Betroffenenrecht: Verbot automatisierter Entscheidung (Profiling)

Artikel von Katharina Scholl·1. März 2022

In Art. 22 DSGVO ist ein Betroffenenrecht zu finden, welches das Verbot einer ausschließlich automatisierten Entscheidung regelt. Das Profiling dabei ist ein Spezialfall der automatisierten Verarbeitung personenbezogener Daten, denen sich der Art. 22 DSGVO ebenfalls widmet. Profiling rückt immer wieder im Zusammenhang mit Themen rund ums Marketing in den Fokus der Öffentlichkeit. Der Zweck des Profilings kann verschieden sein, beispielsweise das zielgerichtete Schalten von Direktwerbung.

Der Inhalt im Überblick

Definition von Profiling und automatisierter Entscheidung in der DSGVO
Beispiele für Profiling und automatisierte Entscheidungen in der Praxis
Muss man das Betroffenenrecht gegenüber dem Verantwortlichen geltend machen?
Wann gilt das Verbot automatisierter Entscheidungen nicht?
Kritik an den Regelungen zum Verbot automatisierter Entscheidung
Profiling als Anlass für Beschwerden und Bußgelder
Stetiges Handeln ist gefragt

Definition von Profiling und automatisierter Entscheidung in der DSGVO

Die datenschutzrechtliche Definition des Profilings ist in Art. 4 Nr. 4 DSGVO zu finden. Das ist hiernach Profiling:

„jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“

Für das Vorliegen des Profilings müssen also folgende Kriterien kumulativ vorliegen:

Die automatisierte Verarbeitung
von personenbezogener Daten
zum Zweck der Bewertung von persönlichen Aspekten einer natürlichen Person – insbesondere zur Analyse oder der Vorhersage deren Verhaltens oder Eigenschaften.

Die automatisierte Entscheidungsfindung ist nicht in Art. 4 DSGVO definiert. Sie zeichnet ebenso aus, dass sie Entscheidungen ohne direkte Beteiligung einer Person mithilfe technischer Mittel trifft. Anders als beim Profiling liegt der Zweck der Analyse und Bewertung nicht in der Bewertung persönlicher Aspekte oder sonstiger menschlicher Eigenschaften.

Beispiele für Profiling und automatisierte Entscheidungen in der Praxis

Bei den Formulierungen der Art. 4 Nr. 4 und Art. 4 Nr. 4 DSGVO ist dabei das Folgende zu beachten: Es geht in erster Linie nicht um die automatisierte Verarbeitung von Daten. Gegenstand dieser Normen ist die Entscheidung, die auf der Datenverarbeitung beruht. Sinn und Zweck der Vorschrift ist der Schutz der Betroffenen. Der Gesetzgeber wollte den Einzelnen davor schützen, einer solch (voll-)automatisierten Entscheidung unterworfen zu sein.

In der Praxis wird Profiling beispielsweise für die Zusammenstellung und Auswertung persönlicher Informationen von Kunden zur Vorhersage ihrer Interessen und dem Versand von möglichst zielgerichteter Direktwerbung an sie eingesetzt. Ein klassisches Profiling-Bespiel ist auch die automatisierte Einschätzung über die Kreditwürdigkeit einer Person mittels eines sogenannten Scoring-Wertes, der individuell errechnet wird. Ein neuerlicher Einsatz von Profiling ist im Bereich des Bewerbermanagements zu beobachten, wobei ein Algorithmus anhand der Daten der Bewerber:innen eine Vorentscheidung für die Personalauswahl trifft.

Ein Beispiel für eine automatisierte Entscheidungsfindung ohne Profiling ist die Verhängung eines Bußgeldbescheids für eine Geschwindigkeitsüberschreitung nur anhand der Blitzeraufnahmen.

Muss man das Betroffenenrecht gegenüber dem Verantwortlichen geltend machen?

In der Datenschutz-Grundverordnung sind Betroffenenrechte regelmäßig so ausgestaltet, dass es einer aktiven Handlung des Betroffenen bedarf. Das Recht muss also aktiv geltend gemacht werden. Art. 22 Abs. 1 DSGVO weicht von diesem Schema ab. Im Gegensatz zur sonst geläufigen Auslegung des Wortes „Recht“ im Zusammenhang mit dem datenschutzrechtlichen Betroffenenschutz und unabhängig von einer aktiven Geltendmachung beinhaltet die Vorschrift des Art. 22 Abs. 1 DSGVO einen Verbotstatbestand, wenn eine Entscheidungsfindung ausschließlich auf einer automatisierten Verarbeitung beruht. Jeder Verantwortliche ist mithin selbst zur Beachtung dieses Rechts verpflichtet.

Wann gilt das Verbot automatisierter Entscheidungen nicht?

Art. 22 Abs. 1 DSGVO erfasst nur profiling- oder personenmerkmalgestützte automatisierte Entscheidungen, die entweder für den Betroffenen eine rechtliche Wirkung entfalten oder ihn in ähnlicher Weise erheblich beeinträchtigen. Liegen diese Tatbestandvoraussetzungen nicht vor, gilt das Verbot der automatisierten Entscheidung nicht.

Keine rechtliche Wirkung…

Beide Tatbestandsalternativen sind in der DSGVO nicht weiter definiert. Die fehlende rechtliche Ausgestaltung ist nicht unproblematisch, denn praktisch jede Entscheidung hat heutzutage zumindest eine mittelbare rechtliche Auswirkung. In Anbetracht der Tatbestandsalternative der „erheblichen Beeinträchtigung in ähnlicher Weise“ ist die „Entscheidung mit rechtlicher Wirkung“ eng auszulegen. Unstreitig unterfallen ihr alle Entscheidungen, die eine unmittelbare Rechtsfolge nach sich ziehen und so die Rechte einer Person betreffen. Beispiele für eine „Entscheidung mit rechtlicher Wirkung“ sind die Auflösung eines Vertrags, einschließlich eines Arbeitsvertrages oder die Verweigerung der Gewährung staatlicher Leistungen.

…oder keine erhebliche Beeinträchtigung in ähnlicher Weise

Liegen die Voraussetzungen einer „Entscheidung mit rechtlicher Wirkung“ nicht vor, ist zu prüfen, ob die Entscheidungsfindung in den Anwendungsbereich der Entscheidung mit einer „erheblichen Beeinträchtigung in ähnlicher Weise“ unterfällt. Hierunter sind können auch die Folgen von Realakten und tatsächlichen Handlungen und Unterlassungen auf Grundlage einer automatisierten Entscheidung subsumiert werden. Hierbei ist die in Art. 22 Abs. 1 DSGVO normierte Erheblichkeitsschwelle zu beachten.

Der Erwägungsgrund 71 nennt für die „Beeinträchtigung in ähnlicher Weise“ als Beispiele das Online-Einstellungsverfahren ohne jegliches menschliches Eingreifen oder auch die automatische Ablehnung eines Online-Kreditantrags. Aus diesen Beispielen wird ersichtlich, dass durch die automatisierte Entscheidungsfindung die Möglichkeit bestehen muss, dass die Umstände, das Verhalten und die Entscheidungen einer Person erheblich bzw. über einen längeren Zeitraum oder dauerhaft beeinträchtigt sein müssen.

Die Schwelle der Erheblichkeit ist zumindest dann erreicht, wenn sich die automatisierten Entscheidungen auf die finanzielle Lage einer Person, ihren Zugang zu Gesundheitsdienstleistungen, einem Arbeitsplatz oder Bildung auswirkt.

Weitere Ausnahmen vom Verbotsgrundsatz

Art. 22 DSGVO immanent sind weitere Ausnahmen zum Verbot der automatisiert getroffenen Entscheidungen. Im zweiten Absatz der Norm ist zu lesen, dass eine automatisierte Entscheidung getroffen werden darf,

wenn es zur Vertragserfüllung zwischen Verantwortlichem und der betroffenen Person erforderlich ist,
wenn es auf Unions- oder Mitgliedstaatsebene in einer Rechtsvorschrift ausdrücklich vorgesehen ist, welcher der Verantwortliche unterliegt und die angemessenen Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen enthält oder
wenn es mit der ausdrücklichen Einwilligung der Betroffenen erfolgt.

Kritik an den Regelungen zum Verbot automatisierter Entscheidung

Die aktuelle Regelung des Art. 22 DSGVO ist nicht frei von Kritik. Schon bei der ersten Evaluation der DSGVO wurde geäußert, dass die derzeitigen Normen keinen ausreichenden Schutz vor automatisierten Entscheidungsfindungen und Profiling bieten. Neben rechtsdogmatischen Unsicherheiten aufgrund der Formulierung der Datenschutz-Grundverordnung wird auch der Anwendungsbereich der Ausnahmen vom Verbot kritisiert.

Nach Art. 22 Abs. 1 DSGVO dürfen Entscheidung nicht „ausschließlich“ auf einer automatisierten Entscheidung beruhen. Im Bereich der Arbeitswelt ist es also möglich, alle Bewerber:innen durch einen Algorithmus laufen zu lassen, der eine Entscheidungsvorlage erstellt, welche:r Bewerber:in eingestellt werden sollte, solange abschließend ein Recruiter die Entscheidung trifft. Ob aber der Recruiter sich bei einer Vielzahl von Bewerber:innen die bereits von dem Algorithmus aussortierten Bewerbungen noch einmal durchsieht und ernsthaft in Erwägung zieht, ist zu bezweifeln.

Wie schon aufgezeigt, bringen einige Begrifflichkeiten mangels Definition zudem erhebliche Rechtsunsicherheiten mit sich, die sich zulasten einzelner Personen und Sachverhalte auswirken kann.

Ein besonders kritisch zu betrachtender Vorgang ist in diesem Zusammenhang das sogenannte Scoring, das meist im Rahmen von Bonitätsprüfungen eingesetzt wird. Hier hält die Rechtsliteratur die Ausnahme von Verbot der automatisierten Entscheidung gem. Art. 22 Abs. 2 DSGVO für einschlägig. Problematisch ist, dass durch die Intransparenz der automatisierten Verfahren und Algorithmen zu befürchten ist, dass bestimmte Personengruppen strukturell ausgegrenzt werden.

Profiling als Anlass für Beschwerden und Bußgelder

Profiling ist ein Anlass für Beschwerden von Betroffenen und Bußgeldbescheiden der Aufsichtsbehörden. Beispielsweise ist Achtsamkeit geboten, möchte man eine Einwilligung zum Profiling einholen. Eine transparente Ausgestaltung des Verfahrens zur Einwilligung ins Profiling entscheidet über die Wirksamkeit eben jener.

Nicht nur die Entscheidungsfindung an sich steht im Mittelpunkt behördlicher Aufsichtsverfahren. Auch das Fehlen einer Anfechtungsmöglichkeit, die nach Art. 22 Abs. 3 DSGVO vorgesehen ist, ist zuweilen Gegenstand eines Bußgeldbescheids.

Stetiges Handeln ist gefragt

In einer Welt, die tagtäglich neue technische Innovationen hervorbringt, werden uns die Themen rund um die automatisierte Entscheidungsfindung und das Profiling auch in Zukunft begleiten – sei es im Bereich des Marketings, des Bewerbermanagements oder der Kreditvergabe. Hinreichend konkrete Regelungen, die den Menschen als Verbraucher:in, als Arbeitnehmer:in, als Kreditnehmer:in in den Blick nehmen, sind daher stetig notwendig – sei es durch die Ergänzung des europäischen oder nationalen Rechts oder auch durch die richterliche Rechtsfortbildung.

- Betroffenenrechte
  EuGH Schufa-Scoring-Urteil & seine Folgen für VerbraucherUrteil·10. Januar 2024
- Schadensersatz wegen „verspäteter“ Auskunft nach 19 TagenUrteil·4. Januar 2024
- Datenschutzbeschwerde per Deal vermeidenFachbeitrag·6. November 2023
Mehr zum Thema
- Bewerbungsdaten
  Active Sourcing – Datenschutz beim E-RecruitingFachbeitrag·20. Februar 2024
- Urteil: Kein Schadenersatz nach erfolgloser BewerbungUrteil·15. November 2023
- Aufbewahrungsfrist: Wann sind Bewerbungen zu löschen?Fachbeitrag·14. März 2023
Mehr zum Thema
- Bußgeld
  DSGVO-Bußgeld: Haften Unternehmen für Mitarbeiter?Urteil·16. April 2024
- Top 5 DSGVO-Bußgelder im März 2024News·3. April 2024
- Top 5 DSGVO-Bußgelder im Februar 2024News·4. März 2024
Mehr zum Thema
- personalisierte Werbung
  "Pay or Okay": Abo-Modelle im FokusNews·28. Februar 2024
- noyb gegen Meta: Wie okay ist „pay or okay“?News·29. November 2023
- Meta: Personalisierte Werbung in Zukunft nur nach Einwilligung?News·17. August 2023
Mehr zum Thema
- Werbung
  EuGH-Urteil zum TCF mit Folgen für die Online-WerbungUrteil·27. März 2024
- Cross Device Tracking: Nutzerverfolgung vs. DatenschutzFachbeitrag·27. Februar 2024
- Die Verarbeitung von öffentlich zugänglichen DatenFachbeitrag·30. November 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.