Welche Anforderungen werden an die Bildung von Nutzerprofilen gestellt?

Veröffentlicht am 14 April 2017 | von Dr. Fabian Niemann

0

Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche Anforderungen laut Datenschutzgrundverordnung an die Bildung von Nutzerprofilen gestellt werden.

Die Regelungen zur Bildung von Nutzungsprofilen („Profiling“) wurden im Gesetzgebungsverfahren mehrfach diskutiert, insbesondere waren einschränkende Regelungen, darunter ein explizites Einwilligungserfordernis geplant, die jedoch letztlich nicht verabschiedet wurden. Ausweislich Erwägungsgrund 58a der Verordnung kann der Europäische Datenschutzausschuss (Nachfolgeinstitution der Art. 29 Gruppe) jedoch noch nähere Regeln zu Profiling verabschieden, was angesichts der überschaubaren Regelungen noch zu erwarten ist. Bis dahin besteht leider ein erhebliches Maß an Rechtsunsicherheit.

Der Begriff „Profiling“ ist in der Verordnung definiert als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“ (Art. 4 Nr. 4).

a. Wann ist dies zulässig?

Bei der Frage nach der Zulässigkeit von Profiling ist zu trennen zwischen den Anforderungen an das Profiling an sich und der zugrundeliegenden jeweiligen Datenverarbeitung, z.B. die Generierung von Nutzungsprofilen anhand von Internetnutzungsdaten für Werbezwecke. Denn das Profiling bezeichnet nur eine bestimmte Art der Datenverarbeitung (siehe Definition oben), welche die Datenschutzinteressen der Betroffenen jedoch in besonderem Maße berührt und daher gegenüber sonstigen Verarbeitungen zusätzlichen Anforderungen unterliegt (hierzu unten). Die Zulässigkeit der jeweiligen Datenverarbeitung ist nach den allgemeinen Erlaubnistatbeständen zu beurteilen.

b. Welche zusätzlichen Anforderungen muss ich einhalten?

Die zusätzlichen Anforderungen beim Profiling sind ein Widerspruchsrecht des Betroffenen sowie erweiterte Informationspflichten. Ein Widerspruchsrecht besteht, wenn Profiling eingesetzt wird, um Direktwerbung zu betreiben sowie wenn die Datenverarbeitung auf die Erlaubnistatbestände der berechtigten Interessen oder zur Wahrnehmung einer Aufgabe im öffentlichen Interesse gestützt wird. Damit dürfte für den wichtigen Anwendungsfall des Profilings für Werbezwecke stets ein Widerspruchsrecht bestehen. Übt der Betroffene sein Widerspruchsrecht aus, dürfen die Daten nicht mehr weiterverarbeitet werden, es sei denn es bestehen zwingende schutzwürdige Gründe für die Verarbeitung, welche die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Diese hohen Anforderungen werden selten erfüllt sein. Hinsichtlich der Ausübung des Widerspruchsrechts ist nunmehr ausdrücklich geregelt, dass dies (unbeschadet der Vorgaben der ePrivacy Directive) auch durch technische Verfahren (z.B. Browservoreinstellungen) ausgeübt werden kann. Weitere Anforderung ist, dass der Betroffene über eine Verarbeitung im Wege des Profiling zu informieren ist und dabei sind auch Angaben über die verwendete Logik sowie zur Tragweite und zu den angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu machen. Schließlich ist für den Sonderfall der ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung (siehe dazu auch Frage 16.d.) auf der Basis von Profiling geregelt, dass in diesem Fall die betroffene Person stets das Recht hat, keiner solchen Entscheidung unterworfen zu sein, wenn diese ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies soll jedoch nicht gelten, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, mit ausdrücklicher Einwilligung der betroffenen Person oder aufgrund von mitgliedstaatlichen oder unionsrechtlichen Vorschriften erfolgt.

c. Ist die Verordnung das Ende von Big Data?

Die Verordnung wird mit Sicherheit nicht das Ende von Big Data bedeuten. Im Gegenteil: Im Vergleich zu den während des Gesetzgebungsverfahrens diskutierten Einschränkungen (die praktisch immer die in der Realität meist nicht einholbare Einwilligung verlangt hätten) sind die letztlich verabschiedeten Regelungen vergleichsweise Big Datafreundlich (siehe dazu auch den vorherigen Absatz). Es ist jedoch noch zu früh, hierzu eine Prognose abzugeben und es bleibt abzuwarten, wie die neuen Regelungen in der Praxis angewandt und von den Datenschutzbehörden und Gerichten verstanden werden. Zudem ist davon auszugehen, dass der Europäische Datenschutzausschuss in diesem Bereich noch tätig wird und Richtlinien und Handlungsanweisungen veröffentlicht.

Checkliste zur Datenschutzgrundverordnung zum kostenlosen Download

Dieser Beitrag ist ein Auszug aus der „Checkliste: 37 Fragen zu Datenschutzgrundverordnung“ von artegic und Bird&Bird. Die vollständige Checkliste finden Sie zum kostenlosen Download unter https://www.artegic.de/checkliste-datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung

Übersicht

Artikel Name
Welche Anforderungen werden an die Bildung von Nutzerprofilen gestellt?
Beschreibung
Die Regelungen zur Bildung von Nutzungsprofilen („Profiling“) wurden im Gesetzgebungsverfahren mehrfach diskutiert, insbesondere waren einschränkende Regelungen, darunter ein explizites Einwilligungserfordernis geplant, die jedoch letztlich nicht verabschiedet wurden. Ausweislich Erwägungsgrund 58a der Verordnung kann der Europäische Datenschutzausschuss (Nachfolgeinstitution der Art. 29 Gruppe) jedoch noch nähere Regeln zu Profiling verabschieden, was angesichts der überschaubaren Regelungen noch zu erwarten ist. Bis dahin besteht leider ein erhebliches Maß an Rechtsunsicherheit.
Autor
artegic AG


Autor:


Die artegic AG unterstützt Unternehmen beim Aufbau von kundenzentriertem, digitalen, Best-In-Class Dialogmarketing. artegic hat über 10 Jahre Erfahrung im Bereich Marketing Engineering. Das Leistungsportfolio umfasst Beratung, IT-Integration und Technologie für Realtime Marketing Automation und Online CRM. artegic ist der führende deutsche Spezialanbieter von Standardsoftware für Realtime Marketing Automation mit E-Mail und Mobile sowie Betreiber einer der größten Software-as-a-Service Plattformen für digitales Marketing in Europa. Mit 65 Mitarbeitern an den deutschen Standorten Bonn und München sowie internationalen Repräsentanzen steht artegic für nachhaltig erfolgreiches Dialogmarketing mit signifikant besseren Ergebnissen und weniger operativem Aufwand. Kern der Lösungen von artegic ist die vielfach prämierte ELAINE Online Dialog CRM Suite für beeindruckendes digitales Cross-Channel Dialogmarketing in Echtzeit. 2015 wurde die Lösung von der Fachpresse zur besten europäischen Marketing Suite für kundenzentriertes Marketing gekürt. Über artegic Technologie stehen rund 82 Prozent der Deutschen Internetnutzer mit Unternehmen in Kontakt. Jeder dritte DAX Konzern sowie internationale Key-Player wie BMW, PAYBACK, RTL, BURDA, REWE, Web.de, und maxdome zählen zu den Kunden von artegic. Weltweit werden jeden Monat über artegic Technologie rund 2,7 Mrd. E-Mails, SMS und Social Media Messages in 141 Länder versandt. artegic ist vom TÜV Rheinland unternehmensweit nach dem internationalen Standard für IT- und Datensicherheit ISO/IEC 27001 zertifiziert. Das 2005 gegründete Fraunhofer Spin-Off wurde vielfach ausgezeichnet für Innovation und die richtungweisende Umsetzung datenschutzrechtlicher Anforderungen u.a. mit dem eco Internet Award, dem Cased Security Award und dem International Business Award (Stevie).

Tags: , , ,



Nach Oben ↑