Profiling / Scoring und Datenschutz

DatenschutzrechtProfiling / Scoring und Datenschutz

das zusammenführen von Daten und die Profilbildung ist eine der Schlüsseltechnologien um Kunden zu gewinnen und auf seine Produkte aufmerksam zu machen. Das Internet gibt dabei die Möglichkeit einfach Daten zu sammeln und zur Profilbildung zusammen zu setzen und somit die Interessen der potentiellen Kunden herauszufinden. Zur Sammlung der Daten können dabei viele tools helfen, die durch die großen Konzerne wie Google angeboten werden.

Im zweiten Schritt müssen die gesammelten Daten aber zusammengeführt und ausgewertet werden. Die darauf gestützten Ergebnisse werden datenschutzrechtlich als Profiling bezeichnet. Da das Profiling einen großen Stellenwert bei der Nutzung der gewonnenen Daten einnimmt, möchte ich hierzu die rechtliche Basis näher beleuchten:

Definition

Nach Artikel 4 Nr. 4 DSGVO ist Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, um auf dessen Grundlage bestimmte persönliche Aspekte zu bewerten.

Schließlich werden diese persönlichen Aspekte herangezogen, um beispielsweise persönliche Vorlieben  der Kunden oder Interessenten zu analysieren und entsprechende Vorhersagen zu treffen. Hierzu werden regelmäßig auch im Rahmen von webbasierten Systemen unter Nutzung anderer datenbankbasierter Systemen umfassende (Nutzer-)Profile erstellt.

Automatisierte Entscheidungen mit rechtlicher Wirkung

Artikel 22 DSGVO regelt nun, dass es dem Verantwortlichen verboten ist, die betroffene Person einer Entscheidung zu unterwerfen, die ausschließlich auf einer automatisierten Verarbeitung beruht, wenn diese Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Das ist also ausschließlich dann der Fall, wenn ohne Dazwischentreten einer natürlichen Person zB. negative Kreditentscheidungen getroffen werden.

Regelungen des BDSG

Das neue BDSG ergänzt Artikel 22 DSGVO insofern, als es in seinem § 31 BDSG (§ 28b BDSG-alt) einen Teilbereich des Profilings, nämlich das Scoring, regelt. Beim Scoring geht es um die Verwendung eines Wahrscheinlichkeitswertes über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person. Hauptanwendung ist hier die Frage der Kreditwürdigkeit eines potentiellen Kunden.

Unzulässig ist das aber auch nur, soweit eine ausschließlich automatische Verarbeitung von personenbezogenen Daten erfolgt und eine darauf beruhende Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Personalisierte Werbung

Eine personalisierte Werbung fällt aber nicht unter dieses Verbot, da sie keine rechtliche Wirkung entfaltet und den Betroffenen auch nicht in anderer Weise erheblich beeinträchtigt.

Aus Erwägungsgrund 71 ergibt sich sodann, dass der Verantwortliche geeignete mathematische oder statistische Verfahren verwenden muss. Wichtig ist, dass technische und organisatorische Maßnahmen getroffen werden, mit denen sichergestellt wird, dass unrichtige personenbezogene Daten korrigiert werden und generell das Risiko von Fehlern minimiert wird. Zudem sollte gewährleistet sein, dass es nicht zu einer Diskriminierung bzw. einer diskriminierenden Wirkung kommt. Kinder sollten in keinem Fall betroffen sein

Neuerungen der DSGVO

Einen Paradigmenwechsel bringt die DSGVO im Bereich des Profilings nicht mit sich. Jedes Unternehmen, das diese Techniken nutzt, sollte jedoch vor dem Hintergrund umfassender Rechenschaftspflichten in der Lage sein, vor allem betroffenen Personen, aber auch der Aufsichtsbehörde umfassend Auskunft über die Datenverarbeitung erteilen zu können. Das Profiling und Scoring beruht rechtlich gesehen auf der Grundlage des Art 6 Abs.1 lit. f) DSGVO, also dem Grundsatz der Verarbeitung von Daten aufgrund eines berechtigten Interesses.

Hierzu gibt es folgendes zu bedenken:

Wahrnehmung berechtigter Interessen

Personenbezogener Daten dürfen „zur Wahrung berechtigter Interessen“ des Verantwortlichen verarbeitet werden, „sofern nicht die Interessen der betroffenen Person überwiegen“, Art. 6 Abs. 1 Buchst. f) DSGVO.

Güterabwägung

Hier ist also eine Güterabwägung zu treffen, die die ganze Angelegenheit äußerst unberechenbar macht. Einerseits sind auch wirtschaftliche Interessen berechtigte Interessen im Sinne dieser Norm. Deshalb stützen sich gerade aus der Werbewirtschaft die meisten Datenverarbeitungen auf diesen (vermeintlichen) Erlaubnistatbestand. Andererseits sind aber auch die Interessen des Betroffenen zu berücksichtigen und mit den Interessen des Verantwortlichen abzuwägen.

Erwägungsgrund 47

Bei der Interessenabwägung spielt Erwägungsgrund 47 eine wichtige Rolle. Dieser legt fest:

Die „vernünftigen Erwartungen der betroffenen Person“ sind zu berücksichtigen;
besteht bereits eine (Kunden-)Beziehung zwischen den Parteien, spricht dies zunächst einmal für ein berechtigtes Interesse,
erst recht, wenn der Kunde „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“, wobei
dies auch umgekehrt gilt.
Schutzwürdige Interessen Minderjähriger oder Arbeitnehmer sind i.d.R. höher zu gewichten.

zudem stellt der Erwägungsgrund 47 klar, dass

die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung grundsätzlich im Wege der Interessenabwägung gerechtfertigt sei. Die Notwendigkeit einer entsprechenden Einwilligung soll nach dem Willen des Unionsgesetzgebers in vielen Fällen unnötig sein.

Allerdings sind die folgenden Abwägungskriterien zu beachten:

Je weniger der Nutzer in seinen schutzwürdigen Interessen beeinträchtigt wird – so bei für ihn relevanter Werbung, bei verständlicher Belehrung der opt-out-Möglichkeiten (d.h. der Möglichkeit, Werbung jederzeit abzubestellen) – etc., desto eher wird das Pendel zugunsten des Verantwortlichen ausschlagen.

Bedient sich der Verantwortliche hingegen ausgefeilter und (undurchsichtiger) Profilingmethoden oder verarbeitet er besonders geschützte Daten, werden die schutzwürdigen Interessen des Betroffenen höher zu bewerten sein. Schließlich spielt die strukturelle Vertragsdisparität, auch hier eine nicht zu unterschätzende Rolle:

Minderjährige und
Beschäftigte

sind strukturell unterlegen, so dass an ihre schutzwürdigen Interessen besonders hohe Maßstäbe anzulegen sind.

Information und Transparenz

Deshalb muss in der DSE klar und deutlich darauf hingewiesen werden, dass Daten auch für Dritte genutzt werden und Ihre Re-targeting tools etc. zum Einsatz kommen. Die entsprechenden Verpflichtungen ergeben sich aus den Art. 12-14 DSGVO (Informationspflichten).

Um es abschließend nochmal auf einen Nenner zu bringen, das automatische Zusammenführen von Adressen und Informationen wird durch Art. 22 DSGVO nicht unterbunden. Dieses Scoring für Marketingzwecke findet seine Rechtsgrundlage in Art. 6 lit. f) DSGVO und ist grundsätzlich zulässig, sofern die vorgenannten Grundsätze beachtet werden.

Für weitere Rückfragen stehe ich Ihnen und Ihrem Team gerne zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.