Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 474

27

Zuletzt verlangt Abs. 2 lit. f noch die Information der betroffenen Person, wenn personenbezogene Daten über diese automatisiert verarbeitet werden sollen, um eine für die betroffene Person rechtlich relevante oder sonst nachteilige Entscheidung zu fällen oder vorzubereiten. Relevant ist dies vor allem für die zulässige automatisierte Entscheidungsfindung nach Art. 22 Abs. 1 oder Abs. 4 sowie bei Profilingmaßnahmen im Sinne des Art. 4 Nr. 4 DSGVO, auch wenn die Entscheidung nicht ausschließlich darauf beruht.77 Mangels Profiling, gehören reine Marketingzwecke nicht dazu, dies lässt sich im Umkehrschluss dem Art. 21 Abs. 1 Satz 1 Hs. 2 und Abs. 2 Hs. 2 DSGVO entnehmen.78

28

Neben der immer zu erteilenden Information der Absicht einer solchen Maßnahme, kann außerdem eine erweiterte Informationspflicht bestehen, nach der zusätzlich die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person ebenfalls mitzuteilen sind.79 Diese erweiterte Informationspflicht besteht zumindest immer dann, wenn eine automatisierte Entscheidungsfindung vorliegt, die dem Art. 22 Abs. 1 oder Abs. 4 unterfällt. Die Formulierung des Abs. 2 lit. f mit dem in Spiegelstrichen aufgenommenen Zusatz: „zumindest in diesen Fällen“, deutet jedoch darauf hin, dass eine erweiterte Informationspflicht auch bei anderen Profilingmaßnahmen bestehen soll. Gefordert wird allerdings in diesem Zusammenhang, dass es dann auf solche Profilingmaßnahmen beschränkt wird, durch die die Interessen der betroffenen Person erheblich berührt werden, was sich entweder durch Art und Ausmaß der verarbeiteten Daten sowie der Methode der Verarbeitung ergibt oder aber aufgrund des Gewichts der sich aus dem Profiling ergebenden Entscheidung notwendig erscheint.80 Der Formulierung lässt sich aber keine konkrete Gewichtung bzw. Abgrenzung entnehmen, weshalb es schwierig ist, hier konkrete Grenzen festzustellen und eher davon auszugehen ist, dass zumindest im Zweifel in der Praxis immer die erweiterten Informationen mit aufzunehmen sind.81

29

Inhalt der erweiterten Information ist zunächst einmal die bei der Entscheidungsfindung oder bei dem Profiling involvierte Logik, womit die Methoden und Kriterien der Datenverarbeitung, beispielsweise in Form eines Algorithmus zur Bildung eines Scorewertes, mitzuteilen sind.82 Die Notwendigkeit, Angaben über Datenverarbeitungsvorgänge zu machen, geht über die bloße Information zu den verarbeiteten Daten hinaus.83 Ein gewisses Spannungsverhältnis zu den Interessen des Verantwortlichen in Bezug auf seine Geschäftsgeheimnisse kann demnach nicht gänzlich ausgeschlossen werden.84 Eine Lösung wird darin gesehen, in Form des Art. 23 DSGVO eine Beschränkungsregelung zu sehen, wonach das Recht des Verantwortlichen bejaht wird, die mitgeteilten Informationen zu „verrauschen“ und so eine Nachahmung seines Verfahrens zu verhindern.85 Inwieweit die Gerichte dieser Ansicht jedoch zukünftig folgen, ist nur schwer einschätzbar.86 Im Zweifel bleibt es Sache des Verantwortlichen, die Möglichkeit von Sanktionen gegenüber der Herausgabe von Geschäftsgeheimnissen abzuwägen und entsprechend zu entscheiden, inwieweit er die betroffenen Personen über seine Verarbeitungsverfahren aufklären kann, ohne derartige Geschäftsgeheimnisse zu verraten.87