Winterthur, 06. Februar 2024
Kategorie: Datenschutz
Das DSG UNTERSCHEIDET ZWISCHEN «PROFILING» UND «PROFILING MIT HOHEM RISIKO»
Bei „Profiling“ handelt es sich um eine besondere Form der Datenbearbeitung und es bezeichnet den automatisierten Vorgang der Bewertung persönlicher Aspekte einer Person. Dabei muss es sich um eine Bearbeitung von Personendaten, also Daten einer bestimmten oder bestimmbaren Person handeln. Werden ausschliesslich Sachdaten oder anonymisierte Daten bearbeitet oder betrifft die Bearbeitung eine Gruppe, innerhalb welcher einzelne Personen nicht aussonderbar sind, liegt grundsätzlich keine Bearbeitung von Personendaten und damit kein „Profiling“ im datenschutzrechtlichen Sinne vor.
Gemäss Art. 5 lit. f DSG umfasst der Begriff „Profiling“ vier Elemente.
- Die Bewertung: Bei „Profiling“ geht es um den Bewertungsvorgang. Das bedeutet, dass eine subjektive Komponente vorliegt. Wenn es sich um eine objektive Feststellung handelt, so liegt keine Bewertung vor.
- Die Automatisierung: Die Bearbeitung muss mittels computergestützter Techniken erfolgen.
- Aussagen über persönliche Aspekte: Beispiele für solche Aspekte sind die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben usw.
- Bezug auf natürliche Personen: Damit ein „Profiling“ vorliegt, muss sich die Bewertung auf eine individuelle Person beziehen. Anonyme oder gruppenbezogene Daten gehören deshalb nicht darunter.
Bei „Profiling mit hohem Risiko“ handelt es sich um die qualifizierte Form, welche sehr stark abhängig vom Einzelfall ist. Bei der DSGVO gibt es eine solche Form nicht. Ergänzend zum „Profiling“ müssen zwei weitere Elemente gegeben sein.
- Verknüpfung von Daten: Es geht nicht mehr nur um eine zu irgendeiner Bewertung führenden Datenansammlung, sondern um eine gezielte Verknüpfung von zwei oder mehreren Datensätzen.
- Beurteilung wesentlicher Aspekte der Persönlichkeit: Dabei stellen die Menge und Art der Daten, die zeitliche Dimension und der Kontext ihrer Verwendung wesentliche Kriterien dar. Dieses qualifizierte „Profiling“ bringt ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich.
Unterschiede der Rechtsfolgen bei „Profiling“ und „Profiling mit hohem Risiko“ anhand von Beispielen
„Profiling“: Ein Online-Shop verwendet Daten wie Kaufhistorie, Verweildauer auf der Website und bevorzugte Kategorien, um personalisierte Produktempfehlungen vorzunehmen.
- Für private Verantwortliche resultieren keine besonderen Rechtsfolgen.
- Es gelten die üblichen Vorschriften (Transparenz, Information etc.).
- Eine Einwilligung ist nur nötig, wenn eine Verletzung der Bearbeitungsgrundsätze vorliegt und kein anderer Rechtfertigungsgrund für die Bearbeitung gegeben ist.
- Für Bundesorgane und Private mit öffentlichen Aufgaben ergibt sich folgende Relevanz:
- Als gesetzliche Grundlage ist entweder das Gesetz im formellen Sinn (Legalitätsprinzip) oder eine ausdrückliche Einwilligung erforderlich.
„Profiling mit hohem Risiko“: Ein Unternehmen setzt Profilingtechnologien ein, um das Verhalten seiner Mitarbeitenden am Arbeitsplatz zu überwachen. Dabei werden Daten wie der Gesundheitszustand, soziale Interaktionen im Büro und persönliche Präferenzen berücksichtigt.
- Es braucht eine Datenschutz-Folgenabschätzung.
- Eine Einwilligung ist nur nötig, wenn eine Verletzung der Bearbeitungsgrundsätze vorliegt und kein anderer Rechtfertigungsgrund (Beispiel: gesetzliche Grundlage) für die Bearbeitung gegeben ist.
- Wenn sich das „Profiling mit hohem Risiko“ auf die Einwilligung stützt, muss diese ausdrücklich sein (Art. 6 Abs. 7 lit. b DSG).
- Dabei handelt es sich um eine Anforderung an die Erteilung einer Einwilligung und nicht um ein Einwilligungserfordernis.
→Folglich braucht es weder bei „Profiling“ noch bei „Profiling mit hohem Risiko“ eine Einwilligung der betroffenen Person. Wird jedoch die Datenbearbeitung auf die Einwilligung gestützt, so muss sie ausdrücklich erfolgen. Die Ausdrücklichkeit in Art. 6 Abs. 7 DSG stellt lediglich ein Zusatzkriterium dar, wenn die Einwilligung als Rechtsgrundlage gewählt wird.
Unterschiede DSG und DSGVO bezüglich „Profiling“
- Anders als beim DSG kennt die DSGVO kein „Profiling mit hohem Risiko“.
- Bei der DSGVO muss allgemein für jede Datenbearbeitung entweder eine Einwilligung oder eine anderweitige Rechtsgrundlage vorliegen (so auch für das „Profiling“).