DSGVO und Profiling

Was ist Profiling?

Profiling kann als Datenverarbeitung charakterisiert werden wenn es eine automatisierte Verarbeitung personenbezogener Daten ist. Die Verwendung dieser Daten wird zur Bewertung bestimmter persönlicher Aspekte im Zusammenhang mit einer natürlichen Person genutzt, mit dem Ziel, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen.

Profiling wird durch mehr als nur die Erhebung von personenbezogenen Daten definiert. Es ist die Verwendung von Daten, um bestimmte Aspekte im Zusammenhang mit dem Individuum zu bewerten. Der Zweck ist, das Verhalten des Individuums vorherzusagen und Entscheidungen darüber zu treffen. Im Rahmen von E-Mail Marketing kann es die Wahl sein, eine gezielte E-Mail Kampagne anstelle einer anderen zu senden.

Profiling kann durch 3 spezifische Elemente definiert werden:

a) Es ist eine automatisierte Form der Datenverarbeitung b) Es wird bei personenbezogenen Daten durchgeführt c) Ziel ist es, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, um ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen.

Ist Profiling unter der Datenschutz-Grundverordnung erlaubt?

Für das Profiling gibt es im Bereich des Marketings keine dem § 15 Abs. 3 TMG vergleichbare Spezialregelung. Das Thema Profiling ist unter Art. 22 DSGVO erfasst. Hintergrund für die Aufnahme in die neue Verordnung ist, dass eine natürliche Person sich keiner Maßnahme unterwerfen lassen muss, die auf Profiling im Wege der automatischen Datenverarbeitung basiert. Eine solche Maßnahme kann eine automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren sein, folglich demnach ein Prozess bei dem kein menschliche Eingreifen zu erkennen ist.

Ein solches Profiling Verfahren kann unter Umständen erlaubt sein, sofern ein Gesetz (nach dem Unionsrecht oder dem Recht der EU Mitgliedstaaten) dies ausdrücklich genehmigt oder die betreffende Person hierzu ihre Einwilligung erteilt hat. Nichtsdestotrotz sollte bei einer solchen Verarbeitung die betreffende Person unterrichtet werden und/oder die Möglichkeit gegeben werden Kinder prinzipiell von solch einem Verfahren auszuschließen.

Was sind die Rechte für die Profiling von Betroffenen?

Natürliche Personen haben beim Profiling bestimmte Rechte. Die sind u.a.:

a) “Recht auf Vergessenwerden”; b) Recht ausreichend informiert zu werden; c) Recht auf Löschung der Daten; d) Erhalt einer Kopie ihrer personenbezogenen Daten (innerhalb eines Monats kostenlos) e) Das Recht auf Datenportabilität – Daten elektronisch in einem häufig verwendeten Format erhalten; f) Widerspruchsrecht; g) Das Recht die Profiling zu beenden und h) Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling

Was passiert wenn der Betroffene die Profiling beendet?

Beantragt eine betreffende Person nach Art. 19 DSGVO, das Profiling zu stoppen, muss die Verarbeitung aufhören, es sei denn, der Kontroller weist darauf hin, dass der Einwand die Interessen, Rechte und Freiheiten der betroffenen Person außer Kraft setzt.

Ist die Profiling bei der DSGVO bei Kindern erlaubt?

Nein, Profiling und automatisierte Entscheidungsfindung sind nicht zulässig für Kinder, unabhängig von ihrem Alter. Der DMA ist jedoch der Auffassung, dass es keine Auswirkungen auf die Profiling der personenbezogenen Daten von Kindern geben wird.

Haben die nicht profilierten und profilierten Datenträger die gleichen Rechte?

Nein, die nicht profiliarten und profiliarten Betroffenen teilen nicht ganz die gleichen Rechte. Sie haben aber beide:

a) Das Recht, vergessen zu werden; informiert zu werden; von Datenlöschung; eine Kopie ihrer personenbezogenen Daten zu erhalten (innerhalb eines Monats kostenlos) b) Das Recht auf Datenportabilität – Daten elektronisch in einem häufig verwendeten Format zu erhalten; c) Das Recht, automatisierte Entscheidungen und Profiling zu verhindern; d) Widerspruchsrecht