Die technologische Entwicklung erlaubt es heute in immer stärkerem Ausmass, enorme Datenmengen automatisiert zu erfassen, zu verarbeiten, zu kombinieren und zu analysieren, um so beispielsweise Tendenzen, Korrelationen oder andere Merkmale feststellen zu können, die wiederum bestimmten Gruppen zugeordnet werden können. Unter Zuhilfenahme solcher Vergleichsgruppen lassen sich in der Folge Eigenschaften oder das Verhalten einzelner natürlicher Personen bestimmen bzw. vorhersagen, was einem so genannten Profiling dieser Person entspricht. Anwendung finden solche Profiling-Massnahmen etwa in den Bereichen von Banken und Finanzierungen, Steuern, Versicherungen, Gesundheit, Medizin, Verkehr oder Werbung, zum Beispiel zur Bonitätsprüfung, Risiko- und Betrugsanalyse, Marktforschung oder für Direktwerbung.1

1Siehe zum Thema auch die informative Leitlinie der Artikel-29-Datenschutzgruppe WP251, welche am 25. Mai 2018 vom unter der DSGVO neu eingesetzten Europäischen Datenschutzausschuss bestätigt wurde.
  • Definition Profiling gemäss DSGVO

    In der europäischen Datenschutz-Grundverordnung (DSGVO) wird Profiling in Art. 4 Ziff. 4 definiert als «jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen».

    Damit werden folgende Charakteristika hervorgehoben, die eine Datenverarbeitung erfüllen muss, damit sie gemäss DSGVO als Profiling gilt und deren Regeln unterliegt:

    • Eine automatisierte Verarbeitung,
    • von personenbezogenen Daten,
    • zur Bewertung von persönlichen Aspekten einer natürlichen Person,
    • insbesondere zur Analyse oder zur Vorhersage von deren Verhalten oder anderen Eigenschaften (z.B. Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Aufenthaltsort oder Ortswechsel).

    Treffen diese Punkte zu, sind für eine Datenverarbeitung sowohl die allgemeinen Grundsätze der DSGVO als auch deren spezielle Regeln für Profiling einzuhalten.

    Beispiele: Als Beispiel für Profiling kann etwa die automatisierte Einschätzung der Kreditwürdigkeit (insb. der wirtschaftlichen Lage und Zuverlässigkeit) einer natürlichen Person mittels mathematisch-statistisch errechnetem Scoring-Wert genannt werden. Auch die Zusammenstellung und Auswertung persönlicher Informationen von Kunden zur Vorhersage ihrer Interessen und dem Versand von möglichst zielgerichteter Direktwerbung an sie, stellt ein Profiling dar.

    Hinweis: Ein gewisses, eher beschränktes Mass an Profiling zu Zwecken der Direktwerbung an bestehende Kunden, ist vom berechtigten Interesse eines Unternehmens gedeckt und somit erlaubt. Hierfür steht der betroffenen Person ein Widerspruchsrecht gemäss Art. 21 DSGVO zu. Übersteigt das Profiling jedoch dieses Mass, z.B. indem sehr viele verschiedene Daten, womöglich aus unterschiedlichsten Quellen, kombiniert werden oder ein sehr extensives Profiling betrieben wird, so ist es nicht mehr vom berechtigten Interesse des Verantwortlichen gedeckt, sondern bedarf als Rechtsgrundlage der Einwilligung der Betroffenen.

    Nicht als Profiling gemäss DSGVO gilt aber z.B. eine blosse Sortierung personenbezogener Daten anhand bestimmter Merkmale, ohne eine Bewertung derselben bzw. eine Analyse oder Verhaltensvorhersage zu einzelnen Personen vorzunehmen, wie z.B. eine Selektion von Kunden-Adressen nach Wohnort für die Zustellung von Briefpost oder für statistische Zwecke. Solche Verarbeitungen gelten zwar nicht als Profiling gemäss DSGVO, unterliegen jedoch bezüglich der Verarbeitung personenbezogener Daten dennoch deren allgemeinen Regeln.

  • Generelle Anforderungen an Profiling gemäss DSGVO

    Profiling unterliegt zunächst den generellen Anforderungen der DSGVO an eine automatisierte Verarbeitung personenbezogener Daten. Dazu kommen jedoch auch einige spezielle Regeln, die für ein Profiling beachtet und eingehalten werden müssen. Ganz generell verlangt die DSGVO für ein zulässiges Profiling in ErwG. 71, dass der betroffenen Person eine faire und transparente Verarbeitung ihrer personenbezogenen Daten gewährleistet wird. Diese Anforderung findet Ausdruck in den verschiedenen Regeln der DSGVO für Profiling, wie nachfolgend dargestellt.

    1. Grundsätze nach Art. 5 DSGVO

    Auch eine Verarbeitung personenbezogener Daten zu Zwecken des Profilings muss die allgemeinen Grundsätze der DSGVO betreffend Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung und Verhältnismässigkeit, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit einhalten. Der Verantwortliche unterliegt dafür einer Rechenschaftspflicht.

    Weitere Informationen zu den Grundsätzen gemäss Art. 5 DSGVO finden sich hier.

    2. Rechtsgrundlage

    Jedes zulässige Profiling muss sich auf eine Rechtsgrundlage nach Art. 6 (und bei besonderen Kategorien personenbezogener Daten auf Art. 9) DSGVO stützen können. Die darin postulierten Anforderungen etwa an eine Einwilligung oder das berechtigte Interesse sind strikt einzuhalten.

    3. Betroffenenrechte

    Wie bei jeder Verarbeitung personenbezogener Daten muss der Verantwortliche auch beim Profiling die Betroffenenrechte gemäss Art. 12 ff. DSGVO einhalten.

    Besondere Bedeutung kommt hier den Informationspflichten aus Art. 13 und 14 DSGVO sowie dem Auskunftsrecht nach Art. 15 DSGVO zu. In diesen Artikeln finden sich nebst den allgemeinen auch spezielle Informations- bzw. Auskunftspflichten zu einem vorgenommenen Profiling (Art. 13 Abs. 2 Bst. f, Art. 14 Abs. 2 Bst. g, Art. 15 Abs. 1 Bst. h DSGVO). So hat der Verantwortliche jeweils Aussagen zu machen über «das Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling gemäss Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.» Und auch ErwG. 60 hält fest, dass der Verantwortliche die betroffene Person darauf hinweisen sollte, «dass Profiling stattfindet und welche Folgen dies hat.» Über das Bestehen eines vorgenommenen Profilings und seine Folgen bzw. Zwecke muss also auf jeden Fall informiert werden. Dazu kommen, zumindest in den Fällen einer vollständig automatisierten Entscheidungsfindung, aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen eines durchgeführten Profilings.1 Diese Informationspflicht ist grundsätzlich sehr weit auszulegen, muss aber nicht zur Offenbarung von eigentlichen Geschäftsgeheimnissen führen.

    Auch das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung nach Art. 16, 17 und 18 DSGVO kann für eine betroffene Person im Zusammenhang mit Profiling relevant sein.

    Ebenfalls explizit erwähnt wird Profiling in Art. 21 Abs. 1 und 2 DSGVO (und ErwG. 70), wo das Widerspruchsrecht einer betroffenen Person gegen die Verarbeitung ihrer personenbezogenen Daten aufgrund eines öffentlichen oder berechtigten Interesses des Verantwortlichen gemäss Art. 6 Abs. 1 Bst. e oder f DSGVO oder ein auf diese Bestimmungen gestütztes Profiling, festgehalten ist. Dieses Widerspruchsrecht umfasst dabei insbesondere auch eine Verarbeitung bzw. ein Profiling zu Zwecken der Direktwerbung. Der Verantwortliche muss eine betroffene Person ausdrücklich auf ihr Recht zum Widerspruch hinweisen.

    Auf die besonderen Betroffenenrechte bzw. speziellen Anforderungen bei vollständig automatisierten Entscheidungen im Einzelfall einschliesslich Profiling gemäss Art. 22 DSGVO wird im nächsten Abschnitt gesondert eingegangen.

    Weitere Informationen zu den gemäss DSGVO einzuhaltenden Betroffenenrechten finden sich hier.

    4. Datenschutz-Folgenabschätzung (DSFA)

    Abgesehen von den generellen Kriterien zum Erfordernis einer DSFA ist eine solche gemäss Art. 35 Abs. 3 Bst. a DSGVO insbesondere dann erforderlich, wenn eine «systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschliesslich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen», geschieht. Sofern ein Profiling also nicht bloss unsystematisch erfolgt, oder nur auf ganz wenige Bewertungen persönlicher Aspekte von natürlichen Personen beschränkt ist, oder nicht als Grundlage für Entscheidungen mit Rechtswirkungen oder ähnlich erheblichen Beeinträchtigungen für natürliche Personen dient, wird in jedem Fall eine DSFA vorzunehmen sein. Auch andernfalls wäre eine Pflicht zur Durchführung einer DSFA jedoch noch nach den generellen Kriterien dafür zu prüfen. Eine DSFA stellt auf jeden Fall ein sinnvolles Hilfsmittel dar, um zu ermitteln, welche Massnahmen zu ergreifen sind, um die Risiken der geplanten Datenverarbeitung für die betroffenen Personen zu vermeiden bzw. einzugrenzen.

    Weitere Hinweise zur DSFA und ihrer Durchführung finden sich hier.

    Hinweis: Auch die Datenschutzstelle Liechtenstein hat in ihre Liste von Verarbeitungstätigkeiten, für die sie zwingend eine DSFA verlangt, mehrere Einträge für Profiling-bezogene Tätigkeiten aufgenommen.

    5. Geeignete Verfahren und Massnahmen

    Zur Gewährleistung von Fairness und Transparenz einer Datenverarbeitung im Rahmen eines Profilings sollte der Verantwortliche gemäss ErwG. 71:

    • dazu geeignete mathematische oder statistische Verfahren verwenden,
    • technische und organisatorische Massnahmen ergreifen, um in geeigneter Weise sicherzustellen, dass insbesondere Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird,
    • personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird, und
    • die Diskriminierung natürlicher Personen aufgrund ihrer Rasse, ethnischen Herkunft, politischen Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischen Anlagen oder Gesundheitszustands sowie ihrer sexuellen Orientierung verhindern, einschliesslich einer Datenverarbeitung, die eine solche Wirkung hat.

    6. Besondere Kategorien personenbezogener Daten und Kinder

    Profiling mit besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) ist nur unter Einhaltung einer legitimen Rechtsgrundlage aus Art. 6 und Art. 9 Abs. 2 DSGVO zulässig. Dies gilt auch für die Herstellung besonderer Kategorien personenbezogener Daten durch die Verknüpfung verschiedener nicht sensibler Daten via Profiling (z.B. Ableitung des Gesundheitszustands einer betroffenen Person aus ihren Lebensmitteleinkäufen und der Qualität bzw. des Energiegehalts der gekauften Lebensmittel).2

    Kinder gelten in der DSGVO als besonders schutzbedürftige gesellschaftliche Gruppe. Unternehmen sollten daher gemäss des Europäischen Datenschutzausschusses generell davon absehen, bei ihnen Profiling zu Werbezwecken anzuwenden.3

    1Zu automatisierten Entscheidungen im Einzelfall einschliesslich Profiling gemäss Art. 22 DSGVO siehe auch den nächsten Abschnitt.

     

    2WP251, Kapitel III. C, S. 16.

     

    3WP251, Kapitel V, S. 31f.

    		  
  • Zusätzliche Anforderungen an bestimmte automatisierte Einzelfallentscheidungen (auf Basis von Profiling) gemäss Art. 22 DSGVO

    Vielerorts werden Entscheidungen unter Zuhilfenahme von automatisierten Auswertungen personenbezogener Daten, wie z.B. Profiling,1 vorbereitet oder damit unterstützt. Dies ist auch zulässig, solange die auf den Einzelfall bezogene Entscheidung oder Massnahme des Verantwortlichen, welche persönliche Aspekte einer betroffenen Person bewertet und dieser gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt2, nicht ausschliesslich auf einer solchen automatisierten Datenverarbeitung ohne jegliche menschliche Einflussnahme3 beruht. Treffen diese Kriterien jedoch allesamt auf eine Entscheidung zu, so ist sie – abgesehen von wenigen Ausnahmen (siehe unten) – verboten. Damit soll verhindert werden, dass Menschen und einzelne ihrer Persönlichkeitsmerkmale zum blossen Objekt computergestützter Entscheidungsmechanismen werden, die einerseits diskriminierungsanfällig und andererseits aufgrund zunehmend komplexer Algorithmen nur äusserst schwer zu überprüfen sind.

    Beispiele: Die Entscheidung über eine Kreditvergabe darf nicht ohne jegliches menschliche Eingreifen ausschliesslich auf dem automatisiert berechneten Scoring-Wert der beantragenden Person beruhen, sondern muss auch noch andere Faktoren miteinbeziehen. Ansonsten wäre sie gemäss Art. 22 Abs. 1 DSGVO unzulässig. Auch der Personalentscheid über eine via Online-Tool neu zu besetzende Stelle darf zwar bei einer sehr grossen Anzahl an Bewerbungen auf nach stellenrelevanten Kriterien automatisch vorselektierte Kandidaten beschränkt sein, muss aber letztlich auf eine ganzheitliche Beurteilung der einzelnen Bewerbungen gestützt werden. Nur auf diese Weise fällt er nicht unter das Verbot von Art. 22 Abs. 1 DSGVO.  
    Hinweis: Einzelfallentscheidungen, die nicht ausschliesslich auf automatisierten Datenverarbeitungen beruhen, sondern auch andere Aspekte miteinbeziehen und unter der inhaltlichen Mitwirkung oder Überprüfung durch eine natürliche Person erfolgen, oder die keine rechtlichen oder sonstigen erheblichen Auswirkungen auf eine betroffene Person entfalten, oder die gar keine persönlichen Aspekte bewerten, fallen nicht unter das Verbot bzw. die speziellen Bestimmungen des Art. 22 DSGVO. Ebenso wenig sind automatisierte Datenverarbeitungen, die keine Entscheidung zur Folge haben, sondern z.B. nur eine (interne) Bewertung erstellen, davon erfasst.4 Es gelten aber stets für die Verarbeitung personenbezogener Daten (im Rahmen eines Profilings) die generellen Regeln der DSGVO.5

    Art. 22 DSGVO kennt neben dem Verbot aber auch einige Ausnahmen, wann eine solche automatisiert getroffene Entscheidung dennoch erlaubt ist:

    • wenn es zur Vertragserfüllung zwischen Verantwortlichem und der betroffenen Person erforderlich ist (Bst. a),6
    • wenn es auf Unions- oder Mitgliedstaatsebene in einer Rechtsvorschrift ausdrücklich vorgesehen ist, welcher der Verantwortliche unterliegt und die angemessene Massnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen enthält (Bst. b),7 oder
    • wenn es mit der ausdrücklichen Einwilligung der Betroffenen erfolgt (Bst. c).

    Für die Inanspruchnahme einer solchen Ausnahme gelten jedoch – nebst den allgemeinen und gegebenenfalls den Profiling-bezogenen Bestimmungen der DSGVO8 – noch zusätzliche, strengere Anforderungen zum Schutz der betroffenen Personen. Ist es für die Ausnahme nach Bst. b schon im Regelungstext selbst enthalten, so normiert Art. 22 Abs. 3 DSGVO für die Ausnahmen nach Bst. a und c ebenfalls explizit, dass der Verantwortliche angemessene Massnahmen treffen muss, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Personen zu wahren. Dazu muss er wenigstens – als Mindestrechte der betroffenen Personen – dafür sorgen,

    • dass die Betroffenen das Eingreifen einer natürlichen Person auf Seiten des Verantwortlichen in den Entscheidungsprozess verlangen können,
    • dass sie ihren eigenen Standpunkt darlegen dürfen und
    • dass sie die Entscheidung auch ausserhalb des Rechtswegs nochmals überprüfen lassen bzw. anfechten können.

    Zudem ist bei allen Ausnahmen eine spezifische Information der betroffenen Personen über das Vorliegen einer solchen automatisierten Entscheidungsfindung und ihre oben aufgezählten Rechte sowie eine Erläuterung der getroffenen Entscheidung vorzunehmen. Diese spezielle Informations- und Auskunftspflicht wird ausserdem von den Art. 13, 14 und 15 DSGVO noch ergänzt, als dort zusätzlich noch aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung bzw. Entscheidung für die betroffene Person gefordert werden.9 Im Falle des Vorliegens einer ausdrücklichen Einwilligung der betroffenen Person in eine sie betreffende, automatisierte Einzelfallentscheidung sind daneben auch die Anforderungen an eine gültige Einwilligung gemäss Art. 7 DSGVO zu beachten (z.B. Informiertheit, Bestimmtheit, Freiwilligkeit). Und schliesslich gelten auch für automatisierte Einzelfallentscheidungen die Vorgaben des ErwG. 71 zu den geeigneten Verfahren und technischen und organisatorischen Massnahmen zur Gewährleistung von Fairness und Transparenz wie im obigen Abschnitt unter Ziff. 5 beschrieben.

    Schliesslich postuliert Art. 22 Abs. 4 DSGVO, dass solche ausnahmsweise erlaubten, ausschliesslich auf automatisierten Verarbeitungen basierenden Einzelfallentscheidungen nur dann auch besondere Kategorien personenbezogener Daten enthalten dürfen, wenn dafür entweder eine ausdrückliche Einwilligung der betroffenen Person nach Art. 9 Abs. 2 Bst. a DSGVO oder ein in einer Rechtsvorschrift niedergelegtes, erhebliches öffentliches Interesse gemäss Art. 9 Abs. 2 Bst. g DSGVO vorliegt. Auch dann müssen wiederum angemessene Massnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen werden. Kinder sollten gemäss ErwG. 71 nicht von Entscheidungen oder Massnahmen basierend auf ausschliesslich automatisierten Datenverarbeitungen betroffen sein.

    1Profiling kann aber muss nicht Grundlage für eine automatisierte Entscheidung im Einzelfall gemäss Art. 22 DSGVO sein.

     

    2Eine solche rechtliche Wirkung oder Beeinträchtigung kann z.B. in der konkreten Ausgestaltung einer Vertragsofferte (Preis, Zins, andere Konditionen etc.) oder einer automatischen Vertragsbeendigung liegen, die Gewährung staatlicher Transferleistungen betreffen, den Ausschluss oder eine sonstige Diskriminierung einer betroffenen Person bewirken oder sonstwie erheblichen Einfluss auf die Lebensverhältnisse, das Verhalten oder die Entscheidungen dieser haben.

     

    3Die menschliche Einflussnahme muss jedoch eine gewisse inhaltliche Mitverantwortung erreichen und darf nicht nur auf eine bloss nachprüfende Kontrolle von Entscheiden oder auf ein rein routinemässiges Anwenden von Profilen beschränkt sein. Dies bedeutet auch, dass ein Entscheid sich nicht nur auf die automatisch generierten Daten stützen darf, sondern eine Gesamtwürdigung aller massgeblichen Faktoren beinhalten muss. Dabei ist die (potentielle) Anpassungs- oder Korrekturmöglichkeit des Entscheids durch die dazu kompetente natürliche Person wesentlich.

     

    4So fällt beispielsweise die Berechnung eines Scoring-Werts zur Bonitätsprüfung durch Auskunfteien nicht unter Art. 22 DSGVO, weil hier erst der Kunde der Auskunftei als Verantwortlicher die Entscheidung über einen Vertragsabschluss mit der betroffenen Person trifft.

     

    5Für die generellen Anforderungen an Profiling gemäss DSGVO siehe den vorangehenden Abschnitt.

     

    6Als Beispiel kann hier etwa die automatisierte Prüfung der Kontodeckung bzw. des gewährten Kreditrahmens bei Bargeldbezügen am Geldautomaten erwähnt werden.

     

    7Hierbei handelt es sich um eine so genannte Öffnungsklausel, die es der Union und den Mitgliedstaaten ermöglicht, vom Verbot abweichende Bestimmungen zu treffen. In ErwG. 71 werden als Beispiele dafür etwa Rechtsvorschriften genannt, welche Betrug und Steuerhinterziehung überwachen und verhindern sollen.

     

    8Siehe dazu auch die Ausführungen im obigen Abschnitt.

     

    9Siehe dazu auch die Ausführungen im obigen Abschnitt unter Ziff. 3.