Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche Anforderungen laut Datenschutzgrundverordnung an die Bildung von Nutzerprofilen gestellt werden.
Die Regelungen zur Bildung von Nutzungsprofilen („Profiling“) wurden im Gesetzgebungsverfahren mehrfach diskutiert, insbesondere waren einschränkende Regelungen, darunter ein explizites Einwilligungserfordernis geplant, die jedoch letztlich nicht verabschiedet wurden. Ausweislich Erwägungsgrund 58a der Verordnung kann der Europäische Datenschutzausschuss (Nachfolgeinstitution der Art. 29 Gruppe) jedoch noch nähere Regeln zu Profiling verabschieden, was angesichts der überschaubaren Regelungen noch zu erwarten ist. Bis dahin besteht leider ein erhebliches Maß an Rechtsunsicherheit.
Der Begriff „Profiling“ ist in der Verordnung definiert als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“ (Art. 4 Nr. 4).
a. Wann ist dies zulässig?
Bei der Frage nach der Zulässigkeit von Profiling ist zu trennen zwischen den Anforderungen an das Profiling an sich und der zugrundeliegenden jeweiligen Datenverarbeitung, z.B. die Generierung von Nutzungsprofilen anhand von Internetnutzungsdaten für Werbezwecke. Denn das Profiling bezeichnet nur eine bestimmte Art der Datenverarbeitung (siehe Definition oben), welche die Datenschutzinteressen der Betroffenen jedoch in besonderem Maße berührt und daher gegenüber sonstigen Verarbeitungen zusätzlichen Anforderungen unterliegt (hierzu unten). Die Zulässigkeit der jeweiligen Datenverarbeitung ist nach den allgemeinen Erlaubnistatbeständen zu beurteilen.
b. Welche zusätzlichen Anforderungen muss ich einhalten?
Die zusätzlichen Anforderungen beim Profiling sind ein Widerspruchsrecht des Betroffenen sowie erweiterte Informationspflichten. Ein Widerspruchsrecht besteht, wenn Profiling eingesetzt wird, um Direktwerbung zu betreiben sowie wenn die Datenverarbeitung auf die Erlaubnistatbestände der berechtigten Interessen oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse gestützt wird. Damit dürfte für den wichtigen Anwendungsfall des Profilings für Werbezwecke stets ein Widerspruchsrecht bestehen. Übt der Betroffene sein Widerspruchsrecht aus, dürfen die Daten nicht mehr weiterverarbeitet werden, es sei denn es bestehen zwingende schutzwürdige Gründe für die Verarbeitung, welche die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese hohen Anforderungen werden selten erfüllt sein. Hinsichtlich der Ausübung des Widerspruchsrechts ist nunmehr ausdrücklich geregelt, dass dies (unbeschadet der Vorgaben der ePrivacy Directive) auch durch technische Verfahren (z.B. Browservoreinstellungen) ausgeübt werden kann. Weitere Anforderung ist, dass der Betroffene über eine Verarbeitung im Wege des Profiling zu informieren ist und dabei sind auch Angaben über die verwendete Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu machen. Schließlich ist für den Sonderfall der ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung (siehe dazu auch Frage 16.d.) auf der Basis von Profiling geregelt, dass in diesem Fall die betroffene Person stets das Recht hat, keiner solchen Entscheidung unterworfen zu sein, wenn diese ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies soll jedoch nicht gelten, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, mit ausdrücklicher Einwilligung der betroffenen Person oder aufgrund von mitgliedstaatlichen oder unionsrechtlichen Vorschriften erfolgt.
c. Ist die Verordnung das Ende von Big Data?
Die Verordnung wird mit Sicherheit nicht das Ende von Big Data bedeuten. Im Gegenteil: Im Vergleich zu den während des Gesetzgebungsverfahrens diskutierten Einschränkungen (die praktisch immer die in der Realität meist nicht einholbare Einwilligung verlangt hätten) sind die letztlich verabschiedeten Regelungen vergleichsweise Big Datafreundlich (siehe dazu auch den vorherigen Absatz). Es ist jedoch noch zu früh, hierzu eine Prognose abzugeben und es bleibt abzuwarten, wie die neuen Regelungen in der Praxis angewandt und von den Datenschutzbehörden und Gerichten verstanden werden. Zudem ist davon auszugehen, dass der Europäische Datenschutzausschuss in diesem Bereich noch tätig wird und Richtlinien und Handlungsanweisungen veröffentlicht.
Checkliste zur Datenschutzgrundverordnung zum kostenlosen Download
Dieser Beitrag ist ein Auszug aus der „Checkliste: 37 Fragen zu Datenschutzgrundverordnung“ von artegic und Bird&Bird. Die vollständige Checkliste finden Sie zum kostenlosen Download unter https://www.elaine.io/checkliste-datenschutzgrundverordnung