Profiling und automatisierte Entscheidungen: Ein 3-stufiges Modell
I. Vorüberlegungen
1. Überblick
Die beschriebenen kritischen Aspekte von Profiling wurden ausgehend von der Legaldefinition des Art. 4 Nr. 4 DSGVO und dem Einsatz von Profiling in der Praxis entwickelt. Bei der Beschreibung der mit Profiling zusammenhängenden tatsächlichen Problemlagen tritt eine wesentliche Erkenntnis zutage. Es bietet sich an, eine Unterscheidung in qualitativer sowie chronologischer Hinsicht zu treffen zwischen Profiling einerseits, also der „bloßen“ Erstellung von Bewertungen, und dem darauf aufbauenden Prozess der Entscheidungsfindung (ggf. mitsamt der Ausführung dieser Entscheidung) andererseits. Denn „Profiling – als automatisierte Datenverarbeitung – bildet die Grundlage, auf der eine Entscheidung des Verantwortlichen aufsetzt, die für die betroffene Person dann eine rechtliche Wirkung oder sonstige Konsequenz mit sich bringt.“ Diese beiden Stufen können erst durchgeführt werden, wenn eine ausreichende Datengrundlage vorliegt. Die Datensammlung muss also logischerweise den ersten Schritt in diesem Modell darstellen.
Das Modell beginnt demnach auf der ersten Stufe mit der Sammlung der Daten, die für die nachfolgenden Schritte notwendig sind. Hierbei wird unterschieden zwischen personenbezogenen Daten, welche sich unmittelbar auf die im Einzelfall zu bewertende Person beziehen, und abstrakten Vergleichsdaten, welche (häufig, aber nicht zwangsläufig in anonymisierter Form) in bedeutendem Umfang gesammelt und ausgewertet werden, um Erfahrungssätze zu generieren und Vergleichsgruppen zu bilden. Das eigentliche Profiling stellt die zweite Stufe dar. Sie befasst sich mit der Schaffung eines im weitesten Sinne „nutzbaren“ Ergebnisses, welches für den Verantwortlichen von wirtschaftlichem Interesse ist. Die dritte Stufe befasst sich mit dem Fällen und Ausführen von Entscheidungen, welche auf dem gefundenen Ergebnis (bzw. den Ergebnissen) der zweiten Stufe aufbauen. Diese Phase basiert zumindest teilweise auf dem Ergebnis des Profiling-Verfahrens. Freilich können zur Entscheidungsfindung neben dem Ergebnis des Profilings auch andere Daten herangezogen werden, welche keine Bewertung persönlicher Aspekte i. S. v. Art. 4 Nr. 4 DSGVO darstellen, sondern ein nicht wertendes Abbild der Wirklichkeit, wie z. B. demografische Angaben über die Person oder Wetterdaten. Die gemeinsame Betrachtung von Entscheidungsfindung und -ausführung ist geboten, weil beide Aktionen voneinander abhängen: Die Entscheidung ist inhaltlich dadurch bedingt, was tatsächlich – zumindest a priori aus Sicht des Anbieters – praktisch umsetzbar ist. Die dritte Stufe endet, je nach inhaltlichem Ausgang des Entscheidungsfindungsprozesses, mit einem aktiven Tun oder einem bewussten Unterlassen.
2. Terminologie
Die Überlegung, dass Profiling und das damit zusammenhängende Treffen von Entscheidungen zwei miteinander zusammenhängende, aber qualitativ verschiedene und damit voneinander zu unterscheidende Verfahrensabschnitte darstellen, ist grundsätzlich nicht neu. Buchner führt z. B. aus, dass „Profiling und Entscheidung (bzw. Entscheidungsfindung) auf zwei verschiedenen Ebenen anzusiedeln sind“ und dementsprechend eine Unterscheidung geboten ist.
Nach Ansicht mancher Autoren ist der Begriff „Profiling“ inhaltlich weiter gefasst als es nach dem hier vertretenen Modell der Fall ist. Damit geht aber nicht unbedingt zugleich eine signifikante inhaltliche Divergenz einher. So schreiben z. B. Mendoza und Bygrave mit Blick auf die Datenschutz-Grundverordnung: „profiling denotes the process of (1) inferring a set of characteristics about an individual person or group of persons (i.e., the process of creating a profile), and/or (2) treating that person or group (or other persons/groups) in light of these characteristics (i.e., the process of applying a profile).“ Dies impliziert, dass Profiling sich begrifflich auf das Bewerten einer Person bezieht, zugleich aber auch darauf, welche Folgen man daraus für die Interaktion mit der Person zieht. Terminologisch wird Profiling damit auch auf die (nach hiesiger Ansicht) dritte Stufe bezogen und geht damit weiter als das hier vertretene engere Verständnis, welches Profiling begrifflich auf der zweiten Stufe verortet.
II. Erste Stufe: Datensammlung
Grundlage von Profiling sind immer Informationen in Form von Daten. Zugriff darauf ist eine unabdingbare Voraussetzung. Dies gilt unabhängig davon, ob der Verantwortliche die Daten selber erhebt, sie von Dritten erlangt oder sie aus verschiedenen Quellen zusammenführt. Das Beschaffen von Daten – also ein Sammeln von Daten im weitesten Sinne – ist damit der erste Schritt, der gegangen werden muss, um Profiling zu betreiben und daran Entscheidungen zu knüpfen. Schon ab dieser Ebene stellt sich für den Verantwortlichen i. S. v. Art. 4 Nr. 7 DSGVO die Frage, ob bzw. in welchem Ausmaß das Datenschutzrecht zur Anwendung kommt. Dies hängt davon ab, ob den Daten ein Personenbezug innewohnt, Art. 2 I DSGVO, ob sie sich also auf eine „identifizierte oder identifizierbare natürliche Person“ beziehen (Art. 4 Nr. 1 DSGVO). Eine Kategorisierung der für das Profiling eingesetzten Daten ist an dieser Stelle notwendig, da die datenschutzrechtlichen Vorgaben vom Verantwortlichen je nach rechtlicher Qualifikation des einzelnen Datums befolgt werden müssen oder nicht. Die rechtlichen und tatsächlichen, vor allem finanziellen Folgen, sind unter Umständen beträchtlich. Dies gilt nicht nur mit Blick auf die Sammlung der Daten – hier verstanden als erste Stufe –, sondern auch mit Blick auf die Datenverarbeitung auf der nachgelagerten Stufe (dem eigentlichen Profiling zum Zwecke der Ergebnisfindung) und teilweise auch auf der dritten Stufe des Modells (dem Fällen von Entscheidungen).
Bei der Betrachtung des ersten Schrittes bietet sich eine Unterscheidung zwischen zwei Kategorien von Daten an, nämlich „abstrakten Vergleichsdaten“ einerseits und „personenbezogenen Daten der betroffenen Person“ andererseits.
1. Abstrakte Vergleichsdaten
a. Vorüberlegungen
Zunächst sind (typischerweise) große Summen an „Erfahrungsdaten“ bzw. „Vergleichsdaten“ erforderlich, um aus ihnen allgemeine Erfahrungssätze, Korrelationen und Regeln zu generieren, welche das Profiling überhaupt erst möglich machen. Die meisten Profiling-Verfahren basieren auf der Überlegung, dass diese Analysen einer großen Masse von Daten es erlauben, im Einzelfall auf persönliche Aspekte einer bestimmten Person zu schließen, indem über diese Person vorliegende Informationen mit den aus den abstrakten Daten gewonnenen Erfahrungssätzen abgeglichen werden. Anders formuliert geht es darum, Eigenschaften und Verhalten von Menschen in bestimmten Situationen allgemein zu typisieren (und ggf. mit weiteren, von ihrer Natur her nicht personenbezogenen Daten in Bezug zu setzen), um daraus später Erkenntnisse über Einzelpersonen ableiten zu können. Auch wenn weitere Faktoren für die Qualität des eingesetzten Verfahrens und die Zuverlässigkeit der gefundenen Ergebnisse ebenso eine tragende Rolle spielen, so z. B. die Richtigkeit und Aktualität der verarbeiteten Daten, führen grundsätzlich größere Datenmengen auf der abstrakten Ebene zu besseren Ergebnissen im Einzelfall. Ohne Vergleichsdaten lassen sich individualisierte natürliche Personen nicht einordnen und bewerten – dem Profiling würde die Grundlage fehlen. Auch wenn Vergleichsdaten häufig zumindest ursprünglich ein Personenbezug innewohnt, spielt die Identität der Personen für den Verantwortlichen auf dieser abstrakten Ebene keine Rolle. Anonymisierte (also ursprünglich personenbezogene) Daten sind damit als Vergleichsgrundlage ausreichend.
Ein anschauliches Beispiel dafür, welche Rolle abstrakte Vergleichsdaten beim Profiling spielen, ist eine Marketing-Strategie des US-amerikanischen Discount-Einzelhändlers Target. Diesem ist es gelungen, durch Analyse der ihm vorliegenden Daten über das Kaufverhalten solcher Kundinnen, die im Rahmen eines Vorteilsprogramms dem Unternehmen gegenüber angegeben hatten, schwanger zu sein und zudem den erwarteten Geburtstermin mitgeteilt hatten, Rückschlüsse auf das Bestehen einer Schwangerschaft bei anderen Kundinnen zu ziehen. Target konnte auf diese Weise die Schwangerschaft einer Kundin durch Auswertung ihres Kaufverhaltens hinsichtlich eines Muster-Einkaufskorbes von ca. 25 Alltagsprodukten bereits im zweiten Drittel der Schwangerschaft mit hoher Genauigkeit feststellen – und damit lange vor dem Erwerb solcher Produkte, die offensichtlich auf die Geburt eines Kindes bezogen sind. Target erstellte zu diesem Zweck individuelle „Pregnancy Prediction Scores“. Selbst der erwartete Geburtstermin konnte so auf ein relativ kleines Zeitfenster eingegrenzt werden. Das Unternehmen nutzte dieses Wissen, um je nach aktuellem Stand der Schwangerschaft individualisierte Werbung (in Form von Rabatt-Gutscheinen) zu verschicken. Der Wettbewerbsvorteil von Target bestand darin, die Kundinnen schneller als andere Unternehmen mit situationsbezogener Werbung konfrontieren zu können. Das Wissen, dass eine Kundin mit einer gewissen Wahrscheinlichkeit schwanger ist, war für Target besonders wertvoll, da Kundinnen (bzw. Paare) in dieser Lebensphase besonders empfänglich dafür sind, ihr Kaufverhalten grundlegend zu verändern: Zielgerichtete, geschickte Werbung kann dann den Effekt haben, die Kunden längerfristig auch für solche Produkte an das Unternehmen zu binden, welche sie bisher woanders gekauft haben. Dies gilt vor allem auch für solche Produkte, die keinen inhaltlichen Bezug zur Schwangerschaft der Kundin haben. Das beschriebene Vorgehen kann damit für den Verwender durchaus jahrelange positive Auswirkungen zeitigen.
b. Anonyme, anonymisierte und personenbezogene Daten
Innerhalb der Kategorie „abstrakte Vergleichsdaten“ lassen sich somit drei Unterkategorien abschließend feststellen. Zunächst sind dies solche Daten, denen ihrer Natur nach per se kein Personenbezug innewohnt, wie z. B. Wetter- oder Geländedaten (Unterkategorie 1). Sie sind genuin anonym, solange sie nicht mit personenbezogenen Daten verknüpft werden. Zudem werden häufig personenbezogene Daten i. S. v. Art. 4 Nr. 1 DSGVO verarbeitet (Unterkategorie 2). Wenn beispielsweise eine Auskunftei eine Bonitätsauskunft über eine konkrete Person erstellt, werden dafür zahlreiche Daten anderer in der Kartei gelisteter Kunden als Vergleichsmaßstab herangezogen. Diese Daten sind personenbezogen und müssen es aufgrund der Arbeitsweise von Auskunfteien auch bleiben, da diese für jede gelistete Person Score-Werte bereithalten müssen. Die dritte Unterkategorie stellen anonymisierte Daten dar. Dies sind Daten, die ursprünglich personenbezogen waren, aber durch verschiedenartige technische Methoden mit dem Ziel weiterverarbeitet wurden, dass eine Identifizierung der betroffenen Person nicht mehr möglich ist. Die Datenschutz-Grundverordnung kommt gem. Art. 2 I DSGVO nur zur Anwendung, wenn personenbezogene Daten (Unterkategorie 2) verarbeitet werden. Bei den nicht personenbezogenen Daten ist ihr sachlicher Anwendungsbereich nicht eröffnet.
Um die Anwendbarkeit des Datenschutzrechts zu umgehen, werden große Datensätze häufig anonymisiert, um sie an Dritte weiterzugeben, z. B. zu Zwecken der Forschung oder zwecks kommerzieller Nutzung. Terminologisch ist der Begriff „anonymisiert“ nicht unproblematisch. Er suggeriert nämlich, dass die Anonymisierung erfolgreich gewesen ist, dass sie also vor allem nicht umkehrbar ist. Wie die folgenden Ausführungen zeigen, ließe sich durchaus argumentieren, dass begrifflich stärker deutlich gemacht werden sollte, ob auf das Ergebnis, also eine wirklich effektive Anonymisierung, oder nur auf die Absicht, eine solche nach Möglichkeit herbeizuführen, abgestellt wird. Anonymisierung kommt in großem Ausmaß auch beim Profiling zum Einsatz, denn die Entbindung von möglichst vielen datenschutzrechtlichen Pflichten, welche in der Praxis für die Verpflichteten durchaus zeit- und kostenintensiv sein können, ist für diese sehr erstrebenswert.
c. Technische und rechtliche Probleme der Anonymisierung
Sowohl in tatsächlicher als auch in rechtlicher Hinsicht ist das Verhältnis von technischer Anonymisierung und datenschutzrechtlicher Bewertung des Personenbezugs nicht durchweg unproblematisch. An die Anonymisierung personenbezogener Daten sind in technischer Hinsicht hohe Anforderungen zu stellen, da diese Verfahren mit fortschreitender technischer Entwicklung und Zunahme des vorhandenen Datenmaterials immer häufiger rückgängig gemacht werden können. Je nachdem, welche Anforderungen man an den Begriff „identifizierbar“ in Art. 4 Nr. 1 DSGO stellt, müssen Daten, welche eigentlich anonymisiert werden sollten, rechtlich doch als personenbezogen eingeordnet werden, wenn die Identität der ursprünglich betroffenen Personen mit technischen Mitteln wieder aufgedeckt werden kann. Mit dem Fortschritt der Technologie und dem verfügbaren Datenmaterial steigt damit tendenziell die Summe an Daten, die rechtlich als personenbezogen qualifiziert werden müssen. Auch die Anonymisierungstechniken entwickeln sich im Laufe der Zeit weiter. Allerdings hat sich gezeigt, dass die Möglichkeiten der Re-Identifikation diesen technisch in der Regel überlegen sind.
„Schwachstelle“ der Anonymisierung ist zumeist der Abgleich (vermeintlich) anonymisierter Daten mit weiteren Datenquellen. Sobald eindeutige Übereinstimmungen gefunden wurden, kann häufig aufgedeckt werden, auf welche natürlichen Personen sich ein eigentlich anonymisierter Datensatz bezieht. Viele Methoden würden zwar eine Anonymisierung ermöglichen, die mit Sicherheit nicht rückgängig zu machen wäre. Dies gilt aber nur unter der (in den meisten Fällen) realitätsfernen Prämisse, dass ansonsten keinerlei Zugriff auf personenbezogene Daten besteht, welche sich auf die Personen beziehen, deren Identitäten durch die Anonymisierung geschützt werden sollten. Einer Re-Identifikation in besonderem Maße zugänglich sind mit Sensoren ausgestattete Alltagsprodukte des „Internets der Dinge“, wie etwa Fitness-Tracker oder Smartphones. Diese können umfassende und damit persönlichkeitsrechtlich hoch relevante Bewegungs- bzw. anderweitige Verhaltensprofile ihrer Nutzer erstellen, welche ihrer Natur nach aufgrund ihrer Komplexität häufig einzigartig sind. Werden diese Profile in ihrer Gänze gespeichert und nur dadurch anonymisiert, dass eindeutige Identifikationsmerkmale (sog. Identifier) gelöscht werden, wie z. B. Name oder Adresse der jeweiligen Nutzer, ist eine Re-Identifikation häufig relativ leicht möglich: Einige wenige Informationen über das Verhalten eines bestimmten Nutzers, gewonnen aus anderen Quellen, können ohne Weiteres eine Zuordnung dieser konkreten Person zu einem der eigentlich anonymisierten Profile erlauben. Dies bedeutet, dass wenige, zudem häufig vermeintlich banale Informationen, wie z. B. solche über den typischerweise zurückgelegten Weg zur Arbeit, sehr komplexe und aussagekräftige Profile und Verhaltensmuster offenlegen können. Generell gilt, dass trotz dauerhafter Löschung typischer Identifikationsmerkmale aus einem Datensatz, wie z. B. des Namens oder der Adresse einer Person, erstaunlich häufig der Rückschluss auf die Identität einzelner Personen weiterhin möglich ist. Eine US-amerikanische Studie aus dem Jahr 2000 hat beispielsweise nachgewiesen, dass 87 % der US-Amerikaner anhand ihrer 5-stelligen Postleitzahl, ihres Geschlechts und ihres Geburtsdatums einwandfrei identifiziert werden können.
Je effektiver personenbezogene Daten anonymisiert werden, desto aussageloser und damit weniger nutzbringend werden sie häufig mit Blick auf ihren Aussagegehalt. Eine Methode der Anonymisierung ist es beispielsweise, spezifische Informationen, welche in Datensätzen enthalten sind, gezielt zu generalisieren, um so den Rückschluss auf die dahinterstehenden Individuen zu verhindern oder zumindest zu erschweren. Der Aussagegehalt wird auf diese Weise verwässert, so z. B. indem bei Vorliegen von 5-stelligen Postleitzahlen, welche Auskunft über den Wohnort der in einem Datensatz enthaltenen Personen geben, immer die letzten beiden Ziffern gelöscht werden. Dies erschwert tendenziell das Aufdecken der Identität der betroffenen Personen, verringert aber auch den Aussagegehalt des Datensatzes insgesamt. Wird er z. B. herangezogen, um Marktforschung zu betreiben oder eine Statistik zu erstellen, wird das Ergebnis in örtlicher Hinsicht unpräziser. Ein noch stärkerer Verlust an Aussagekraft ist zu erwarten, wenn Datensätze dergestalt anonymisiert werden, dass die in ihnen enthaltenen Informationen vor der Weiterverarbeitung zusammengefasst werden. Die Anonymisierung mag in diesen Fällen sehr effizient sein und eine Identifizierung einzelner Personen verhindern. Durch das Zusammenfassen der Ergebnisse gehen aber auch viele potenziell nützliche Informationen verloren. Zudem wohnen einer Zusammenfassung häufig auch wertende Elemente inne, weshalb der Aussagegehalt der Daten eventuell verfälscht wird.
Es stellt sich also das grundsätzliche Problem, dass ein Kompromiss gefunden werden muss zwischen dem Schutz der Privatheit und des allgemeinen Persönlichkeitsrechts auf der einen Seite und dem den Daten nach der Anonymisierung noch innewohnenden Nutzen andererseits. Man muss nicht so weit gehen wie Ohm, der in seiner grundlegenden Abhandlung zu den rechtlichen Implikationen der Anonymisierung von Datensätzen ausführt: „Data can be either useful or perfectly anonymous but never both.“ Ihm ist aber dahingehend beizupflichten, dass der Konflikt zwischen der (durch die Datenverarbeitung möglicherweise negativ beeinträchtigten) Privatheit der Betroffenen und der Nutzbarmachung von Daten zu verschiedenen Zwecken häufig vorschnell unter Verweis auf eine vermeintlich effektive Anonymisierung im Einzelfall heruntergespielt wird.
2. Personenbezogene Daten des Betroffenen
Um Profiling bezogen auf eine bestimmte Person – einen (potenziellen) Kunden, eine Arbeitnehmerin, einen Kreditantragsteller etc. – durchzuführen, ist es notwendig, dass mindestens ein einzelnes Datum bekannt ist, welches sich auf diese konkrete Person bezieht. Es handelt sich um die betroffene Person i. S. d. Art. 4 Nr. 1 DSGVO. Typischerweise wird auf mehrere (und zwecks Verbesserung des Ergebnisses möglichst viele) personenbezogene Daten zurückgegriffen. Diese müssen zwingend personenbezogen i. S. d. Art. 4 Nr. 1 DSGVO sein, da der Verantwortliche sie heranzieht, um die konkret betroffene Person im Einzelfall zu bewerten, und dies nur unter Bezugnahme auf die jeweilige Identität möglich ist. Die tatsächlichen, qualitativen Unterschiede zwischen abstrakten Vergleichsdaten und (im Gegensatz dazu „konkreten“) Daten mit Bezug auf eine Einzelperson schlagen sich hier bei der datenschutzrechtlichen Einordnung nieder. Target ging grundsätzlich so vor, dass nach Möglichkeit jeder Kundin eine individuelle „Guest ID Number“ zugeordnet wurde, unter der alle dem Unternehmen bekanntgewordenen Informationen über die jeweilige Kundin gespeichert wurden. Spätestens im Zeitpunkt der Zuordnung dieser einzelnen Informationen zu einem konkreten Individuum unter Verwendung dieser Kennnummer wurden daraus (nach dem Verständnis des europäischen Datenschutzrechts) personenbezogene Daten. Um die Wahrscheinlichkeit zu berechnen, dass eine bestimmte Kundin schwanger ist, wurde das Kaufverhalten bezogen auf 25 Produkte eines Muster-Warenkorbes ausgewertet (s. o.). Der Zugriff auf dieses Bündel an Informationen in Form von personenbezogenen Daten mit Bezug auf die konkret zu bewertende Kundin ermöglichte Target die Durchführung des Profilings. Personenbezogenen Daten kommt damit beim Profiling eine Schlüsselrolle zu: Erst der Zugriff auf sie erlaubt es, die abstrakten Erfahrungssätze, welche aus den abstrakten Vergleichsdaten gewonnen werden konnten, auf den Einzelfall zu übertragen und somit nutzbar zu machen.
III. Zweite und dritte Stufe: Profiling und Entscheidungsfindung sowie -ausführung
Der Einsatz von Profiling ist für Unternehmen ein hilfreiches Werkzeug, um die persönlichen Aspekte von Verbrauchern zu analysieren und vorherzusagen. Es wird deshalb eingesetzt, um die Interaktion mit dem Betroffenen im weiteren Sinne auszugestalten, um also geschäftliche Handlungen – bzw. das Unterlassen eines Handelns – ihm gegenüber zu bestimmen. Im Kern dient Profiling also dazu, Entscheidungen über das weitere Vorgehen vorzubereiten. Das Fällen und Ausführen von Entscheidungen folgt zeitlich nach.
Profiling stellt also in chronologischer Hinsicht den zweiten Schritt des hier vertretenen Modells dar, das Fällen von Entscheidungen den dritten. Auch in qualitativer Hinsicht ist diese Strukturierung und Abgrenzung von Profiling einerseits und dem Fällen sowie Ausführen von Entscheidungen andererseits sinnvoll. Im Folgenden wird dargestellt, dass diese Herangehensweise es erlaubt, die verschiedenen Probleme und Interessenlagen der Beteiligten rechtlich zu würdigen, zu bewerten und in Bezug zueinander zu setzen. Anders formuliert erlaubt es die vorgeschlagene Strukturierung, die anwendbaren Rechtsregime und damit die ggf. betroffenen Rechtsgüter der Beteiligten und weitere rechtliche Implikationen zu bestimmen.
Profiling stellt, wie schon der Wortlaut der Legaldefinition zeigt, zunächst nur eine Bewertung persönlicher Aspekte dar. Dabei werden für den Verwender potenziell nützliche Informationen über den Betroffenen generiert. Es geht also um das Finden von Erkenntnissen, die in einem nachgelagerten Schritt möglicherweise nutzbringend eingesetzt werden können. Eine gedankliche, strukturelle Differenzierung zwischen dem Schaffen einer Entscheidungsgrundlage mit den Mitteln des Profilings und dem eigentlichen Fällen und Ausführen einer Entscheidung scheint also sinnvoll. Das 3-stufige Modell lässt sich, wie vor allem bei der Untersuchung der Regulierung automatisierter Entscheidungsfindungen zu sehen sein wird, auch mit dem Aufbau der Datenschutz-Grundverordnung begründen.
Die Erstellung der Bewertung persönlicher Aspekte, also das eigentliche Profiling, wird anhand der im Rahmen des ersten Schritts gesammelten Daten vorgenommen. In diesem zweiten Schritt geht es darum, die Ergebnisse von Profiling und ggf. weiterer relevanter Aspekte, welche nicht zwangsläufig auf Profiling basieren, zusammenzutragen, um eine Grundlage für das weitere Vorgehen zu schaffen. Die Bewertung ist für den Betroffenen zunächst insofern relevant, als sie einen Eingriff in sein allgemeines Persönlichkeitsrecht darstellt. Das Profiling einer Person spielt sich im klassischen Anwendungsbereich des Datenschutzrechts ab und stellt einen Eingriff in das Recht auf informationelle Selbstbestimmung und die Privatheit des Betroffenen dar. Abgesehen davon hat es für ihn zunächst aber keine unmittelbaren Auswirkungen. Dies gilt vor allem in den Fällen, in denen der Betroffene sich nicht bewusst ist, dass Profiling stattfindet. In tatsächlicher Hinsicht kommt es für den Betroffenen maßgeblich darauf an, wie der Verwender von Profiling-Verfahren angesichts dieser gefundenen Informationen weiter verfährt, welche tatsächlichen Folgen er also an das Ergebnis des Profilings knüpft. Ein Beispiel hierfür ist das Erstellen eines Score-Wertes durch eine Auskunftei, welchen eine Bank einholt, um über einen Kreditantrag zu entscheiden: Der Wert trifft eine Aussage über die Bonität des Kreditantragstellers. Das Erstellen des Wertes und die in ihm getroffene Aussage sind für den Betroffenen erst dann relevant, wenn die Bank sich entschieden hat, ob und ggf. unter welchen Bedingungen sie einen Kredit gewährt. Erst diese Entscheidung hat für den Antragsteller spürbare Auswirkungen auf seine persönliche Handlungsfreiheit, die in diesem Beispiel vor allem auch mit wirtschaftlicher Handlungsfreiheit einhergeht. Für ihn kommt es also neben dem inhaltlichen Ergebnis des Profiling-Verfahrens (also der Höhe des Score-Wertes) maßgeblich darauf an, wie die Bank mit der Aussage, die der Score-Wert trifft, umgeht und ihren Entscheidungsfindungsprozess intern ausgestaltet.
Dem Profiling folgt zeitlich also das Fällen und Ausführen einer Entscheidung, die auf den mit den Mitteln des Profilings gefundenen Ergebnissen aufbaut. Dies kann als nachgelagerter, dritter Schritt des Modells verstanden werden. Auf dieser Stufe spielen wiederum zwei wesentliche Faktoren eine Rolle.
Zunächst stellt sich die Frage, welche Bedeutung den Profiling-Ergebnissen bei der Entscheidungsfindung zugemessen wird. Spielen sie eine untergeordnete Rolle, oder hängt die Entscheidung über das weitere Vorgehen maßgeblich oder sogar vollständig von ihnen ab? Für den eben beispielhaft genannten Antragsteller macht es einen wesentlichen Unterschied, ob der Score-Wert die Frage der Kreditvergabe de facto abschließend entscheidet, oder ob er nur einen Faktor darstellt, der neben anderen in die Entscheidung einfließt. So kann die Bank durchaus auch eigene, weitere Kriterien heranziehen, welche der Auskunftei nicht bekannt sind, wie z. B. die Dauer der Kundenbeziehung oder auch das Einkommen der Person. Die Entscheidung über die Kreditvergabe kann durchaus auch von einem gewachsenen Vertrauensverhältnis mit dem Kunden beeinflusst werden. Auch Faktoren, die nicht in der Person des Kreditantragstellers begründet liegen, wirken auf die Entscheidungsfindung ein, so z. B. die allgemeine wirtschaftliche Situation der Bank.
Der zweite Faktor ist der Grad an Automatisierung. Dieser beschreibt, inwiefern eine Entscheidung ohne menschliches Zutun von einem Computer gefällt und ausgeführt wird. Stellen die Ergebnisse des Profilings eine Entscheidungshilfe dar – oder spielen menschliche Entscheider im Entscheidungsfindungsprozess gar keine bzw. nur eine untergeordnete Rolle? Vollständig oder weitgehend automatisierte, auf Profiling basierende Entscheidungsfindungen ohne jegliches menschliches Eingreifen sind heutzutage in vielen Bereichen die Praxis oder wären zumindest ohne Weiteres denkbar. Die Datenschutz-Grundverordnung nennt in ihrem Erwägungsgrund 71 beispielhaft „die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.“ Letztgenannte Verfahren kommen heutzutage z. B. schon regelmäßig zum Einsatz. Wie u. a. die Süddeutsche Zeitung berichtet, findet die Vorauswahl von Bewerbern immer häufiger automatisiert statt. Demnach entscheidet eine Software anhand von online ausgefüllten Fragebögen und den Bewerbungsunterlagen, ob ein Kandidat zum Vorstellungsgespräch eingeladen wird. Wenn dabei nur klar definierte Kriterien wie beispielsweise das Vorliegen eines notwendigen berufsqualifizierenden Abschlusses überprüft werden, liegt mangels Bewertung kein Profiling nach dem Verständnis der Datenschutz-Grundverordnung vor. Profiling ist hingegen zu bejahen, wenn „die Profile von Kandidaten mit denen der [im jeweiligen Unternehmen] erfolgreichen Mitarbeiter“ verglichen werden, um im Rahmen des Auswahlprozesses geeignete Kandidaten zu finden. Es erfolgt nämlich eine Analyse der Bewerber hinsichtlich ihrer (erwarteten) Arbeitsleistung, verbunden mit einer Vorhersage ihres Verhaltens. Eine solche Bewertung persönlicher Aspekte i. S. d. Art. 4 Nr. 4 DSGVO liegt ebenso vor, wenn eigentlich geeignete Kandidaten, die aber „häufig den Job gewechselt haben, deren Lebenspartner nicht am Standort der zu besetzenden Stelle arbeiten oder deren biografische Angaben zu erkennen geben, dass sie aus anderen Gründen einem Angebot keinesfalls folgen würden“, automatisiert abgelehnt werden.
IV. Herleitung, Eigenschaften und Nutzen des Modells
1. Dogmatische Herleitung
Das hier vorgeschlagene 3-stufige Modell lässt sich mit Aufbau und Wortlaut der Datenschutz-Grundverordnung begründen. Art. 4 Nr. 4 DSGVO definiert die automatisierte Verarbeitung personenbezogener Daten als Tatbestandsvoraussetzung, womit eine Datensammlung als vorgelagerte Stufe für das Profiling zwingend notwendig ist. Abgesehen davon erschöpft die Norm sich im Wesentlichen darin, Profiling als Bewertung persönlicher Aspekte zu definieren. Maßnahmen des Profilings stellen nach dieser Definition keine Entscheidungen dar. Der Umgang mit der Bewertung wird in dieser Norm also nicht thematisiert. Dies deutet darauf hin, dass Profiling ein in sich abgeschlossener, eigenständiger Handlungsabschnitt ist.
Art. 22 I DSGVO macht mit der Formulierung „auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung“ deutlich, dass die Datenschutz-Grundverordnung den Akt des Entscheidens als nachgelagerten Schritt sieht (ebenso wie der Wortlaut des Erwägungsgrundes 71) und stellt die Verbindung zwischen Schritt 2 und Schritt 3 des Modells her. Deutlich wird die Unterscheidung zwischen Profiling (als Schaffung einer Entscheidungsgrundlage) und dem anschließenden Fällen einer davon beeinflussten Entscheidung in Art. 35 III lit. a DSGVO. Demnach ist eine Datenschutz-Folgenabschätzung insbesondere dann notwendig, wenn eine „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient,“ vorliegt. Eine Entscheidung kann auch dazu führen, dass der Verantwortliche ein Handeln unterlässt. Die Ausführung der Entscheidung muss also nicht stets in einem aktiven Tun bestehen.
2. Eigenschaften und Nutzen
Die drei Stufen des hier skizzierten Modells – die Sammlung abstrakter Vergleichsdaten bzw. personenbezogener Daten über den Betroffenen als erste Stufe, Profiling als zweite Stufe, das Fällen (und ggf. Ausführen) von Entscheidungen als dritte Stufe – stehen für jeweils eigene Verfahrensabschnitte, die als solche auch eine jeweils eigene Würdigung notwendig machen. Auch wenn sie jeweils in sich abgeschlossen sind und damit ein gewisses Maß an Unabhängigkeit aufweisen, besteht zwischen ihnen ein innerer Zusammenhang. Dies zeigt sich vor allem mit Blick auf die dritte Stufe, da das Fällen von Entscheidungen ja zumindest auch vom Ergebnis der zweiten Stufe abhängt (welche wiederum nur nach Durchlaufen der ersten Stufe erreicht werden kann).
Die Unterscheidung der drei Stufen anhand des Modells erleichtert es, die verschiedenen rechtlichen und tatsächlichen Implikationen für die jeweils Betroffenen zu erkennen und zu bewerten. Dies kann für die Interpretation des geltenden Rechts und rechtspolitische Diskussionen über etwaige Änderungen hilfreich sein. Die ersten beiden Stufen spielen sich im klassischen Anwendungsbereich des Datenschutzrechts ab, da für das Durchführen von Profiling personenbezogene Daten gesammelt und automatisiert verarbeitet werden. Profiling erlaubt weitreichende Analysen und Vorhersagen über private, teilweise intime persönliche Aspekte, womit die typischen Gefährdungen für das Recht auf informationelle Selbstbestimmung und die Privatheit des Einzelnen einhergehen. Die Beeinträchtigung besteht an dieser Stelle oftmals „nur“ in dem Eingriff in die informationelle Selbstbestimmung des Einzelnen, die darüber hinausgehend aber keine unmittelbaren Wirkungen entfaltet. Die dritte Stufe hingegen ist primär unter dem Gesichtspunkt der Selbstbestimmung und der Ausübung wirtschaftlicher Freiheit relevant. Die von Unternehmen getroffenen Entscheidungen im Umgang mit Verbrauchern sind zwar in vielen Konstellationen für diesen ohne nennenswerte unmittelbare Auswirkungen, so z. B. bei Online-Werbung. Sie können allerdings auch wirtschaftliche und damit auch unter freiheitlichen Gesichtspunkten sensible Lebensbereiche beeinflussen, wie die genannten Beispiele (Kreditantrag, Einstellungsentscheidungen, Zugang zu Versicherungen etc.) gezeigt haben. Hier geht es also im Schwerpunkt um die allgemeine Handlungs- und Entfaltungsfreiheit des Betroffenen, oftmals auch um seine persönliche Freiheit in wirtschaftlicher Hinsicht.
Die drei Stufen des Modells können durchaus von verschiedenen Verantwortlichen ausgeführt werden. Wieder lässt sich dafür das Beispiel des Kredit-Scorings heranziehen: Score-Werte werden typischerweise von Auskunfteien bezogen, welche in großem Ausmaß Verbraucherdaten sammeln und mit den Methoden des Profilings verarbeiten (sog. externes Scoring). Ihr Handeln spielt sich also auf den ersten beiden Stufen des Modells ab. Die tatsächliche, dem Kreditantragsteller gegenüber verbindliche Entscheidung über die Kreditvergabe wird letztlich aber immer auf der dritten Stufe von der Bank ihm gegenüber mit Wirkung inter partes gefällt. Die Auskunftei stellt der Bank nur eine Entscheidungsgrundlage zur Verfügung. Auf die Frage, wie die Bank anschließend damit umgeht, hat die Auskunftei keinen Einfluss: Sie entscheidet weder darüber, ob die Bank letztlich weitere Kriterien für die Entscheidung (und ggf. welche) heranzieht, noch entscheidet sie darüber, inwieweit diese Entscheidung seitens der Bank automatisiert getroffen wird. Daher können die Ausführungen des VG Wiesbaden nicht überzeugen, welches im Rahmen eines Vorabentscheidungsersuchens i. S. d. Art. 267 AEUV argumentiert, die Auskunftei treffe durch Erstellung des Score-Wertes dem Kunden gegenüber (faktisch) die finale Entscheidung über die Kreditvergabe. Die dritte Stufe bezieht sich also auf interne Verfahrensabläufe des Verantwortlichen (die reine Entscheidungsfindung) und, soweit ein aktives Handeln entschieden wurde, auf Aktivitäten mit Außenwirkung bzw. ein bewusstes Untätigbleiben.
Dieses Beispiel verdeutlicht zudem, dass das 3-stufige Modell die Feststellung der Verantwortlichkeit für Fehler und der etwaigen daraus resultierenden Haftung erleichtern kann. Dies gilt unabhängig davon, ob ein (bußgeldbewehrter) Verstoß gegen datenschutzrechtliche Vorschriften oder eine zivilrechtliche Haftung im Raum steht, so z. B. für Fehler bei der Erstellung des Score-Wertes. Die Strukturierung erlaubt so das Aufdecken von Fehlerquellen und Verantwortlichkeiten.
K. Wiedemann, Rechtliche Implikationen Profling-basierter Preispersonalisierung, Munich Studies on Innovation and Competition 20
Springer, Berlin, Heidelberg
https://doi.org/10.1007/978-3-662-67452-9_3
http://creativecommons.org/licenses/by/4.0/deed.de
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.