Telemedicus: Stellungnahme zu Profiling in der DS-GVO
Telemedicus hat Anfang der Woche auf Anfrage eine schriftliche Stellungnahme zur Regelung der so genannten Profilbildung („Profiling”) in der geplanten Datenschutzgrundverordnung an das Bundesministerium des Inneren übersandt. Hintergrund: Das BMI führt eine schriftliche Anhörung von Verbänden, Unternehmen, Wissenschaft und Netzcommunity durch. Es geht um die Frage, ob und inwieweit eine Profilbildung im Rahmen der Datenschutzgrundverordnung zulässig sein soll. Die Bundesministerien des Inneren (BMI), der Wirtschaft (BMWi) sowie der Justiz und des Verbraucherschutzes (BMJV) haben hierzu einen gemeinsamen Vorschlag erarbeitet. Unsere Stellungnahme stellen wir als Volltext nun auch hier im Blog bereit. Bereits Mitte Dezember hatte Telemedicus auf Anfrage eine schriftliche Stellungnahme zur Regelung der so genannten Zweckänderung in der geplanten Datenschutzgrundverordnung an das Bundesministerium des Inneren übersandt. Diese findet sich hier.
Stellungnahme des Telemedicus e.V.
Schriftliche Anhörung zur Regelung zur Regelung der Profilbildung („Profiling“) in der Datenschutz-Grundverordnung (DS-GVO-E)
Sehr geehrte Damen und Herren,
Telemedicus e.V. bedankt sich für die Gelegenheit zur Stellungnahme im Rahmen der zuvor genannten schriftlichen Anhörung.
Telemedicus ist ein juristisches Internetprojekt zu allen Rechtsfragen der Informationsgesellschaft. Im Fokus unserer Arbeit stehen das Informations-, Medien- und Datenschutzrecht sowie die damit verbundenen sozialen, wirtschaftlichen und politischen Fragen. Getragen und herausgegeben wird das Projekt vom gemeinnützigen Telemedicus e.V., einer neutralen, unabhängigen, wissenschaftlichen Vereinigung. Der Verein fördert satzungsgemäß den freien Austausch von Wissen über Rechtsfragen der Informationsgesellschaft auf juristischer und interdisziplinärer Ebene.
Die nachfolgende Stellungnahme gliedert sich in einen allgemeinen Teil (1.), der sich abstrakt mit der Frage der Zulässigkeit der Profilbildung vor dem Hintergrund der Datenschutz-Grundverordnung beschäftigt, sowie einem besonderen Teil (2.), in dem die gemeinsamen von den Bundesministerien des Inneren, der Wirtschaft sowie Justiz und Verbraucherschutz erarbeiteten Änderungsvorschläge erörtert werden.
Bei der Frage nach der Zulässigkeit und den Grenzen einer Erhebung, Speicherung, Zusammenführung und Nutzung personenbezogener Daten zwecks Erstellung von Persönlichkeitsprofilen zeigt sich deutlich, dass das bestehende Datenschutzregime des BDSG in seiner derzeitigen Fassung weder den Anforderungen der Internetwirtschaft noch den Interessen der Betroffenen am Schutz ihrer Privatsphäre hinreichend Rechnung trägt. Eine Reform und insbesondere die Schaffung einheitlicher europäischer Standards durch die Datenschutzgrundverordnung sind daher zu begrüßen.
Im Hinblick auf die Verarbeitung personenbezogener Daten zum Zwecke der Profilbildung zeigt sich zudem sehr deutlich, wie weit die Interessen von Internetwirtschaft und Betroffenen auseinanderliegen können. Das Geschäftsmodell vermeintlich „kostenlose“ Inhalte direkt oder indirekt durch die Preisgabe personenbezogener Daten gegen zu finanzieren ist im Internet weitverbreitet. Ein besonderes Interesse an der Erstellung von Nutzerprofilen haben dabei insbesondere solche Dienste, die Daten von Betroffenen nicht nur punktuell sondern über einen längeren Zeitraum und verschiedene Internetdienste hinweg erheben, speichern und verarbeiten. Dies sind zum einen die großen Werbenetzwerke und Suchmaschinenanbieter die auf ein vielfältiges Repertoire an Tracking-Technologien zurückgreifen können, zum anderen die Betreiber sozialer Netzwerke, bei denen Nutzer ihre Daten freiwillig eingeben, die dann mit weiteren verhaltensbezogenen Daten, die zumeist ebenfalls durch Tracking erhoben werden (bspw. Facebook „Like Button“, Google „+1“), zusammengeführt und ausgewertet werden. Die Refinanzierung erfolgt i.d.R. durch die Schaltung möglichst zielgruppengerechter oder gar personalisierter Werbung.
Im Bereich der Werbung dient die Profilbildung damit in erster Linie der Verminderung von Streuverlusten und damit der Effizienzsteigerung. Der Gedanke der Optimierung lässt sich aber ohne weiteres auch auf andere Dienste übertragen. Wenn bspw. der Algorithmus der Suchmaschine weitere personenbezogene Informationen über den Nutzer heranzieht, um die Auswahl der Suchergebnisse an seine vermeintlichen Interessen und Bedürfnisse anzupassen. Auch viele neue Dienstleistungen im Bereich „Big Data“ oder dem „Internet of things“ setzen auf das Prinzip der Profilbildung oder eröffnen zumindest gänzlich neue Bereiche, in denen künftig (personenbezogene) Daten erhoben, gespeichert und verarbeitet werden. Aber auch der Staat zeigt zunehmend Interesse an der Auswertung personenbezogener Daten zum Zwecke der Profilbildung etwa im Bereich der Gefahrenprävention, was aktuelle PreCrime-Projekte oder aber auch die zunehmende Auswertung von Bewegungsdaten (bspw. über das Smartphone) im Zusammenhang mit Versammlungen belegen.
Betrachtet man die Menge der Daten und die Beiläufigkeit mit der diese mitunter erhoben werden, liegt gerade in ihrer Zusammenführung und Auswertung ein besonderes Risiko für die Privatsphäre des Einzelnen begründet. Dies gilt umso mehr, desto größer der Zeitraum ist, über den hinweg personenbezogene Daten zwecks Profilbildung erhoben, gespeichert und ausgewertet werden können und dürfen. Angesichts der Vielzahl von Erhebungsmöglichkeiten und datenverarbeitenden Stellen, erscheint Transparenz und damit die Informiertheit des Betroffenen als oberstes Gebot. Angesichts einer möglichen Zweckänderung oder Übermittlung der Daten an Dritte wird Transparenz allein jedoch nicht reichen, um die Interessen der Betroffenen am Schutz ihrer Privatsphäre und ihrem Recht auf informationelle Selbstbestimmung Rechnung zu tragen. Widerspruchs- und Auskunftsrechte sind somit ebenso wie ihre effektive Durchsetzbarkeit und Pönalisierung eine Selbstverständlichkeit.
Dies zeigt nicht zuletzt das Beispiel des „Scoring“, bei dem es sich letztendlich um eine besondere Form der Profilbildung handelt, die zur Berechnung der Kreditausfallwahrscheinlichkeit einer Person herangezogen wird und somit nicht nur immaterielle Werte wie das Persönlichkeitsrecht betrifft sondern für den Einzelnen ernsthafte materielle Konsequenzen nach sich ziehen kann. Ähnliches gilt etwa für den besonders sensiblen Bereich der Gesundheitsdaten, die künftig zusammen mit anderen Informationen bspw. zur Berechnung individueller Versicherungstarife herangezogen werden könnten. Gerade hier besteht jedoch das Risiko, dass die erstellten Profile zur Diskriminierung von bestimmten Personen oder Personenkreisen verwendet werden können, etwa wenn bestimmte Personenkreise von bestimmten Leistungen ausgeschlossen werden.
Gleichzeitig besteht hier durchaus ein berechtigtes wirtschaftliches Interesse der Kreditwirtschaft an möglichst umfassenden und präzisen Informationen. Zudem sind insbesondere kleinere, mittelständische Unternehmen in Ermangelung eigener Datenbestände auf die Dienste von Auskunfteien angewiesen. Daher ist es erforderlich den zulässigen Anwendungsbereich der Profilbildung unter Heranziehung personenbezogener Daten möglichst genau zu definieren, damit auch auf Seiten der datenverarbeitenden Industrie Rechtsicherheit besteht und so die Einführung neuer Geschäftsmodelle nicht zusätzlich behindert wird.
Die Datenschutzrichtlinie (95/46/EG, nachfolgend „DSRL“) definiert Profilbildung als automatisierte Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte einer Person, bspw. ihre beruflichen Leistungsfähigkeit, ihre Kreditwürdigkeit, ihre Zuverlässigkeit oder ihr Verhalten (Art. 15 Abs. 1 DSRL), ohne dass der Begriff der Profilbildung dabei explizit erwähnt würde. Vielmehr ist von „automatisierten Einzelfallentscheidungen“ die Rede.
Der Vorschlag der Kommission vom 25.1.2012 (KOM 2012/0011) dagegen spricht von einer rein automatisierten Verarbeitung von Daten deren Zweck in der Auswertung bestimmter Merkmale einer Person oder in der Analyse bzw. Voraussage ihrer beruflichen Leistungsfähigkeit, ihrer wirtschaftlichen Situation, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens besteht (Art. 20 Abs. 1 DS-GVO-E).
Der gemeinsame Vorschlag der Bundesministerien (BMI, BMWi, BMJV) bezieht sich auf den Vorschlag einer Verordnung in der Fassung der griechischen Ratspräsidentschaft vom 30. Juni 2014 (ST 11028/14). Darin war eine explizite Definition des Begriffs „Profiling“ in Art. 4 DS-GVO-E vorgesehen, was durchaus zu begrüßen ist. Der Vorschlag der griechischen Ratspräsidentschaft (profile means „a set of data characterizing a category of individuals that is intended to be applied to a natural person“; profiling means „a form of automated processing of personal data intended to use a profile to evaluate personal aspects relating to a natural person, in particular to analyze and predict aspects concerning performance at work, economic situation, health, personal preferences, or interests, reliability or behaviour, location or movements”) wurde gestrichen und durch folgenden Vorschlag ersetzt:
„’profiling‘ means a form of automated processing of personal data (…), which is applied to combine personal data in order to gain additional information on significant aspects of the data subject’s personality, in particular concerning performance at work, economic situation, health, personal preferences, or interests, reliability or behaviour, location or movements and hereby affects his or her rights”
Im Vergleich zum Ratsvorschlag als auch zum Vorschlag der Kommission engt der gemeinsame Vorschlag der beteiligten Bundesministerien den Anwendungsbereich des Begriffs „Profiling“ deutlich ein. Von einer Profilbildung wäre danach nur noch dann auszugehen, wenn zusätzlich zu den ursprünglichen Kriterien zwei weitere Tatbestandsmerkmale erfüllt sind: Eine Profilbildung läge demnach künftig nur noch vor, wenn über das Zusammenführen von Einzeldaten hinaus zusätzliche Erkenntnisse über wesentliche Aspekte der Persönlichkeit des Betroffenen gewonnen würden, die darüber hinaus geeignet sein müssen, diesen in seinen Rechten zu berühren bzw. zu beeinträchtigen.
Ziel dieser Einschränkung ist es, die von den beteiligten Bundesministerien überdies vorgeschlagenen besonderen Zulässigkeitsanforderungen an die Profilbildung zu kompensieren und so einen gerechten Ausgleich zwischen dem Schutzinteresse des Betroffenen und dem wirtschaftlichen Verwertungsinteresse der datenverarbeitenden Stelle herzustellen.
Den Interessen der Betroffenen will der Vorschlag durch die Einführung eines neuen Art. 20 DS-GVO-E n.F. Rechnung tragen, der die Profilbildung einem generellen Verbot mit Erlaubnisvorbehalt unterwirft und eine abschließende Auflistung von Erlaubnistatbeständen enthält.
Die Abkehr von einer generellen Erlaubnis der Verarbeitung personenbezogener Daten hin zu einem Verbot mit Erlaubnisvorbehalt stellt grundsätzlich eine Verbesserung zu Gunsten der Schutzinteressen der Betroffenen dar. Die bisherige Fassung des Art. 20 DS-GVO-E des Kommissionsentwurfs räumt dem Betroffenen lediglich das Recht ein, bestimmten, auf Profilbildung beruhenden Maßnahmen unterworfen zu werden, die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in maßgeblicher Weise beeinträchtigt (Art. 20 Abs. 1 DS-GVO-E) Maßnahmen nach Abs. 1 dürfen zudem nur dann vorgenommen werden, wenn die der Profilbildung dienenden Datenverarbeitungsvorgänge den Anforderungen des Abs. 2 a) bis c) genügen. Dabei genügt es jedoch bereits, wenn geeignete Maßnahmen ergriffen wurden, um die berechtigten Interessen der betroffenen Person zu wahren, bspw. durch das Recht auf direkten persönlichen Kontakt.
Profilbildung ist somit nach dem Vorschlag der Kommission grundsätzlich zulässig. Lediglich darauf aufbauende Maßnahmen werden reguliert und auch nur dann, wenn sie die oben genannten Kriterien des Art. 20 Abs. 1 DS-GVO-E erfüllen. Nur wenn solche Maßnahmen durchgeführt werden sollen, gelten die den eigentlichen Datenverarbeitungsprozess (Profilbildung) betreffenden Anforderungen des Abs. 2 a) bis c). Sofern die Auswertung der im Rahmen der Profilbildung nicht ebenfalls zu den genannten Maßnahmen zählt, wäre die Profilbildung selbst somit de facto nicht mehr dem Regime des Datenschutzrechts unterworfen. Damit ist das aktuelle Schutzniveau jedoch mehr als unzureichend.
Der Vorschlag der beteiligten Bundesministerien weist jedoch ebenfalls eine erhebliche Schutzlücke auf. Durch die Einschränkung der Definition der Profilbildung fällt bereits auf Definitionsebene eine Vielzahl von Datenverarbeitungsvorgängen durch das Raster. Diese Datenverarbeitungsvorgänge, die ebenfalls dem Zwecke der Profilbildung dienen und somit ein besonderes Schutzbedürfnis des Betroffenen begründen, wären in der Folge ebenfalls grundsätzlich zulässig. Sie wären bereits nicht als Profilbildung i.S.d. Verordnung anzusehen und fielen somit nicht unter das in Art. 20 DS-GVO-E n.F. statuierte generelle Verbot mit Erlaubnisvorbehalt.
Problematisch ist in diesem Zusammenhang auch die fehlende Konkretisierung der unbestimmten Rechtsbegriffe „zusätzliche Erkenntnisse“ über „wesentliche Aspekte der Persönlichkeit“ des Betroffenen, die geeignet sind den Anwendungsbereich der Definition derart zu beschneiden, dass das nachgeschaltete Verbot mit Erlaubnisvorbehalt zum bloßen Placebo verkommt. Insbesondere das Erfordernis eines zusätzlichen Erkenntnisgewinns führt dazu, dass die bloße Zusammenführung der Daten aus dem Anwendungsbereich herausfällt. Zudem ist fraglich, wann es sich tatsächlich um „zusätzliche Erkenntnisse“ handelt oder inwiefern diese bereits im vorhandenen Datenbestand angelegt waren.
Auch ist fraglich, was mit dem zusätzlichen Erfordernis eines rechtlichen Berührt-Seins bzw. einer Beeinträchtigung gemeint ist. Profilbildung unter Verarbeitung personenbezogener Daten berührt den Betroffenen grundsätzlich in seinem Recht auf informationelle Selbstbestimmung. Sie stellt darüber hinaus stets auch eine Beeinträchtigung dar, die jedoch gerechtfertigt sein kann. Es liegt daher nahe davon auszugehen, dass es sich hierbei um eine über dieses grundsätzliche Maß hinausgehende Form rechtlicher Betroffenheit handeln muss. In Betracht kämen bspw. durch Folgemaßnahmen erlittene Schäden und Beeinträchtigungen. In diesem Falle wären jedoch wiederum nur Folgemaßnahmen betroffen, nicht die Profilbildung selbst.
Um den Schutz vor einer ungewollten, willkürlichen Profilbildung sicherzustellen, sollte die Definition daher möglichst weit gefasst sein. Nur auf diese Weise lassen sich Regelungslücken bei der Profilbildung vermeiden. Hier erscheinen die Definitionsvorschläge des Europäischen Parlaments v. 12.03.2014 und der Artikel-29-Gruppe, die grundsätzlich jeden Fall der automatisierten Datenverarbeitung personenbezogener Daten zum Zwecke Auswertung bestimmter Aspekte in Bezug auf den Betroffenen erfassen wollen.
Abgesehen von der voranstehend geäußerten grundsätzlichen Kritik an dem von den beteiligten Ministerien gewählten Ansatz, die Begriffsdefinition zunächst einzuschränken und nur noch die wenigen verbliebenen Fälle der „Profilbildung“ einem Verbot mit Erlaubnisvorbehalt zu unterwerfen, begegnet auch die Ausführung der neuen Regelung durchaus Bedenken.
Art. 20 Abs. 1 c) DS-GVO-E n.F. dient im Wesentlichen dem Erhalt des bisherigen Listenprivilegs des § 28 Abs. 3 BDSG und ist im Hinblick auf die Interessen der Internetwirtschaft zu begrüßen. In Verbindung mit Abs. 4, der für diese Fälle ein Widerspruchsrecht des Betroffenen vorsieht, wird ebenfalls der Status Quo bewahrt. Gegenüber der Cookie-Richtlinie stellt dies jedoch einen Rückschritt dar, sah diese für den Bereich der Telemedien und damit die äußerst relevante Internetwerbung ein Einwilligungserfordernis (Opt-In) vor. Zur Durchsetzung des Widerspruchsrechts ist es neben der bloßen Verpflichtung zur Information des Betroffenen notwendig, eine gesetzliche Verpflichtung zur Implementierung wirksamer technischer Maßnahmen aufzunehmen, die sicherstellt, dass der einmal ausgeübte Widerspruch auch bei künftigen Datenverarbeitungsvorgängen berücksichtigt wird. Der in der Praxis vielfach eingesetzt Opt-Out-Cookie stellt keine dauerhafte Lösung dar, während sich die meisten Unternehmen universellen Signallösungen wie der im Browser implementierten „Do-Not-Track“-Funktion schlicht verweigern.
Ein weiterer unbestimmter Rechtsbegriff findet sich in Art. 20 Abs. 1 e1) DS-GVO-E n.F., der eine Profilbildung „zur Aufdeckung missbräuchlichen Verhaltens“ legitimiert Dieser erinnert entfernt an die Befugnisse der Telekommunikationsanbieter zur Missbrauchsbekämpfung und die damit verbundenen Auslegungsschwierigkeiten. Eine derart unbestimmte Erlaubnisnorm im allgemeinen Datenschutzrecht eröffnet hingegen einen um ein Vielfaches weiteren Anwendungsbereich als in einem Spezialgesetz wie dem TKG, dessen Anwendungsbereich lediglich eine bestimmte Gruppe von Diensteanbietern unterfällt.
Art. 20 Abs. 2 DS-GVO-E n.F. enthält einen weiteren unbestimmten Rechtsbegriff, wenn er statuiert, dass sich die Profilbildung nicht „maßgeblich“ auf die besondere Kategorien von personenbezogenen Daten i.S.d. Art. 9 DS-GVO-E. Damit geht Art. 20 Abs. 2 DS-GVO-E n.F. davon aus, dass diese Daten grundsätzlich mit in die Profilbildung einfließen, dabei jedoch ein gewisses Maß an Relevanz nicht überschreiten dürfen. Dies stellt eine wesentliche Ausweitung der Verarbeitungsmöglichkeiten gegenüber der bisherigen Regelung des § 28 Abs. 6, 7 und 8 BDSG dar, die eine Verwendung besonderer Arten personenbezogener Daten ohne Einwilligung des Betroffenen nur in eng begrenzten Ausnahmefällen zulassen. Dies gilt insbesondere für Gesundheitsdaten. Zwar gelten auch hier ergänzend die Anforderungen des Art. 9 Abs. 2 a) bis i) DS-GVO-E, allerdings erst dann, wenn ihr Anteil an der Profilbildung die Schwelle der Maßgeblichkeit erreicht.
Art. 20 Abs. 3 DS-GVO-E n.F. ist als Konkretisierung des allgemeinen Diskriminierungsverbots im Hinblick auf die Art und Weise der Datenverarbeitung und Auswertung zu begrüßen. Es stellt sich allerdings die Frage, ab wann ein statistisches Verfahren als „wissenschaftlich“ anerkannt gelten darf und wer letztendlich hierüber entscheidet. Letztendlich ist zu überlegen, ob sich hieraus, ein Prüfungsrecht der Aufsichtsbehörden ableitet, das die Auswertungsverfahren und somit Betriebsgeheimnisse diverser Internetunternehmen wie Google oder Facebook beträfe.
Das in Art. 20 Abs. 6 DS-GVO-E verankerte Auskunftsrecht des Betroffenen ist ein Schritt in die richtige Richtung, sorgt es doch in Sachen Profilbildung zumindest für ein wenig mehr Transparenz. Der Einblick in das Zustandekommen einer auf Wahrscheinlichkeitswerten beruhenden Datenverarbeitung wird in der Praxis regelmäßig am (vorgeschobenen) Interesse der Unternehmen an Geheimhaltung ihrer Berechnungsmethoden scheitern. Gerade im Bereich des Scoring hätte es hier einer Korrektur zugunsten der Betroffenen bedurft. Ein Auskunftsanspruch ohne Fristen und Sanktionen dürfte in der Praxis allerdings ohnehin kaum Gehör finden.
Insgesamt ist die Einführung eines Verbots mit Erlaubnisvorbehalt, wie es Art. 20 DS-GVO-E n.F. vorsieht, zu begrüßen.
Der gemeinsame Vorschlag der beteiligten Bundesministerien sieht ferner Änderungen am vormaligen Art. 20 DS-GVO-E vor, der entsprechend des Vorschlags als Art. 20a DS-GVO-E n.F. Eingang in die Datenschutzgrundverordnung finden würde.
Dieser hat soweit keine Änderungen erfahren und wurde lediglich um einen zusätzlichen Abs. 3a ergänzt. Dieser enthält ein allgemeines Diskriminierungsverbot und verpflichtet die datenverarbeitende Stelle, wirksame technische Maßnahmen zu treffen, um eine mögliche Diskriminierung zu vermeiden.
Die Stellungnahme als PDF.
