-
- Art. 5a BV
- Art. 6 BV
- Art. 10 BV
- Art. 16 BV
- Art. 17 BV
- Art. 20 BV
- Art. 22 BV
- Art. 29a BV
- Art. 30 BV
- Art. 32 BV
- Art. 42 BV
- Art. 43 BV
- Art. 43a BV
- Art. 55 BV
- Art. 56 BV
- Art. 60 BV
- Art. 68 BV
- Art. 75b BV
- Art. 77 BV
- Art. 96 Abs. 2 lit. a BV
- Art. 110 BV
- Art. 117a BV
- Art. 118 BV
- Art. 123b BV
- Art. 136 BV
- Art. 166 BV
-
- Art. 11 OR
- Art. 12 OR
- Art. 50 OR
- Art. 51 OR
- Art. 84 OR
- Art. 143 OR
- Art. 144 OR
- Art. 145 OR
- Art. 146 OR
- Art. 147 OR
- Art. 148 OR
- Art. 149 OR
- Art. 150 OR
- Art. 701 OR
- Art. 715 OR
- Art. 715a OR
- Art. 734f OR
- Art. 785 OR
- Art. 786 OR
- Art. 787 OR
- Art. 788 OR
- Art. 808c OR
- Übergangsbestimmungen zur Aktienrechtsrevision vom 19. Juni 2020
-
- Art. 2 BPR
- Art. 3 BPR
- Art. 4 BPR
- Art. 6 BPR
- Art. 10 BPR
- Art. 10a BPR
- Art. 11 BPR
- Art. 12 BPR
- Art. 13 BPR
- Art. 14 BPR
- Art. 15 BPR
- Art. 16 BPR
- Art. 17 BPR
- Art. 19 BPR
- Art. 20 BPR
- Art. 21 BPR
- Art. 22 BPR
- Art. 23 BPR
- Art. 24 BPR
- Art. 25 BPR
- Art. 26 BPR
- Art. 27 BPR
- Art. 29 BPR
- Art. 30 BPR
- Art. 31 BPR
- Art. 32 BPR
- Art. 32a BPR
- Art. 33 BPR
- Art. 34 BPR
- Art. 35 BPR
- Art. 36 BPR
- Art. 37 BPR
- Art. 38 BPR
- Art. 39 BPR
- Art. 40 BPR
- Art. 41 BPR
- Art. 42 BPR
- Art. 43 BPR
- Art. 44 BPR
- Art. 45 BPR
- Art. 46 BPR
- Art. 47 BPR
- Art. 48 BPR
- Art. 49 BPR
- Art. 50 BPR
- Art. 51 BPR
- Art. 52 BPR
- Art. 53 BPR
- Art. 54 BPR
- Art. 55 BPR
- Art. 56 BPR
- Art. 57 BPR
- Art. 58 BPR
- Art. 59a BPR
- Art. 59b BPR
- Art. 59c BPR
- Art. 62 BPR
- Art. 63 BPR
- Art. 67 BPR
- Art. 67a BPR
- Art. 67b BPR
- Art. 73 BPR
- Art. 73a BPR
- Art. 75 BPR
- Art. 75a BPR
- Art. 76 BPR
- Art. 76a BPR
- Art. 90 BPR
-
- Vorb. zu Art. 1 DSG
- Art. 1 DSG
- Art. 2 DSG
- Art. 3 DSG
- Art. 5 lit. f und g DSG
- Art. 6 Abs. 6 und 7 DSG
- Art. 7 DSG
- Art. 10 DSG
- Art. 11 DSG
- Art. 12 DSG
- Art. 14 DSG
- Art. 15 DSG
- Art. 19 DSG
- Art. 20 DSG
- Art. 22 DSG
- Art. 23 DSG
- Art. 25 DSG
- Art. 26 DSG
- Art. 27 DSG
- Art. 31 Abs. 2 lit. e DSG
- Art. 33 DSG
- Art. 34 DSG
- Art. 35 DSG
- Art. 38 DSG
- Art. 39 DSG
- Art. 40 DSG
- Art. 41 DSG
- Art. 42 DSG
- Art. 43 DSG
- Art. 44 DSG
- Art. 44a DSG
- Art. 45 DSG
- Art. 46 DSG
- Art. 47 DSG
- Art. 47a DSG
- Art. 48 DSG
- Art. 49 DSG
- Art. 50 DSG
- Art. 51 DSG
- Art. 54 DSG
- Art. 57 DSG
- Art. 58 DSG
- Art. 60 DSG
- Art. 61 DSG
- Art. 62 DSG
- Art. 63 DSG
- Art. 64 DSG
- Art. 65 DSG
- Art. 66 DSG
- Art. 67 DSG
- Art. 69 DSG
- Art. 72 DSG
- Art. 72a DSG
-
- Art. 2 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 3 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 4 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 5 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 6 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 7 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 8 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 9 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 11 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 12 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 25 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 29 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 32 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 33 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
- Art. 34 CCC (Übereinkommen über die Cyberkriminalität [Cybercrime Convention])
BUNDESVERFASSUNG
OBLIGATIONENRECHT
BUNDESGESETZ ÜBER DAS INTERNATIONALE PRIVATRECHT
LUGANO-ÜBEREINKOMMEN
STRAFPROZESSORDNUNG
ZIVILPROZESSORDNUNG
BUNDESGESETZ ÜBER DIE POLITISCHEN RECHTE
ZIVILGESETZBUCH
BUNDESGESETZ ÜBER KARTELLE UND ANDERE WETTBEWERBSBESCHRÄNKUNGEN
BUNDESGESETZ ÜBER INTERNATIONALE RECHTSHILFE IN STRAFSACHEN
DATENSCHUTZGESETZ
BUNDESGESETZ ÜBER SCHULDBETREIBUNG UND KONKURS
SCHWEIZERISCHES STRAFGESETZBUCH
CYBERCRIME CONVENTION
HANDELSREGISTERVERORDNUNG
- In Kürze
- I. Allgemeines
- II. Profiling (lit. f)
- III. Profiling mit hohem Risiko (lit. g)
- IV. Rechtsfolgen
- V. Praxishinweise
- Literaturverzeichnis
- Materialienverzeichnis
In Kürze
Der Profiling-Begriff im neuen DSG ersetzt den bisherigen Begriff des Persönlichkeitsprofils. Die Bestimmungen zum Profiling wurden in den parlamentarischen Beratungen umfassend diskutiert und waren mit ein Grund für den langen Gesetzgebungsprozess. Profiling wird definiert als automatisierte Datenbearbeitung zwecks Bewertung persönlicher Aspekte. Derartiges Profiling ist in der Praxis sehr verbreitet, v.a. im Bereich der Angebotspersonalisierung, und hat für private Verantwortliche keine besonderen Rechtsfolgen. Neben dem normalen Profiling kennt das neue DSG auch eine qualifizierte Form des Profilings «mit hohem Risiko». Damit weicht das DSG von der DSGVO ab, die ein qualifiziertes Profiling nur in Verbindung mit automatisierten Einzelentscheidungen kennt. Ein Profiling mit hohem Risiko liegt vor, wenn durch Verknüpfung von Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit möglich ist. Die Einordnung als Profiling mit hohem Risiko ist stark einzelfallabhängig und löst v.a. die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung aus, führt aber nicht zu einem generellen Einwilligungserfordernis.
I. Allgemeines
A. Vorbemerkung
1 Profiling als automatisierte Bewertung persönlicher Aspekte ist heute ein breit angewandtes Verfahren, das v.a. als Grundlage für die sehr verbreitete Angebotspersonalisierung im Endkundengeschäft grosse praktische Bedeutung hat. Insb. digitale Angebote wie Streamingdienste, Onlineshops und Social Media Plattformen verfügen meist über derart viel «Content», dass sie sich ohne Personalisierung gar nicht sinnvoll nutzen liessen. Kundinnen und Kunden setzen bei solchen Digitalangeboten heute wie selbstverständlich eine zielgerichtete Orientierungshilfe z.B. auf Basis des bisherigen Nutzungsverhaltens voraus.
2 Profiling ist somit ein alltäglicher Vorgang, der vielfach im Interesse von Kundinnen und Kunden ist. Da dem Profiling eine Wertung innewohnt, die meist auf Basis von Korrelationen und Wahrscheinlichkeiten automatisiert erfolgt, wird der Vorgang aber als risikobehaftet und deshalb als regulierungsbedürftig angesehen. Profiling bedeutet stets eine generalisierte Persönlichkeitsbewertung aufgrund bestimmter Eigenschaften, die der konkret betroffenen Person ggf. nicht gerecht wird («Schubladisierung»).
B. Entstehungsgeschichte
3 Der mit der Revision neu eingeführte Begriff «Profiling» ersetzt das «Persönlichkeitsprofil» des bisherigen DSG.
4 Im Gesetzgebungsprozess war Profiling einer der Hauptdiskussionspunkte. Differenzen zum Profiling waren ein wesentlicher Faktor für die verzögerte Verabschiedung des revidierten Gesetzes.
C. Systematik und Abgrenzung
5 Art. 5 DSG unterscheidet zwei Formen von Profiling: Zum einen in lit. f das «normale» Profiling als automatisierte Datenbearbeitung zwecks Bewertung persönlicher Aspekte, und zum anderen in lit. g ein auf dem normalen Profiling aufbauendes qualifiziertes Profiling «mit hohem Risiko». Während die Definition des normalen Profilings unverändert aus der DSGVO ins Schweizer Recht übernommen wurde, stellt das qualifizierte Profiling mit hohem Risiko eine Eigenschöpfung des Schweizer Gesetzgebers dar. Mit der Abstufung wollte der Gesetzgeber dem Umstand Rechnung tragen, dass sich die verschiedenen Anwendungen von Profiling in Bezug auf Tragweite und Auswirkungen teils erheblich unterscheiden.
6 Profiling ist von der automatisierten Einzelentscheidung gem. Art. 21 DSG abzugrenzen. Profiling ist der Bewertungsvorgang, der einer automatisierten Einzelentscheidung ggf. zugrunde liegt, ihr aber logisch vorgelagert ist. Zu einer automatisierten Einzelentscheidung führt ein Profiling erst dann, wenn sich die Bewertung in einer konkreten Aussenwirkung manifestiert und diese Aussenwirkung in Form einer Rechtsfolge oder einer ähnlich einschneidenden Beeinträchtigung vorliegt.
II. Profiling (lit. f)
A. Allgemeines
7 Der Begriffswechsel vom Persönlichkeitsprofil zum Profiling sollte eine Angleichung an das europäische Recht bringen und der Gesetzgeber hat die Legaldefinition von Art. 4 Nr. 4 DSGVO konsequenterweise fast wörtlich ins Schweizer Recht übernommen. Im Wesentlichen umfasst sie vier Elemente: Erstens ein Bewertungsvorgang, der zweitens automatisiert erfolgt und drittens Aussagen über persönliche Aspekte hervorbringt, die sich viertens auf eine natürliche Person beziehen. Diese Elemente werden nachfolgend anhand des Beispiels personalisierter Leseempfehlungen im Buchhandel illustriert.
B. Bewertungsvorgang
8 Der Fokus des Profiling-Begriffs liegt auf dem Element der Bewertung. Im Kern handelt es sich bei Profiling um einen Bewertungsvorgang, bei dem durch Analyse oder Vorhersage neue Erkenntnisse über eine Person abgeleitet werden.
9 Eine Bewertung beinhaltet immer eine normative Einordnung und ist damit bis zu einem gewissen Grad subjektiv.
C. Automatisierung
10 Profiling gem. Art. 5 lit. f DSG erfasst nur die automatisierte Bearbeitung von Personendaten. Automatisiert erfolgt die Bearbeitung dann, wenn sie mit Hilfe von computergestützten Techniken erfolgt.
11 Kennt eine Buchhändlerin z.B. die Vorlieben ihrer Kunden und macht sie ihnen gestützt darauf individuelle Empfehlungen (empfiehlt sie z.B. einem Leser von «1984» Margaret Atwoods «The Handsmaid’s Tale»), handelt es sich mangels Automatisierung nicht um ein Profiling im Sinn des Gesetzes. Daran ändert auch nichts, wenn die Buchhändlerin zu jedem Kunden in einer elektronischen Datenbank Notizen anfertigt.
12 Die konkrete technische Ausgestaltung des Profiling-Vorgangs ist nicht entscheidend. Der Begriff des Profilings ist technologieneutral und die Qualifikation als Profiling erfolgt unabhängig von den eingesetzten technischen Verfahren.
D. Persönliche Aspekte
13 Damit ein Profiling vorliegt, muss die Bewertung zu neuen Erkenntnissen über persönliche Aspekte natürlicher Personen führen. Art. 5 lit. f DSG enthält eine Aufzählung persönlicher Aspekte, deren Bewertung ein Profiling begründen kann: Arbeitsleistung (z.B. Einhaltung von Qualitätsstandards oder Erreichung von Produktivitätszielen), wirtschaftliche Lage (z.B. Einkommensverhältnisse oder Sparverhalten), Gesundheit (z.B. Ernährungsweise oder Risikoneigung für bestimmte Krankheiten), persönliche Vorlieben (z.B. Anlagepräferenzen, Lieblingsgenres oder bevorzugte Reiseziele), Interessen (z.B. Hobbies oder Freizeitaktivitäten), Zuverlässigkeit (z.B. Kreditwürdigkeit oder Persönlichkeitstypen), Verhalten (z.B. soziale Interaktionen oder Kaufverhalten), Aufenthaltsort oder Ortswechsel (z.B. Bewegungsmuster, Laufwege oder Mobilitätsverhalten).
14 Die Aufzählung in Art. 5 lit. f ist sehr umfassend, aber nicht abschliessend («insbesondere»), und je nach Kontext können auch weitere Aspekte relevant sein.
E. Personenbezug
15 Profiling im rechtlichen Sinn setzt schliesslich voraus, dass sich die hervorgebrachten Aussagen auf individuelle Personen beziehen.
16 Auch kein Profiling liegt vor, wenn schon der Bearbeitung nur anonyme oder aggregierte Daten zugrunde liegen, die «Input-Daten» also ihrerseits gar keinen Personenbezug aufweisen.
III. Profiling mit hohem Risiko (lit. g)
A. Allgemeines
17 Mit dem «Profiling mit hohem Risiko» führt Art. 5 lit. g DSG eine auf dem normalen Profiling aufbauende, qualifizierte Form von Profiling ein.
18 Das Profiling mit hohem Risiko ist eine Schweizer Besonderheit. Die DSGVO kennt keine solche qualifizierte Form von Profiling und macht besondere Rechtsfolgen bei Profiling davon abhängig, ob das Profiling im Zusammenhang mit einer automatisierten Einzelentscheidung erfolgt.
19 Damit ein «Profiling mit hohem Risiko» gem. Art. 5 lit. g DSG vorliegt, müssen zusätzlich zum normalen Profiling zwei Elemente vorhanden sein: Erstens eine Verknüpfung von Daten und zweitens wesentliche Aspekte der Persönlichkeit, auf die sich die durch das Profiling generierten Aussagen potenziell beziehen. Die beiden zusätzlichen Elemente sind sowohl notwendig als auch ausreichend. Dies bedeutet zunächst, dass das namensgebende hohe Risiko als gegeben angenommen wird, wenn die zwei genannten Elemente vorliegen. Das hohe Risiko stellt kein zusätzliches Begriffselement dar, das im Einzelfall separat zu prüfen ist.
B. Verknüpfung von Daten
20 Ein Profiling mit hohem Risiko setzt zunächst eine Verknüpfung von Daten voraus. Die Datenverknüpfung bezieht sich auf den Prozess, bei dem zwei oder mehrere separate Datensätze miteinander verbunden, zusammengeführt oder abgeglichen werden, um eine tiefergehende oder umfassendere Aussage zu gewinnen. Eine solche Verknüpfung von Daten kann auf verschiedene Arten erfolgen, etwa durch das Zusammenführen von Daten aus unterschiedlichen Quellen, die sich auf dieselbe Person beziehen, oder durch die Verknüpfung von Daten, die auf gemeinsamen Merkmalen, Kriterien oder Variablen basieren.
21 Die Verknüpfung von Daten ersetzt den altrechtlichen Ausdruck «Zusammenstellung von Daten» und bringt damit zum Ausdruck, dass es beim Profiling nicht um eine blosse Ansammlung von Daten geht, sondern um eine gezielte Verknüpfung verschiedener Datensätze. Eine reine Sammlung von Daten, allenfalls auch zur Vorbereitung eines Profilings, stellt noch keine solche Verknüpfung dar. Anders als beim bisherigen Persönlichkeitsprofil genügt eine statische Datensammlung nicht.
C. Beurteilung wesentlicher Aspekte der Persönlichkeit
22 Während bei einem normalen Profiling Erkenntnisse über irgendwelche Persönlichkeitsaspekte genügen, müssen sie sich bei einem Profiling mit hohem Risiko auf wesentliche Aspekte der Persönlichkeit beziehen. Nicht erforderlich ist dabei, dass solche wesentlichen Persönlichkeitsmerkmale tatsächlich bewertet werden. Es genügt, wenn Aussagen über wesentliche Aspekte der Persönlichkeit aufgrund der bearbeiteten Daten und der Art und Weise des Bearbeitungsvorgangs grundsätzlich möglich sind («erlaubt»).
23 Richtschnur dafür, wann eine Bewertung wesentlicher Aspekte der Persönlichkeit vorliegt, soll gem. Willen des Gesetzgebers
D. Notwendigkeit einer Einzelfallbetrachtung
24 Wie schon das bisherige Persönlichkeitsprofil bleibt auch das Profiling mit hohem Risiko insgesamt schwer fassbar.
25 Von einem Profiling mit hohem Risiko wäre im Beispiel des Buchhandels etwa auszugehen, wenn Daten zum Leseverhalten mit dem Einkaufsverhalten bei Lebensmitteln und ggf. weiteren Transaktionsdaten sowie z.B. mit Daten von Fitness-Tracking-Apps kombiniert würden, um daraus Schlüsse auf den Gesundheitszustand zu ziehen und betroffenen Personen Werbung für entsprechende Gesundheitsangebote zu unterbreiten oder sogar individuelle Versicherungsprämien zu berechnen.
IV. Rechtsfolgen
A. Normales Profiling
26 Ein normales Profiling, also ein solches ohne «hohes Risiko», ist unter dem DSG grundsätzlich nur für Bundesorgane relevant (wobei als Bundesorgane auch mit öffentlichen Aufgaben betraute Private gelten). Und zwar in zweierlei Hinsicht: Zum einen besteht für ein Profiling durch ein Bundesorgan nur dann eine genügende gesetzliche Grundlage, wenn das Profiling in einem Gesetz im formellen Sinn vorgesehen ist (Art. 34 Abs. 2 lit. b DSG). Besteht keine solche Grundlage in einem Gesetz im formellen Sinn und wird das Profiling auf eine Einwilligung gestützt, so ist diese zum anderen nur gültig, wenn sie ausdrücklich erfolgt, sich also auf das Profiling als solches bezieht (Art. 6 Abs. 7 lit. c DSG).
27 Demgegenüber hat ein normales Profiling für private Verantwortliche keine besonderen Rechtsfolgen und es gelten die üblichen Vorschriften.
28 Wie jede andere Datenbearbeitung kann auch ein Profiling die Durchführung einer Datenschutz-Folgenabschätzung erfordern, wenn mit ihm hohe Risiken für die betroffenen Personen verbunden sind. Ob hohe Risiken vorliegen, ist im Einzelfall anhand der konkreten Umstände zu bestimmen und kann auch dann der Fall sein, wenn das Profiling mangels vorliegender Begriffselemente nicht als Profiling «mit hohem Risiko» gem. Art. 5 lit. g DSG gilt.
29 Auch bei Profiling ist eine Einwilligung nur dann erforderlich, wenn eine Verletzung der Bearbeitungsgrundsätze vorliegt und kein anderer Rechtfertigungsgrund für die Datenbearbeitung gegeben ist.
30 Auch die DSGVO sieht kaum spezifische Rechtsfolgen bei Profiling vor bzw. nur dann, wenn Profiling in Verbindung mit einem automatisierten Einzelentscheid durchgeführt wird.
B. Profiling mit hohem Risiko
31 Die Intensität, mit der die Debatten zum Profiling mit hohem Risiko geführt wurden, kontrastiert mit der geringen rechtlichen Relevanz dieser Rechtsfigur. Das neue DSG sieht nur drei Rechtsfolgen vor, die an ein Profiling mit hohem Risiko geknüpft sind.
32 Erstens muss bei jedem Profiling mit hohem Risiko zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden, in deren Rahmen die Risiken für betroffene Personen systematisch bewertet und ggf. Abhilfemassnahmen definiert werden. Zwar nennt Art. 22 Abs. 2 DSG das Profiling mit hohem Risiko nicht ausdrücklich als Auslöser für die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Bei einem Profiling mit hohem Risiko wird jedoch definitionsgemäss ein hohes Risiko für betroffene Personen fingiert, und gem. Art. 22 Abs. 1 DSG ist bei jeder Bearbeitung mit ebensolchem hohem Risiko eine Datenschutz-Folgenabschätzung zwingend erforderlich.
33 Zweitens muss eine im Zusammenhang mit Profiling erteilte Einwilligung gem. Art. 6 Abs. 7 lit. b DSG ausdrücklich sein, wenn private Verantwortliche ein Profiling mit hohem Risiko durchführen und sie dieses Profiling überhaupt auf eine Einwilligung stützen. Art. 6 Abs. 7 lit. b DSG legt Anforderungen an die Erteilung einer gültigen Einwilligung fest, statuiert aber kein generelles Einwilligungserfordernis für Profiling mit hohem Risiko.
34 Drittens, schliesslich, fällt das überwiegende Interesse bei Kreditwürdigkeitsprüfungen ausser Betracht, wenn die Prüfung auf einem Profiling mit hohem Risiko beruht (Art. 31 Abs. 2 lit. c Ziff. 1 DSG).
35 Die DSGVO kennt wie dargelegt kein Profiling mit hohem Risiko, sieht aber einige besondere Rechtsfolgen vor, wenn das Profiling im Zusammenhang mit einer vollautomatisierten Entscheidung steht, die Rechtswirkungen für die betroffene Person hat oder sie in ähnlicher Weise erheblich beeinträchtigt. U.a. verlangt in solchen qualifizierten Konstellationen auch die DSGVO, dass zwingend eine Datenschutz-Folgenabschätzung erfolgt (Art. 35 Abs. 3 lit. a DSGVO). Da in der Unternehmenspraxis nur selten Entscheidungen von derart grosser Tragweite getroffen werden, liegt die Schwelle für die zwingende Durchführung einer Datenschutz-Folgenabschätzung bei Profiling unter der DSGVO eher höher als im Schweizer DSG.
V. Praxishinweise
36 In der Unternehmenspraxis ist vor allem die Identifikation von Profiling mit hohem Risiko bedeutsam, da bei privaten Verantwortlichen nur an solche Profiling-Vorgänge besondere Rechtsfolgen geknüpft sind, allen voran die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Ob die Schwelle zu einem Profiling mit hohem Risiko erreicht ist oder nicht, ist jedoch wie gesehen stark von den konkreten Umständen des Profilings im Einzelfall abhängig.
37 Es spricht vieles dafür, bei der Prüfung, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss (sog. Schwellenwertanalyse), nicht allzu detaillierte Kriterien zur Anwendung zu bringen. Zielführender ist es, generell die Bewertung persönlicher Aspekte als Risikofaktor in Prüf- und Projektfreigabeprozesse zu integrieren und in einem zweiten Schritt anhand der konkreten Umstände zu prüfen, ob entweder ein Profiling mit hohem Risiko gem. Legaldefinition vorliegt oder ein Profiling, das aus anderen Gründen ein hohes Risiko für betroffene Personen mit sich bringt. Die Durchführung einer Datenschutz-Folgenabschätzung ist aus praktischer Sicht immer dann empfehlenswert, wenn das Profiling eine gewisse Intensität erreicht oder dafür Daten aus unterschiedlichen Quellen verknüpft werden.
38 Bei Durchführung von Profiling ergeben sich zudem Auswirkungen auf Konzeption und Implementierung von Datenschutz-Regelprozessen. Insb. für die Umsetzung von Auskunftsprozessen ist Profiling von Relevanz:
39 Schliesslich entspricht es guter Praxis, Möglichkeiten vorzusehen, mit denen Betroffene dem Profiling widersprechen können. Praktisch können solche Opt-out-Möglichkeiten bspw. durch technische Funktionalitäten umgesetzt werden, mit denen betroffene Personen Datenbearbeitungen oder Dienstleistungen, die mit dem Profiling in Verbindung stehen – z.B. der Erhalt personalisierter Direktmarketingmassnahmen – selbstständig ausschalten bzw. unterbinden können.
Literaturverzeichnis
Artikel-29-Datenschutzgruppe, Leitlinien zur automatisierten Entscheidungsfindung im Einzelfall einschliesslich Profiling für die Zwecke der Verordnung 2016/679, angenommen am 3.10.2017 und zuletzt überarbeitet und angenommen am 6.2.2018, abrufbar unter https://www.dsb.gv.at/dam/jcr:768b9c7f-f0f6-45d7-b2aa-d113d121ea69/Leitlinien%20zu%20automatisierten%20Entscheidungen%20im%20Einzelfall%20einschlie%C3%9Flich%20Profiling%20f%C3%BCr%20die%20Zwecke%20der%20Verordnung%202016-679.pdf, besucht am 25.5.2023.
Buchner Benedikt, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.
Bühlmann Lukas/Schüepp Michael, Begriff und Rechtsfolgen des Profilings im nDSG und der DSGVO, in: Jusletter 12.9.2022.
Ernst Stefan, Kommentierung zu Art. 4 DSGVO, in: Paal Boris P./Pauly Daniel A. (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2021.
Glatthaar Matthias, Keine Angst vor Profiling, in: Jusletter IT 30.9.2021.
Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 22 DSG, in: Blechta Gabor-Paul/Vasella David (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 4. Aufl., Basel 2023.
Jacot-Guillarmod Emilie, Le profilage à risque élevé de la nLPD : réflexions autour d’un monstre de Frankenstein, swissprivacy.ch, 24.8.2021, abrufbar unter https://swissprivacy.law/86/, besucht am 25.5.2023.
Klabunde Achim, Kommentierung zu Art. 4 DSGVO, in: Ehmann Eugen/Selmayr Martin (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl., München 2018.
Lorentz Nora, Profiling – Persönlichkeitsschutz durch Datenschutz? Eine Standortbestimmung nach Inkrafttreten der DSGVO, Tübingen 2020.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16.11.2020 (zit. Datenschutzgesetz).
Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27.11.2017 (zit. Entwurf).
Roth Simon, Das Profiling im neuen Datenschutzrecht, SZW 2021, S. 34 ff.
Rudin Beat, Kommentierung zu Art. 5, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.
Scholz Philip, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Simitis Spiros/Hornung Gerrit/Spiecker gen. Döhmann Indra (Hrsg.), Datenschutzrecht – DSGVO mit BDSG, 1. Aufl., Frankfurt a.M. 2019.
Vasella David, Neues DSG: kein grundsätzliches Einwilligungserfordernis beim Profiling, auch nicht bei hohem Risiko, datenrecht.ch, 25.9.2020, abrufbar unter https://datenrecht.ch/neues-dsg-kein-grundsaetzlicheseinwilligungserfordernis-beim-profiling-auch-nicht-bei-hohem-risiko/, besucht am 25.5.2023 (zit. Einwilligungserfordernis).
Vasella David, Überlegungen zum Profiling mit hohem Risiko, datenrecht.ch, 23.11.2020, abrufbar unter https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/, besucht am 25.5.2023 (zit. Profiling).
Materialienverzeichnis
Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 25.5.2023 (zit. Botschaft DSG).