Im Anwendungsbereich der DSGVO ist das Profiling, anders als im Schweizer Recht, wie jede Datenbearbeitung grundsätzlich verboten. Anders als beim Profiling liegt der Zweck der Analyse und Bewertung nicht in der Bewertung persönlicher Aspekte oder sonstiger menschlicher Eigenschaften.
Bei den Formulierungen der Art.
4 Nr. 4 und Art. 4 Nr. 4 DSGVO ist dabei das Folgende zu beachten: Es geht in erster Linie nicht um die automatisierte Verarbeitung von Daten. 9 DSGVO) ist nur unter Einhaltung einer legitimen Rechtsgrundlage aus Art. 6 und Art. 9 Abs. 2 DSGVO zulässig. Dies gilt auch für die Herstellung besonderer Kategorien personenbezogener Daten durch die Verknüpfung verschiedener nicht sensibler Daten via Profiling (z.B.
71, dass der betroffenen Person eine faire und transparente Verarbeitung ihrer personenbezogenen Daten gewährleistet wird. Hierfür berücksichtigt das Scoring deshalb eine bestimmte Punktezahl. Automatisiert bedeutet, dass eine computergestützte Analyse von Personendaten erfolgt (bspw. Ein klassisches Profiling-Bespiel ist auch die automatisierte Einschätzung über die Kreditwürdigkeit einer Person mittels eines sogenannten Scoring-Wertes, der individuell errechnet wird.
Ableitung des Gesundheitszustands einer betroffenen Person aus ihren Lebensmitteleinkäufen und der Qualität bzw. Allerdings fordert das Profiling keinen Rückschluss auf «wesentliche» Aspekte der Persönlichkeit. Dafür reicht es höchstwahrscheinlich nicht aus, die Möglichkeit eines solchen Profilings im Personalreglement zu erwähnen.
Der Begriff in der DSGVO ist fast deckungsgleich mit jenem im neuen Datenschutzgesetz (Art.
Schadenersatz und Genugtuung verlangen.
Sachbearbeiter A ist Teil eines Teams, das Schadenfälle in einer Versicherung abwickelt. Eine Zweckänderung ist nach Art. 6 Abs. 4 DSGVO bei Fehlen einer Einwilligung der betroffenen Personen nur zulässig, insofern das Unternehmen eine umfassende Interessenabwägung zwischen dem neuen Verarbeitungszweck und dem ursprünglichen Zweck vornimmt, und diese zugunsten der Änderung ausfällt.
Zur Veranschaulichung: die Tatsache, dass jemand bereits einmal einen Kredit in Anspruch genommen und ihn ordnungsgemäß zurückgezahlt hat, ist positiv. Art. 22 Abs. 1 DSGVO weicht von diesem Schema ab. 22 DSGVO immanent sind weitere Ausnahmen zum Verbot der automatisiert getroffenen Entscheidungen. Weiterhin sollte eine solche Verarbeitung angemessene Garantien beinhalten, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person sowie auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung und des Rechts auf Anfechtung der Entscheidung.
Wird das Profil von einem Onlineshop erstellt, hat dies wahrscheinlich keine weitreichenden Konsequenzen für die Persönlichkeit einer betroffenen Person. Zudem dürfen für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden. Unternehmen sollten daher gemäss des Europäischen Datenschutzausschusses generell davon absehen, bei ihnen Profiling zu Werbezwecken anzuwenden.3
Unzulässig ist Profiling, soweit eine ausschließlich automatisch erfolgende Verarbeitung von personenbezogenen Daten erfolgt und eine darauf beruhende Entscheidung der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
34 DSG).
Im Unterschied zum Persönlichkeitsprofil setzt das Profiling eine automatisierte Bearbeitung bzw. Grundsätze nach Art. 5 DSGVO
Auch eine Verarbeitung personenbezogener Daten zu Zwecken des Profilings muss die allgemeinen Grundsätze der DSGVO betreffend Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung und Verhältnismässigkeit, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit einhalten.
So hat der Verantwortliche jeweils Aussagen zu machen über «das Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling gemäss Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.» Und auch ErwG.
Datenschutz-Folgenabschätzung (DSFA)
Abgesehen von den generellen Kriterien zum Erfordernis einer DSFA ist eine solche gemäss Art. 35 Abs. 3 Bst. a DSGVO insbesondere dann erforderlich, wenn eine «systematischeund umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschliesslich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen», geschieht.
mithilfe eines Computeralgorithmus).
Wie beim Persönlichkeitsprofil besteht auch hier das Ziel, bestimmte persönliche Aspekte von natürlichen Personen zu bewerten. Hinreichend konkrete Regelungen, die den Menschen als Verbraucher:in, als Arbeitnehmer:in, als Kreditnehmer:in in den Blick nehmen, sind daher stetig notwendig – sei es durch die Ergänzung des europäischen oder nationalen Rechts oder auch durch die richterliche Rechtsfortbildung.
Informieren Sie sich über unsere praxisnahen Webinare
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Das Profiling ist ein Begriff des neuen Datenschutzgesetzes (revDSG).
Sinn und Zweck der Vorschrift ist der Schutz der Betroffenen. Das ist hiernach Profiling:
„jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“
Für das Vorliegen des Profilings müssen also folgende Kriterien kumulativ vorliegen:
Die automatisierte Entscheidungsfindung ist nicht in Art.
4 DSGVO definiert. Das Ziel dabei ist es, sich ein möglichst genaues Bild über die Nutzer machen zu können. Kurzum werden beim Profiling Daten über eine bestimmte natürliche Person gesammelt, um die Interaktion mit dieser Person zu verbessern. 11a DSG). Gegenstand dieser Normen ist die Entscheidung, die auf der Datenverarbeitung beruht. Hier besteht Grund zur Entwarnung: Die Durchführung eines simplen Profilings allein legt Dir als Privatperson bzw.
Hierzu zählt auch der Zweckbindungsgrundsatz. Ob aber der Recruiter sich bei einer Vielzahl von Bewerber:innen die bereits von dem Algorithmus aussortierten Bewerbungen noch einmal durchsieht und ernsthaft in Erwägung zieht, ist zu bezweifeln.
Wie schon aufgezeigt, bringen einige Begrifflichkeiten mangels Definition zudem erhebliche Rechtsunsicherheiten mit sich, die sich zulasten einzelner Personen und Sachverhalte auswirken kann.
Ein besonders kritisch zu betrachtender Vorgang ist in diesem Zusammenhang das sogenannte Scoring, das meist im Rahmen von Bonitätsprüfungen eingesetzt wird.
Weitere Beispiele sind Smart Home, Smart Traffic, Smart Pricing sowie Smart Maintenance.
Risiko vermeiden, Zeit sparen
& Kunden überzeugen durch
einen ext. In einem solchen Fall kann Dich die betroffene Person zivilrechtlich belangen und bspw. Im Erwägungsgrund 71 DSGVO wird die Entstehung der zuvor genannten Vorschriften ausführlich begründet.
Jedoch gilt ein sehr enger Rahmen, sodass die Zulässigkeit der Verwendung von Scoring Modellen stets genau überprüft werden sollte.
Profiling kann in verschiedenen Kontexten auch unterschiedlich bezeichnet werden, beispielsweise als;
Im beruflichen Kontext können Sie Profiling erkennen an diesen typischen Begrifflichkeiten:
Typische Beispiele für das Profiling finden sich oft in der Banken-, Immobilien- oder Versicherungsbranche, welche mögliche Risiken oftmals durch Scoring bewerten, oder die Kreditwürdigkeit und Zahlungsfähigkeit einer Person durch Bonitätsauskünfte feststellen.
Es reicht also aus, dass ein Aspekt einer Person (bspw. Dabei ist angesichts des Schutzzweckes von einer weiten Auslegung dieses Begriffs auszugehen.