litres-logo
Lekka lektura
Poważna lektura
Historia
Książki biznesowe
Wiedza i umiejętności
Psychologia, motywacja
Sport, zdrowie, uroda
Hobby, rozrywka
Dom, dacza
Książki dla dzieci
Dla rodziców
Publicystyka i czasopisma
Ekskluzywne
Szkice
Darmowe książki
Wszystkie 142 gatunki

Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 20

Czcionka:

V. Profiling (Nr. 4)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
a) Profiling

114

Der Begriff „Profiling“ umfasst gem. Art. 4 Nr. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Bei dieser Begriffsdefinition, die erst durch einen Änderungsantrag des EU-Parlaments mit in die DSGVO aufgenommen wurde,231 handelt es sich um eine Neuerung. So enthielt die DSRl keine Definition des Begriffs „Profiling“.232 Die Art.-29-Datenschutzgruppe nimmt zu diesem Begriff in ihren Leitlinien zu automatisierten Einzelfallentscheidungen und Profiling Stellung.233

115

In der DSGVO wird der Begriff im Rahmen des Widerspruchsrechts in Art. 21 Abs. 1 und 2 DSGVO sowie im dazugehörigen ErwG 70 verwendet. Allerdings besitzt die Verwendung des Begriffs in den genannten Vorschriften keine besondere Relevanz, weil durch die Nennung des Begriffs in der jeweiligen Vorschrift nur klargestellt wird, dass sie unter den dort genannten Voraussetzungen auch das Profiling erfassen. Hierfür wäre eine ausdrückliche Nennung des Begriffs aber rechtlich nicht zwingend erforderlich gewesen, weil diese Vorschriften das Profiling auch ohne die ausdrückliche Nennung des Begriffs (schon) erfasst hätten. Lediglich in ErwG 60 könnte die Verwendung des Begriffs eine rechtliche Bedeutung haben, als hieraus folgen könnte, dass betroffene Personen auch über Profiling zu informieren sind, obwohl Art. 13 und 14 DSGVO dies nicht ausdrücklich vorschreiben (siehe Art. 13 Rn. 27 und Art. 14 Rn. 9).234 In ErwG 72 wird sodann noch klargestellt, dass Profiling den Vorschriften dieser Verordnung für die Verarbeitung personenbezogener Daten unterliegt und der Europäische Datenschutzausschuss Leitlinien hierfür herausgeben kann.

b) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

116

Häufiger wird der Begriff im Rahmen der Regelungen zu automatisierten Einzelfallentscheidungen verwendet, so in den ErwG 63, 71 und 91 sowie in Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g,235 Art. 15 Abs. 1 lit. h,236 Art. 22,237 Art. 35 Abs. 3 lit. a,238 Art. 47 Abs. 2 lit. e239 und Art. 70 Abs. 1 lit. f240 DSGVO. Der Verordnungsgeber verwendet in diesen Vorschriften die Formulierung „automatisierte Entscheidung im Einzelfall einschließlich Profiling“, teilweise auch in leicht abgewandelter Form. Allerdings ist zu beachten, dass sich der Begriff des Profiling vom Begriff der automatisierten Einzelfallentscheidung unterscheidet.241 So ist eine automatisierte Entscheidung im Einzelfall gem. Art. 22 Abs. 1 DSGVO eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Mithin setzt eine solche Entscheidung also nicht zwingend ein Profiling voraus, sondern kann auch auf Basis einer anders gearteten („normalen“) Datenverarbeitung ergehen. Und auch wenn die datenverarbeitende Stelle Profiling einsetzt, müssen gem. Art. 22 Abs. 1 DSGVO noch weitere Voraussetzungen erfüllt sein, damit eine automatisierte Einzelfallentscheidung vorliegt. So muss z.B. noch eine Entscheidung getroffen werden und diese muss der betroffenen Person gegenüber auch rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

117

Damit ist also nicht jedes Profiling automatisch eine automatisierte Einzelfallentscheidung i.S.d. Art. 22 DSGVO. Dies ist nur der Fall, wenn die in Art. 22 Abs. 1 DSGVO genannten Bedingungen erfüllt sind. Wenn der Verordnungsgeber also die Formulierung „automatisierte Entscheidung im Einzelfall einschließlich Profiling“ verwendet, soll dadurch nur klargestellt werden, dass auch Profiling unter den in Art. 22 DSGVO genannten Voraussetzungen eine automatisierte Einzelfallentscheidung sein kann. Mithin handelt es sich bei Art. 22 DSGVO nicht um eine Vorschrift, die das Profiling generell regelt (siehe Art. 22 Rn. 40ff.).242 Die Zulässigkeit des Profiling richtet sich – auch ausweislich des ErwG 72 – nach den allgemeinen Regeln der DSGVO.243

2. Begriff des Profiling

118

Die Definition des Profiling in Art. 4 Nr. 4 DSGVO beinhaltet drei Voraussetzungen: 1. Die Datenverarbeitung muss automatisiert erfolgen, 2. die Verarbeitung muss sich auf personenbezogene Daten beziehen, 3. die Verarbeitung muss erfolgen, um bestimmte persönliche Aspekte zu bewerten, die sich auf die betroffene Person beziehen.244

a) Automatisierte Datenverarbeitung

119

Automatisiert erfolgt die Datenverarbeitung, wenn die Daten durch automatisierte Mittel, also rechnergestützt verarbeitet werden (siehe Art. 2 Rn. 9).245 Allerdings bedeutet dies nicht, dass jede menschliche, also manuelle Tätigkeit im Rahmen des Profiling gleich dazu führen würde, dass die Tätigkeit kein Profiling i.S.d. Art. 4 Nr. 4 DSGVO mehr darstellen kann.246

b) Verarbeitung in Bezug auf personenbezogene Daten

120

Dass sich die Datenverarbeitung auf personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO beziehen muss, ist evident, da sonst der sachliche Anwendungsbereich der DSGVO gem. Art. 2 Abs. 1 DSGVO schon gar nicht eröffnet wäre. Für den Begriff des personenbezogenen Datums kann auf die Kommentierung zu Art. 4 Nr. 1 DSGVO oben unter Rn. 2ff. verwiesen werden.

c) Zweck der Datenverarbeitung: Bewertung bestimmter persönlicher Aspekte

121

Entscheidend für die Qualifikation eines Datenverarbeitungsvorgangs als „Profiling“ ist ganz regelmäßig der Zweck, der mit der jeweiligen Datenverarbeitung verfolgt wird. Damit ein Profiling i.S.d. Art. 4 Nr. 4 DSGVO vorliegt, muss der Zweck der Datenverarbeitung in der Bewertung bestimmter persönlicher Aspekte bestehen, die sich auf eine natürliche Person beziehen. Solche persönlichen Aspekte können nach Art. 4 Nr. 4 DSGVO z.B. die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben, Interessen, die Zuverlässigkeit, das Verhalten, der Aufenthaltsort oder Ortswechsel dieser natürlichen Person sein, die im Rahmen des Profilings analysiert oder vorhergesagt werden. Diese Auflistung ist aber nicht abschließend. So können auch andere persönliche Aspekte, wie z.B. die DNA, die (ethnische) Herkunft oder die Körpersprache, im Rahmen eines Profilings bewertet werden. Oftmals werden für eine solche Bewertung Daten aus verschiedenen Quellen zusammengeführt und ausgewertet,247 so z.B. oftmals beim Scoring, bei bestimmten Online Behavioral Advertising-Diensten oder im Rahmen von Big Data.

122

Die Bewertung bestimmter persönlicher Aspekte erfordert eine Einschätzung bzw. Beurteilung/Wertung der Persönlichkeit der betroffenen Person.248 Deshalb stellt die reine Segmentierung von Listen anhand bestimmter Kriterien zu statistischen Zwecken oder um einen aggregierten Überblick zu erhalten, kein Profiling i.S.d. Art. 4 Nr. 4 DSGVO dar, so z.B. die Analyse von Käufer- oder Nutzergruppen anhand bestimmter Kriterien wie Alter, Geschlecht etc.249 Demgegenüber wird z.B. regelmäßig im Rahmen des Kredit-Scorings, des Online Behavioral Advertisings, des Direktmarketings oder teilweise auch im Rahmen von Bewerbermanagement-Tools die Persönlichkeit der betroffenen Person bewertet.

123

Keine Rolle bei der Qualifikation eines Datenverarbeitungsvorgangs als Profiling i.S.d. Art. 4 Nr. 4 DSGVO spielt der Umstand, durch welche Technologie das Profiling erfolgt. So ist die DSGVO gem. ErwG 15 technologieneutral. Für das Vorliegen von Profiling i.S.d. Art. 4 Nr. 4 DSGVO ist es zudem irrelevant, ob die Bewertung der Person im Rahmen des Profiling richtig oder falsch bzw. vollständig oder unvollständig ist. Allerdings sind diese Umstände im Rahmen der Zulässigkeit der Datenverarbeitung zu berücksichtigen, insbesondere vor dem Hintergrund des Grundsatzes der Richtigkeit gem. Art. 5 Abs. 1 lit. d DSGVO.250

VI. Pseudonymisierung (Nr. 5)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

124

Die Pseudonymisierung spielt als Schutzmechanismus für personenbezogene Daten unter der DSGVO eine prominentere Rolle als noch unter der alten Rechtslage. In Art. 4 Nr. 5 DSGVO ist die Pseudonymisierung definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

125

Die Pseudonymisierung ist mithin ein Werkzeug, durch das die Identität einer betroffenen Person verschleiert bzw. die Identifizierung erschwert werden kann, indem die direkt identifizierenden Merkmale von den anderen Informationen getrennt und durch ein Ersatzkennzeichen, das Pseudonym,251 ersetzt werden. Im Gegensatz zur Anonymisierung (zur Abgrenzung siehe bereits oben Rn. 54) behält sich der Verantwortliche jedoch eine separate Zuordnungsmöglichkeit bei (z.B. eine Zuordnungstabelle oder einen Schlüssel). Beispiele für Pseudonyme können Nutzerkennungen, E-Mail-Adressen, öffentliche bzw. private Schlüssel (z.B. in Blockchains) und Künstler- oder Decknamen sein,252 wobei stets gesondert geprüft werden muss, ob tatsächlich eine wirksame Pseudonymisierung i.S.v. Art. 4 Nr. 5 DSGVO vorliegt (dazu unten Rn. 124ff.). Die Pseudonymisierung ist ein wichtiger Bestandteil vieler neuer Technologien, wie z.B. Datenanalyse im Rahmen von Augmented Reality,253 Big Data,254 Car-to-Car-Communication,255 HealthTech,256 InsurTech257 und Blockchains.258

126

Pseudonyme Daten werden selbst nicht ausdrücklich definiert, aus der Definition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO lässt sich jedoch schließen, dass pseudonyme Daten personenbezogene Daten sind, die „ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

127

Neben der Definition in Art. 4 Nr. 5 DSGVO und den begleitenden Erwägungen in ErwG 26 Satz 2, 28, 29, 78 Satz 3 hält die DSGVO keine Erläuterungen vor, wie genau eine Pseudonymisierung erreicht werden kann. Hierfür sind wiederum die noch zur DSRl getätigten Ausführungen der Art.-29-Datenschutzgruppe hilfreich.259 Die DSRl sah keine Definition der Pseudonymisierung vor; auf deutscher Gesetzesebene existierte eine entsprechende Begriffsbestimmung in § 46 Nr. 5 BDSG, die jedoch lediglich für die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen Anwendung findet und – mit marginalen Abweichungen – den Wortlaut von Art. 4 Nr. 4 DSGVO wiedergibt.

2. Rechtliche Wirkung und Anreize

128

Nach ErwG 26 Satz 2 sind einer Pseudonymisierung unterzogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person, also als personenbezogene Daten (siehe dazu oben Rn. 55), zu betrachten. Rechtlich gesehen bewirkt eine Pseudonymisierung unter der DSGVO somit keine umfassende Privilegierung für den Verantwortlichen in dem Sinne, dass – wie bei der Anonymisierung – das Verbotsprinzip auf die Verarbeitung der pseudonymen Daten keine Anwendung mehr findet. Insofern bedarf es zur Verarbeitung pseudonymer Daten weiterhin eines entsprechenden gesetzlichen Erlaubnistatbestands. Für andere Stellen, die die Zuordnungsregel nicht kennen, kann es sich bei einer Pseudonymisierung unterzogener Daten allerdings auch – dem (eingeschränkten) relativen Verständnis des Personenbezugs folgend (siehe dazu oben Rn. 34) – um anonyme Daten handeln, sofern kein anderweitiges wahrscheinlich von den Empfängern oder Dritten verwendetes Zusatzwissen verfügbar ist.260

129

Allerdings erkennt der europäische Gesetzgeber in ErwG 28 Satz 1 ausdrücklich an, dass ein Anreiz bestehen muss, personenbezogene Daten zu pseudonymisieren, dass pseudonymisierte Daten die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen können. Es ist beispielsweise möglich, durch den unternehmensinternen Einsatz von Pseudonymisierungen die Missbrauchsgefahr von personenbezogenen Daten zu begrenzen, indem Mitarbeitern lediglich Zugriff auf pseudonymisierte Datensätze, jedoch nicht auf die entsprechende Zuordnungsregel gewährt wird. So wird der Anreiz einer unberechtigten Datennutzung minimiert, da die Daten in der Regel weder für den Mitarbeiter noch für einen interessierten Dritten von Wert sein werden, da sie nicht über die nötige Zuordnungsregel verfügen, um die Daten in einem anderen Kontext fruchtbar zu machen.261 Wirtschaftlich gesehen bewahren pseudonymisierte Daten dem Verantwortlichen im Gegensatz zu anonymisierten Daten die Möglichkeit, Daten zusammenzuführen262 oder zu erweitern,263 da die jeweiligen Datensätze einer bestimmten Person – wenn auch unter einem Pseudonym – zugeordnet werden können. Die Pseudonymisierung gewährt somit nicht nur bessere Vertraulichkeit, sondern erhält auch ein gewisses Maß an Nutzbarkeit.264 Andererseits stellt die Zuordnung eines Pseudonyms für viele unterschiedliche Sachverhalte eine Gefahr dar, weil dadurch ein klares Profil der natürlichen Person geschaffen wird und der zu betreibende Aufwand für eine De-Anonymisierung sinkt.265 Es kann daher sinnvoll sein, für jedes Ereignis ein neues Pseudonym (dann auch „Transaktionspseudonym“ genannt)266 zu verwenden.267

130

Nicht ausdrücklich gesetzlich vorgesehen, aber dennoch wohl praktisch als Anreiz existierend, ist der Faktor, dass es eine Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO zugunsten des Verantwortlichen beeinflussen kann, wenn dieser die jeweils betroffenen Daten lediglich in pseudonymisierter Form verarbeitet.268 Generell dürfte eine Pseudonymisierung bei allen Pflichten in der DSGVO, die eine risikobasierte Prüfung vorsehen, sich positiv für denjenigen, der eine Pseudonymisierung vorgenommen hat, auswirken.269 Spiegelbildlich ist jedoch zu beachten, dass eine Aufhebung der Pseudonymisierung und damit womöglich eine einhergehende Re-Identifizierung eine besonders erhebliche Beeinträchtigung der Rechte der betroffenen Person darstellt, insbesondere wenn dieser die Aufhebung nicht erwarten durfte (vgl. auch die explizite Nennung der Aufhebung der Pseudonymisierung als möglicher Schaden in ErwG 75 und 85 Satz 1).270 Unter der DSGVO besteht hingegen keine generelle Pflicht des Verantwortlichen zur bzw. ein Recht der betroffenen Personen auf Pseudonymisierung (vgl. für Telemedien § 13 Abs. 6 TMG271).272 Dem steht auch schon die ausdrückliche Erwähnung in ErwG 28 Satz 2 entgegen, dass neben der Pseudonymisierung noch andere Möglichkeiten der grundrechtsschonenden Datenverarbeitung existieren. Im Einzelfall kann dem Verantwortlichen aber im Sinne des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und im Rahmen der Interessenabwägung der Einsatz der Pseudonymisierung angeraten sein, um z.B. bei einer Datenanalyse die nicht relevanten identifizierenden Merkmale zu schützen.273 Einige mitgliedstaatliche Vorschriften auferlegen ausdrücklich Pseudonymisierungspflichten, meist bereichsspezifisch (z.B. bei der Verarbeitung von besonderen Kategorien personenbezogener Daten zu Forschungszwecken und statistischen Zwecken, siehe dazu § 27 BDSG Rn. 16ff.).274

131

Die DSGVO gesteht der Pseudonymisierung eine Vielzahl von Erleichterungen bzw. positiven Anerkenntnissen zu. Die Pseudonymisierung ist wie auch die Verschlüsselung (zur Einstufung der Verschlüsselung als Pseudonymisierung siehe unten Rn. 143) etwa gemäß Art. 6 Abs. 4 lit. e DSGVO als begünstigender Faktor bei einer zweckändernden Verarbeitung zu berücksichtigen.275 Bei Verletzungen des Schutzes personenbezogener Daten kann bei vorher erfolgter Verschlüsselung der relevanten Daten die Benachrichtigungspflicht gegenüber betroffenen Personen gemäß Art. 34 Abs. 3 lit. a DSGVO entfallen. Die Pseudonymisierung ist ausdrücklich sowohl eine Maßnahme zur Gewährleistung des Datenschutzes durch Technikgestaltung bzw. des Datenschutzes durch datenschutzfreundliche Voreinstellungen nach Art. 25 Abs. 1 DSGVO276 als auch der Sicherheit der Verarbeitung nach Art. 32 Abs. 1 lit. a DSGVO.277 Die Frage, ob Daten pseudonymisiert wurden oder nicht, ist dementsprechend zumindest mittelbar ein Faktor bei der Bußgeldbemessung nach Art. 83 Abs. 2 lit. d DSGVO. Auch für die Verarbeitung von besonderen Kategorien personenbezogener Daten nach § 22 Abs. 1, 2 BDSG sind ausdrücklich die Pseudonymisierung oder Verschlüsselung in Betracht zu ziehen. Der Einsatz von Pseudonymisierung kann auch dazu führen, dass Pflichten zur Erfüllung der Betroffenenrechten, über Art. 11 DSGVO eingeschränkt werden.278 Sofern Mitgliedstaaten eine Privilegierung der Verarbeitung von personenbezogenen Daten zu im öffentlichen Interesse liegenden Archiv-, Forschungs- oder statistischen Zwecken vorsehen, kann gemäß Art. 89 Abs. 1 Satz 2 DSGVO eine Pseudonymisierung als Bedingung gefordert werden.

132

Im Nachgang an das Schrems II-Urteil des EuGH279 hat der EDSA die Relevanz der Pseudonymisierung von personenbezogenen Daten auch auf Drittlandtransfers erweitert. So geht der EDSA davon aus, dass die Pseudonymisierung von Daten als zusätzliche Sicherheitsmaßnahme (in der Regel also zusätzlich zum Abschluss von EU-Standardvertragsklauseln, vgl. hierzu Art. 46 Rn. 8ff.) in aller Regel ausreichend ist, um beim Datenimporteur im Drittland ein angemessenes Datenschutzniveau für den betroffenen Datentransfer zu etablieren, auch wenn das jeweilige Empfängerland grundsätzlich als unsicher zu klassifizieren wäre.280 Der EDSA setzt dabei jedoch insbesondere voraus, dass der Datenimporteur keine Kenntnis über die jeweils verwendete Zuordnungsregel erhält.

3. Voraussetzung einer wirksamen Pseudonymisierung

133

In Art. 4 Nr. 5 DSGVO hat der europäische Gesetzgeber klare Voraussetzungen für eine wirksame Pseudonymisierung vorgesehen. Grundlegend versteht die DSGVO die Pseudonymisierung nicht nur als technische Maßnahme, sondern sie muss auch durch korrespondierende organisatorische Maßnahmen abgesichert werden.281

134

Im Detail verlangt der Gesetzestext, dass kumulativ282 (a) die Daten nicht ohne zusätzliche Informationen hinzuzuziehen einer natürlichen Person zugeordnet werden können, (b) die zusätzlichen Informationen getrennt aufbewahrt werden und (c) dass durch technische und organisatorische Maßnahmen sichergestellt wird, dass die Daten nicht entsprechend zurückzugeordnet werden.

DSGVO - BDSG - TTDSG
Tekst
0
Zostaw recenzję
1209,24 zł
Gatunki i tagi
Adwokatura
Ograniczenie wiekowe:
0+
Objętość:
4734 str. 7 ilustracje
ISBN:
9783800594207
Redaktor:
Wydawca:
Właściciel praw:
Bookwire
Format pobierania:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip
Część serii "Kommunikation & Recht"
Wszystkie książki z serii

Z tą książką czytają

Круть
Ekskluzywny

Круть

Wiktor Pielewin
Audiobook z wersją tekstową
3,6
106