Der Begriff „Profiling“ meint vom Wortsinn her erst einmal die Erstellung eines Profils einer Person.

Für die Datenschützer ist jedwedes Profiling erst einmal ein Graus. Denn es bedeutet eine Zusammenführung oder Ansammlung von Informationen über eine bestimmte Person, was dazu führt, das man immer mehr über diese Person weiß und dementsprechend auch Prognosen über künftiges Verhalten o.ä. machen kann.

Profiling ist aber auch eine übliche Maßnahme im Bereich von Bonitätsbewertungen, wie bspw. der Schufa. Je mehr über eine Person bekannt ist, desto eher können auch Entscheidungen bspw. über eine Kreditvergabe getroffen werden.

In Artikel 4 Nummer 4 DSGVO wird eine so genannte Legaldefinition des Begriffs vorgenommen. Also das Gesetz definiert selbst, wie es einen Begriff verstanden haben will.

Dort heißt es:

Profiling“ ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“

Der Begriff begegnet uns wieder in Artikel 22 Absatz 1 DSGVO im Zusammenhang mit automatisierten Entscheidungsfindungen: 

„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Bei einem vertraglichen Erfordernis oder einer ausdrücklichen Einwilligung bzw. bei einer anderweitigen Rechtsgrundlage gilt das Verbot allerdings nicht (vgl. Artikel 22 Absatz 2 DSGVO).

So ist folgerichtig auch in Artikel 13 Absatz 2 f) DSGVO im Rahmen der Informationspflichten transparent über das Bestehen einer „automatisierten Entscheidungsfindung einschließlich Profiling“ zu unterrichten.

Der Erwägungsgrund Nummer 71 zur DSGVO beschäftigt sich dann ausschließlich mit dem Profiling und was daraus hinsichtlich der Auslegung und Anwendung im Rahmen der Datenverarbeitung folgt.

In Artikel 21 DSGVO wird beim besonderen Widerspruchsrecht nochmals ausdrücklich auch das Profiling genannt, gegen das widersprochen werden kann.

In Artikel 35 Absatz 3 a) DSGVO wird ausdrücklich die „automatisierte Verarbeitung einschließlich Profiling“ als einen der in der Verordnung selbst definierten Fälle genannt, in denen eine Datenschutzfolgenabschätzung vorzunehmen ist.

Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag: