Sind Sie auf die Datenschutz-Grundverordnung zum Thema Profiling vorbereitet?

Die Datenschutz-Grundverordnung der EU (DSGVO) tritt im Mai 2018 in Kraft. Die Verordnung betrifft die automatisierte Bewertung von Kunden und legt Regeln für automatisierte Kreditentscheidungen fest. Was bedeutet das für Sie und Ihre Kunden?

Die neue Verordnung bringt neue betriebliche Anforderungen für Unternehmen in Bezug auf den Umgang mit personenbezogenen Daten mit sich und muss ab Mai 2018 von Unternehmen und Organisationen angewendet werden. Außerdem steht in der Verordnung, wie Personen, wie beispielsweise Kunden oder Antragsteller, per Datenverarbeitung (auch Profiling genannt) automatisiert bewertet werden.

Was ist Profiling?

Im Allgemeinen dient das Profiling dazu, das zukünftige Verhalten einer Person, zum Beispiel anhand ihrer bisherigen Aktionen, vorherzusagen. In der DSGVO wird Profiling als automatisierte Verarbeitung personenbezogener Daten zur Bewertung der Persönlichkeit beschrieben, wenn diese rechtliche Folgen für die Person hat. So kann die Bewertung beispielsweise die berufliche Leistung, wirtschaftliche Situation, persönlichen Vorzüge und Interessen, Zuverlässigkeit oder das zukünftige Verhalten einer Person betreffen.

In der DSGVO wird Profiling als automatisierte Verarbeitung personenbezogener Daten zur Bewertung der Persönlichkeit beschrieben, wenn diese rechtliche Folgen für die Person hat.

Für Sie ist es wichtig zu wissen, dass gemäß der DSGVO das Profiling von Personen weiterhin ohne ihre Einwilligung möglich ist.

Doch es gibt einige Ausnahmen.

Laut Verordnung handelt es sich nur dann um Profiling, wenn die Datenverarbeitung vollständig automatisiert ist. Das bedeutet, dass eine Bewertung, die manuelle Schritte enthält, gemäß der Verordnung nicht mehr als Profiling gilt. Darüber hinaus gilt die Verarbeitung von Daten, die nicht als Eigentum einer bestimmten Person zugeordnet werden können, nicht als Profiling.

Die Tatsache, dass eine Entscheidung mit rechtlichen oder anderweitig beträchtlichen Folgen für die Person auf Basis der Bewertung getroffen werden muss, ist ein wesentlicher Bestandteil des Profilings. In der Verordnung wird nicht spezifiziert, wie diese Entscheidungen in der Praxis aussähen. Konkret werden durch die DSGVO zumindest die automatisierten Kreditentscheidungsmodelle für Verbraucher zur Bewertung der Kreditfähigkeit und des zukünftigen Zahlungsverhaltens eines Antragstellers sowie für die Entscheidung, ob ein Kredit gewährt oder abgelehnt wird, als Profiling geregelt.

Der Schutz persönlicher Rechte ist wichtig

Die Verarbeitung personenbezogener Daten und das Profiling von Personen sind nur möglich, wenn die Anforderungen der DSGVO (Artikel 6) erfüllt werden. In der Praxis sind typische Gründe für eine Datenverarbeitung zum Beispiel die Einwilligung einer Person oder ein gemeinsamer Vertrag. 

In der DSGVO werden die Rechte einer Person bei der automatisierten Verarbeitung personenbezogener Daten umfassend abgedeckt.

  • Personen haben das Recht, über die Nutzung ihrer Daten zu Profiling-Zwecken informiert zu werden. Laut der DSGVO (Artikel 13 und 14) sind Unternehmen dazu verpflichtet, ihre Profiling-Absicht anzukündigen und die zugehörigen Fakten über die Logik, Bedeutung und potenziellen Folgen dieses Profilings darzulegen. Personen haben das Recht, die gleichen Informationen auf Basis des Auskunftsrechts der betroffenen Person zu erhalten (Artikel 15). Die Logik und Bedeutung des Profilings kann für Kunden etwa anhand von Beispielen veranschaulicht werden.
  • Gegen die Verarbeitung personenbezogener Daten und somit das Profiling darf Widerspruch eingelegt werden (Artikel 21), wenn die Datenverarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (Punkt (e) von Artikel 6.1) oder wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist (Punkt (f) von Artikel 6.1). Somit erstreckt sich das Profiling-Recht nicht auf Situationen, in denen das Profiling erfolgt, um einen Vertrag mit der Person einzugehen – wie es bei Kreditentscheidungen der Fall ist.
  • Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Artikel 22). Eine Ausnahme zu diesem Recht ist ebenso jede Situation, in der das Profiling und die anschließende Entscheidungsfindung für einen Vertrag zwischen einer Person und einem Unternehmen erforderlich sind oder wenn dies mit der Einwilligung der Person erfolgt, (siehe dazu im einzelnen Artikel 22, Absatz 2, DSGVO sowie Paragraph 37, BDSG-neu). Das Profiling zum Zwecke einer Kreditentscheidung ist von dieser Voraussetzung nicht ausgeschlossen.

Unabhängig vom vorliegenden Fall muss der Kreditgeber stets die Rechte der Person schützen. Der Kreditantragsteller muss mindestens das Recht haben zu verlangen, dass der Antrag zum Beispiel von einer natürlichen Person anstelle des automatisierten Systems bearbeitet wird. Eine zweite Bearbeitung des Antrags bedeutet nicht, dass das Ergebnis automatisiert anders ausfallen würde.

Hinweis auf die Leitlinien der Artikel-29-Datenschutzgruppe

Die Artikel-29-Datenschutzgruppe ist ein Mitbestimmungsorgan bestehend aus den Vertretern der nationalen Aufsichtsbehörden in den EU-Mitgliedsstaaten. Es formuliert und veröffentlicht Leitlinien für die Datenschutz-Grundverordnung. Diese spielen bei der Auslegung der DSGVO eine wichtige Rolle. Bislang wurden drei Leitlinien zum Recht auf Datenübertragbarkeit, in Bezug auf Datenschutzbeauftragte (DSB) und in Bezug auf die leitende Aufsichtsbehörde veröffentlicht.

In den Artikeln der DSGVO wird nicht näher spezifiziert, was tatsächlich unter einer Entscheidung mit rechtlichen oder anderweitig beträchtlichen Folgen für die Person zu verstehen ist. Dies ist ein besonders wichtiger Grund, um in Zukunft verstärkt auf die Leitlinien der Artikel-29-Datenschutzgruppe zu achten.

Unternehmen sollten ihre Prozesse prüfen und Situationen identifizieren, die zu Profiling gemäß der Verordnung führen (d. h. Bewertung der Persönlichkeit und eine Entscheidung mit Auswirkungen für die Person). Ab Mai 2018 muss sichergestellt werden, dass die betroffene Person, bei der ein Profiling durchgeführt wurde, die Möglichkeit hat, ihre Meinung zu äußern, die Entscheidung ggf. anzufechten und die Angelegenheit manuell bearbeiten zu lassen. Darüber hinaus muss sichergestellt werden, dass die Informationspflicht über Profiling gemäß der DSGVO eingehalten wird.

Zehn Tipps für eine optimale Vorbereitung auf die DSGVO

Lesen Sie hier unsere zehn Tipps für eine optimale Vorbereitung auf die DSGVO.