Profiling gemäß Art. 22 DSGVO

Im Online-Marketing sind sie allgegenwärtig: Maschinell erhoben und automatisch zusammengefügte Profile, die sich zusammensetzen aus unterschiedlichen persönlichen Daten des Nutzers. Ausgehend von ebensolchen lassen sich Werbekampagnen aussteuern, Prozesse auf den Anwender individualisieren oder sogar Bewertungen und Einschätzungen über den potenziellen Kunden vornehmen.  Angesichts der Tatsache, dass schon Cookies als Nutzerprofile angesehen werden können, stellt sich umso drängender die Frage welche Vorgaben und Bedingungen sich einer solchen Verarbeitung aus der DSGVO ergeben.

Der Profiling Begriff der DSGVO

Werden personenbezogene Daten verarbeitet, um automatisierte Bewertungsprozesse durchzuführen, könnte es sich um das so genannte Profiling gem. Art 4 Nr. 4 DSGVO handeln, denn dort steht:

„Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, um bestimmte persönliche Aspekte (…) zu bewerten.“

Erfüllt sind diese Bedingungen dann, wenn eingangs beschriebene Nutzerprofile zur Analyse oder Gewichtung der individuellen Merkmale herangezogen werden. Dabei wird maßgeblich auf den notwendigen Personenbezug abgestellt, dieser liegt üblicherweise dann vor, wenn Daten vorliegen, die Art. 4 Nr. 1 DSGVO unterfallen, also sich zur direkten oder indirekten Identifizierung einer natürlichen Person eignen.

Keine automatische Entscheidungsfindung

Dreh- und Angelpunkt bei der Bewertung der Zulässigkeit einer Verarbeitung in Form eines Profilings ist der Art. 22 DSGVO. Im ersten Absatz heißt es dort:

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Demnach ist also nicht die Bildung von Nutzerprofilen selbst als problematisch anzusehen, sondern vielmehr die Verwendung dieser Profile. Sobald diese herangezogen werden um automatisiert, also ohne händische Kontrolle einer natürlichen Person, über den Abschluss eines Rechtsgeschäftes zu entscheiden, liegt eine Unzulässigkeit vor. In Erwägungsgrund 71 s. 1 der DSGVO werden die Hintergründe näher ausgeführt und mit einem Beispiel beschrieben:

„(…)  wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.“

Persönliche Angaben, wie z.B. der Wohnort, das Geschlecht oder Einkommensverhältnisse dürfen demnach nicht zum automatischen Ausschluss des Nutzers von einem Vertragsschluss führen. Lediglich unter den Ausnahmebedingungen von Art. 22 Abs. 2 DSGVO ist dies möglich, doch ist davon auszugehen, dass im Regelfall, insbesondere aber im Online Bereich weder die Erforderlichkeit einer automatischen Entscheidungsfindung noch gesetzliche Ausnahmetatbestände oder die Einwilligung des Betroffenen vorliegt.

Scoring als Teilbereich des Profilings

Auch wenn die DSGVO vorrangig zu behandeln ist, so kann diese teilweise doch durch nationales Recht ergänzt werden. Im Falle des Profilings hat der deutsche Gesetzgeber von einer solchen Öffnungsklausel Gebrauch gemacht. So stellt § 31 Abs. 1 BDSG (neu) fest, dass vom strikten Wortlaut der DSGVO abgewichen werden kann, wenn sogenanntes Scoring vorliegt. Hierbei handelt es sich üblicherweise um klassische Tätigkeiten von Auskunfteien, wie etwa solche der SCHUFA.

Sofern nicht einfach nur Adressdaten in den gebildeten Score einfließen und ein wissenschaftlich anerkanntes Verfahren der Berechnung zugrunde liegt, darf dieser ausnahmsweise zu einer automatisierten Entscheidungsfindung herangezogen werden. Es gilt jedoch ein recht enger Rahmen, sodass die Zulässigkeit der Verwendung von Scoring Modellen stets genau überprüft werden sollte.

Was bedeutet das konkret?

Zusammengefasst ergibt sich bezüglich des Profilings folgendes Bild: Die DSGVO gestattet es zwar durchaus Nutzerprofile anzulegen und zu statistischen Zwecken können diese ggf. auch ausgewertet und verwendet werden (Achtung: Auch hier bräuchte es eine Rechtsgrundlage, z.B. die Einwilligung des Betroffen oder ein berechtigtes Interesse, wie etwa bei Cookies). Allerdings ist es grundsätzlich untersagt, von derartigen Profilen die Entscheidung über einen Vertragsschluss abhängig zu machen. Lediglich bei Vorliegen des Ausnahmetatbestandes des Scorings gem. § 31 Abs. 1 BDSG (neu) existiert zumindest im deutschen Recht eine weniger rigide Auffassung.

Zum Profiling abschließend zwei Beispiele: Der Betreiber eines Online-Shops darf den Kaufabschluss nicht abhängig machen von automatisiert verknüpften, personenbezogenen Daten. Es verbietet sich etwa eine Blacklist zu betreiben, die individuelle Personen ausschließt, wenn etwa deren Wohnort, Einkommensverhältnisse und/ oder soziodemographischen Daten eine schlechte Prognose erwarten lassen.  Ebenso bedenklich wären Bonus- oder Gratisprogramme, die einem Kunden oder Arbeitnehmer automatisch einen höheren Rang zuordnen, wenn dessen personenbezogene Daten eine positive Entwicklung nahelegen.

Sollten Sie dazu oder zur Zulässigkeit des Scorings weitere Fragen haben, freuen wir uns auf Ihre Kontaktaufnahme.