DS-GVO/BDSG. David Klein
bspw. besondere Vorlieben und Interessen oder Aufenthaltsorte einzelner betroffener Personen ermittelt werden können.[154] Unerheblich ist nach dem Wortlaut der Norm, ob die personenbezogenen Daten aus einer oder aus verschiedenen Quellen stammen. Ob der Verantwortliche einen oder mehrere Zwecke verfolgt oder ob die Bewertung der natürlichen Peron der Vorbereitung einer automatisierten Einzelfallentscheidung dient ist ebenfalls nicht von Bedeutung.[155]
70
Ausweislich des ErwG 72 ist das Profiling eine Art der Verarbeitung personenbezogener Daten, die durch einen Erlaubnistatbestand der Art. 6 oder 9 legitimiert sein muss. Relevant ist die Norm damit vor allem für Verantwortliche, die automatisierte Einzelentscheidungen vornehmen und dabei Profilinganalysen oder -vorhersagen verwenden.
71
Nach der Definition des Art. 4 Nr. 4 ist Profiling nur die Datenanalyse, ohne dass hieran bereits Folgen für den Betroffenen geknüpft sind. Zu trennen sind beim Profiling die Datensammlung und die daran anschließende Datenauswertung.[156]
72
Legt man dem „Profiling“ ein weites Begriffsverständnis zugrunde, sind darunter nicht nur automatisierte Verfahren der Verhaltensanalyse zu fassen, sondern auch Techniken, mit deren Hilfe auf der Grundlage des analysierten Verhaltens unter Zugrundelegung statistisch-mathematischer Verfahren eine Prognose über das zukünftige Verhalten einer Person erstellt werden. Dies können Kaufprognosen sein, wie sie im Rahmen des „Costumer Relationship Management“ möglich sind, die Einschätzung von Fehler- oder Ermüdungsrisiken im Zusammenhang mit der Bedienung komplexer Maschinen bis hin zu Einschätzung von Kredit- und Bonitätsrisiken, wie sie in der Vergangenheit mit dem Begriff des Scoring verknüpft waren.[157]
73
Die Datenbasis für ein mögliches Profiling kann vielfältig sein. Insbesondere kommt das individuelle Kommunikations- und Nutzungsverhalten im Internet in Betracht. So können in diesem Zusammenhang Aktivitäten in sozialen Netzwerken, besuchte Websites, Onlinekäufe[158], aber auch Suchanfragen bei Suchmaschinen relevant sein. Vermehrt können auch Daten aus „smarten“ Geräten, wie Fahrzeugen[159], Smart-TV oder Smartwatches in ein Profiling einfließen, um dadurch ein bestmögliches Persönlichkeitsbild über den Verwender und die betroffene Person zu erhalten.[160]
74
In ihrem Gutachten bezieht auch die von der Bundesregierung eingesetzte Datenethikkommission Stellung zum Themengebiet des Profilings und des Scorings. Nach Ansicht der Kommission besteht, insbesondere mit Blick auf Art. 22 Klarstellungs- und Konkretisierungsbedarf.[161] Im Lichte des im Einzelnen stark differenzierenden Schädigungspotentials algorithmenbasierter Systeme erscheine es nicht angemessen, das Verbotsprinzip des Art. 22 generell auszuweiten. Von diesem Gedanken ausgehend empfiehlt die Kommission ein risikoadaptiertes Regelungsregime, das dem Einzelnen angemessene Schutzgarantien, insbesondere gegen Profiling, und Verteidigungsmöglichkeiten gegen Fehler und Bedrohungen seiner Rechte vermittelt.[162] Zur Bestimmung des Kritikalitätsgrades algorithmischer Systeme empfiehlt die Kommission die Orientierung anhand eines übergreifenden Modells.[163] Unter Heranziehung einer 5-stufigen Kritikalitätspyramide soll das Schädigungspotential algorithmischer Systeme bestimmt und davon ausgehend die gebotene Regulierungstiefe abgeleitet werden.[164] Nach Ansicht der Kommission soll der Kritikalitätsgrad Gesetzgeber und Gesellschaft bei der Suche nach geeigneten Regulierungsschwellen und -instrumenten anleiten, könne aber auch Entwicklern und Betreibern bei der Selbsteinschätzung ihrer Produkte und Systeme Orientierung bieten und schließlich in Aus-, Fort- und Weiterbildung für die Sensibilisierung und Schulung unterschiedlicher Akteure eingesetzt werden.[165]
2. Scoring
75
Scoring fällt unter den Oberbegriff des Profiling. Als Scoring wird die Berechnung einer Wahrscheinlichkeitsprognose für zukünftiges Verhalten mithilfe der Verarbeitung personenbezogener Daten der betroffenen Person verstanden.[166] Wenn der mittels Scoring ermittelte Wahrscheinlichkeitswert ohne weiteres menschliches Zutun dazu benutzt wird, eine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses herbeizuführen, unterfällt das Scoring dem Anwendungsbereich des Art. 22, wo das „Profiling“ ausdrücklich als ein Unterfall der dort genannten automatisierten Verarbeitung genannt wird.[167] Beruht die Einzelfallentscheidung dagegen ausschließlich auf einer menschlichen Entscheidung, die lediglich maschinell umgesetzt wird, findet Art. 22 keine Anwendung.
76
Nach Art. 70 Abs. 1 lit. f kann der EDSA Leitlinien, Empfehlungen und bewährten Verfahren zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gem. Art. 22 Abs. 2 bereitstellen.
77
Im deutschen Datenschutzrecht hat der Gesetzgeber mit § 31 BDSG n.F. die bisherigen Voraussetzungen des Scorings aus § 28a Abs. 1 und § 28b BDSG a.F. übernommen.[168]
3. Pflichten beim Profiling
78
Der Verantwortliche muss den Betroffenen dann über ein Profiling informieren, wenn es zu einer automatisierten Entscheidungsfindung führt, Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g. Auf Antrag muss der Verantwortliche dem Betroffenen Auskunft über ein Profiling geben, aber ebenfalls nur bei einer damit in Zusammenhang stehenden automatisierten Entscheidungsfindung, Art. 15 Abs. 1 lit. h. Nach Art. 35 Abs. 3 lit. a kann eine Datenschutz-Folgenabschätzung[169] bei automatisierten Einzelentscheidungen, die auf Profiling gründen, erforderlich sein.
1. Allgemeines
79
Der Begriff der „Pseudonymisierung“ wird in Art. 4 Nr. 5 definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzliche Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“
80
Im BDSG a.F. war sowohl die Pseudonymisieung als auch die Anonymisierung bislang in § 3 Abs. 6, 6a BDSG a.F. verankert. Der Wortlaut des § 3 Abs. 6a BDSG a.F. nahm im Rahmen der Pseudonymisierung insbesondere die Ersetzung personenbezogener Angaben und anderer Identifikationsmerkmale durch Kennziffern in den Blick und war damit enger als Art. 4 Nr. 5 gefasst. § 3 Abs. 6 BDSG a.F. mit seiner Definition der Anonymisierung entspricht demgegenüber in weiten Teilen Art. 4 Nr. 5.[170]
81
Die DSRL enthielt keine Definition der Pseudonymisierung, sondern in ErwG