Profiling Personenbezogene Daten

Wird eine Entscheidung ausschließlich beruhend auf automatisierter Verarbeitung, einschließlich Profiling, getroffen, welche rechtliche Wirkung hat oder die Person maßgebend beeinflusst, kann diese laut Erwägungsgrund 71 DSGVO von der betroffenen Person nicht akzeptiert werden. Beispiele sind hier die Ablehnung einer Online-Kreditanlage oder Online-Einstellungsverfahren bei denen es kein menschliches Eingreifen gab.

Es gibt allerdings einige Situationen in denen eine auf Profiling beruhende Entscheidungsfindung erlaubt ist. Solche Situationen werden dann nach dem Unionsrecht ausdrücklich als zulässig erklärt. Allerdings muss die betroffene Person in jedem Fall von der Verarbeitung unterrichtet werden.

Ein faires Profiling muss mehrere Ansprüche erfüllen, welche in Erwägungsgrund 71 DSGVO näher definiert werden. Zum einen müssen für die Verarbeitung geeignete mathematische und statistische Verfahren verwendet werden.

Zum anderen ist es entscheidend technische und organisatorische Maßnahmen zu treffen, welche sicherstellen, dass das Risiko auf Fehler in der Verarbeitung minimiert wird und falsche personenbezogene Daten korrigiert werden können. Darüber hinaus muss verhindert werden, dass es für eine natürliche Person auf Grund ihrer ethnischen Herkunft, politischer Meinung, Religion, sexueller Orientierung oder weiteren Faktoren zu einer diskriminierenden Verarbeitung kommt. Aus diesem Grund sollte das Profiling basierend auf sensiblen personenbezogenen Daten nur unterer bestimmten Bedingungen erlaubt sein.

Die betroffene Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. In der Praxis fallen darunter sämtliche Daten, die einer natürlichen Person zugeordnet werden oder zugeordnet werden können.

Die personenbezogene Daten müssen sich immer auf eine natürliche Person beziehen. Bei Daten über juristische Personen wie beispielsweise Rechtsformen, Stiftungen und Körperschaften greift die Datenschutzgrundverordnung nicht.

Neben den einfachen personenbezogene Daten, gibt es noch eine Klasse der sensiblen personenbezogenen Daten. Diese sensiblen personenbezogenen Daten wie beispielsweise die rassische oder ethnische Herkunft, politische Meinungen sowie genetische, biometrische und Gesundheitsdaten genießen ein höheres Schutzgut.

Die DSGVO wurde am 14. April 2016 als Verordnung des Europäischen Parlaments und des Rates verabschiedet, trat daraufhin am 24. Mai 2016 in Kraft und soll der Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten dienen. Die DSGVO kommt seit dem 25. Mai 2018 zur Anwendung und soll so einerseits den Verbraucherschutz stärken und andererseits den innereuropäischen Verkehr personenbezogener Daten über die Landesgrenzen der Mitgliedsstaaten hinweg genauso ermöglich, wie der Verkehr solcher Daten innerhalb eines Mitgliedsstaats.

Da es sich bei der DSGVO um eine Europäische Verordnung handelt, gilt sie unmittelbar in allen Mitgliedsstaaten, d.h. die DSGVO muss nicht zuerst in nationales Recht umgesetzt werden. In der DSGVO sind aber Öffnungsklauseln enthalten, die den nationalen Gesetzgeber dazu ermächtigt, die Regelungen der DSGVO zu konkretisieren und zu ergänzen. Der deutsche Gesetzgeber musste also, wie die anderen nationalen Gesetzgeber, neue nationale Gesetze erlassen, um die Vorschriften aus der DSGVO mit dem bestehenden deutschen Recht bestmöglich in Einklang bringen zu könenn. Das nationale Gesetz zum Datenschutz in Deutschland heißt Bundesdatenschutzgesetz-neu.