Datenschutz Verstehen – Alles über Profiling
Einleitung
In der zunehmend digitalisierten Welt gewinnen datengesteuerte Technologien wie Profiling eine immer größere Bedeutung. Doch während Profiling zweifellos Vorteile in Bezug auf Effizienz und Nutzererfahrung bietet, wirft es auch Fragen hinsichtlich des Datenschutzes und der informationellen Selbstbestimmung auf. Insbesondere in Zeiten zunehmender Sensibilität gegenüber dem Umgang mit persönlichen Daten ist es von entscheidender Bedeutung, das Phänomen des Profilings kritisch zu hinterfragen und die damit verbundenen Risiken und Chancen abzuwägen. Im folgenden Beitrag werden wir daher einen genaueren Blick auf das Konzept des Profilings werfen und dessen Bedeutung für den Datenschutz beleuchten.
Profiling Definition
Profiling bezeichnet dabei die automatisierte Verarbeitung von Daten, um bestimmte Persönlichkeitsmerkmale, Verhaltensmuster oder Interessen von Einzelpersonen zu analysieren und zu prognostizieren. Diese Praxis findet in verschiedensten Bereichen Anwendung, sei es im Marketing, in der Kriminalitätsbekämpfung oder bei der Personalisierung von Online-Diensten. Kurzum werden beim Profiling Daten über eine bestimmte natürliche Person gesammelt, um die Interaktion mit dieser Person zu verbessern.
Profiling Methoden
Im Onlinemarketing findet Profiling in der Regel mittels Tracking statt. Das Ziel dabei ist es, sich ein möglichst genaues Bild über die Nutzer machen zu können. Dadurch lässt sich ein Online-Angebot interessengerecht anpassen und generiert die Aufmerksamkeit des Nutzers. Tracking im Sinne der DSGVO ist das Nachverfolgen eines individuellen Verhaltens von Nutzern, welches auch geräteübergreifend stattfinden kann. Daten, die beim Tracking gesammelt werden, sind zum Beispiel IP-Adressen, MAC-Adressen und Seriennummern eines Mobilgeräts. Mithilfe des Trackings lassen sich somit Informationen sammeln, welche durch den Prozess des Profilings in Benutzerprofile umgewandelt werden, die u.a. für Marketingzwecke geeignet sind. Damit können Unternehmen unter anderem auch auf den Nutzer zugeschnittene Werbung schalten, weil sie analysiert und bewertet haben, für was sich der Nutzer besonders interessiert.
Eine weitere Methode der Datensammlung ist das Zusammentragen von kundenspezifischen Informationen in sog. Auskunfteien. Bei der Abfrage von Auskunfteien wird häufig ein sogenanntes Scoring-Verfahren durchgeführt. Das Verb „to score“ bedeutet dabei „Punkte erzielen“. Beim Scoring geht es um die Verwendung eines Wahrscheinlichkeitswertes über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses. Einer Person wird somit durch die Bewertung der über ihn verfügbaren Informationen ein Wert zugeordnet. Dieser kann z.B. eine Auskunft über die Zahlungsfähigkeit im Onlinehandel geben. Insofern nicht nur Adressdaten in den gebildeten Score einfließen und ein wissenschaftlich anerkanntes Verfahren der Berechnung zugrunde liegt, darf dieser ausnahmsweise zu einer automatisierten Entscheidungsfindung herangezogen werden. Jedoch gilt ein sehr enger Rahmen, sodass die Zulässigkeit der Verwendung von Scoring Modellen stets genau überprüft werden sollte.
Synonyme für Profiling
Profiling kann in verschiedenen Kontexten auch unterschiedlich bezeichnet werden, beispielsweise als;
- Klassifizierung
- Kategorisierung
- Einstufung
- Charakterisierung
Im beruflichen Kontext können Sie Profiling erkennen an diesen typischen Begrifflichkeiten:
- Persönlichkeitsanalyse
- Verhaltensanalyse
- Zielgruppenanalyse
Profiling Beispiele
Typische Beispiele für das Profiling finden sich oft in der Banken-, Immobilien- oder Versicherungsbranche, welche mögliche Risiken oftmals durch Scoring bewerten, oder die Kreditwürdigkeit und Zahlungsfähigkeit einer Person durch Bonitätsauskünfte feststellen. Die bekanntesten Auskunfteien sind wohl die Schufa oder die Creditreform.
Zur Veranschaulichung: die Tatsache, dass jemand bereits einmal einen Kredit in Anspruch genommen und ihn ordnungsgemäß zurückgezahlt hat, ist positiv. Hierfür berücksichtigt das Scoring deshalb eine bestimmte Punktezahl. Daher kann beispielsweise ein niedriges Alter dazu führen, dass weniger Punkte zu erzielen sind als bei einem höheren Alter.
Zu den meistgenutzten Tracking Tools zählen Google Analytics und Matomo. Als Websitebetreiber hilft Tracking, wie bereits zuvor genannt, bei der Personalisierung, der Website-Analyse und beim Schalten zielgerichteter Werbung. Daraus lassen sich Verbesserungen auf der Website oder Anpassungen einer Werbekampagne ableiten, um beispielsweise Webseiten kundenfreundlicher zu gestalten oder Abbrüche von Besuchern zu verringern. Weitere Beispiele sind Smart Home, Smart Traffic, Smart Pricing sowie Smart Maintenance.
Wann ist Profiling erlaubt?
Das Profiling wird in der DSGVO erstmals durch Art. 4 Nr.4 DSGVO ausdrücklich definiert, weiterhin regelt Art.22 DSGVO die Zulässigkeitsvoraussetzungen sowie die Grenzen des Profilings im Rahmen automatisierter Verfahren. Im Erwägungsgrund 71 DSGVO wird die Entstehung der zuvor genannten Vorschriften ausführlich begründet.
Demnach sollte eine betroffene Person das Recht haben, keiner Entscheidung zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, welche ausschließlich auf einer automatisierten Verarbeitung beruht und somit rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Zu einer derartigen Verarbeitung zählt auch das Profiling.
Unzulässig ist Profiling, soweit eine ausschließlich automatisch erfolgende Verarbeitung von personenbezogenen Daten erfolgt und eine darauf beruhende Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei ist angesichts des Schutzzweckes von einer weiten Auslegung dieses Begriffs auszugehen. Trotz dieser weiten Auslegung fällt etwa personalisierte Werbung nicht unter dieses Verbot, da diese keine rechtliche Wirkung entfaltet und den Betroffenen auch nicht in anderer Weise erheblich beeinträchtigt.
Jedoch ist Profiling nach Artikel 22 Absatz 2 DSGVO erlaubt, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten ausdrücklich zulässig ist, gleichzeitig sollte dieses Recht Maßnahmen vorsehen, die dem Schutz der Rechte und Freiheiten betroffener Personen dienen.
Profiling ist auch dann erlaubt, wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist. Wann diese Erforderlichkeit gegeben ist, richtet sich nach dem Zweck, den der Vertrag verfolgt und ist insofern immer individuell festzustellen. Damit sind die Fälle gemeint, in denen der Abschluss oder die Erfüllung des Vertrages dem Willen des Betroffenen entspricht und er deshalb keine Verletzung seiner Rechte und Interessen in der vollautomatisierten Verarbeitung und Entscheidung sieht. Der Begriff „erforderlich“ ist daher nicht in der Weise zu verstehen, dass zwingend eine vollautomatische Datenverarbeitung für die Erfüllung oder den Abschluss eines Vertrages (etwa im Bereich des E-Commerce) unerlässlich oder notwendig ist, sondern dahingehend, dass zum Beispiel im Sinne einer Kostensenkung schnellere Vertragsabschlüsse zustande kommen können, die sich dann wiederum zum Beispiel positiv auf den Kaufpreis auswirken.
Insofern die betroffene Person ausdrücklich ihre Einwilligung dazu erteilt hat, ist Profiling ebenfalls gestattet. Hierbei ist die Beachtung des Artikel 4 Nr. 11 DSGVO (Freiwilligkeit, Unmissverständlichkeit, Informiertheit) sowie die Einhaltung des Artikel 7 DSGVO (Nachweisbarkeit, klare und einfache Sprache etc.) erforderlich.
Weiterhin sollte erwähnt werden, dass der Verantwortliche bei der ersten und dritten Möglichkeit angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie berechtigten Interessen der betroffenen Personen treffen muss. Betroffene Personen sollten zumindest die Möglichkeit haben die Entscheidung anzufechten, ihren eigenen Standpunkt darzulegen und zu erwirken, dass der Verantwortliche eingreift.
Zudem unterliegt das Profiling sämtlichen Anforderungen der DSGVO (Erwägungsgrund 72 DSGVO). Hierzu zählt auch der Zweckbindungsgrundsatz. Danach dürfen personenbezogene Daten grundsätzlich nur für die Zwecke verarbeitet werden, für die sie erhoben wurden, Art. 6 Abs. 3 DSGVO. Eine Zweckänderung ist nach Art. 6 Abs. 4 DSGVO bei Fehlen einer Einwilligung der betroffenen Personen nur zulässig, insofern das Unternehmen eine umfassende Interessenabwägung zwischen dem neuen Verarbeitungszweck und dem ursprünglichen Zweck vornimmt, und diese zugunsten der Änderung ausfällt. Weiterhin sollte eine solche Verarbeitung angemessene Garantien beinhalten, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person sowie auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung und des Rechts auf Anfechtung der Entscheidung. Technische und organisatorische Maßnahmen sind zu treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu falschen personenbezogenen Daten führen, korrigiert werden. Ebenfalls sollte das Risiko von Fehlern minimiert werden, sowie personenbezogene Daten in einer Weise gesichert werden, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird.
Das BDSG ergänzt Artikel 22 DSGVO insofern, als es in seinem § 31 BDSG (§ 28b BDSG-alt) einen Teilbereich des Profilings, nämlich das Scoring, regelt. In § 31 wird bestimmt, wann ein solches Scoring zulässig ist. Demnach ist dies nur erlaubt, wenn der Verantwortliche die Vorschriften des Datenschutzrechts einhält und die Daten, die zur Berechnung des Wahrscheinlichkeitswerts dienen, nachweisbar erheblich sind, um die Wahrscheinlichkeit des bestimmten Verhaltens zu berechnen. Ebenfalls muss den Berechnungen ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren zugrunde liegen. Zudem dürfen für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden. Falls doch nur Anschriftendaten zum Einsatz kommen, müssen die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet und die Unterrichtung dokumentiert worden sein.
Datenschutz-Folgenabschätzung für Profiling
Eine Datenschutz-Folgenabschätzung (DSFA) ist nach der DSGVO insbesondere erforderlich bei umfangreichen Verarbeitungsvorgängen, die große Mengen personenbezogener Daten auf breiter Ebene betreffen, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, neue Technologien einsetzen, Entscheidungen auf Basis von Profiling treffen, besondere Kategorien personenbezogener Daten verarbeiten oder eine weiträumige Überwachung öffentlicher Bereiche vornehmen.
Scoring-Verfahren gehören zu den Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung (DSFA) nötig ist gem. Artikel 35 DSGVO. Außerdem zählt die sogenannte „Muss-Liste“ der Datenschutzkonferenz Scoring zu den Verarbeitungen, die einer Datenschutz-Folgenabschätzungen unterliegen.
Diese Muss-Liste heißt vollständig „Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO für den nicht öffentlichen Bereich“. Will ein Unternehmen (der „nicht öffentliche Bereich“) Scoring einführen, muss es also vorher eine Datenschutz-Folgenabschätzung vornehmen.
Wie eine DSFA auch für Profiling durchgeführt werden kann, erfahren Sie hier.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
