Profiling i. S. d. Art. 4 Nr. 4 DSGVO stellt ein statistisches Erkenntnisverfahren dar, welches sich der Verarbeitung personenbezogener Daten bedient. Es dient dazu, die persönlichen Aspekte natürlicher Personen wertend zu analysieren bzw. vorherzusagen. Diese Bewertungen können in einer Vielzahl von Lebensbereichen und mit ganz verschiedenen Zielrichtungen zum Einsatz kommen. Ihr potenzieller Anwendungsbereich ist damit äußerst breit. Als typische Beispiele lassen sich Kredit-Scoring und personalisierte Werbung nennen.

Profiling kann mithilfe diverser technischer Verfahren durchgeführt werden. Ihnen allen ist gemein, dass sie konzeptionell auf dem Prinzip der Gruppenbildung beruhen: Große Datensätze werden ausgewertet, um Muster und Korrelationen aufzudecken, aus denen sich Vergleichsgruppen bilden lassen. Der Betroffene – etwa ein potenzieller Kreditnehmer – wird derjenigen Gruppe zugeordnet, mit der ausweislich der über ihn bekannten Informationen die größten Überschneidungen bestehen. Dann werden ihm die Eigenschaften der übrigen Gruppenmitglieder zugerechnet. Auf diese Weise entstehen „neue“ personenbezogene Daten, die Auskunft über persönlichkeitsrechtlich mitunter hoch sensible Eigenschaften geben können. Im Einzelfall falsche Ergebnisse sind diesem Verfahren immanent und praktisch nicht zu vermeiden, da das Profiling reine Wahrscheinlichkeitswerte produziert. Dies ist problematisch, wenn diese Ergebnisse herangezogen werden, um dem Betroffenen gegenüber Entscheidungen zu fällen.

Aufbauend auf diesen Erkenntnissen hat der erste Teil dieser Arbeit ein 3-stufiges Modell entwickelt. Die erste Stufe bezieht sich auf die Datensammlung: Sowohl abstrakte Vergleichsdaten als auch sich auf den Betroffenen beziehende personenbezogene Daten sind nötig, um Profiling überhaupt durchführen zu können. Das eigentliche Profiling stellt die zweite Stufe des Modells dar. Es geht hier darum, nutzbare Erkenntnisse über einen Betroffenen zu gewinnen, die als Entscheidungsgrundlage dienen können. Die dritte Stufe des Modells bezieht sich auf die Phase der Entscheidungsfindung und -ausführung. Hier werden die Erkenntnisse des Profilings sowie weitere relevante Aspekte herangezogen, um eine Entscheidung zu fällen (und ggf. auszuführen), die Auswirkungen auf den Betroffenen hat. Die dritte Stufe endet also mit einer Handlung bzw. einem bewussten Untätigbleiben.

Diese Strukturierung ermöglicht es, die rechtlichen und tatsächlichen Implikationen von Profiling und den darauf aufbauenden Entscheidungen zu erkennen und sie rechtlich wie normativ zu bewerten. Das 3-stufige Modell erleichtert zudem die Analyse solcher Sachverhalte, an denen mehrere Akteure beteiligt sind. Ein Beispiel ist das Kredit-Scoring: Auskunfteien sammeln personenbezogene Daten, um Score-Werte über natürliche Personen zu erstellen (Stufen 1 und 2 des Modells). Die Entscheidung, ob (und ggf. wie) ein Kredit gewährt wird, trifft aber stets die Bank unter Zugrundelegung des Score-Wertes (Stufe 3).

Die Datenschutz-Grundverordnung ist in derlei Fallkonstellationen grundsätzlich anwendbar, da für das Profiling personenbezogene Daten verarbeitet werden. Sie setzt gewisse rechtliche Rahmenbedingungen. Für Profiling sind im privatwirtschaftlichen Bereich vor allem drei datenschutzrechtliche Rechtsgrundlagen relevant: die Einwilligung, die (vor)vertragliche Notwendigkeit und die allgemeine Interessenabwägungsklausel (Art. 6 I S. 1 lit. a, b und f DSGVO). Je nach Fallkonstellation gelten mithin unterschiedliche rechtliche Rahmenbedingungen. Jedenfalls müssen die allgemeinen Datenschutzgrundsätze des Art. 5 I DSGVO beachtet werden. Der Erwägungsgrund 71 DSGVO kann hier ein wichtiges Werkzeug darstellen, um Art. 5 I DSGVO inhaltlich zu konturieren. Im Gegensatz zum verfügenden Teil der Verordnung enthält er recht konkrete Hinweise, wie Profiling auszuführen ist.

Art. 22 I DSGVO formuliert ein grundsätzliches Verbot bestimmter, rein automatisierter Einzelentscheidungen. Es kommt nach hier vertretener Auslegung nur dann zur Anwendung, wenn der Entscheidung Profiling vorangegangen ist. Die Reichweite des Verbots ist eher gering, zumal Ausnahmen möglich sind. Im Wesentlichen geht es bei Art. 22 DSGVO darum, dass der Mensch nicht zum Objekt rein maschineller Entscheidungen gemacht werden soll. Ist dies ausnahmsweise doch zulässig, so gewährt ihm die Datenschutz-Grundverordnung stets das Recht, das Hinzuziehen eines menschlichen Entscheiders zu verlangen (Art. 22 II lit. b, III DSGVO). Art. 22 DSGVO kommt auf der dritten Stufe des hier vertretenen Modells zur Anwendung. Die dritte Stufe geht allerdings deutlich über den Anwendungsbereich des Art. 22 DSGVO hinaus, da sie auch Entscheidungen umfasst, die von Menschen getroffen wurden.

Die Datenschutz-Grundverordnung stellt in ihren Artikeln 13 bis 15 gewisse Transparenzpflichten auf, die u. a. im Kontext von Art. 22 I DSGVO relevant sind. Der Betroffene hat demnach das Recht, aussagekräftige Informationen über die „involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung“ zu erhalten (Art. 13 II lit. f, 14 II lit. g und 15 I lit. h DSGVO). Nach hier vertretener Ansicht besteht dieses Recht nicht nur dann, wenn der Anwendungsbereich des Art. 22 I DSGVO eröffnet ist. Es besteht auch, wenn Profiling-Verfahren zum Einsatz kommen, die potenziell auf der dritten Stufe zur Entscheidungsunterstützung herangezogen werden. Der konkrete Umfang dieser Transparenzpflichten ist kontextabhängig. Er hat sich am Telos, an der Systematik sowie am Wortlaut der Datenschutz-Grundverordnung zu orientieren. Der Betroffene hat damit grundsätzlich das Recht auf eine aussagekräftige Erläuterung der konzeptionellen Grundannahmen und Wirkmechanismen der ihn betreffenden Verfahren.