Begriff und Definition: Profiling im rechtlichen Kontext
Profiling bezeichnet im rechtlichen Kontext die Erhebung, Auswertung und Analyse personenbezogener Daten, um daraus individuelle Merkmale, Präferenzen, Verhaltensweisen oder Vorhersagen über bestimmte Personen zu gewinnen. Die rechtliche Einordnung des Begriffs ist besonders im Datenschutzrecht von erheblicher Bedeutung, insbesondere im Zusammenhang mit automatisierten Entscheidungsprozessen und dem Einsatz neuer Technologien.
Profiling ist in Art. 4 Nr. 4 der Datenschutz-Grundverordnung (DSGVO) definiert als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“. Dazu zählen insbesondere Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person.
Abgrenzung und Formen von Profiling
Klassisches und automatisiertes Profiling
Unterschieden wird zwischen dem klassischen Profiling, das manuell durch eine Auswertung von Verhaltens- und Personendaten geschieht, und dem automatisierten Profiling, bei dem computergestützte Systeme große Datenmengen analysieren und anhand von Algorithmen Muster sowie individuelle Profile erstellen.
Profiling in verschiedenen Rechtsbereichen
- Strafrechtlich-polizeiliches Profiling: Im Rahmen der Strafverfolgung werden insbesondere für Prävention, Ermittlungsarbeit und Vorhersagen in Bezug auf Täterprofile oder Rückfallprognosen profilorientierte Methoden angewendet.
- Wirtschaftliches Profiling: In der Wirtschaft sind Bonitätsprüfungen, Scoring und personalisierte Werbung rechtlich relevante Anwendungsbeispiele.
- Arbeitsrechtliches Profiling: Auch bei Bewerbungsverfahren oder der Leistungsüberwachung kann Profiling zur Anwendung kommen.
Rechtliche Grundlagen des Profilings
Datenschutzrechtliche Vorgaben
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO bildet das zentrale Regelwerk für das Profiling innerhalb der Europäischen Union. Gemäß Art. 22 DSGVO besteht ein besonderer Schutz gegenüber automatisierten Entscheidungen, einschließlich Profiling, die rechtliche Folgen für die betroffene Person nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen. Der Einsatz von Profiling ist nur unter bestimmten Bedingungen zulässig:
- Es muss auf einer Rechtsgrundlage beruhen – regelmäßig einer Einwilligung, Vertragserfüllung oder einer rechtlichen Verpflichtung.
- Betroffene Personen sind über das Profiling, dessen Zweck und die Tragweite zu informieren (Art. 13, 14 DSGVO).
- Es müssen geeignete technische und organisatorische Maßnahmen zur Sicherung der Rechte und Freiheiten der betroffenen Person getroffen werden.
Spezielle Bestimmungen im BDSG
Das Bundesdatenschutzgesetz (BDSG) konkretisiert die Anforderungen der DSGVO in Deutschland, insbesondere bezüglich Profiling durch öffentliche Stellen oder Kreditwirtschaft. Von besonderer Bedeutung sind die Regelungen zu Scoring und Bonitätsauskünften gemäß § 31 BDSG.
Zulässigkeit und Grenzen von Profiling
Einwilligung und Widerspruchsrecht
Profiling ist grundsätzlich nur dann zulässig, wenn eine eindeutige Einwilligung der betroffenen Person vorliegt. Betroffene können gemäß Art. 21 DSGVO jederzeit Widerspruch gegen das Profiling einlegen, insbesondere zu Zwecken der Direktwerbung.
Ausnahmen und Schranken
Automatisierte Entscheidungen mit Rechtswirkung dürfen grundsätzlich nicht allein auf Profiling basieren, es sei denn, es bestehen gesetzliche Ermächtigungen oder entsprechende Schutzmaßnahmen, beispielsweise bei der Durchführung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen.
Profiling im Strafrecht und Polizeirecht
Anwendungsbereiche
Im Strafrecht und Polizeirecht wird Profiling häufig zur Gefahrenabwehr, Aufklärung oder Prävention von Straftaten eingesetzt, etwa im Rahmen kriminalistischer Analysen (Täterprofiling, Bewegungsprofile).
Gesetzliche Grundlagen und Schranken
Der Einsatz von Profiling in Ermittlungsverfahren unterliegt strengen gesetzlichen Vorgaben, etwa der Strafprozessordnung (StPO) und den Polizeigesetzen der Länder. Er ist nur zulässig, wenn dies zur Erfüllung der jeweiligen Aufgaben erforderlich und verhältnismäßig ist. Datenschutzrechtliche Prüfungen, Anordnungsbefugnisse und richterliche Kontrollmechanismen sichern diese Verfahren ab.
Besondere Problemfelder und Gefahrenpotenziale
Diskriminierung und Fehlprognosen
Profiling kann das Risiko mit sich bringen, dass Personen systematisch benachteiligt werden. Dies betrifft insbesondere das sogenannte „automated discrimination“, also die Diskriminierung durch algorithmusbasiertes Profiling, etwa im Zusammenhang mit Kreditvergaben oder Bewerbungen.
Gemäß Art. 9 Abs. 1 DSGVO ist Profiling mit sensiblen Datenarten (z.B. zu ethnischer Herkunft, politischen Meinungen, religiösen Überzeugungen) grundsätzlich verboten, es sei denn, besondere Ausnahmetatbestände greifen.
Transparenz und Kontrollmöglichkeiten
Rechte der betroffenen Person auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit (Art. 15 bis 20 DSGVO) stärken die individuellen Kontrollmöglichkeiten beim Umgang mit Profiling.
Internationale Aspekte und grenzüberschreitendes Profiling
Übermittlung in Drittstaaten
Rechtsfragen entstehen insbesondere bei der Übermittlung personenbezogener Daten zu Profiling-Zwecken in Drittstaaten außerhalb der Europäischen Union. Hier gelten die besonderen Regelungen der Artt. 44 ff. DSGVO, die ein angemessenes Datenschutzniveau sicherstellen sollen.
Profiling in internationalen Ermittlungsverfahren
Auch für den internationalen Straf- und Datenaustausch gelten umfangreiche rechtliche Regelungen, um Missbrauch und Verletzungen von Persönlichkeitsrechten zu verhindern.
Rechtsprechung und Aufsichtspraxis
Wichtige Entscheidungen
Gerichte sowie nationale und europäische Aufsichtsbehörden haben mehrfach Leitentscheidungen zur Zulässigkeit, Informationstransparenz und Grenzen von Profiling erlassen. Besonders hervorzuheben ist die Rechtsprechung des Europäischen Gerichtshofs (EuGH), etwa zu Bedingungen von Einwilligung und Informationspflichten (C-518/07, C-40/17).
Fazit
Profiling ist ein rechtlich hochkomplexes Instrument, dessen Einsatz strengen datenschutzrechtlichen Anforderungen unterliegt. Der Schutz der Persönlichkeitsrechte, Transparenz, informationelle Selbstbestimmung sowie effektive Kontrollmechanismen sind zentrale rechtliche Eckpfeiler. Unternehmen und öffentliche Stellen müssen die gesetzlichen Vorgaben zum Profiling sorgfältig beachten und geeignete Maßnahmen zur Einhaltung der Datenschutzrechte implementieren.
Häufig gestellte Fragen
Welche rechtlichen Grundlagen gelten für Profiling im Datenschutzrecht?
Profiling wird im Datenschutzrecht, insbesondere in der Datenschutz-Grundverordnung (DSGVO), umfassend geregelt. Artikel 4 Nr. 4 der DSGVO beschreibt Profiling als jede Art der automatisierten Verarbeitung personenbezogener Daten, um bestimmte persönliche Aspekte zu bewerten. Die rechtlichen Grundlagen finden sich insbesondere in Artikel 6 und Artikel 22 DSGVO. Für das rechtmäßige Profiling ist in der Regel eine ausdrückliche Einwilligung der betroffenen Person erforderlich, es sei denn, das Profiling ist für die Erfüllung eines Vertrags oder zur Wahrung berechtigter Interessen des Verantwortlichen notwendig, wobei stets eine Interessenabwägung stattfinden muss. Werden im Rahmen des Profilings bestimmte Kategorien personenbezogener Daten („besondere Kategorien“ wie z.B. Gesundheitsdaten, ethnische Herkunft) verarbeitet, gelten strengere Vorgaben nach Artikel 9 DSGVO. Zudem müssen betroffene Personen umfassend informiert werden, Transparenz und Nachvollziehbarkeit sind zentrale rechtliche Anforderungen, die sich z.B. auch im Rahmen der Informationspflichten nach Artikel 13 und 14 DSGVO wiederspiegeln.
Gibt es für automatisierte Einzelentscheidungen mit Profiling besondere rechtliche Beschränkungen?
Ja, die DSGVO sieht in Artikel 22 spezielle Vorschriften für automatisierte Einzelentscheidungen einschließlich Profiling vor. Grundsätzlich hat jede betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ausnahmen bestehen nur, wenn diese Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, auf einer Rechtsvorschrift der EU oder eines Mitgliedstaates basiert oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. In solchen Fällen müssen Maßnahmen zum Schutz der Rechte, Freiheiten und berechtigten Interessen der Person sichergestellt werden. Hierzu zählen mindestens das Recht auf Eingreifen einer Person seitens des Verantwortlichen, das Recht auf Darlegung des eigenen Standpunkts und das Recht auf Anfechtung der Entscheidung.
Welche Informationspflichten treffen Verantwortliche beim Einsatz von Profiling?
Die Transparenzpflichten sind beim Profiling besonders ausgeprägt. Bereits zum Zeitpunkt der Datenerhebung (Artikel 13 DSGVO) und spätestens bei einer automatisierten Entscheidungsfindung (Artikel 14 DSGVO), müssen Betroffene klar und verständlich über die Datenverarbeitung, einschließlich des Profilings, informiert werden. Dazu gehören neben allgemeinen Angaben (wie Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten) vor allem auch spezifische Angaben zum Profiling: die zugrundeliegende Logik, die Bedeutung und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Dies umfasst eine zumindest grobe Beschreibung, wie das Profiling funktioniert (z.B. welche Daten einfließen, welche Bewertungskriterien verwendet werden), sowie die möglichen Folgen (z.B. Einfluss auf Kreditwürdigkeit, Zugang zu bestimmten Angeboten).
Welche Rechte stehen betroffenen Personen im Kontext von Profiling zu?
Betroffenen Personen stehen insbesondere folgende Rechte zu: Auskunftsrecht (Artikel 15 DSGVO), Recht auf Berichtigung (Artikel 16 DSGVO), Recht auf Löschung („Recht auf Vergessenwerden“, Artikel 17 DSGVO), Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO), Widerspruchsrecht (Artikel 21 DSGVO) und das Recht auf Datenübertragbarkeit (Artikel 20 DSGVO). Beim Profiling besonders relevant ist das Widerspruchsrecht, welches es Betroffenen ermöglicht, gegen die Verarbeitung ihrer personenbezogenen Daten zum Zwecke des Profilings aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch einzulegen. Des Weiteren besteht im Falle automatisierter Entscheidungen das Recht, nicht einer ausschließlich auf einer solchen Verarbeitung beruhenden Entscheidung unterworfen zu werden (Artikel 22 DSGVO).
Welche Pflichten bestehen im Hinblick auf Datensicherheit und Technikgestaltung beim Profiling?
Beim Einsatz von Profiling sind gemäß Artikel 25 und Artikel 32 DSGVO die Prinzipien von „Privacy by Design“ und „Privacy by Default“ sowie angemessene technische und organisatorische Maßnahmen zur Sicherstellung der Datensicherheit zu beachten. Das bedeutet, dass bereits bei der Gestaltung von datenverarbeitenden Systemen technische und organisatorische Vorkehrungen zu treffen sind, um unzulässige Profilbildungen zu verhindern sowie Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten zu gewährleisten. Zusätzlich kann je nach Art, Umfang, Umständen und Zwecken der Verarbeitung eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich sein – insbesondere dann, wenn Profiling zur Bewertung persönlicher Aspekte von Personen eingesetzt wird und ein hohes Risiko für deren Rechte und Freiheiten besteht.
Wie ist Profiling im Beschäftigungsverhältnis rechtlich geregelt?
Im Beschäftigungsverhältnis unterliegt Profiling zusätzlichen arbeitsrechtlichen und datenschutzrechtlichen Vorgaben, insbesondere § 26 Bundesdatenschutzgesetz (BDSG), der die Verarbeitung personenbezogener Daten von Beschäftigten regelt. Profiling ist hier nur zulässig, wenn es zur Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist oder eine Einwilligung des Beschäftigten vorliegt. Zudem ist eine besondere Berücksichtigung des Persönlichkeitsrechts und des Diskriminierungsverbots erforderlich, etwa bei automatisierten Eignungsprüfungen oder Leistungsbewertungen. Die Informationspflichten, das Widerspruchsrecht der betroffenen Person und die Anforderungen an die Datenschutz-Folgenabschätzung gelten auch im Beschäftigungskontext.
Welche Sanktionen drohen bei rechtswidrigem Profiling?
Verstöße gegen die gesetzlichen Vorgaben zum Profiling können gemäß Artikel 83 DSGVO mit empfindlichen Bußgeldern geahndet werden. Je nach Schwere des Verstoßes können Geldbußen bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden. Zusätzlich können zivilrechtliche Ansprüche von betroffenen Personen, wie Schadensersatzansprüche gemäß Artikel 82 DSGVO, geltend gemacht werden. Des Weiteren kann bei Verstößen das Vorgehen der Aufsichtsbehörden drohen (zum Beispiel Untersagung der Datenverarbeitung oder Anordnung von Anpassungsmaßnahmen).
