Die Datenschutzgrundverordnung befasst sich auch mit dem sogenannten Profiling. Das noch vollumfänglich geltende Bundesdatenschutzgesetz kennt diese ausdrückliche Bezeichnung und eine damit verbundene Definition nicht. Jedoch gibt es auch im Bundesdatenschutzgesetz Regelungen, die dieses Thema betreffen (§28 b BDSG, §6a BDSG). In der Datenschutzgrundverordnung ist das Profiling in Artikel 22 Abs. 1 DSGVO näher geregelt.
Was ist Profiling
Die Datenschutzgrundverordnung enthält in Art. 4 Nr. 4 eine Legaldefinition hierzu. Darin heißt es: „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ Das bedeutet, dass zum Beispiel die Auswertung der Arbeitsleistung, des Gesundheitszustandes, des Verhaltens oder der finanziellen Lage zum Zweck einer selbsttätig getroffenen Entscheidung ohne menschliche Einflussnahem nicht zulässig ist.
Konkretes Verbot von Profiling und Ausnahmen
Das Verbot umfasst neben dem Profiling auch das sogenannte Scoring. Darunter versteht man Entscheidungen, die auf Grundlage sogenannter Scorewerte getroffen werden. Dazu zählt z.B. die automatisierte Ablehnung von Online-Kreditanträgen. Ausnahmen können sich ergeben, wenn das Profiling durch Rechtsvorschrift explizit zugelassen ist oder es zum Abschluss eines Vertrages oder dessen Erfüllung erfolgt. Darüber hinaus ist es mit der Einwilligung des Betroffenen gestattet.
Wenn eine der genannten Ausnahmen greift, müssen trotzdem Mechanismen vorgehalten werden, die eine menschliche Einflussnahmen erlauben. Darüber hinaus dürfen bestimmte Daten, wie z. B. Religion oder ethnische Herkunft, überhaupt nicht zum Profiling genutzt werden, es sei denn es liegt eine ausdrückliche Einwilligung darin vor oder es besteht eine entsprechende Rechtsvorschrift.
Rechtsfolgen bei Verstoß gegen das Verbot
Aus dem Wortlaut der Norm lässt sich keine klare Rechtsfolge ableiten. Dabei könnte es sich beispielsweise um einen Löschungsanspruch, einen Berichtigungsanspruch oder auch um einen Unterlassungsanspruch handeln. Am sinnvollsten erscheint dabei ein Unterlassungsanspruch. Welche Rechtsfolgen ein Verstoß gegen das Verbot nach sich ziehen kann, wird sich durch Entscheidungen der Rechtsprechung konkretisieren. Das Verhängen eines Bußgeldes gem. Art. 83ff. DSGVO kommt dabei in jedem Fall in Betracht.