Datenanalyse, Profiling und Datenschutz

Die DSGVO beinhaltet umfassende ­Regelungen zu Profiling. Auf Verantwortliche kommen ­deshalb zusätzliche Pflichten zu. Von Katharina Bisset und Nina Dallinger.

Big Data wird von vielen Unternehmen eingesetzt, um umfassende Datenmengen erheben, verarbeiten und selbstverständlich im eigenen System auch speichern zu können. Aus diesem Vorgang heraus können Analysen für Prozesse im eigenen Unternehmen, Auswertungen für das Verhalten der Kunden sowie auch automatisierte Entscheidungsfindungen erstellt werden.

Ein bekanntes Beispiel einer automatisierten Entscheidungsfindung ist das Profiling. Beim Profiling werden persönliche Aspekte herangezogen, um sie zu bewerten – das kann verschiedenste Themen betreffen, etwa die Gesundheit, die finanzielle Leistungsfähigkeit oder Interessen. Das besondere an Profiling ist, dass es hier zu Rechtswirkungen gegenüber Betroffenen kommt (wie zum Beispiel Entscheidungen über Verträge) oder diese in ähnlicher Weise erheblich beeinträchtigt werden (Art. 22 DSGVO) – umgangssprachlich auch »böses Profiling« genannt.

Die DSGVO kennt umfassende Regelungen zu Profiling. Auf Verantwortliche, die dies durchführen, kommen zusätzliche Pflichten zu:

- Keine automatisierte Entscheidungsfindung: Betroffene haben das Recht, dass sie einer solchen Entscheidung nicht unterworfen werden, wenn diese Entscheidung rechtliche Wirkung entfaltet oder Betroffene ähnlich erheblich beeinträchtigt. Ausgekommen hiervon sind Fälle, in denen diese Entscheidung für die Vertragserfüllung erforderlich ist, es eine Rechtsgrundlage gibt oder eingewilligt wurde.

- Erweiterte Informations- und Auskunftspflichten: Bei automatisierter Entscheidungsfindung inklusive Profiling müssen die Betroffenen informiert werden, wie die Logik hinter der Entscheidungsfindung funktioniert und welche Auswirkungen diese Entscheidungen haben können.

- Widerspruchsrecht: Betroffene können Profiling widersprechen, insbesondere auch, wenn die Daten zum Zweck der Direktwerbung analysiert wurden. In allen anderen Fällen müssen Verantwortliche, wenn sie diese Daten weiterverarbeiten wollen, die Gründe und Interessen hierfür umfassend nachweisen und argumentieren.

- Angemessene Maßnahmen: Verantwortliche müssen sicherstellen, dass die Rechte der Betroffenen geschützt werden – das heißt, dass diese automatisierte Entscheidungsfindung nicht missbraucht oder manipuliert wird und auf Entscheidungen eingewirkt werden kann und diese angefochten werden können.

- Datenschutz-Folgenabschätzung (DSFA): Diese muss jedenfalls erstellt werden, wenn eine automatisierte Verarbeitung inklusive Profiling vorliegt und Rechtswirkungen oder ähnliche Beeinträchtigungen der Betroffenen entfalten.

Tracking als Basis für Profiling

Vor allem im Online-Marketing ist das »Tracking« die Basis, um sich dadurch ein möglichst genaues Bild über die Nutzer*innen zu erstellen und somit das Online-Angebot interessengerecht anzupassen. Hier ist wichtig zu beachten, dass Betroffene bereits dem Tracking zustimmen müssen und als Konsequenz auch über die darin enthaltene automatische Entscheidungsfindung und Möglichkeit des Widerrufs informiert werden.

Wenn das Tracking in Zusammenhang mit Marketing oder Direktwerbung durchgeführt wird, muss sichergestellt werden, dass es auch zu keiner sonstigen erheblichen Beeinträchtigung von Betroffenen kommt – zum Beispiel, weil die Daten über Kaufverhalten Einfluss auf die Kreditwürdigkeit nehmen.

Tipps für die Praxis

Bevor (personenbezogene) Daten automatisch analysiert werden, sollte man sich genau überlegen, welche Daten man wirklich zur Analyse benötigt, wozu und wie diese Daten verarbeitet werden, ob die Entscheidung rechtliche Wirkung gegenüber Betroffenen hat oder diese negativ beeinträchtigt, und ob die technischen Vorkehrungen und formellen Pflichten (Informationen, DSFA) eingehalten wurden.