Читать книгу DS-GVO/BDSG - David Klein - Страница 120

69

Art. 4 Nr. 4 definiert „Profiling“ als jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Es sind also Vorgänge gemeint, bei denen in der Regel größere Datenmengen zusammengeführt und automatisiert ausgewertet werden, wodurch bspw. besondere Vorlieben und Interessen oder Aufenthaltsorte einzelner betroffener Personen ermittelt werden können.[154] Unerheblich ist nach dem Wortlaut der Norm, ob die personenbezogenen Daten aus einer oder aus verschiedenen Quellen stammen. Ob der Verantwortliche einen oder mehrere Zwecke verfolgt oder ob die Bewertung der natürlichen Peron der Vorbereitung einer automatisierten Einzelfallentscheidung dient ist ebenfalls nicht von Bedeutung.[155]

70

Ausweislich des ErwG 72 ist das Profiling eine Art der Verarbeitung personenbezogener Daten, die durch einen Erlaubnistatbestand der Art. 6 oder 9 legitimiert sein muss. Relevant ist die Norm damit vor allem für Verantwortliche, die automatisierte Einzelentscheidungen vornehmen und dabei Profilinganalysen oder -vorhersagen verwenden.

71

Nach der Definition des Art. 4 Nr. 4 ist Profiling nur die Datenanalyse, ohne dass hieran bereits Folgen für den Betroffenen geknüpft sind. Zu trennen sind beim Profiling die Datensammlung und die daran anschließende Datenauswertung.[156]

72

Legt man dem „Profiling“ ein weites Begriffsverständnis zugrunde, sind darunter nicht nur automatisierte Verfahren der Verhaltensanalyse zu fassen, sondern auch Techniken, mit deren Hilfe auf der Grundlage des analysierten Verhaltens unter Zugrundelegung statistisch-mathematischer Verfahren eine Prognose über das zukünftige Verhalten einer Person erstellt werden. Dies können Kaufprognosen sein, wie sie im Rahmen des „Costumer Relationship Management“ möglich sind, die Einschätzung von Fehler- oder Ermüdungsrisiken im Zusammenhang mit der Bedienung komplexer Maschinen bis hin zu Einschätzung von Kredit- und Bonitätsrisiken, wie sie in der Vergangenheit mit dem Begriff des Scoring verknüpft waren.[157]

73

Die Datenbasis für ein mögliches Profiling kann vielfältig sein. Insbesondere kommt das individuelle Kommunikations- und Nutzungsverhalten im Internet in Betracht. So können in diesem Zusammenhang Aktivitäten in sozialen Netzwerken, besuchte Websites, Onlinekäufe[158], aber auch Suchanfragen bei Suchmaschinen relevant sein. Vermehrt können auch Daten aus „smarten“ Geräten, wie Fahrzeugen[159], Smart-TV oder Smartwatches in ein Profiling einfließen, um dadurch ein bestmögliches Persönlichkeitsbild über den Verwender und die betroffene Person zu erhalten.[160]

74

In ihrem Gutachten bezieht auch die von der Bundesregierung eingesetzte Datenethikkommission Stellung zum Themengebiet des Profilings und des Scorings. Nach Ansicht der Kommission besteht, insbesondere mit Blick auf Art. 22 Klarstellungs- und Konkretisierungsbedarf.[161] Im Lichte des im Einzelnen stark differenzierenden Schädigungspotentials algorithmenbasierter Systeme erscheine es nicht angemessen, das Verbotsprinzip des Art. 22 generell auszuweiten. Von diesem Gedanken ausgehend empfiehlt die Kommission ein risikoadaptiertes Regelungsregime, das dem Einzelnen angemessene Schutzgarantien, insbesondere gegen Profiling, und Verteidigungsmöglichkeiten gegen Fehler und Bedrohungen seiner Rechte vermittelt.[162] Zur Bestimmung des Kritikalitätsgrades algorithmischer Systeme empfiehlt die Kommission die Orientierung anhand eines übergreifenden Modells.[163] Unter Heranziehung einer 5-stufigen Kritikalitätspyramide soll das Schädigungspotential algorithmischer Systeme bestimmt und davon ausgehend die gebotene Regulierungstiefe abgeleitet werden.[164] Nach Ansicht der Kommission soll der Kritikalitätsgrad Gesetzgeber und Gesellschaft bei der Suche nach geeigneten Regulierungsschwellen und -instrumenten anleiten, könne aber auch Entwicklern und Betreibern bei der Selbsteinschätzung ihrer Produkte und Systeme Orientierung bieten und schließlich in Aus-, Fort- und Weiterbildung für die Sensibilisierung und Schulung unterschiedlicher Akteure eingesetzt werden.[165]