und Einschränkungen des Profilings gemäß der DSGVO, insbesondere in Bezug auf automatisierte Entscheidungen, die Notwendigkeit menschlicher Intervention, die Einwilligung des Betroffenen und den Schutz besonders sensibler Daten.

 

Das Profiling wird in Art. 4 Nr. 4 DSGVO als jede Form der automatisierten Verarbeitung personenbezogener Daten definiert, die zur Bewertung bestimmter persönlicher Aspekte einer Person dient, wie etwa Arbeitsleistung, wirtschaftliche Lage oder Verhalten, um diese zu analysieren oder vorherzusagen.

Die Definition des Profilings ist weit gefasst und legt den Fokus auf die Analyse oder Prognose von Daten. Aufgrund dieser weiten Auslegung fallen auch Scoring und Screening unter diese gesetzliche Definition. Profiling wird als besonders risikoreiche Form der Datenverarbeitung betrachtet. Der Verantwortliche muss daher vorab stets eine Datenschutz-Folgeabschätzung nach Art. 35 Abs. 3 lit. a DSGVO durchführen. Darüber hinaus spielt Profiling eine zentrale Rolle beim Widerspruchsrecht (Art. 21 Abs. 1 und 2 DSGVO). Auf die durch Profiling erhobenen Daten gelten die allgemeinen Bestimmungen der DSGVO, wie das Prinzip der Datenminimierung gemäß Art. 5 Abs. 1 lit. c und das Verbot der Datenverarbeitung ohne rechtliche Grundlage nach Art. 6 Abs. 1 DSGVO.

In Erwägungsgrund 71 Satz 6 DSGVO wird die „Neutralität von Algorithmen“ betont. Wie beim Scoring gemäß § 31 Abs. 1 Nr. 2 BDSG verlangt die DSGVO für Profiling den Einsatz geeigneter mathematischer oder statistischer Verfahren und das Ausschließen diskriminierender Rechenmethoden. Das Neutralitätsgebot wird jedoch nur an dieser Stelle genannt, ohne eine konkrete Regelung oder Sanktionen für Verstöße zu bieten.

Art. 22 Abs. 1 DSGVO fordert für bestimmte Arten von automatisierten Entscheidungen, dass eine menschliche Intervention erfolgt, wenn diese Entscheidungen rechtliche Auswirkungen haben oder zu einer „erheblichen Beeinträchtigung“ des Betroffenen führen, wie es bei Scoring oder automatisierten Bewerbungsverfahren der Fall ist. Bei personalisierter Werbung ist unklar, ob eine „erhebliche Beeinträchtigung“ vorliegt. Obwohl das Profiling in Art. 22 DSGVO genannt wird, ist es nicht eindeutig, ob personalisierte Werbung ebenfalls darunter fällt.

Art. 22 Abs. 2 lit. a DSGVO erlaubt jedoch automatisierte Entscheidungen ohne menschliche Intervention, wenn sie für den Abschluss oder die Erfüllung eines Vertrages erforderlich sind, wie etwa bei vertraglich vereinbarten „automatisierten Entscheidungen“ im Rahmen von Smart-Home-Dienstleistungen. Eine Entscheidung über einen Kreditantrag ist jedoch nicht durch diese Ausnahme abgedeckt, da Scoring für den Vertragsabschluss zwar nützlich, aber nicht objektiv erforderlich ist.

Laut dem EuGH stellt auch die Entscheidung einer Wirtschaftsauskunftei, einen Scorewert zu ermitteln, der maßgeblich über den Abschluss eines Vertrags entscheidet, bereits eine automatisierte Entscheidung im Einzelfall dar (Art. 22 Abs. 1 DSGVO).

Art. 22 Abs. 2 lit. c DSGVO gestattet Profiling auf Grundlage einer ausdrücklichen Einwilligung, wobei im Gegensatz zu Art. 7 Abs. 1 i.V.m. Art. 4 Nr. 11 DSGVO eine konkludente Einwilligung nicht ausreicht.

Selbst wenn Profiling für den Vertragsabschluss oder auf Grundlage einer ausdrücklichen Einwilligung zulässig ist (Art. 22 Abs. 2 lit. a und c DSGVO), muss dem Betroffenen nach Art. 22 Abs. 3 DSGVO das Recht eingeräumt werden, eine Person zur Überprüfung der Entscheidung einzuschalten, den eigenen Standpunkt zu erklären und die Entscheidung anzufechten. Zudem ist das Profiling auf der Grundlage besonders sensibler Daten gemäß Art. 9 DSGVO nur mit ausdrücklicher Einwilligung des Betroffenen zulässig. Daten von Minderjährigen sollen gemäß Erwägungsgrund 71 Satz 5 DSGVO beim Profiling nicht verwendet werden.

Anzeige:

Mehr zum Autor: RA Prof. Niko Härting ist namensgebender Partner von HÄRTING Rechtsanwälte, Berlin. Er ist Mitglied der Schriftleitung Computer und Recht (CR) und ständiger Mitarbeiter vom IT-Rechtsberater (ITRB) und vom IP-Rechtsberater (IPRB). Er hat das Standardwerk zum Internetrecht, 6. Aufl. 2017, verfasst und betreut den Webdesign-Vertrag in Redeker (Hrsg.), Handbuch der IT-Verträge (Loseblatt). Zuletzt erschienen: "Datenschutz-Grundverordnung".
Beitrag von Niko Härting vom – 10:42. Rubrik: Datenschutz, Datenschutz (Kap. A), Stichwörter: , , , . Lesezeichen: Permalink. Kommentare: RSS-Feed. Trackbacks sind deaktiviert, aber Sie können einen Kommentar schreiben.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.


Twitter, Facebook, ...
Service
© Verlag Dr. Otto Schmidt, Köln