Artikel 22 DSGVO und das Profiling

Fachbeitrag

Wir sprechen oft von Profiling, wenn wir über Marketing berichten. Wenige schreiben derzeit über Profiling und über den Zusammenhang mit Artikel 22 DSGVO. Hier gibt es noch erhebliche Unsicherheiten, denn oft fragt sich der Leser was sich genau hinter diesen Begriffen des Artikel 22 verbirgt. Dieser Beitrag soll weiterhelfen.

Was sagt Artikel 22 DSGVO?

Nach Artikel 22 Abs. 1 DSGVO hat die betroffene Person das Recht

„nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“

Entscheidungen auf Grundlage einer vollautomatisierten Verarbeitung von Daten sind somit grundsätzlich verboten. Ausnahmen dieses Verbots befinden sich in Absatz 2.

Auf einer automatisierten Verarbeitung beruhenden Entscheidung

Die „Verarbeitung“ kennen wir aus Art. 4 Nr. 2 DSGVO. Die DSGVO definiert sie als „jede mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgangs …“. Sprechen wir von der automatisierten Verarbeitung, schließen wir die nicht-automatisierte Verarbeitung personenbezogener Daten aus.

Bei der Formulierung des Artikel 22 DSGVO ist zunächst folgendes zu beachten: Es geht nicht in erster Linie um die automatisierte Verarbeitung von Daten. Gegenstand dieser Norm ist die Entscheidung, die auf der Datenverarbeitung beruht. Sinn und Zweck der Norm ist der Schutz des Betroffenen. Der Gesetzgeber wollte den Einzelnen davor schützen, einer solch (voll-)automatisierten Entscheidung unterworfen zu sein – insbesondere dann, wenn diese Entscheidung eine rechtliche Wirkung entfaltet oder den Betroffenen sonst erheblich beeinträchtigt.

In diesem Sinne liegt keine „Entscheidung“ im Sinne des Artikel 22 Abs. 1 DSGVO vor, wenn eine Verarbeitung nur das umsetzt, was bereits zuvor vertraglich vereinbart wurde. Zu nennen ist zum Beispiel die Auszahlung an Geldautomaten.

Warum wird Profiling ausdrücklich genannt?

Nach der Definition von Artikel 4 Nr. 4 DSGVO ist „Profiling“ jede Art der automatisierten Verarbeitung von Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte einer Person zu bewerten.

Artikel 22 DSGVO schweigt zu der Bewertung persönlicher Merkmale. Die DSGVO wollte jedoch klarstellen, dass der Betroffenen vor der automatisierten Entscheidungsfindung geschützt ist und dies auch die Bewertung von Persönlichkeitsprofilen umfasst. Die konkrete Einbeziehung des Profiling ist somit erforderlich, weil auch die Bewertung und Analyse von persönlichen Aspekten (s. Erwägungsgrund 71) unter diese Norm fallen soll. Profiling kann demnach als wichtigsten Fall der automatisierten Entscheidungsfindung angesehen werden.

Dies bedeutet jedoch nicht, dass Profiling per se verboten ist. Grundsätzlich ist Profiling – außerhalb des Art. 22 DSGVO – möglich, wenn dafür eine Rechtsgrundlage besteht.

Rechtliche Wirkung und erhebliche Beeinträchtigung

Ferner fordert Artikel 22 bei der Entscheidung eine rechtliche Wirkung. Diese Rechtsfolge kann für den Betroffenen von Nachteil oder von Vorteil sein, muss aber den rechtlichen Status einer Person verändern (z.B. Vertragsabschluss, Kündigung, etc.). Wirkt sich die Entscheidung nicht rechtlich aus, nennt die DSGVO die „erhebliche Beeinträchtigung“. Ob eine solche erhebliche Beeinträchtigung vorliegt, ist anhand objektiver Kriterien eines Durchschnitts-Betroffenen zu beurteilen. Hier kommt es darauf an, dass die Entscheidung eine nachhaltige Beeinträchtigung für den Betroffenen mit sich bringt.

Was bedeutet das?

In diesem Beitrag haben wir die wesentlichen Aspekte des Artikels 22 Abs. 1 DSGVO nur grob angerissen. Dies soll den Einstieg in Art. 22 DSGVO vereinfachen. Wir sehen in der Praxis oft eine große Unsicherheit, ab wann Profiling oder eine automatisierte Entscheidungsfindung vorliegt. Wir empfehlen, sich die einzelnen Merkmale anzuschauen und Schritt für Schritt zu prüfen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.