Profiling
Profiling ist jede automatisierte Verarbeitung personenbezogener Daten, mit der persönliche Aspekte einer Person bewertet, analysiert oder vorhergesagt werden, etwa Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Verhalten oder Aufenthaltsort.
Profiling bezeichnet nach Art. 4 Nr. 4 DSGVO jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, diese Daten zu verwenden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Dazu zählen insbesondere Analysen oder Vorhersagen zu Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel. Entscheidend ist das bewertende, prognostizierende Element: Aus vorhandenen Daten werden Rückschlüsse auf Eigenschaften oder künftiges Verhalten gezogen, die über die bloße Speicherung oder Auflistung hinausgehen.
Profiling ist selbst keine eigenständige Rechtsgrundlage, sondern eine Verarbeitungsform, die wie jede andere Verarbeitung einer Rechtsgrundlage nach Art. 6 DSGVO bedarf und den allgemeinen Grundsätzen des Art. 5 DSGVO unterliegt, insbesondere Zweckbindung, Datenminimierung, Transparenz und Datenrichtigkeit. Verantwortliche müssen betroffene Personen nach Art. 13 und 14 DSGVO über das Bestehen eines Profilings informieren und ihnen die Tragweite und die angestrebten Auswirkungen verständlich machen. Werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO einbezogen, etwa Gesundheits- oder Gewerkschaftsdaten, gelten zusätzlich verschärfte Anforderungen.
Eine besondere rechtliche Grenze zieht Art. 22 DSGVO: Führt Profiling zu einer ausschließlich automatisierten Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung, ist dies grundsätzlich untersagt und nur in engen Ausnahmefällen zulässig, etwa bei ausdrücklicher Einwilligung, Vertragserforderlichkeit oder gesetzlicher Erlaubnis mit geeigneten Schutzmaßnahmen. Betroffene haben nach Art. 21 DSGVO ein Widerspruchsrecht gegen Profiling, das auf einem berechtigten Interesse oder einer Aufgabe im öffentlichen Interesse beruht, und beim Direktmarketing-Profiling ein unbedingtes Widerspruchsrecht. Umfangreiches oder besonders eingriffsintensives Profiling löst regelmäßig die Pflicht zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO aus.
Rechtliche Grundlage
Art. 4 Nr. 4, Art. 5, Art. 6, Art. 13/14, Art. 21, Art. 22 DSGVO
Praxisbeispiel
Ein Online-Versandhändler wertet Kaufhistorie, Klickverhalten und Zahlungsdaten automatisiert aus, um jedem Kunden eine Bonitäts- und Betrugsrisiko-Punktzahl zuzuweisen, die über die angebotenen Zahlungsarten entscheidet. Als Datenschutzkoordinatorin prüfen Sie zunächst die Rechtsgrundlage, dokumentieren das Profiling im Verarbeitungsverzeichnis und ergänzen die Datenschutzerklärung um eine verständliche Erläuterung der Logik und Tragweite. Weil die Score-Vergabe über den Vertragsabschluss mitentscheidet, klären Sie ab, ob Art. 22 DSGVO greift, führen eine Datenschutz-Folgenabschätzung durch und richten ein Verfahren ein, mit dem betroffene Personen eine menschliche Prüfung, eine Darlegung ihres Standpunkts und eine Anfechtung der Entscheidung verlangen können.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren