Was ist Profiling und warum solltest Du Dir darüber Gedanken machen?

21.03.2021 von Christoph Domke

Das Profiling ist ein Begriff des neuen Datenschutzgesetzes (revDSG). Es ersetzt den Begriff des Persönlichkeitsprofils, das im aktuell gültigen Datenschutzgesetz (DSG) verwendet wird.

Zuerst war das Persönlichkeitsprofil

Ein Persönlichkeitsprofil liegt dann vor, wenn aus einer systematischen Zusammenstellung einer grösseren Anzahl Daten auf «wesentliche» Persönlichkeitsaspekte geschlossen werden kann (Art. 3 DSG). Dies ermöglicht, sich ein Gesamt- oder Teilbild über eine Person zu verschaffen. Solche wesentlichen Aspekte der Persönlichkeit sind beispielsweise:

  • ausserberufliche Beziehungen oder Tätigkeiten;

  • die Weltanschauung;

  • das Konsumverhalten; oder

  • die schulische oder berufliche Qualifikation.

Warum ist dies problematisch?

Wird über eine betroffene Person ein Persönlichkeitsprofil erstellt, verliert sie dadurch die Möglichkeit, sich so dazustellen, wie sie das möchte. Hat die betroffene Person keine Kenntnis über das Profil, kann sie sich auch nicht von dessen Richtigkeit überzeugen. Wird das Profil von einem Onlineshop erstellt, hat dies wahrscheinlich keine weitreichenden Konsequenzen für die Persönlichkeit einer betroffenen Person. Ganz anders sieht dies in einem Bewerbungsprozess oder im Bildungsbereich aus, denn dies kann die beruflichen Chancen einer Person erheblich beeinflussen.

Aus diesem Grund muss die betroffene Person informiert werden, wenn über sie ein Persönlichkeitsprofil erstellt wird (Art. 14 DSG). Legst Du Persönlichkeitsprofile an, musst Du diese Datensammlungen vorgängig beim EDÖB anmelden (Art. 11a DSG). Bei Verstössen gegen die Informations- und Meldepflicht kannst Du mit Busse bestraft werden (Art. 34 DSG).

Dann kam das Profiling

Im Unterschied zum Persönlichkeitsprofil setzt das Profiling eine automatisierte Bearbeitung bzw. Bewertung von Personendaten voraus (Art. 5 revDSG). Automatisiert bedeutet, dass eine computergestützte Analyse von Personendaten erfolgt (bspw. mithilfe eines Computeralgorithmus).

Wie beim Persönlichkeitsprofil besteht auch hier das Ziel, bestimmte persönliche Aspekte von natürlichen Personen zu bewerten. Es handelt sich dabei bspw. um eine Analyse oder Vorhersage über die Arbeitsleistung, die Gesundheit, persönliche Vorlieben oder Interessen. Allerdings fordert das Profiling keinen Rückschluss auf «wesentliche» Aspekte der Persönlichkeit. Es reicht also aus, dass ein Aspekt einer Person (bspw. ihre Vorliebe für schnelle Autos) automatisiert Bewertet wird.

Bist Du eine Betreiberin oder ein Betreiber eines Onlineshops, dann weisst Du, wie einfach eine solche Bewertung vorgenommen werden kann. Hier besteht Grund zur Entwarnung: Die Durchführung eines simplen Profilings allein legt Dir als Privatperson bzw. Privatunternehmern noch keine weiteren Pflichten auf. Warum also wurde dieser Begriff im neuen Gesetz überhaupt eingeführt?

Die Verknüpfung mit dem automatisierten Einzelentscheid

Fällt ein von Dir eingesetzter Computeralgorithmus eine Entscheidung auf der Basis einer durch Profiling erstellten Bewertung, liegt ein sogenannter automatisierter Einzelentscheid vor. Führt dieser Entscheid zu einer Rechtsfolge für die betroffene Person oder wird sie dadurch erheblich beeinträchtigt, muss ihr die Möglichkeit zur Stellungnahme gegeben werden (Art. 21 revDSG).

Führst Du also ein Profiling durch und entscheidest Du Dich anschliessend aufgrund eines automatisierten Einzelentscheids gegen einen Vertragsschluss mit der bewerteten Person, musst Du ihr eine Art Gegendarstellungsrecht gewähren. 

Hinweis:

Der automatisierte Einzelentscheid muss nicht zwingend auf einem Profiling beruhen. Das Profiling ist lediglich der Prozess der Bearbeitung, der mit einer automatisierten Entscheidfindung verknüpft werden kann. Auf der Basis des Profilings können auch menschliche Entscheidungen getroffen werden.

Doch wieder Persönlichkeitsprofil: Profiling mit hohem Risiko

Das Profiling mit hohem Risiko ist nichts anderes als ein Persönlichkeitsprofil, das auf einer automatisierten Bewertung beruht. Wenn Du als Betreiber bzw. Betreiberin eines Onlineshops umfassende Auswertungen über die Vorlieben Deiner Kundinnen und Kunden vornimmst und dies bspw. Rückschlüsse auf ihren Gesundheitszustand zulässt, kann dies ein hohes Risiko für die Persönlichkeit Deiner Kundinnen und Kunden bedeuten.

Aus diesem Grund solltest Du vor der Erstellung eines solchen besonderen Profilings sicherheitshalber die ausdrückliche Einwilligung der betroffenen Personen einholen (Art. 6 revDSG). Wird das Profiling widerrechtlich erstellt, liegt eine Persönlichkeitsverletzung vor. In einem solchen Fall kann Dich die betroffene Person zivilrechtlich belangen und bspw. die Vernichtung des Profils sowie ggf. Schadenersatz und Genugtuung verlangen.

Ein weiteres Beispiel dazu:

Sachbearbeiter A ist Teil eines Teams, das Schadenfälle in einer Versicherung abwickelt. Die Versicherung beschliesst, ein Förderungsprogramm für ihre vielversprechendsten Mitarbeitenden zu starten. Um zu eruieren, wer für das Förderungsprogramm in Frage kommt, werden Aspekte wie die Arbeitsleistung, Einschätzungen von Vorgesetzten und Arbeitskollegen, Kundenfeedbacks und gesundheitsbedingte Absenzen der einzelnen Mitarbeitenden mittels eines Algorithmus ausgewertet. Die Erkenntnisse lassen eine wesentliche Beurteilung über die Persönlichkeit des Sachbearbeiters A zu. Die Versicherung muss A folgerichtig vorgängig um seine ausdrückliche Einwilligung dazu ersuchen. Dafür reicht es höchstwahrscheinlich nicht aus, die Möglichkeit eines solchen Profilings im Personalreglement zu erwähnen.

Zum Schluss: Profiling unter der DSGVO

Der Begriff in der DSGVO ist fast deckungsgleich mit jenem im neuen Datenschutzgesetz (Art. 4 Ziff. 4 DSGVO). Im Anwendungsbereich der DSGVO ist das Profiling, anders als im Schweizer Recht, wie jede Datenbearbeitung grundsätzlich verboten. Erlaubt ist das Profiling dann, wenn, wie bei jeder anderen Datenbearbeitung auch, eine Rechtsgrundlage gemäss Art. 6 DSGVO vorliegt (namentlich ein Vertrag, ein berechtigtes Interesse oder eine rechtliche Pflicht). Das Profiling an sich hat somit keine eigenständige Bedeutung.

Wird das Profiling mit einer automatisierten Entscheidung im Einzelfall verknüpft, gelten strengere Regelungen. Eine solche Verknüpfung ist nur dann erlaubt, wenn:

  • ein Vertrag zwischen dem Verantwortlichem und der betroffenen Person das Profiling des Letzteren erfordert; oder

  • die Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten das Profiling im konkreten Fall als zulässig erklären; oder

  • die betroffene Person ausdrücklich in das Profiling einwilligt.

Verstösse gegen das Verbot können mit hohen Bussen bestraft werden (Art. 83 DSGVO).

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum