Haben Sie Fragen oder Interesse? +49 (511) 165 80 40 90
de

von

Begriffsbestimmung

Die datenschutzrechtliche Definition des Profilings findet sich in Art. 4 Nr. 4 DSGVO und beschreibt es als

jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Kurzgefasst ist damit also die automatisierte Verarbeitung personenbezogener Daten gemeint, wenn dies zum Zwecke der Bewertung von persönlichen Aspekten einer natürlichen Person passiert.

Die besondere Herausforderung beim Profiling und das Schutzziel der datenschutzrechtlichen Vorgaben ist hingegen nicht der Verarbeitungsvorgang als solcher, sondern die auf diesem Vorgang basierende Entscheidung (vgl. Art. 22 DSGVO). Der Betroffene soll durch die Norm gerade davor geschützt werden, einer solchen automatisierten Entscheidung unterworfen zu werden.

Anwendungsbeispiel

Erst kürzlich verlautete der Generalanwalt des EUGH, dass das SCHUFA-Verfahren Profiling iSd. DSGVO sei. Bei diesem wird mittels eines automatisierten Vorgangs ein Wahrscheinlichkeitswert errechnet, der Aussagen über die Kreditwürdigkeit einer Person gegenüber einer anfragenden Stelle (zumeist einer Bank) angibt. Auf Grundlage dieser Entscheidung wird dem betroffenen Bürger regelmäßig ein in Aussicht gestellter Kredit bewilligt oder aber verweigert. In den meisten Fällen wissen die Betroffen nicht um ihren (schlechten) SCHUFA-Score. Wie ein solcher errechnet wird, wird – wie der BGH erstmals urteilte – als Betriebsgeheimnis gehandelt.

In der aktuellen Rechtssache vor dem EUGH wird die Frage behandelt, ob es sich bei dem SCHUFA-Scoring um eine automatisierte Verarbeitung im Sinne von Art. 22 Abs. 1 DSGVO handelt. Nach dieser Norm ist eine ausschließlich automatisch erfolgende Verarbeitung von personenbezogenen Daten verboten, soweit eine darauf beruhende Entscheidung der betroffenen Person gegenüber, rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei ist angesichts des Schutzzweckes von einer weiten Auslegung dieses Begriffs auszugehen. Aufgrund dieser weiten Auslegung stellt nach Ansicht des Generalanwalts das SCHUFA-Scoring gerade eine solche verbotene automatisierte Entscheidung dar: Der erzielte Wahrscheinlichkeitswert wird an Dritte weitergegeben und bewirke nach Ablehnung eines Kredit die besagte Beeinträchtigung.

Ob das Gericht dieser Ansicht folgen wird, entscheidet sich erst in einigen Monaten. Die Schlussanträge des Generalanwalts sind nämlich nicht bindend – gleichwohl orientiert sich das Gericht oftmals an diesen.

Wir halten Sie bei Neuerungen auf dem Laufenden!

Zurück

lexICT...

... ist eine Datenschutz-Beratungsfirma mit Sitz in Hannover und Wien, die großen Wert auf eine individuelle Beratung und die Entwicklungen pragmatischer Lösungen setzt. Unser Team besteht ausschließlich aus Jurist*innen, die sich im Datenschutz spezialisiert haben und über den gewissen Nerd-Faktor verfügen, um die Nische zwischen Recht und Technik optimal ausfüllen zu können.

Kontaktieren Sie uns!

lexICT GmbH
Ostfeldstraße 49
30559 Hannover

+49 (511) 165 80 40 90

+49 (511) 165 80 40 99

Copyright 2024. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

You are using an outdated browser. The website may not be displayed correctly. Close