Home
Intern
zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten; Autor: Maximilian S. Dachlauer
Das Schlagwort „Big Data” wird derzeit v.a. im Zusammenhang mit den Themen „Digitalisierung” oder „Industrie 4.0” verwendet. Big Data-Anwendungen oder Big Data-Verfahren sollen möglichst große Datenbestände erheben, speichern und auswerten, um auf der Basis dieser Auswertungen die Effizienz der eigenen Geschäftsprozesse und die Kundenansprache zu steigern. Da hierbei regelmäßig personenbezogene Daten gespeichert und ausgewertet werden, sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten. Eines der wesentlichen Themen ist dabei die Zweckänderung. Ebenso ist das Profiling auf der Basis von Big Data-Verfahren an strenge Anforderungen geknüpft. Der nachfolgende Beitrag behandelt die Zulässigkeitsanforderungen der Verfahren sowie zusätzlich des Scorings.
Big Data-Verfahren erheben, speichern und werten personenbezogene Daten aus. Deshalb gelten für sämtliche Verfahren die allgemeinen Grundsätze zur Erhebung, Speicherung und Vorhaltung von Daten ebenso wie die Grundsätze der Datensparsamkeit, der Zweckbindung und des grundsätzlichen Verbotes mit Erlaubnisvorbehalt. Die Auswertung der Daten erfolgt automatisiert, sodass weiter die Regelungen über automatisierte Entscheidungen im Einzelfall nach Art. 22 DSGVO zu beachten sind.Sie sehen vor, dass eine betroffene Person das Recht hat, nicht ausschließlich einer auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, wenn sie ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, Art. 22 Abs. 1 DSGVO. Hierzu zählen die automatische Ablehnung eines Online-Kreditantrages ebenso wie ein Online-Einstellungsverfahren ohne jegliches menschliches Eingreifen (Erwägungsgrund 71, S. 1 DSGVO). Demnach bedarf es im Regelfall bei automatisierten Einzelentscheidungen einer menschlichen Intervention.
Ausnahmen sind nach Art. 22 Abs. 2 DSGVO möglich für den Abschluss oder die Erfüllung eines Vertrages mit der betroffenen Person oder bei deren ausdrücklicher Einwilligung. In diesen Fällen muss jedoch das Unternehmen angemessene Maßnahmen treffen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren. Hierzu zählen neben einer Verarbeitung mit angemessenen Garantien die spezifische Unterrichtung der betroffenen Person sowie deren Recht auf Erwirkung des Eingreifens, Beschwerde und Anfechtung einer Entscheidung. Der deutsche Gesetzgeber hat von der Öffnungsklausel des Art. 22 Abs. 2 b) DSGVO Gebrauch gemacht und durch § 37 BDSG weitere Ausnahmetatbestände im Bereich der Versicherungsverträge vorgesehen.
Die Ausnahmen vom Gebot der menschlichen Intervention gelten weder für besondere Kategorien personenbezogener Daten, es sei denn es ist gesetzlich vorgesehen und es werden angemessene Maßnahmen zu deren Schutz getroffen, Art. 22 Abs. 4 DSGVO. Zudem sollen personenbezogene Daten von Kindern ausgenommen bleiben (Erwägungsgrund 71, letzter HS).
Nach Art. 4 Nr. 4 DSGVO ist Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die verwendet werden, um persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten – insbesondere um Aspekte bzgl. Arbeitsleistungen, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.Profiling wird zum Produktabsatz sowie zu anderen Zwecken, wie Angaben zur Gewohnheit und Interessen von Kunden eingesetzt. Beispiele sind Smart Home, Smart Traffic, Smart Pricing sowie Smart Maintenance. Der Verantwortliche soll für diese Verfahren geeignete mathematische oder statistische Verfahren verwenden sowie technische und organisatorische Maßnahmen ergreifen, um unrichtige personenbezogene Daten zu vermeiden oder zumindest korrigieren zu können (Erwägungsgrund 71, S. 6 DSGVO). Zudem unterliegt das Profiling sämtlichen Anforderungen der DSGVO (Erwägungsgrund 72 DSGVO). Hierzu zählt auch der eingangs erwähnte Zweckbindungsgrundsatz. Danach dürfen personenbezogene Daten grundsätzlich nur für die Zwecke verarbeitet werden, für die sie erhoben wurden, Art. 6 Abs. 3 DSGVO. Eine Zweckänderung ist nach Art. 6 Abs. 4 DSGVO bei Fehlen einer Einwilligung der betroffenen Personen nur zulässig, wenn das Unternehmen eine umfassende Interesseabwägung zwischen dem neuen Verarbeitungszweck – also Auswertung – und dem ursprünglichen Zweck vornimmt, und sie zugunsten der Änderung ausfällt.
Das Unternehmen muss überlegen, ob personenbezogene Daten von vornherein zu Big Data-Analysen, namentlich Profiling erhoben, gespeichert oder verarbeitet werden sollen. In vielen Fällen stellen Unternehmen jedoch erst während der Datenverarbeitung fest, dass eine Auswertung Sinn machen könnte oder haben bereits so viele Datenbestände gespeichert, dass eine Auswertung Sinn machen würde. In diesen Fällen sind die Interessenabwägung oder ggf. Anonymisierung in Betracht zu ziehen.
Scoring sind Angaben zu den persönlichen und wirtschaftlichen Verhältnissen eines möglichen Kunden unter Verwendung mathematisch-statistischer Verfahren, deren Auswertung eine Prognose über die Wahrscheinlichkeit gibt, ob der Kunde eine Forderung begleichen oder einen Kredit bedienen würde. Demnach dürfte das Scoring unter den Begriff des „Profilings” nach Art. 4 Nr. 4 DSGVO fallen und somit den selben Anforderungen wie dieses unterliegen. Anders als bislang in § 28 b BDSG alt sieht die DSGVO keine besondere Regelung für das Scoring vor. Der deutsche Gesetzgeber hat mit § 31 BDSG die Regelungen für Scoring und Bonitätsauskünfte aus den §§ 28a und 28b BDSG alt übernommen, um den materiellen Schutzstandard letzterer Vorschriften auch unter der DSGVO zu gewährleisten. Diese Spezialvorschrift erklärt das Scoring unter folgenden Voraussetzungen für zulässig: Die Vorschriften des Datenschutzrechts wurden eingehalten; die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten sind unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich; es wurden für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt und im Fall der Nutzung von Anschriften wurde die betroffene Person vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet; die Unterrichtung ist dabei zu dokumentieren. Problematisch ist dabei, dass die DSGVO dahin gehend abschließend ist und keine Öffnungsklauseln vorsieht. Hierbei gilt es die Rechtspraxis abzuwarten und in der Zwischenzeit möglichst auf die Anwendung des § 31 BDSG zu verzichten.
Moderne Big Data-Verfahren (einschließlich Profiling und Scoring) unterliegen den Anforderungen der DSGVO – insbesondere denjenigen zur automatisierten Einzelentscheidungen. Unternehmen können solche Verfahren einsetzen, müssen hierbei jedoch neben dem Gebot der menschlichen Intervention die Anforderung an eine Zweckänderung der Datenverarbeitung ebenso beachten, wie eine vorherige Zweckfestlegung oder den Einsatz von Pseudonymisierungsverfahren.
Carina Richters
Rechtsanwältin, Compliance Officer (TÜV)
Manager
Anfrage senden
Kein Themenspecial verpassen mit unserem Newsletter!
