In Kürze

Der Profiling-Begriff im neuen DSG ersetzt den bisherigen Begriff des Persönlichkeitsprofils. Die Bestimmungen zum Profiling wurden in den parlamentarischen Beratungen umfassend diskutiert und waren mit ein Grund für den langen Gesetzgebungsprozess. Profiling wird definiert als automatisierte Datenbearbeitung zwecks Bewertung persönlicher Aspekte. Derartiges Profiling ist in der Praxis sehr verbreitet, v.a. im Bereich der Angebotspersonalisierung, und hat für private Verantwortliche keine besonderen Rechtsfolgen. Neben dem normalen Profiling kennt das neue DSG auch eine qualifizierte Form des Profilings «mit hohem Risiko». Damit weicht das DSG von der DSGVO ab, die ein qualifiziertes Profiling nur in Verbindung mit automatisierten Einzelentscheidungen kennt. Ein Profiling mit hohem Risiko liegt vor, wenn durch Verknüpfung von Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit möglich ist. Die Einordnung als Profiling mit hohem Risiko ist stark einzelfallabhängig und löst v.a. die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung aus, führt aber nicht zu einem generellen Einwilligungserfordernis.

I. Allgemeines

A. Vorbemerkung

1 Profiling als automatisierte Bewertung persönlicher Aspekte ist heute ein breit angewandtes Verfahren, das v.a. als Grundlage für die sehr verbreitete Angebotspersonalisierung im Endkundengeschäft grosse praktische Bedeutung hat. Insb. digitale Angebote wie Streamingdienste, Onlineshops und Social Media Plattformen verfügen meist über derart viel «Content», dass sie sich ohne Personalisierung gar nicht sinnvoll nutzen liessen. Kundinnen und Kunden setzen bei solchen Digitalangeboten heute wie selbstverständlich eine zielgerichtete Orientierungshilfe z.B. auf Basis des bisherigen Nutzungsverhaltens voraus.

2 Profiling ist somit ein alltäglicher Vorgang, der vielfach im Interesse von Kundinnen und Kunden ist. Da dem Profiling eine Wertung innewohnt, die meist auf Basis von Korrelationen und Wahrscheinlichkeiten automatisiert erfolgt, wird der Vorgang aber als risikobehaftet und deshalb als regulierungsbedürftig angesehen. Profiling bedeutet stets eine generalisierte Persönlichkeitsbewertung aufgrund bestimmter Eigenschaften, die der konkret betroffenen Person ggf. nicht gerecht wird («Schubladisierung»).

Augenfällig wird die erhöhte Sensitivität von Profiling v.a. dann, wenn es um Anwendungen ausserhalb des Endkundengeschäfts geht, z.B. um die Verwendung durch Behörden im Sicherheits- und Strafverfolgungsbereich.

B. Entstehungsgeschichte

3 Der mit der Revision neu eingeführte Begriff «Profiling» ersetzt das «Persönlichkeitsprofil» des bisherigen DSG.

Während das Persönlichkeitsprofil einen statischen Zustand beschreibt, bezieht sich der neue Begriff des Profilings auf den Bewertungsvorgang als solchen. Das Konzept des Persönlichkeitsprofils war eine Schweizer Eigenheit und mit seiner Ablösung durch den Begriff des Profilings erfolgt eine Angleichung ans europäische Recht (obwohl das Persönlichkeitsprofil sinngemäss in Form des «Profilings mit hohem Risiko» wiedergeboren wurde). Die neue Begrifflichkeit soll auch den technischen Fortschritt, z.B. in den Bereichen Big Data und künstlicher Intelligenz, und die damit einhergehenden erweiterten Möglichkeiten für Datenbearbeitungen widerspiegeln.

4 Im Gesetzgebungsprozess war Profiling einer der Hauptdiskussionspunkte. Differenzen zum Profiling waren ein wesentlicher Faktor für die verzögerte Verabschiedung des revidierten Gesetzes.

Besonders umfassend wurde darüber debattiert, ob und inwieweit ein Profiling eine Einwilligung erfordern soll. Im Vorentwurf zum DSG war ein Profiling ohne ausdrückliche Einwilligung der betroffenen Person noch unter den Persönlichkeitsverletzungen aufgeführt. Dieses Einwilligungserfordernis wurde im weiteren Gesetzgebungsprozess jedoch fallen gelassen. Auch ein zur Diskussion gestelltes Widerspruchsrecht bei Profiling konnte sich im Parlament nicht durchsetzen. Ebenfalls Gegenstand von Diskussionen bildeten Details der Begriffsbestimmung und dabei insb. das Konzept des «Profiling mit hohem Risiko», das erst in den parlamentarischen Beratungen kreiert wurde und bis zuletzt umstritten blieb.

C. Systematik und Abgrenzung

5 Art. 5 DSG unterscheidet zwei Formen von Profiling: Zum einen in lit. f das «normale» Profiling als automatisierte Datenbearbeitung zwecks Bewertung persönlicher Aspekte, und zum anderen in lit. g ein auf dem normalen Profiling aufbauendes qualifiziertes Profiling «mit hohem Risiko». Während die Definition des normalen Profilings unverändert aus der DSGVO ins Schweizer Recht übernommen wurde, stellt das qualifizierte Profiling mit hohem Risiko eine Eigenschöpfung des Schweizer Gesetzgebers dar. Mit der Abstufung wollte der Gesetzgeber dem Umstand Rechnung tragen, dass sich die verschiedenen Anwendungen von Profiling in Bezug auf Tragweite und Auswirkungen teils erheblich unterscheiden.

6 Profiling ist von der automatisierten Einzelentscheidung gem. Art. 21 DSG abzugrenzen. Profiling ist der Bewertungsvorgang, der einer automatisierten Einzelentscheidung ggf. zugrunde liegt, ihr aber logisch vorgelagert ist. Zu einer automatisierten Einzelentscheidung führt ein Profiling erst dann, wenn sich die Bewertung in einer konkreten Aussenwirkung manifestiert und diese Aussenwirkung in Form einer Rechtsfolge oder einer ähnlich einschneidenden Beeinträchtigung vorliegt.

II. Profiling (lit. f)

A. Allgemeines

7 Der Begriffswechsel vom Persönlichkeitsprofil zum Profiling sollte eine Angleichung an das europäische Recht bringen und der Gesetzgeber hat die Legaldefinition von Art. 4 Nr. 4 DSGVO konsequenterweise fast wörtlich ins Schweizer Recht übernommen. Im Wesentlichen umfasst sie vier Elemente: Erstens ein Bewertungsvorgang, der zweitens automatisiert erfolgt und drittens Aussagen über persönliche Aspekte hervorbringt, die sich viertens auf eine natürliche Person beziehen. Diese Elemente werden nachfolgend anhand des Beispiels personalisierter Leseempfehlungen im Buchhandel illustriert.

B. Bewertungsvorgang

8 Der Fokus des Profiling-Begriffs liegt auf dem Element der Bewertung. Im Kern handelt es sich bei Profiling um einen Bewertungsvorgang, bei dem durch Analyse oder Vorhersage neue Erkenntnisse über eine Person abgeleitet werden.

«Vorhersagen» drückt dabei aus, dass Profiling meist auf eine zukunftsgerichtete Betrachtung abzielt, bspw. um im Fall des Buchhandels eine Prognose zu treffen, welche Bücher Kundinnen und Kunden in den Warenkorb legen könnten. «Analyse», die zweite in der Legaldefinition genannte Ausprägung der Bewertung, stellt demgegenüber eine Beurteilung in der Vergangenheit liegender oder gegenwärtiger Aspekte dar, wobei die Analyse aber meist nicht für sich allein steht, sondern ihrerseits die Basis für zukunftsgerichtete Aussagen bildet.

9 Eine Bewertung beinhaltet immer eine normative Einordnung und ist damit bis zu einem gewissen Grad subjektiv.

Fehlt ein subjektiver Beurteilungsspielraum und geht es nur um die objektive Feststellung eines Sachverhalts, liegt keine Bewertung vor. Die blosse Berechnung des Standorts durch ein Navigationssystem enthält z.B. ebenso wenig ein Bewertungselement wie das reine Abrufen, Filtern oder Sortieren von Daten in einer Datenbank. Sortiert eine Buchhändlerin ihre Kunden anhand von Merkmalen wie Alter oder Wohnort und bildet sie entsprechende Kundengruppen, handelt es sich deshalb nicht um Profiling. Auch wenn sie aus ihrer Kundendatenbank Käufer eines bestimmten Autors ausliest, um sie auf eine Neuerscheinung desselben Autors hinzuweisen, nimmt die Buchhändlerin eine blosse Filterung und kein Profiling vor. Ordnet die Buchhändlerin hingegen z.B. Käufer von George Orwells «1984» dem Kundensegment «dystopische Literatur» zu, handelt es sich um eine Wertung und damit um Profiling.

C. Automatisierung

10 Profiling gem. Art. 5 lit. f DSG erfasst nur die automatisierte Bearbeitung von Personendaten. Automatisiert erfolgt die Bearbeitung dann, wenn sie mit Hilfe von computergestützten Techniken erfolgt.

Keine Automatisierung liegt vor, wenn die Einschätzung ausschliesslich auf einem menschlichen Gedankengang basiert, also nur «im Kopf eines Menschen» stattfindet.

11 Kennt eine Buchhändlerin z.B. die Vorlieben ihrer Kunden und macht sie ihnen gestützt darauf individuelle Empfehlungen (empfiehlt sie z.B. einem Leser von «1984» Margaret Atwoods «The Handsmaid’s Tale»), handelt es sich mangels Automatisierung nicht um ein Profiling im Sinn des Gesetzes. Daran ändert auch nichts, wenn die Buchhändlerin zu jedem Kunden in einer elektronischen Datenbank Notizen anfertigt.

Lässt die Buchhändlerin die Empfehlungen hingegen durch einen Algorithmus berechnen, handelt es sich um einen automatisierten Vorgang und deshalb um Profiling. Die Automatisierung wird in diesem Fall nicht schon dadurch aufgehoben, dass die Buchhändlerin die Kriterien bis zu einem gewissen Grad selbst definiert (z.B. Autoren bzw. Bücher bestimmten Genres zuordnet), solange die Auswertung computergestützt erfolgt und nicht auf einfache «Wenn-Dann-Abfragen» beschränkt bleibt.

12 Die konkrete technische Ausgestaltung des Profiling-Vorgangs ist nicht entscheidend. Der Begriff des Profilings ist technologieneutral und die Qualifikation als Profiling erfolgt unabhängig von den eingesetzten technischen Verfahren.

In der Praxis basieren insb. Empfehlungssysteme von Digitalangeboten häufig auf sog. «kollaborativem Filtern», bei dem neben der eigenen Nutzerhistorie und Content-Informationen auch die Präferenzen und das Verhalten anderer Nutzer berücksichtigt werden. Wenn im Online-Buchhandel bspw. Nutzer A und B ähnliche Bücher mögen und Nutzer A ein bestimmtes Buch positiv bewertet hat, das Nutzer B noch nicht gekauft hat, dann könnte das System Nutzer B dieses Buch empfehlen. Die Verwendung derartiger auf Korrelationen beruhender Verfahren ist aber nicht begriffswesentlich.

D. Persönliche Aspekte

13 Damit ein Profiling vorliegt, muss die Bewertung zu neuen Erkenntnissen über persönliche Aspekte natürlicher Personen führen. Art. 5 lit. f DSG enthält eine Aufzählung persönlicher Aspekte, deren Bewertung ein Profiling begründen kann: Arbeitsleistung (z.B. Einhaltung von Qualitätsstandards oder Erreichung von Produktivitätszielen), wirtschaftliche Lage (z.B. Einkommensverhältnisse oder Sparverhalten), Gesundheit (z.B. Ernährungsweise oder Risikoneigung für bestimmte Krankheiten), persönliche Vorlieben (z.B. Anlagepräferenzen, Lieblingsgenres oder bevorzugte Reiseziele), Interessen (z.B. Hobbies oder Freizeitaktivitäten), Zuverlässigkeit (z.B. Kreditwürdigkeit oder Persönlichkeitstypen), Verhalten (z.B. soziale Interaktionen oder Kaufverhalten), Aufenthaltsort oder Ortswechsel (z.B. Bewegungsmuster, Laufwege oder Mobilitätsverhalten).

14 Die Aufzählung in Art. 5 lit. f ist sehr umfassend, aber nicht abschliessend («insbesondere»), und je nach Kontext können auch weitere Aspekte relevant sein.

Dem Element des Persönlichkeitsaspekts kommt deshalb kaum eingrenzende Wirkung zu. Verlangt ist immerhin, dass der Aspekt eine gewisse Komplexität aufweist und daher einer Bewertung im Sinne einer subjektiven Beurteilung zugänglich ist. Aspekte, die kein Ermessen zulassen und somit rein objektiv feststellbar sind, fallen nicht unter das Profiling (z.B. die Feststellung des Körpergewichts). Als zukunftsbezogenes Datum können die gleichen Aspekte aber ggf. eine Bewertung erfordern (z.B. das prognostizierte künftige Körpergewicht). Ausserdem können rein objektiv feststellbare Aspekte als Datenbasis für die Bewertung anderer, ermessensabhängiger Aspekte dienen (das Körpergewicht z.B. als Indikator für bestimmte Krankheitsrisiken).

E. Personenbezug

15 Profiling im rechtlichen Sinn setzt schliesslich voraus, dass sich die hervorgebrachten Aussagen auf individuelle Personen beziehen.

Sind die Aussagen hingegen nur auf Gruppen von Personen bezogen, aus denen keine einzelnen Personen bestimmbar sind, liegt kein Profiling vor, auch wenn der Bearbeitung als «Input» personenbezogene Daten zugrunde liegen. Analysiert eine Buchhändlerin zwecks Sortimentsoptimierung z.B. lediglich, welche Autoren und Genres in den verschiedenen Altersgruppen am beliebtesten sind, ohne Aussagen über einzelne Kunden zu machen, führt sie kein Profiling durch. Dasselbe gilt für die Analyse der Webseitennutzung zur Verbesserung der Nutzerfreundlichkeit, bei der keine personenbezogene Auswertung erfolgt.

16 Auch kein Profiling liegt vor, wenn schon der Bearbeitung nur anonyme oder aggregierte Daten zugrunde liegen, die «Input-Daten» also ihrerseits gar keinen Personenbezug aufweisen.

Es handelt sich nicht um eine Bearbeitung von Personendaten und das Datenschutzrecht ist nicht anwendbar (Art 2 Abs. 1 DSG). Verfolgt die Bearbeitung jedoch gerade den Zweck, die an sich anonymen Daten zu deanonymisieren und (wieder) individuellen Personen zuzuordnen, liegt wiederum eine dem Datenschutzrecht unterstehende Bearbeitung von Personendaten vor. Diesfalls kann es sich um ein Profiling handeln, dessen Zweck gerade die Deanonymisierung über das Herstellen von Zusammenhängen ist.

III. Profiling mit hohem Risiko (lit. g)

A. Allgemeines

17 Mit dem «Profiling mit hohem Risiko» führt Art. 5 lit. g DSG eine auf dem normalen Profiling aufbauende, qualifizierte Form von Profiling ein.

Die Rechtsfigur des «Profiling mit hohem Risiko» wurde erst im Gesetzgebungsprozess geschaffen und war im Parlament Gegenstand intensiv geführter Debatten. Diskutiert wurden u.a. Formulierungen, die darauf abgestellt hätten, ob das Profiling besonders schützenswerte Personendaten hervorbringt, oder darauf, ob sich das Profiling auf verschiedene Lebensbereiche der betroffenen Person erstreckt. Durchgesetzt hat sich schliesslich der Ansatz, die bisherige Rechtsfigur des «Persönlichkeitsprofils» zwar nicht dem Namen nach, aber inhaltlich zu übernehmen. Beim Profiling mit hohem Risiko handelt es sich im Kern also um ein Profiling, das zu einem Persönlichkeitsprofil gem. bisherigem DSG führt. Das Persönlichkeitsprofil wurde mit dem neuen DSG nur vordergründig abgeschafft.

18 Das Profiling mit hohem Risiko ist eine Schweizer Besonderheit. Die DSGVO kennt keine solche qualifizierte Form von Profiling und macht besondere Rechtsfolgen bei Profiling davon abhängig, ob das Profiling im Zusammenhang mit einer automatisierten Einzelentscheidung erfolgt.

Eine stärkere Angleichung an die DSGVO hätte deshalb erreicht werden können, wenn als Kriterium für ein «Profiling mit hohem Risiko» festgelegt worden wäre, ob das Profiling Rechtswirkungen für die betroffene Person hat oder sie in ähnlicher Weise erheblich beeinträchtigt. Dass stattdessen das bisherige Persönlichkeitsprofil wiederbelebt und eine Schweizer Eigenheit fortgeschrieben wurde, ist zu bedauern. Hier wurde eine Chance verpasst, eine stärkere Konvergenz zur DSGVO herzustellen.

19 Damit ein «Profiling mit hohem Risiko» gem. Art. 5 lit. g DSG vorliegt, müssen zusätzlich zum normalen Profiling zwei Elemente vorhanden sein: Erstens eine Verknüpfung von Daten und zweitens wesentliche Aspekte der Persönlichkeit, auf die sich die durch das Profiling generierten Aussagen potenziell beziehen. Die beiden zusätzlichen Elemente sind sowohl notwendig als auch ausreichend. Dies bedeutet zunächst, dass das namensgebende hohe Risiko als gegeben angenommen wird, wenn die zwei genannten Elemente vorliegen. Das hohe Risiko stellt kein zusätzliches Begriffselement dar, das im Einzelfall separat zu prüfen ist.

Weiterhin bedeutet es, dass ein Profiling, das die gesetzliche Definition nicht erfüllt, nicht dadurch zu einem «Profiling mit hohem Risiko» wird, weil es im konkreten Fall aus anderen Gründen ein hohes Risiko für betroffene Personen darstellt (und daher bspw. die Durchführung einer Datenschutz-Folgenabschätzung erfordert).

B. Verknüpfung von Daten

20 Ein Profiling mit hohem Risiko setzt zunächst eine Verknüpfung von Daten voraus. Die Datenverknüpfung bezieht sich auf den Prozess, bei dem zwei oder mehrere separate Datensätze miteinander verbunden, zusammengeführt oder abgeglichen werden, um eine tiefergehende oder umfassendere Aussage zu gewinnen. Eine solche Verknüpfung von Daten kann auf verschiedene Arten erfolgen, etwa durch das Zusammenführen von Daten aus unterschiedlichen Quellen, die sich auf dieselbe Person beziehen, oder durch die Verknüpfung von Daten, die auf gemeinsamen Merkmalen, Kriterien oder Variablen basieren.

21 Die Verknüpfung von Daten ersetzt den altrechtlichen Ausdruck «Zusammenstellung von Daten» und bringt damit zum Ausdruck, dass es beim Profiling nicht um eine blosse Ansammlung von Daten geht, sondern um eine gezielte Verknüpfung verschiedener Datensätze. Eine reine Sammlung von Daten, allenfalls auch zur Vorbereitung eines Profilings, stellt noch keine solche Verknüpfung dar. Anders als beim bisherigen Persönlichkeitsprofil genügt eine statische Datensammlung nicht.

C. Beurteilung wesentlicher Aspekte der Persönlichkeit

22 Während bei einem normalen Profiling Erkenntnisse über irgendwelche Persönlichkeitsaspekte genügen, müssen sie sich bei einem Profiling mit hohem Risiko auf wesentliche Aspekte der Persönlichkeit beziehen. Nicht erforderlich ist dabei, dass solche wesentlichen Persönlichkeitsmerkmale tatsächlich bewertet werden. Es genügt, wenn Aussagen über wesentliche Aspekte der Persönlichkeit aufgrund der bearbeiteten Daten und der Art und Weise des Bearbeitungsvorgangs grundsätzlich möglich sind («erlaubt»).

Nicht von Relevanz ist sodann, dass Art. 5 lit. g DSG statt «bewerten» den Begriff «Beurteilung» verwendet. Die beiden Begriffe sind synonym zu verstehen.

23 Richtschnur dafür, wann eine Bewertung wesentlicher Aspekte der Persönlichkeit vorliegt, soll gem. Willen des Gesetzgebers

weiterhin die «Moneyhouse» Rechtsprechung des Bundesverwaltungsgerichts zum Persönlichkeitsprofil sein. Entscheidend ist somit, ob sich die verknüpften Informationen zu einem umfassenden Bild der betroffenen Person verdichten. Wesentliche Kriterien sind dabei die Menge und die Art der genutzten Daten, der Kontext ihrer Verwendung sowie die zeitliche Dimension, d.h. ob Personendaten über einen längeren Zeitraum erhoben werden und dadurch quasi ein biografisches Bild ergeben, indem sie eine Entwicklung der betroffenen Person aufzeigen. Dabei können auch für sich genommen triviale Daten durch systematische Verknüpfung ggf. ein Gesamtbild der Person ergeben und potenziell sensible Informationen über ihre Identität, Aktivitäten oder Vorlieben vermitteln.

D. Notwendigkeit einer Einzelfallbetrachtung

24 Wie schon das bisherige Persönlichkeitsprofil bleibt auch das Profiling mit hohem Risiko insgesamt schwer fassbar.

Die beiden Begriffselemente der Datenverknüpfung und der Bewertung wesentlicher Persönlichkeitsaspekte geben zwar einen grundsätzlichen Rahmen vor, vermögen dem Begriff aber keine klaren Konturen zu verleihen und erfordern eine Einordnung im Einzelfall. Dass es letztlich auf eine Einzelfallbetrachtung hinausläuft, hat auch das Bundesverwaltungsgericht in seiner Rechtsprechung zum Persönlichkeitsprofil anerkannt. In einem gewissen Sinne: «Man erkennt es, wenn man es sieht.»

25 Von einem Profiling mit hohem Risiko wäre im Beispiel des Buchhandels etwa auszugehen, wenn Daten zum Leseverhalten mit dem Einkaufsverhalten bei Lebensmitteln und ggf. weiteren Transaktionsdaten sowie z.B. mit Daten von Fitness-Tracking-Apps kombiniert würden, um daraus Schlüsse auf den Gesundheitszustand zu ziehen und betroffenen Personen Werbung für entsprechende Gesundheitsangebote zu unterbreiten oder sogar individuelle Versicherungsprämien zu berechnen.

Ebenso als Profiling mit hohem Risiko wäre zu qualifizieren, wenn das Leseverhalten mit Daten zum Surfverhalten und Geolocation-Daten verknüpft würde, um daraus Informationen zu weltanschaulichen Ansichten oder religiösen Überzeugungen zu gewinnen. Von einem Profiling mit hohem Risiko wäre wohl auch auszugehen, wenn das Leseverhalten mit Kreditkartendaten und Informationen aus beruflichen Netzwerkplattformen verbunden würde, um daraus Erkenntnisse zum Vermögen und zur Zahlungskraft abzuleiten und darauf basierend zu entscheiden, welche Produkte und Dienstleistungen wie und zu welchen Preisen den betroffenen Personen angeboten werden.

IV. Rechtsfolgen

A. Normales Profiling

26 Ein normales Profiling, also ein solches ohne «hohes Risiko», ist unter dem DSG grundsätzlich nur für Bundesorgane relevant (wobei als Bundesorgane auch mit öffentlichen Aufgaben betraute Private gelten). Und zwar in zweierlei Hinsicht: Zum einen besteht für ein Profiling durch ein Bundesorgan nur dann eine genügende gesetzliche Grundlage, wenn das Profiling in einem Gesetz im formellen Sinn vorgesehen ist (Art. 34 Abs. 2 lit. b DSG). Besteht keine solche Grundlage in einem Gesetz im formellen Sinn und wird das Profiling auf eine Einwilligung gestützt, so ist diese zum anderen nur gültig, wenn sie ausdrücklich erfolgt, sich also auf das Profiling als solches bezieht (Art. 6 Abs. 7 lit. c DSG).

27 Demgegenüber hat ein normales Profiling für private Verantwortliche keine besonderen Rechtsfolgen und es gelten die üblichen Vorschriften.

Insb. ist ein Profiling ausreichend transparent zu machen und betroffene Personen müssen über die mittels Profiling geschaffenen Datenkategorien (z.B. Präferenzdaten) informiert werden (Art. 19 Abs. 3 DSG). Das Profiling selbst muss in der Datenschutzerklärung aber nicht speziell erwähnt oder beschrieben werden. Nur wenn auf Grundlage eines Profilings wesentliche Entscheidungen vollautomatisiert werden, bestehen dafür besondere Informations- und Auskunftspflichten (Art. 21 und Art. 25 Abs. 2 lit. f DSG).

28 Wie jede andere Datenbearbeitung kann auch ein Profiling die Durchführung einer Datenschutz-Folgenabschätzung erfordern, wenn mit ihm hohe Risiken für die betroffenen Personen verbunden sind. Ob hohe Risiken vorliegen, ist im Einzelfall anhand der konkreten Umstände zu bestimmen und kann auch dann der Fall sein, wenn das Profiling mangels vorliegender Begriffselemente nicht als Profiling «mit hohem Risiko» gem. Art. 5 lit. g DSG gilt.

29 Auch bei Profiling ist eine Einwilligung nur dann erforderlich, wenn eine Verletzung der Bearbeitungsgrundsätze vorliegt und kein anderer Rechtfertigungsgrund für die Datenbearbeitung gegeben ist.

Das Profiling unterscheidet sich diesbezüglich nicht von einer «normalen» Datenbearbeitung. Das im Vorentwurf noch enthaltene und viel diskutierte Einwilligungserfordernis für Profiling hat den Gesetzgebungsprozess nicht überlebt.

30 Auch die DSGVO sieht kaum spezifische Rechtsfolgen bei Profiling vor bzw. nur dann, wenn Profiling in Verbindung mit einem automatisierten Einzelentscheid durchgeführt wird.

Ohne Bezugnahme zur automatisierten Entscheidfindung wird Profiling einzig in Art. 21 Abs. 1 und 2 DSGVO erwähnt, dort aber rein beispielhaft, da Profiling wie jede andere Bearbeitungsart auch ohne besondere Erwähnung vom Widerspruchsrecht erfasst wäre. Zu beachten ist auch, dass sich im Anwendungsbereich der DSGVO jede Datenbearbeitung und damit auch jedes Profiling auf eine Rechtsgrundlage stützen muss. Die verfügbaren Rechtsgrundlagen sind aber nicht eingeschränkt und es stehen auch für Profiling sämtliche möglichen Rechtsgrundlagen von Art. 6 Abs. 1 DSGVO zur Verfügung.

B. Profiling mit hohem Risiko

31 Die Intensität, mit der die Debatten zum Profiling mit hohem Risiko geführt wurden, kontrastiert mit der geringen rechtlichen Relevanz dieser Rechtsfigur. Das neue DSG sieht nur drei Rechtsfolgen vor, die an ein Profiling mit hohem Risiko geknüpft sind.

32 Erstens muss bei jedem Profiling mit hohem Risiko zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden, in deren Rahmen die Risiken für betroffene Personen systematisch bewertet und ggf. Abhilfemassnahmen definiert werden. Zwar nennt Art. 22 Abs. 2 DSG das Profiling mit hohem Risiko nicht ausdrücklich als Auslöser für die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Bei einem Profiling mit hohem Risiko wird jedoch definitionsgemäss ein hohes Risiko für betroffene Personen fingiert, und gem. Art. 22 Abs. 1 DSG ist bei jeder Bearbeitung mit ebensolchem hohem Risiko eine Datenschutz-Folgenabschätzung zwingend erforderlich.

Das «hohe Risiko» bezieht sich allerdings nur auf das Ausgangsrisiko, das die Durchführung einer Datenschutz-Folgenabschätzung auslöst. Im Rahmen dieser Abschätzung kann der Verantwortliche zu dem Schluss kommen, dass das tatsächliche Risiko im konkreten Fall entweder nicht hoch ist oder nach Berücksichtigung geplanter Abhilfemassnahmen nicht mehr als hoch einzustufen ist. Das Profiling bleibt in einer solchen Konstellation zwar ein «Profiling mit hohem Risiko» gem. Legaldefinition, ist in der Folge aber als Datenbearbeitung ohne hohes Risiko zu behandeln.

33 Zweitens muss eine im Zusammenhang mit Profiling erteilte Einwilligung gem. Art. 6 Abs. 7 lit. b DSG ausdrücklich sein, wenn private Verantwortliche ein Profiling mit hohem Risiko durchführen und sie dieses Profiling überhaupt auf eine Einwilligung stützen. Art. 6 Abs. 7 lit. b DSG legt Anforderungen an die Erteilung einer gültigen Einwilligung fest, statuiert aber kein generelles Einwilligungserfordernis für Profiling mit hohem Risiko.

Wie schon das normale Profiling erfordert auch ein Profiling mit hohem Risiko nur dann eine Einwilligung, wenn ein Bearbeitungsgrundsatz verletzt wird und kein anderer Rechtfertigungsgrund besteht.

34 Drittens, schliesslich, fällt das überwiegende Interesse bei Kreditwürdigkeitsprüfungen ausser Betracht, wenn die Prüfung auf einem Profiling mit hohem Risiko beruht (Art. 31 Abs. 2 lit. c Ziff. 1 DSG).

35 Die DSGVO kennt wie dargelegt kein Profiling mit hohem Risiko, sieht aber einige besondere Rechtsfolgen vor, wenn das Profiling im Zusammenhang mit einer vollautomatisierten Entscheidung steht, die Rechtswirkungen für die betroffene Person hat oder sie in ähnlicher Weise erheblich beeinträchtigt. U.a. verlangt in solchen qualifizierten Konstellationen auch die DSGVO, dass zwingend eine Datenschutz-Folgenabschätzung erfolgt (Art. 35 Abs. 3 lit. a DSGVO). Da in der Unternehmenspraxis nur selten Entscheidungen von derart grosser Tragweite getroffen werden, liegt die Schwelle für die zwingende Durchführung einer Datenschutz-Folgenabschätzung bei Profiling unter der DSGVO eher höher als im Schweizer DSG.

Die DSGVO enthält vereinzelt noch weitere Rechtsfolgen für Profiling, das in Kombination mit einer automatisierten Einzelentscheidung erfolgt, darunter eine erweiterte Informations- und Auskunftspflicht, die auch Angaben zur involvierten Logik und zu den Auswirkungen für die betroffenen Personen umfasst.

V. Praxishinweise

36 In der Unternehmenspraxis ist vor allem die Identifikation von Profiling mit hohem Risiko bedeutsam, da bei privaten Verantwortlichen nur an solche Profiling-Vorgänge besondere Rechtsfolgen geknüpft sind, allen voran die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Ob die Schwelle zu einem Profiling mit hohem Risiko erreicht ist oder nicht, ist jedoch wie gesehen stark von den konkreten Umständen des Profilings im Einzelfall abhängig.

Es ist deshalb nicht leicht, das Konzept des Profilings mit hohem Risiko zu operationalisieren und generelle Kriterien zu definieren. Hinzu kommt, dass auch Profiling-Tätigkeiten, die nicht als «Profiling mit hohem Risiko» gem. Legaldefinition qualifizieren, im Einzelfall ein hohes Risiko mit sich bringen können und deshalb eine Datenschutz-Folgenabschätzung erfordern können.

37 Es spricht vieles dafür, bei der Prüfung, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss (sog. Schwellenwertanalyse), nicht allzu detaillierte Kriterien zur Anwendung zu bringen. Zielführender ist es, generell die Bewertung persönlicher Aspekte als Risikofaktor in Prüf- und Projektfreigabeprozesse zu integrieren und in einem zweiten Schritt anhand der konkreten Umstände zu prüfen, ob entweder ein Profiling mit hohem Risiko gem. Legaldefinition vorliegt oder ein Profiling, das aus anderen Gründen ein hohes Risiko für betroffene Personen mit sich bringt. Die Durchführung einer Datenschutz-Folgenabschätzung ist aus praktischer Sicht immer dann empfehlenswert, wenn das Profiling eine gewisse Intensität erreicht oder dafür Daten aus unterschiedlichen Quellen verknüpft werden.

38 Bei Durchführung von Profiling ergeben sich zudem Auswirkungen auf Konzeption und Implementierung von Datenschutz-Regelprozessen. Insb. für die Umsetzung von Auskunftsprozessen ist Profiling von Relevanz:

Sowohl die in das Profiling einfliessenden Personendaten («Input») als auch die mithilfe des Profilings neu erstellten Daten und Erkenntnisse («Output») sollten in geeigneter und verständlicher Weise Teil der Auskunft an betroffene Personen sein. Die im Zusammenhang mit Profiling bearbeiteten oder neu geschaffenen Datenkategorien sowie die mit dem Profiling verfolgten Bearbeitungszwecke müssen sodann in der Datenschutzerklärung beschrieben werden. Das Profiling selbst muss in der Datenschutzerklärung hingegen nicht besonders erwähnt werden. Eine Erläuterung des Profilings kann aber im Sinne der Transparenz als vertrauensbildende Massnahme empfehlenswert sein. Die im Zusammenhang mit Profiling stehenden Datenbearbeitungen müssen mit den erforderlichen Angaben im Bearbeitungsverzeichnis gem. Art. 12 DSG dokumentiert werden.

39 Schliesslich entspricht es guter Praxis, Möglichkeiten vorzusehen, mit denen Betroffene dem Profiling widersprechen können. Praktisch können solche Opt-out-Möglichkeiten bspw. durch technische Funktionalitäten umgesetzt werden, mit denen betroffene Personen Datenbearbeitungen oder Dienstleistungen, die mit dem Profiling in Verbindung stehen – z.B. der Erhalt personalisierter Direktmarketingmassnahmen – selbstständig ausschalten bzw. unterbinden können.

Solche Opt-out-Möglichkeiten operationalisieren das allgemeine Widerspruchsrecht von Art. 30 Abs. 2 lit. b DSG und tragen zudem dem Gedanken des «Privacy by Design» Rechnung. Auch entsprechen derartige Opt-out-Möglichkeiten zunehmend den Erwartungen von Kundinnen und Kunden, auf die Bearbeitung ihrer Daten in relevanter Weise Einfluss nehmen zu können.

Literaturverzeichnis

Artikel-29-Datenschutzgruppe, Leitlinien zur automatisierten Entscheidungsfindung im Einzelfall einschliesslich Profiling für die Zwecke der Verordnung 2016/679, angenommen am 3.10.2017 und zuletzt überarbeitet und angenommen am 6.2.2018, abrufbar unter https://www.dsb.gv.at/dam/jcr:768b9c7f-f0f6-45d7-b2aa-d113d121ea69/Leitlinien%20zu%20automatisierten%20Entscheidungen%20im%20Einzelfall%20einschlie%C3%9Flich%20Profiling%20f%C3%BCr%20die%20Zwecke%20der%20Verordnung%202016-679.pdf, besucht am 25.5.2023.

Buchner Benedikt, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Kühling Jürgen/Buchner Benedikt (Hrsg.), Datenschutz-Grundverordnung, 3. Aufl., München 2020.

Bühlmann Lukas/Schüepp Michael, Begriff und Rechtsfolgen des Profilings im nDSG und der DSGVO, in: Jusletter 12.9.2022.

Ernst Stefan, Kommentierung zu Art. 4 DSGVO, in: Paal Boris P./Pauly Daniel A. (Hrsg.), Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl., München 2021.

Glatthaar Matthias, Keine Angst vor Profiling, in: Jusletter IT 30.9.2021.

Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 22 DSG, in: Blechta Gabor-Paul/Vasella David (Hrsg.), Basler Kommentar zum Datenschutzgesetz/Öffentlichkeitsgesetz, 4. Aufl., Basel 2023.

Jacot-Guillarmod Emilie, Le profilage à risque élevé de la nLPD : réflexions autour d’un monstre de Frankenstein, swissprivacy.ch, 24.8.2021, abrufbar unter https://swissprivacy.law/86/, besucht am 25.5.2023.

Klabunde Achim, Kommentierung zu Art. 4 DSGVO, in: Ehmann Eugen/Selmayr Martin (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl., München 2018.

Lorentz Nora, Profiling – Persönlichkeitsschutz durch Datenschutz? Eine Standortbestimmung nach Inkrafttreten der DSGVO, Tübingen 2020.

Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16.11.2020 (zit. Datenschutzgesetz).

Rosenthal David, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27.11.2017 (zit. Entwurf).

Roth Simon, Das Profiling im neuen Datenschutzrecht, SZW 2021, S. 34 ff.

Rudin Beat, Kommentierung zu Art. 5, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Stämpflis Handkommentar zum DSG, 2. Aufl., Bern 2023.

Scholz Philip, Kommentierung zu Art. 4 Nr. 4 DSGVO, in: Simitis Spiros/Hornung Gerrit/Spiecker gen. Döhmann Indra (Hrsg.), Datenschutzrecht – DSGVO mit BDSG, 1. Aufl., Frankfurt a.M. 2019.

Vasella David, Neues DSG: kein grundsätzliches Einwilligungserfordernis beim Profiling, auch nicht bei hohem Risiko, datenrecht.ch, 25.9.2020, abrufbar unter https://datenrecht.ch/neues-dsg-kein-grundsaetzlicheseinwilligungserfordernis-beim-profiling-auch-nicht-bei-hohem-risiko/, besucht am 25.5.2023 (zit. Einwilligungserfordernis).

Vasella David, Überlegungen zum Profiling mit hohem Risiko, datenrecht.ch, 23.11.2020, abrufbar unter https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/, besucht am 25.5.2023 (zit. Profiling).

Materialienverzeichnis

Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15.7.2017, BBl 2017 S. 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 25.5.2023 (zit. Botschaft DSG).