Regulierung von Profiling und automatisierten Einzelentscheidungen
I. Überblick
Auf den in Art. 4 Nr. 4 DSGVO legaldefinierten Begriff Profiling wird in der Datenschutz-Grundverordnung sowohl in ihrem verfügenden Teil als auch in ihren Erwägungsgründen an mehreren Stellen Bezug genommen. Vor dem Hintergrund des hier vertretenen 3-stufigen Modells spielt vor allem Art. 22 DSGVO eine Schlüsselrolle. Diese Norm regelt die Zulässigkeit automatisierter Einzelentscheidungen und ist damit für die dritte Stufe des Modells (Entscheidungsfindung und -ausführung) relevant. Sie wird im Folgenden neben den rechtlichen Vorgaben für das eigentliche Profiling vertieft analysiert. Die weiteren relevanten Betroffenenrechte des Kapitels III, welche Profiling explizit in Bezug nehmen, sind zunächst die Informationspflichten der Art. 13 II lit. f, 14 II lit. g DSGVO, welche nur im Kontext von automatisierten Entscheidungsfindungen gem. Art. 22 DSGVO speziell auf Profiling Bezug nehmen. In diesen Fällen steht dem Betroffenen zudem ein Auskunftsrecht gem. Art. 15 I lit. h DSGVO zu. Die Grundtatbestände der Art. 13, 14 und 15 DSGVO kommen auch zur Anwendung, wenn Profiling durchgeführt wird, ohne dass die gefundenen Ergebnisse im Nachgang zur Grundlage vollständig automatisierter Entscheidungen werden. Art. 21 I, II DSGVO gewährt zudem in bestimmten Situationen ein Widerspruchsrecht, welches Profiling beispielhaft nennt (ein eigener Aussagegehalt kommt der Nennung allerdings nicht zu). Die genannten Vorschriften werden im Folgenden überblicksartig mit Blick auf ihren Regelungsgehalt und ihre Funktion im Kontext von Profiling umrissen. Eine vertiefte, spezifischere Analyse erfolgt im dritten Teil dieser Arbeit im Kontext der Frage, ob das geltende materielle Recht in der Lage ist, die Mitglieder geschützter Gruppen vor Diskriminierung durch personalisierte Preise zu schützen.
II. Regulierung von Profiling
In materiell-rechtlicher Hinsicht macht die Datenschutz-Grundverordnung in ihrem verfügenden Teil keine spezifischen Vorgaben, wie Profiling-Verfahren i. S. d. Art. 4 Nr. 4 DSGVO durchzuführen sind. Bei dieser Norm handelt es sich um eine Legaldefinition, welche das Verfahren beschreibt. Es handelt sich damit weder um einen Erlaubnistatbestand, noch werden der Zulässigkeit von Profiling durch die Norm rechtliche Grenzen gezogen. In Ermangelung spezieller Regelungen kommen damit im Rahmen der Prüfung der datenschutzrechtlichen Zulässigkeit nur die allgemeinen Vorgaben zur Anwendung.
1. Rechtsgrundlagen
Das europäische Datenschutzrecht sieht bei der Verarbeitung personenbezogener Daten traditionell ein generelles Verbot mit Erlaubnisvorbehalt vor. Gem. Art. 6 I S. 1 DSGVO ist für eine rechtmäßige Datenverarbeitung zwingend entweder eine Einwilligung des Betroffenen oder ein gesetzlicher Erlaubnistatbestand notwendig. Art. 9 II DSGVO ist als Rechtsgrundlage gegenüber Art. 6 I S. 1 DSGVO lex specialis, soweit besondere Kategorien personenbezogener Daten (sog. sensible Daten) verarbeitet werden. Von besonderer Relevanz ist dies mit Blick auf Art. 6 I S. 1 lit. f DSGVO. Der Verantwortliche kann sich nicht auf diese Interessenabwägungsklausel berufen, wenn sensible Daten verarbeitet werden. Art. 9 II DSGVO enthält keine vergleichbare, offen formulierte Abwägungsklausel. Im Bereich des privatwirtschaftlich durchgeführten Profilings kommen insbesondere Art. 6 I S. 1 lit. a, lit. b und lit. f, 9 II lit. a DSGVO als Rechtsgrundlagen in Betracht.
a. Einwilligung
Im Fall des Profilings kommt damit zunächst die Einwilligung des Betroffenen gem. Art. 6 I S. 1 lit. a DSGVO in Betracht. Der Verantwortliche muss, wenn er die Datenverarbeitung auf diesen Erlaubnistatbestand stützen möchte, die Vorgaben des Art. 7 DSGVO befolgen. Die Einwilligung muss zudem eine „freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung“ im Sinne der Legaldefinition in Art. 4 Nr. 11 DSGVO sein. Der Betroffene muss demnach verstehen, in was genau er einwilligt, wie die Ergebnisse des Profilings genutzt werden sollen und welche Konsequenzen daraus für ihn (mit Sicherheit oder möglicherweise) erwachsen. Bei der Prüfung der Wirksamkeit einer erteilten Einwilligung ist eine Gesamtschau der Art. 6 I S. 1 lit. a, 4 Nr. 11 und 7 DSGVO sowie der einschlägigen Erwägungsgründe (z. B. Nummer 32, 42 und 43) erforderlich. Daraus ergibt sich, dass eine einzelfallbezogene, durchaus wertende Abwägung verschiedener Faktoren geboten ist.
So ist die Wirksamkeit z. B. zweifelhaft, wenn zwischen dem Betroffenen und dem Verantwortlichen „ein klares Ungleichgewicht besteht (…) und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“. Eine Rolle spielt auch, wie pauschal und weitreichend eine abverlangte Einwilligungserklärung konkret ausgestaltet ist: Je weiter und pauschaler sie formuliert ist, desto stärker kann tendenziell ihre Freiwilligkeit und damit ihre Wirksamkeit bezweifelt werden. Zu berücksichtigen ist mit Blick auf Art. 7 IV DSGVO auch, inwieweit die Einwilligung erforderlich ist, damit der Verantwortliche die vertragscharakteristische Leistung erbringen kann, und inwieweit sie über das Erforderliche hinausgeht.
Bei der Prüfung der Freiwilligkeit spielt es auch eine Rolle, wieweit es für den Betroffenen zumutbar ist, auf Alternativangebote anderer Anbieter zurückzugreifen. Angesichts des für die Betroffenen häufig undurchsichtigen Charakters von Profiling und der teilweise sehr sensiblen und weitreichenden Informationen, welche mit den ihm zugrunde liegenden Methoden berechnet werden können, sind an eine wirksame Einwilligungserklärung je nach Einsatzzweck der zu verwendenden Daten eher hohe Anforderungen zu stellen. Es lassen sich allerdings kaum allgemeingültige Regeln für eine wirksame Einwilligungserklärung formulieren. Dies liegt zunächst daran, dass Profiling in gänzlich verschiedenen Bereichen (und dementsprechend mit verschiedenen Zielen) zum Einsatz kommt. Eher banale Einsatzgebiete (etwa Verwendung von Profiling durch Streamingdienste, um die individuellen Vorlieben eines Kunden zu bestimmen und das Angebot an seine Wünsche anzupassen) stehen solchen mit weitreichenden wirtschaftlichen Folgen für den Betroffenen gegenüber (etwa Scoring im Kreditwesen, Preispersonalisierung im Online-Handel). Die für den Betroffenen drohenden Grundrechtsbeeinträchtigungen divergieren dementsprechend stark. Diese Faktoren müssen berücksichtigt werden, wenn eine Einwilligung als Rechtsgrundlage für Profiling i. S. d. Art. 6 I S. 1 lit. a DSGVO herangezogen werden soll.
Sofern ein Betroffener in die Verarbeitung von Daten einwilligen soll, die zu den besonderen Kategorien personenbezogener Daten gezählt werden (z. B. Gesundheitsdaten oder andere sensible Daten, wie etwa solche, die Auskunft geben über „rassische und ethnische Herkunft“ des Betroffenen, seine religiösen Überzeugungen, Gewerkschaftszugehörigkeit etc.), sind die gegenüber Art. 6 I S. 1 lit. a DSGVO strengeren Vorgaben des Art. 9 DSGVO zu beachten. Art. 9 DSGVO stellt aus verschiedenen Gründen erhöhte Anforderungen an die Verarbeitung sensibler Daten: Er begegnet damit einem im Kontext dieser Daten erhöhten Diskriminierungsrisiko, bezweckt den Schutz bestimmter Grundrechte (z. B. des Rechts auf freie politische Betätigung) und trägt allgemein dem Umstand Rechnung, dass aus der Verarbeitung der in Art. 9 I DSGVO abschließend aufgezählten sensiblen Datenkategorien potenziell ein höherer Schaden für den Betroffenen folgen kann, als es bei den anderen personenbezogenen Daten der Fall ist. Zwingend notwendig ist dann – sofern ein der Einwilligung gänzlich entgegenstehendes Verbot auf Unions- oder nationaler Ebene nicht vorliegt – eine ausdrückliche Einwilligung in die Verarbeitung der sensiblen Daten, Art. 9 II lit. a DSGVO.
Beim Einsatz von Profiling kann die Situation auftreten, dass die Verarbeitung von „regulären“, also nicht sensiblen personenbezogenen Daten zur Schaffung neuer Daten führt, welche in den Anwendungsbereich von Art. 9 I DSGVO fallen. Das bereits beschriebene Vorgehen des Discount-Einzelhändlers Target dient hierfür – die Anwendbarkeit der Datenschutz-Grundverordnung unterstellt – als anschauliches Beispiel. Das Erfassen und Speichern von Daten über das Kaufverhalten bestimmter Kundinnen (z. B. „Kundin X hat zum Zeitpunkt Y das Produkt Z gekauft“) fällt bei isolierter Betrachtung der verarbeiteten Daten zunächst nicht in den Anwendungsbereich des Art. 9 I DSGVO. Durch die Analyse der gesammelten Daten konnte Target allerdings fundierte Vorhersagen dahingehend treffen, ob die jeweilige Kundin schwanger ist. Die Information über die (wahrscheinliche) Schwangerschaft als neu geschaffene Information ist ein Gesundheitsdatum i. S. d. Art. 9 I, 4 Nr. 15 DSGVO. In einer solchen Situation, in der die Verarbeitung der (isoliert betrachtet nicht sensiblen) Ausgangsdaten gerade mit dem Ziel durchgeführt wird, neue Daten zu schaffen, welche in den Anwendungsbereich des Art. 9 I DSGVO fallen, kommt die Norm auch zur Anwendung. Durch ihre zielgerichtete Verknüpfung werden die Ausgangsdaten zu sensiblen Daten und erfahren deshalb den erhöhten Schutz. Allgemeiner gesprochen kommt es in derlei Situationen also auf den Kontext der Datenverarbeitung und den konkret angestrebten Verarbeitungszweck an. Wenn es dem Verantwortlichen gerade darum geht, durch Auswertung (vermeintlich) unbedeutender personenbezogener Daten Rückschlüsse auf sensible Daten zu ziehen, ist ihm auch das Befolgen der erhöhten Voraussetzungen des Art. 9 DSGVO zuzumuten.
b. Vertragliche oder vorvertragliche Notwendigkeit
Art. 6 I S. 1 lit. b DSGVO stellt eine Rechtsgrundlage für Profiling dar, soweit seine Durchführung zur Erfüllung vertraglicher Pflichten oder im Rahmen einer vorvertraglichen Anfrage seitens des Betroffenen erforderlich ist. Diese Norm kommt in zahlreichen alltäglichen Fällen als Rechtsgrundlage für Datenverarbeitungen zur Anwendung. Im Falle eines Warenkaufs über das Internet legitimiert sie z. B. die Datenverarbeitung, die für die Abwicklung des Kaufs notwendig ist, wie etwa die Verarbeitung der Adressdaten des Käufers.
Wenn Profiling zur Anwendung kommt, hängt die Anwendbarkeit von Art. 6 I S. 1 lit. b DSGVO maßgeblich davon ab, unter welchen Umständen die Erforderlichkeit der Durchführung von Profiling zu bejahen ist. Erforderlichkeit ist nicht im Sinne einer „Unverzichtbarkeit“ zu verstehen und somit begrifflich einer normativen Betrachtung zugänglich. Bei der damit eröffneten Abwägung der Interessen der Beteiligten ist zu beachten, dass Art. 6 I S. 1 lit. b DSGVO Ausfluss der informationellen Selbstbestimmung des Betroffenen ist und eine Datenverarbeitung nur so weit zulässig sein kann, wie sie vom Betroffenen veranlasst wurde. Dies zeigt sich mit Blick auf den Wortlaut der Norm: Sie ist nur anwendbar, wenn das Vertragsverhältnis bereits begründet wurde und der Betroffene Vertragspartei ist, oder wenn ein vorvertragliches Rechtsverhältnis auf seine Anfrage hin begründet wurde. Die spezifischen Charakteristika sowie der Zweck des konkreten Schuldverhältnisses und eine objektive Betrachtungsweise begründen und begrenzen die Reichweite dieser Rechtsgrundlage. Ein Verantwortlicher kann ohne vorheriges Tätigwerden des Betroffenen also keine auf Art. 6 I S. 1 lit. b DSGVO gestützten einseitigen Maßnahmen ergreifen, die – wie Profiling – in der Verarbeitung personenbezogener Daten bestehen.
Somit kann Profiling mit dem Ziel, allgemeine Kaufinteressen des Kunden anhand einer Auswertung seines Kaufverhaltens zu bestimmen, bei einem Warenkauf über das Internet nicht auf Art. 6 I S. 1 lit. b DSGVO gestützt werden, da es nicht erforderlich ist, um den Kauf abzuwickeln. Generell kann Profiling zum Zwecke der individualisierten Werbung und des Direktmarketings mangels Erforderlichkeit regelmäßig nicht auf Art. 6 I S. 1 lit. b DSGVO gestützt werden. Denkbar ist allenfalls die Situation, dass es dem Betroffenen gerade darum geht, maßgeschneiderte Angebote und Dienstleistungen zu erhalten, und dieser Wunsch einem Vertrag erkennbar zugrunde gelegt wird.
Die Erforderlichkeit von Profiling ist typischerweise zu bejahen, wenn eine Bank bei einer Auskunftei einen Score-Wert über die Bonität des Kreditantragstellers abfragt (externes Scoring) oder eine solche Bonitätsbewertung selber anhand der ihr bekannten Daten durchführt (internes Scoring). Das Profiling in Form des Scorings ist erforderlich, da die Bank bei einem Kreditvertrag in Vorleistung tritt und der Score-Wert für sie eine wesentliche Entscheidungsgrundlage ist, ob sie einen Kredit vergeben soll und wenn ja, zu welchen Bedingungen. Bonitätsrelevante Daten dürfen mangels Erforderlichkeit allerdings nicht verarbeitet werden, wenn beispielsweise nur ein Basiskonto i. S. d. § 30 II ZKG ohne Einräumung eines Dispositionskredits beantragt wird. Im Anwendungsbereich des § 505a I S. 1 BGB (Abschluss eines Verbraucherdarlehensvertrags) kann die Bank sich angesichts ihrer zivilrechtlichen Pflicht, die Bonität des Antragstellers zu prüfen, soweit erforderlich auch auf Art. 6 I S. 1 lit. c DSGVO als Rechtsgrundlage für die Datenverarbeitung stützen. Auch Versicherungen können sich grundsätzlich auf Art. 6 I S. 1 lit. b DSGVO stützen, um vor Abschluss eines Versicherungsvertrages eine individualisierte datengestützte Risikoanalyse vorzunehmen.
c. Allgemeine Interessenabwägungsklausel
Weitere denkbare Rechtsgrundlage für die Durchführung von Profiling ist die sog. allgemeine Interessenabwägungsklausel des Art. 6 I S. 1 lit. f DSGVO. Diese Norm greift, wenn die Verarbeitung „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Diese Rechtsgrundlage ist aufgrund ihrer offenen Formulierung besonders flexibel und einzelfallbezogen. Daraus ergibt sich zugleich eine gewisse Unbestimmtheit, verbunden mit der Notwendigkeit, die im konkreten Einzelfall betroffenen Interessen sorgfältig gegeneinander abzuwägen. Der Normtext legt eine 3-stufige Prüfung nahe. Der Verantwortliche oder ein Dritter muss sich zunächst auf ein „berechtigtes Interesse“ berufen können. Die Datenverarbeitung – hier also das Profiling – muss erforderlich sein, um diesen Zweck erreichen zu können. Zudem dürfen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht die Interessen des Verantwortlichen überwiegen. Der letzte Teil der Prüfung stellt mithin die eigentliche Interessenabwägung dar und erfordert einen wertenden Ausgleich.
Die berechtigten Interessen, auf die der Verantwortliche sich zu eigenen Gunsten oder zugunsten eines Dritten berufen kann, sind weit gefasst und beinhalten rechtliche, tatsächliche, wirtschaftliche und ideelle Interessen. Hierbei spielen grundrechtlich geschützte Positionen – welche sich vor allem aus der Europäischen Grundrechte-Charta ergeben – eine herausgehobene Rolle, wie etwa die Berufs- bzw. unternehmerische Freiheit oder die Kommunikationsfreiheit des Verantwortlichen. Ähnliches gilt für die Rechte des Betroffenen, der sich zunächst stets auf den Schutz personenbezogener Daten per se, aber auch auf andere (grund)rechtlich geschützte Interessen berufen kann. Die Abwägung muss sich auf den konkreten Fall oder auf konkret definierte Fallgruppen beziehen, zumal gem. Erwägungsgrund 47 DSGVO auch die „vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen“ sind.
Die Erwägungsgründe 47–49 DSGVO enthalten Beispiele für Datenverarbeitungen, welche grundsätzlich über Art. 6 I S. 1 lit. f DSGVO legitimiert werden können. Diese dienen ganz unterschiedlichen Zwecken. Genannt werden etwa die Prävention von Betrug, Direktwerbung, der Datenaustausch innerhalb von Konzernen und die Gewährleistung der Netz- und Informationssicherheit. Gerade die beiden erstgenannten Beispiele sind typische Anwendungsfelder von Profiling i. S. d. Art. 4 Nr. 4 DSGVO, da ihnen individualisierte Vorhersagen über das Verhalten, die Interessen etc. von Einzelpersonen zugrunde liegen. In ihrem verfügenden Teil stellt die Datenschutz-Grundverordnung den Zusammenhang zwischen Profiling und der allgemeinen Interessenabwägungsklausel sogar ausdrücklich her. Art. 21 I DSGVO gewährt Betroffenen unter bestimmten Voraussetzungen ein Widerspruchsrecht gegen Datenverarbeitungen, welche auf Art. 6 I S. 1 lit. f DSGVO gestützt werden. Die Norm nimmt dabei ausdrücklich, wenngleich rein deklaratorisch, Bezug auf Profiling. Gleiches gilt für Art. 21 II DSGVO. Dieser postuliert – im Gegensatz zu Art. 21 I DSGVO ohne Begrenzung auf bestimmte Rechtsgrundlagen – ein bedingungsloses Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zwecks Direktwerbung und stellt klar, dass dieses sich auch auf Profiling erstreckt, welches mit der Direktwerbung in Zusammenhang steht.
2. Erwägungsgründe und Datenschutzgrundsätze
Der verfügende Teil der Datenschutz-Grundverordnung macht keine spezifischen inhaltlichen Vorgaben, wie die automatisierte Datenverarbeitung im Rahmen des Profilings abzulaufen hat. Die relevanten Betroffenenrechte, vor allem die Informationspflichten der Art. 13 und 14 DSGVO, das Auskunftsrecht des Art. 15 DSGVO und das Widerspruchsrecht des Art. 21 I, II DSGVO können zwar bewirken, dass der Betroffene einen gewissen Überblick über die Datenverarbeitung hat und ihm ein Mindestmaß an Kontrolle und Einflussnahme bleibt. Zudem sind die allgemeinen Datenschutzgrundsätze des Art. 5 I DSGVO zu beachten. Eine darüber hinausgehende Regulierung von Profiling ist den Normen hingegen nicht zu entnehmen. Es kommen nur die allgemeinen Regeln der Datenschutz-Grundverordnung zur Anwendung.
Erwägungsgrund 71 DSGVO macht in seinem zweiten Absatz einige inhaltliche Vorgaben, die zu beachten sind, um im Rahmen von Profiling eine „faire und transparente Verarbeitung zu gewährleisten“. Erwägungsgründe haben keinen Normcharakter und sind rechtlich nicht bindend. Allerdings können sie für die Auslegung der Normen des verfügenden Teils des jeweiligen Rechtsakts herangezogen werden und Auskunft über ihren Sinn und Zweck geben. Es ist notwendig, einen konkreten Bezugspunkt im verfügenden Teil des Rechtsakts herzustellen, da aus Erwägungsgründen allein grundsätzlich keine unmittelbaren Rechte und Pflichten abgeleitet werden können. Ausgehend davon können die in Erwägungsgrund 71 DSGVO enthaltenen Vorgaben bei der Auslegung der allgemeinen Datenschutzgrundsätze des Art. 5 I DSGVO herangezogen werden und diese inhaltlich konkretisieren. Aus diesem Grund bietet es sich an, die inhaltlichen Ausführungen des Erwägungsgrundes 71 DSGVO in Verbindung mit den Vorgaben des Art. 5 I DSGVO zu lesen.
Bevor er konkretere Handlungsmaximen postuliert, weist Erwägungsgrund 71 DSGVO in seinem zweiten Absatz einleitend darauf hin, dass die „besonderen Umstände und Rahmenbedingungen“ der Datenverarbeitung berücksichtigt werden müssen. Dabei handelt es sich um einen Verweis auf die vielfältigen Einsatzmöglichkeiten von Profiling in verschiedenen Situationen und die damit einhergehende Notwendigkeit abwägender Einzelfallbetrachtungen. Eine aussagekräftige Analyse des materiell-rechtlichen Gehalts des Zusammenspiels von Erwägungsgrund 71 DSGVO und Art. 5 I DSGVO ist dementsprechend erst anhand konkreter Anwendungsfälle möglich. Dementsprechend erfolgt sie hier erst im dritten Teil der Arbeit im Kontext der dortigen rechtlichen Analyse.
III. Verbot automatisierter Einzelentscheidungen
1. Anwendungsbereich und Funktion
a. Regelungsabsicht
Art. 22 I DSGVO postuliert ein grundsätzliches Verbot vollständig automatisierter Einzelentscheidungen. Demnach hat die betroffene Person „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Ist eine solche ausnahmsweise (Art. 22 II DSGVO) doch zulässig, kommen gem. Art. 22 III bzw. II lit. b DSGVO „angemessene Maßnahmen“ zum Schutze des Betroffenen zur Anwendung. Die Norm spielt primär für die dritte Stufe des hier vertretenen Modells eine Rolle und stellt durch ihren Wortlaut explizit die Verbindung zwischen Profiling und dem Fällen von Entscheidungen her. Sie regelt weder das „Ob“ noch das „Wie“ von Profiling. Vor allem ist sie keine Rechtsgrundlage für eine Datenverarbeitung. Art. 22 DSGVO hat stattdessen den Charakter einer Verfahrensnorm.
Art. 22 DSGVO bezieht sich auf die Phase der sich dem Profiling anschließenden Entscheidungsfindung (Stufe 3). Er regelt diese fragmentarisch: Der Entscheidungsfindungsprozess darf grundsätzlich nicht vollständig automatisiert ausgestaltet sein, sofern die am Ende des Prozesses getroffene Entscheidung dem Betroffenen gegenüber eine „rechtliche Wirkung entfaltet“ oder ihn „in ähnlicher Weise erheblich beeinträchtigt.“
Der Anwendungsbereich der Norm ist hingegen von vornherein nicht eröffnet, wenn die Entscheidung inhaltlich von einem Menschen verantwortet wird. Dieser darf automatisierte Datenverarbeitungsprozesse als Entscheidungshilfe heranziehen, ohne dass dies Art. 22 I DSGVO aktivieren würde. Eine rein formale menschliche Beteiligung genügt aber nicht, um das Verbot von Art. 22 I DSGVO zu umgehen. Der Entscheider muss je nach Sachverhalt Zugriff auf ausreichend Informationen haben, um qualitativ selber entscheiden zu können, und er muss diese Möglichkeit auch tatsächlich nutzen. Ist dies der Fall, so ist Art. 22 I DSGVO nicht anwendbar. Liegt beispielsweise einem Bankmitarbeiter, der über einen Kreditantrag entscheiden soll, als Entscheidungsgrundlage ausschließlich ein Score-Wert vor, anhand dessen er über die Kreditvergabe entscheiden soll, so greift das grundsätzliche Verbot des Art. 22 I DSGVO. Seine Entscheidung ist nämlich durch die vorangegangene datengestützte Bewertung de facto vollständig vorherbestimmt. Die Anwendung von Art. 22 I DSGVO ist in solchen Fällen zum Schutze der Betroffenen auch deshalb geboten, weil menschliche Entscheider automatisiert generierten Aussagen regelmäßig eine hohe Autorität zusprechen und ihnen aus verschiedenen Gründen (beispielsweise Bequemlichkeit und Zeitersparnis) oftmals unüberlegt folgen. Die „automatische Ablehnung eines Online-Kreditantrags (…) ohne jegliches menschliche Eingreifen“ fällt erst recht unter Art. 22 I DSGVO, wie die Datenschutz-Grundverordnung bereits selber in ihren Erwägungsgründen ausführt. Eine andere Frage ist, ob eine der Ausnahmen in Art. 22 II DSGVO greift.
b. Schutz durch menschliche Entscheider
Die Datenschutz-Grundverordnung bringt in ihrem Artikel 22 die grundsätzliche Wertung zum Ausdruck, dass der Mensch nicht zum Objekt rein maschineller Entscheidungen gemacht werden soll. Sie macht damit deutlich, dass menschliche Entscheidungsfindungsprozesse gegenüber rein maschinellen grundsätzlich vorzugswürdig sind. Dies zeigt sich beim Blick auf das Zusammenspiel zwischen dem Verbot im ersten Absatz der Norm und den in Art. 22 II lit. b und III DSGVO genannten „angemessenen Maßnahme[n]“, welche zugunsten des Betroffenen ergriffen werden müssen, falls eine der Ausnahmen im zweiten Absatz greift. Sollte die rein automatisierte Entscheidungsfindung ausnahmsweise zulässig sein und der Betroffene zum Objekt einer maschinellen Entscheidung werden, so wird er zugleich in die Lage versetzt, einen menschlichen Entscheider aktivieren und selber Einfluss auf den Entscheidungsfindungsprozess nehmen zu können.
Es geht dabei also nicht um einen Schutz vor „falschen“ Entscheidungen im Sinne einer Kontrolle des Ergebnisses als solches. Eine solche Herangehensweise wäre unter verschiedenen Gesichtspunkten problematisch. Sie würde (etwa im privatrechtlichen Kontext zwischen Unternehmer und Verbraucher) eine massive Einmischung in die unternehmerische Freiheit darstellen, zumal die Datenschutz-Grundverordnung keine konkreten Aussagen dazu treffen kann, welche Entscheidungen „falsch“ oder „richtig“ sind. Vielmehr soll durch die Norm die Menschenwürde des Einzelnen dadurch geschützt werden, dass die primäre Entscheidungshoheit eher bei Menschen als bei Computern liegt. Auf Seiten des Verantwortlichen soll grundsätzlich ein menschlicher Entscheidungsträger involviert sein. Wenn dies nicht der Fall ist, stellt Art. 22 DSGVO sicher, dass ein solcher zumindest auf Wunsch des Betroffenen hinzugezogen wird.
Der effektive Schutz des Einzelnen vor Objektivierung und die tatsächlichen Auswirkungen der Norm sind dabei angesichts ihres engen Anwendungsbereichs begrenzt: Nur eine vollständige Automatisierung des Entscheidungsprozesses ist von Art. 22 I DSGVO erfasst. Außerhalb dieses engen Anwendungsbereichs hat die Norm für die Frage, wie der Verantwortliche Entscheidungen trifft, keine Relevanz. Weitgehend, aber eben nicht „ausschließlich“ automatisierte Verfahren aktivieren mangels Anwendbarkeit der Norm nicht die „angemessenen Maßnahmen“ i. S. d. Art. 22 III DSGVO. Der Gesetzgeber hat damit im Kontext von Art. 22 DSGVO bei der Abwägung zwischen dem Schutz der Privatsphäre und der informationellen Selbstbestimmung des Betroffenen einerseits und der Förderung von Wertschöpfung mithilfe automatisierter Datenverarbeitung andererseits Letztere in den Vordergrund gestellt und von einer darüber hinausgehenden Regulierung des Entscheidungsfindungsprozesses abgesehen. Anders betrachtet liegt Art. 22 DSGVO die Vorstellung zugrunde, dass ein Entscheidungsfindungsprozess, der von menschlichen Entscheidern bestimmt ist, einem vollständig automatisierten Fällen von Entscheidungen gegenüber vorzugswürdig ist. Art. 22 DSGVO ist damit eine Verfahrensnorm: Durch ein faires Verfahren unter Beteiligung menschlicher Entscheidungsträger sollen bessere Ergebnisse produziert werden, ohne dass diese durch die Norm inhaltlich vorgegeben werden.
c. Verhältnis von Profiling zu automatisierten Einzelentscheidungen
Art. 22 DSGVO steht mit Blick auf seine Funktion in der Tradition des Art. 15 DSRL. Erfasst und grundsätzlich unzulässig waren automatisierte Einzelentscheidungen, die ausschließlich auf der Grundlage „einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person (…), wie beispielsweise ihrer beruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer Zuverlässigkeit oder ihres Verhaltens“ ergehen. Art. 15 DSRL stellte also von vornherein auf Entscheidungen ab, die aufgrund von Profiling getroffen werden. Art. 22 I DSGVO hingegen bezieht sich auf Entscheidungen, die „auf einer automatisierten Verarbeitung – einschließlich Profiling –“ beruhen. Die Norm könnte mit Blick auf ihren Wortlaut und ihre Überschrift so interpretiert werden, dass Profiling nur ein beispielhaft genannter von mehreren denkbaren Anwendungsfällen von Art. 22 I DSGVO ist, wonach sie dementsprechend auch dann zur Anwendung käme, wenn der Entscheidung kein Profiling vorangeht. Dennoch wird man ihren Anwendungsbereich bei teleologischer Auslegung auf die Fälle reduzieren müssen, bei denen vor dem Fällen einer Entscheidung Profiling zur Entscheidungsunterstützung eingesetzt wird. Dies gebieten zunächst der Sinn und der Zweck der Norm, welche nicht per se alle automatisierten Entscheidungsformen verhindern will, sondern vor potenziellen Gefahren des Profilings schützen soll. Eine Auslegung, die sich auf alle Formen von automatisierter Datenverarbeitung erstreckt, würde zu dem absurden Ergebnis führen, dass es beispielsweise datenschutzrechtlich grundsätzlich unzulässig wäre, wenn ein Geldautomat bei fehlender Kontodeckung einem Kunden die Auszahlung verweigert. Selbst banale und in keiner Weise für das Recht auf informationelle Selbstbestimmung und die Privatheit relevante Vorgänge wären erfasst – und damit grundsätzlich unzulässig. Auch die Bezugnahmen, welche die Datenschutz-Grundverordnung an anderen Stellen zwischen Profiling und dem Fällen von Entscheidungen herstellt, sprechen dafür, dass Art. 22 DSGVO automatisierte Einzelentscheidungen nur dann verbietet, wenn diese (zumindest auch) auf den Ergebnissen von Profiling basieren. Im verfügenden Teil der Verordnung stellt Art. 35 III lit. a DSGVO im Kontext von Datenschutz-Folgenabschätzungen den Bezug zwischen der systematischen, auf Profiling gründenden Bewertung persönlicher Aspekte und dem Fällen von Entscheidungen her. Auch die Ausführungen in Erwägungsgrund 71 DSGVO stellen Profiling i. S. d. Art. 4 Nr. 4 DSGVO im Kontext automatisierter Einzelentscheidungen in den Vordergrund. Auch bei den dort aufgeführten Beispielen („Ablehnung eines Online-Kreditantrags“ und „Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen“) handelt es sich um solche Verfahren, die typischerweise auf Profiling basieren. Darüber hinaus ist die hier vertretene Auslegung durchaus mit dem Wortlaut von Art. 22 I DSGVO in Einklang zu bringen. Die Formulierung „auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende(…) Entscheidung“ kann grammatikalisch durchaus so verstanden werden, dass die automatisierte Datenverarbeitung das Profiling beinhalten muss, und Letzteres gerade nicht nur beispielhaft, sondern als Tatbestandsvoraussetzung genannt ist.
d. Rechtliche Wirkung oder ähnliche erhebliche Beeinträchtigung
Für die Anwendbarkeit von Art. 22 I DSGVO ist es notwendig, dass die getroffene Entscheidung der betroffenen Person gegenüber „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Ein Entfalten einer rechtlichen Wirkung liegt vor, wenn sich „die Rechtsposition der betroffenen Person in irgendeiner Weise verändert, ein Recht oder Rechtsverhältnis begründet oder aufgehoben wird oder in ein Recht eingegriffen wird.“ Eine erhebliche Beeinträchtigung ist zu bejahen, wenn „der Betroffene durch die Entscheidung in seiner wirtschaftlichen oder persönlichen Entfaltung nachhaltig gestört wird.“ Gerade die zweite Alternative ist damit auch einer normativen Auslegung zugängig. Die Verbindung der beiden Alternativen („in ähnlicher Weise“) macht deutlich, dass bei beiden eine erhebliche Beeinträchtigung vorliegen muss.
Automatisierte Einzelentscheidungen, mit denen einem Begehren des Betroffenen gänzlich stattgegeben wird, sind damit mangels Beeinträchtigung zumindest im zivilrechtlichen Bereich richtigerweise nicht vom Anwendungsbereich der Norm erfasst. Hat die Entscheidung allerdings stattgebende und zugleich nachteilige Elemente, so z. B. wenn ein erhöhter Dispositionskredit bei einer Bank beantragt und der Kreditrahmen daraufhin zwar erhöht wird, aber nicht im beantragten Umfang, so ist eine Anwendbarkeit von Art. 22 I DSGVO durchaus denkbar. Aus einem Umkehrschluss zu Art. 21 II DSGVO ergibt sich, dass Direktwerbung, die auf Profiling basiert, grundsätzlich zulässig ist und nicht per se unter das Verbot fällt. Dies überrascht nicht, da Direktwerbung den Betroffenen im Regelfall kaum erheblich beeinträchtigen dürfte. Inwiefern Art. 22 I DSGVO zur Anwendung kommt, wenn beispielsweise online der Abschluss eines Vertrages automatisiert abgelehnt oder die konkrete Ausgestaltung eines Angebots auf Vertragsabschluss gem. § 145 BGB einseitig von Seiten des Verarbeiters automatisiert festgesetzt wird, ist umstritten. Diese Fragen werden vertieft zu einem späteren Zeitpunkt im Rahmen der Prüfung des datenschutzrechtlichen Diskriminierungsschutzes im Kontext von Preispersonalisierung untersucht.
2. Ausnahmen, Schutzmechanismen und norminterne Logik
Art. 22 I DSGVO verbietet grundsätzlich solche automatisierten Einzelentscheidungen, die ohne (nennenswertes) Zutun menschlicher Entscheider getroffen werden. Der zweite Absatz benennt abschließend Ausnahmen von diesem Grundsatz (vertragliche Notwendigkeit; Öffnungsklausel für Union und Mitgliedstaaten; ausdrückliche Einwilligung). Eine Rückausnahme findet sich im vierten Absatz: Sobald sensible Daten i. S. d. Art. 9 I DSGVO verarbeitet werden, gelten erhöhte Anforderungen.
a. Interessenausgleich durch Verfahren
In Art. 22 II-IV DSGO versucht die Datenschutz-Grundverordnung, einen Ausgleich zwischen den Interessen der Beteiligten herzustellen. Dies ist im einfachsten Fall auf der einen Seite ein Betroffener i. S. d. Art. 4 Nr. 1 DSGVO, dessen personenbezogene Daten (u. a.) im Rahmen des Profilings ausgewertet wurden. Auf der anderen Seite steht ein Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO. Dieser hat das Profiling entweder selbst durchgeführt oder im Rahmen einer Auftragsdatenverarbeitung (vgl. Art. 4 Nr. 8 DSGVO) durchführen lassen.
Der Schwerpunkt von Art. 22 DSGVO liegt nicht auf dem Schutz der informationellen Selbstbestimmung des Betroffenen, wie es z. B. bei Art. 6 DSGVO der Fall ist. Für eine datenschutzrechtliche Norm ist Art. 22 DSGVO damit atypisch, denn sie schützt nicht primär „die Befugnis des einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“ Es geht um den Entscheidungsfindungsprozess des Verantwortlichen und die Rolle, die der Betroffene dabei spielt – nicht aber um die eigentliche Entscheidung, welche immer beim Verantwortlichen liegt. Sein privatautonomer Handlungsspielraum wird insoweit also nicht beschränkt. Mit Blick auf den Inhalt der getroffenen Entscheidung ist die Datenschutz-Grundverordnung wertneutral. Sie regelt in ihrem Artikel 22 nur das Verfahren.
Bei Analyse der von der Norm verwendeten Regel-Ausnahme-Methode und ihrem Zusammenspiel mit weiteren Normen, welche auf sie verweisen, zeigt sich, dass Art. 22 DSGVO darauf abzielt, dem Betroffenen vor und nach dem Fällen automatisierter Einzelentscheidungen Kenntnis über das Geschehen, vor allem aber auch eine Möglichkeit der Einflussnahme an die Hand zu geben. Art. 13 II lit. f, 14 II lit. g DSGVO stellen sicher, dass der Betroffene zu Beginn des Entscheidungsfindungsprozesses über Bestehen und Ausmaß des automatisierten Einzelentscheidungsprozesses informiert wird. Art. 22 III und IV DSGVO sichert „angemessene Maßnahmen“ zugunsten des Betroffenen in Form von aktiven Einflussnahmemöglichkeiten. Art. 15 I lit. h DSGVO gewährt dem Betroffenen zudem ein jederzeitiges Auskunftsrecht, welches inhaltlich den Informationspflichten entspricht.
Art. 22 DSGVO ist so konzipiert, dass der Betroffene dann, wenn eine der Ausnahmen vom grundsätzlichen Verbot des Art. 22 I DSGVO greift, durch „angemessene Maßnahmen“ geschützt wird. Dies bedeutet konkret, dass er immer eine menschliche Befassung mit der Entscheidung auf Seiten des Verantwortlichen verlangen kann. Wenn der Betroffene möchte, kann er so der Entscheidung ihren Charakter als reine „Computer-Entscheidung“ nehmen und das Verfahren beeinflussen. Macht der Betroffene von diesen Möglichkeiten Gebrauch, bedeutet dies allerdings nicht, dass dies sich auch zwangsläufig in einem anderen Ergebnis niederschlagen müsste. Das Ergebnis der Entscheidung wird von der Datenschutz-Grundverordnung nicht vorgegeben.
Der Schutz durch „angemessene Maßnahmen“ ergibt sich in den Fällen des Art. 22 II lit. a und c DSGVO unmittelbar aus Art. 22 III DSGVO. Zu diesen Maßnahmen gehören demnach „mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung“. Wenn die Union oder ein Mitgliedstaat sich auf Art. 22 II lit. b DSGVO stützen, um weitere Ausnahmetatbestände zu schaffen, müssen auch in diesem Rahmen „angemessene Maßnahmen“ zugunsten des Betroffenen vorgesehen werden. Obwohl diese inhaltlich nicht näher konkretisiert werden, spricht einiges dafür, auch im Falle des Art. 22 II lit. b DSGVO den gleichen Maßstab an Mindestabsicherung des Betroffenen zu verlangen, den Art. 22 II lit. a und c DSGVO vorsehen. Dafür sprechen zunächst der Sinn und Zweck der Datenschutz-Grundverordnung und des Art. 22 DSGVO. Auch ist kein Grund ersichtlich, warum bei der Schaffung neuer Ausnahmetatbestände ein anderes, ggf. niedrigeres Schutzniveau ausreichen sollte. Darüber hinaus zeigt die Verwendung des Ausdrucks „mindestens“ in Art. 22 III DSGVO, dass die dort vorgesehenen Maßnahmen nach dem Verständnis der Datenschutz-Grundverordnung das Minimum an notwendigem Schutz formulieren. Auch der Wortlaut von Erwägungsgrund 71 DSGVO lässt diese Wertung erkennen: Die in Art. 22 III DSGVO genannten Maßnahmen sollen demnach „[i]n jedem Fall“ gelten, wobei diese Formulierung nach Nennung aller in Art. 22 II DSGVO aufgeführten Ausnahmen verwendet wird.
b. Rolle der Transparenzpflichten
Art. 13 II lit. f DSGVO legt fest, dass der Verantwortliche dem Betroffenen im Zeitpunkt der ersten Datenerhebung folgende Informationen zur Verfügung stellen muss: „[D]as Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“ Wurden die Daten nicht direkt beim Betroffenen erhoben, ergibt sich eine inhaltlich identische Informationspflicht für den Verantwortlichen aus Art. 14 II lit. g DSGVO. Im letztgenannten Fall gelten für die Mitteilung die Fristen aus Art. 14 III DSGVO. Im Regelfall dürfte die Monatsfrist des Art. 14 III lit. a DSGVO ab Erlangung der Daten gelten. Hierbei ist zu beachten, dass es sich um eine Maximalfrist handelt, die in allen drei Varianten des Art. 14 III DSGVO gilt und vor dem Hintergrund der Wertungen des Art. 12 I, II DSGVO nicht grundsätzlich oder regelmäßig ausgereizt werden darf. In beiden Fällen müssen dem Betroffenen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung“ mitgeteilt werden, ohne dass dieser dies geltend machen muss. Art. 15 I lit. h DSGVO gibt dem Betroffenen zudem ein Auskunftsrecht an die Hand. Dieses stimmt vom Wortlaut her mit den genannten Informationspflichten in Art. 13 und 14 DSGVO überein und kann grundsätzlich jederzeit geltend gemacht werden.
Art. 13 II lit. f DSGVO kommt in zeitlicher Hinsicht also zu einem konkret festgelegten Zeitpunkt zum Tragen. Da die Informationen schon bei der Erhebung der Daten mitgeteilt werden müssen, kommt die Norm in zeitlicher Hinsicht grundsätzlich vor dem eigentlichen Profiling zur Anwendung. Der Informationspflicht aus Art. 14 II lit. g DSGVO muss innerhalb eines Monats genügt werden. Damit besteht für den Verantwortlichen ein gewisser zeitlicher Spielraum. Das Recht aus Art. 15 DSGVO hingegen deckt den kompletten Zeitraum ab der erstmaligen Datenerhebung ab und erstreckt sich damit auch auf die Situationen, in denen Profiling anhand der erhobenen Daten schon durchgeführt und darauf basierende Entscheidungen bereits getroffen worden sind. Die drei Normen dienen der Schaffung von Transparenz. Neben der ihnen innewohnenden freiheitssichernden Komponente besteht ihre Funktion darin, es dem Betroffenen zu erlauben, bei Bedarf seine datenschutzrechtlichen Betroffenenrechte geltend zu machen.
Da die Informationspflicht des Art. 13 II lit. f DSGVO bereits im Zeitpunkt der Datenerhebung besteht, kann der Verantwortliche dem Betroffenen zu diesem Zeitpunkt naturgemäß nur einen abstrakten Überblick über den Entscheidungs- und Wirkmechanismus des eingesetzten Verfahrens geben. Die Frage, wie weit die Informations- und Auskunftspflichten im Einzelfall reichen, bietet unter verschiedenen Blickwinkeln Anlass zu Diskussionen. Fraglich ist zunächst der Anwendungsbereich der Normen: Sind sie nur anwendbar, wenn automatisierte Einzelentscheidungen i. S. d. Art. 22 DSGVO vom Verantwortlichen vorgesehen sind, oder erstrecken sich die Informationspflichten und das Auskunftsrecht auch auf die vorgelagerte Stufe, nämlich das eigentliche Profiling, ohne dass der enge Anwendungsbereich des Art. 22 DSGVO zwingend eröffnet sein muss? Aus Sicht des hier vertretenen 3-stufigen Modells formuliert, geht es darum, ob die Transparenzpflichten auch die zweite Stufe erfassen oder nur die Entscheidungsfindungsprozesse auf der dritten Stufe. Die Frage des Anwendungsbereichs ist vor allem dann relevant, wenn die zweite und dritte Verarbeitungsstufe von verschiedenen Beteiligten durchgeführt und verantwortet werden, wie es z. B. im Verhältnis zwischen Auskunftei und Bank der Fall ist. Würden die genannten, spezifischen Transparenzpflichten nur im Anwendungsbereich des Art. 22 DSGVO zur Anwendung kommen, ergäben sich aus den genannten Normen z. B. keine Verpflichtungen für Auskunfteien, die Score-Werte über die Bonität von Privatpersonen generieren. Auskunfteien fällen nämlich in der Regel keine Entscheidungen i. S. d. Art. 22 I DSGVO.
Richtigerweise decken die sich aus Art. 13 II lit. f, 14 II lit. g und 15 I lit. h DSGVO ergebenden Transparenzpflichten auch Profiling-Maßnahmen ab, solange diese zumindest potenziell zu einer darauf folgenden Entscheidungsunterstützung herangezogen werden. Informationen über Profiling zum Zwecke der menschlichen Entscheidungsfindung (also außerhalb des Anwendungsbereichs von Art. 22 I DSGVO) sind von den Transparenzpflichten ebenso erfasst wie automatisierte Einzelentscheidungen, die keine rechtliche Wirkung bzw. erhebliche Beeinträchtigung i. S. d. Art. 22 I DSGVO zeitigen. Für diese Auslegung spricht der Wortlaut der Normen („zumindest in diesen Fällen“). Dieser Zusatz in Parenthese deutet darauf hin, dass die „Fälle“ Profiling und Entscheidungsfindung erfasst sein sollen. Bei Zugrundelegung einer engeren Auslegung, wonach bloß das Stadium der Entscheidungsfindung gemeint sein soll, hätte der Zusatz keine eigenständige Bedeutung mehr. Zudem lässt sich nur diese Auslegung der Transparenzpflichten mit dem Grundsatz der Transparenz gem. Art. 5 I lit. a DSGVO und dem Wortlaut des Erwägungsgrundes 60 DSGVO in Einklang bringen: „Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat.“ Der Hinweis auf die Folgen des Profilings legt die Annahme des weiter gefassten Anwendungsbereichs nahe. Kenntnis über die im Rahmen des Profilings erstellten Bewertungen ist zudem für den Betroffenen aus persönlichkeitsrechtlicher Sicht und mit Blick auf die genannten Funktionen der Transparenzpflichten (Freiheitswahrung und Absicherung der Betroffenenrechte) in aller Regel mindestens ebenso relevant wie das Wissen darüber, wie die Entscheidungsfindungsprozesse ausgestaltet sind. Funktional soll die Norm nämlich sicherstellen, dass der Betroffene seine Rechte aus der Datenschutz-Grundverordnung, aber auch solche aus anderen Regelwerken (wie z. B. dem Allgemeinen Gleichbehandlungsgesetz) tatsächlich geltend machen kann. Dafür sind Kenntnisse über den Ablauf des Profilings notwendig. All dies spricht dafür, den Anwendungsbereich der Normen nicht auf die wenigen Fälle zu beschränken, die sich im bloßen Anwendungsbereich des Art. 22 I DSGVO abspielen.
Neben der Frage des Anwendungsbereichs ist zudem fraglich, wie weitreichend diese Transparenzpflichten inhaltlich sind. So wird z. B. das Spannungsverhältnis zwischen den Informationspflichten gem. Art. 13 und 14 DSGVO bzw. dem Auskunftsrecht gem. Art. 15 DSGVO und dem Schutz von Geschäftsgeheimnissen der Verantwortlichen nicht aufgelöst. Erwägungsgrund 63 DSGVO erkennt dieses Problem zwar. Objektive Kriterien zu seiner Lösung werden allerdings nicht formuliert, sondern allenfalls angedeutet: „Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.“ Damit hängt die Frage zusammen, wie konkret die zum Einsatz kommenden Algorithmen bzw. die jeweils dahinterstehende Logik erläutert werden müssen. Eine weitreichende Offenlegungspflicht vertritt z. B. Franck, der aus Art. 13 II lit. f DSGVO eine recht umfassende Darstellungspflicht ableitet. Der konkrete Algorithmus muss demnach offengelegt und um „erklärende Bestandteile“ ergänzt werden. Auch La Diega sieht eine Pflicht zur gänzlichen Offenlegung des Algorithmus, verbunden mit Erläuterungen, die auch für Laien verständlich sind. Dies sei notwendig, um den Anforderungen von Art. 47 GRCh und Art. 6 und 13 EMRK (Recht auf wirksamen Rechtsbehelf/wirksame Beschwerde und auf ein faires Verfahren) zu genügen.
Derart weitreichende Offenlegungspflichten wären aber aus verschiedenen Gründen problematisch. In praktischer Hinsicht stellt sich das Problem, dass Algorithmen weiterentwickelt werden und sich teilweise auch „selber“ weiterentwickeln (sog. Machine Learning). In beiden Fällen müsste der Verantwortliche seine Mitteilungen dementsprechend anpassen. Je detaillierter die Transparenzpflichten sind, die man ihm abverlangt, desto häufiger sind Anpassungen notwendig. Es steht zu befürchten, dass solche Situationen vor dem Hintergrund der von Art. 12 I S. 1 DSGVO geforderten Transparenz und Verständlichkeit eher kontraproduktiv wirken. Im Fall des oben genannten Machine Learnings ist es für den Verantwortlichen zudem schwierig bzw. ab einer bestimmten ihm abverlangten Transparenzhöhe unmöglich, eine detaillierte Begründung einzelner gefundener Ergebnisse bzw. einzelner Entscheidungen zu präsentieren. Eine Mitteilung des Quellcodes oder von detaillierten Entscheidungsbäumen wäre zudem für Verbraucher aufgrund ihrer Komplexität kaum eine Hilfe und wäre deshalb mit Blick auf den Grundsatz der Transparenz und die Vorgaben in Art. 12 I S. 1 DSGVO problematisch und wenig zielführend. Auch die damit einhergehende Beeinträchtigung der Geschäftsgeheimnisse der Verantwortlichen dürfte in vielen Fällen unverhältnismäßig sein. Der Betroffene hat kein legitimes, schützenswertes Interesse daran, den Quellcode zu erfahren, da die technischen Details als solche für seine informationelle Selbstbestimmung völlig irrelevant sind. Für ihn geht es stattdessen darum, zu wissen, welche seiner personenbezogenen Daten wie verarbeitet werden und welche Folgen ihm daraus sicher oder möglicherweise erwachsen.
Zur inhaltlichen Konkretisierung der Transparenzpflichten scheint daher eine Orientierung am Wortlaut der Normen, ihrem Sinn und Zweck und der Systematik der Datenschutz-Grundverordnung hilfreich. Offenzulegen sind im Rahmen der Informationspflichten und des Auskunftsrechts „aussagekräftige Informationen“ über die „involvierte Logik“ sowie über „Tragweite“ und die „angestrebten Auswirkungen“ der Verarbeitung. Der Bezug auf die Aussagekraft der mitzuteilenden Informationen kann so verstanden werden, dass der in Art. 5 I lit. a und Erwägungsgrund 39 DSGVO formulierte datenschutzrechtliche Grundsatz der Transparenz effektiv umgesetzt wird. Dies gilt gerade auch mit Blick auf die Ermöglichung der Geltendmachung der Betroffenenrechte. Auch Art. 12 DSGVO nennt weitere, allgemeingültige Konkretisierungen dieses Grundsatzes. Und auch die Normen selbst beziehen sich einleitend auf die Gewährleistung einer „transparente[n] Verarbeitung“. Vor diesem Hintergrund müssen die anderen offenzulegenden Aspekte betrachtet werden. Die „Tragweite“ der Verarbeitung und die „angestrebten Auswirkungen“ beschreiben, wie sich das Treffen automatisierter, auf Profiling basierender Einzelentscheidungen auf den Betroffenen auswirkt, welche Konsequenzen also für ihn persönlich zu erwarten sind. Für die Auslegung der Normen hilfreich ist vor allem auch Art. 15 I lit. h DSGVO, welcher in zeitlicher Hinsicht durchaus nach der getroffenen (und ggf. ausgeführten) Entscheidung vom Betroffenen geltend gemacht werden kann. Dennoch wird auch in dieser Norm der Ausdruck „angestrebten Auswirkungen“ verwendet. Diese in die Zukunft gerichtete Formulierung deutet darauf hin, dass die Offenlegungspflicht sich auf die Erläuterung der Systemfunktionalität der „involvierten Logik“ auf einem eher abstrakten Niveau bezieht. Verlangt werden kann demnach eine aussagekräftige Erläuterung der Grundannahmen und Wirkmechanismen der eingesetzten Verfahren, mithin eine Darstellung, wie das Profiling und das ggf. darauf basierende Fällen von Entscheidungen konzeptionell ausgestaltet sind. Für den Betroffenen muss erkennbar sein, anhand welcher Kriterien Bewertungen erstellt und darauf aufbauende Entscheidungen getroffen werden. Das Wechselspiel zwischen seinem Verhalten bzw. seinen Eigenschaften und den für ihn daraus folgenden Konsequenzen darf nicht gänzlich abstrakt sein, sondern muss aussagekräftig erläutert werden. Ansonsten wären die Informationspflichten und das Auskunftsrecht wirkungslos. Für diese funktionale Auslegung der Normen spricht auch Erwägungsgrund 63 DSGVO, wonach der Betroffene das Recht hat, „zu wissen und zu erfahren (…) nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht.“
Der konkrete Umfang der Transparenzpflichten hängt auch entscheidend davon ab, in welchem Kontext und mit welchem Ziel Profiling verwendet wird. Setzt ein Musik- bzw. Video-Streamingdienst Profiling ein, um einem Kunden individualisierte Empfehlungen zu unterbreiten, ist eine allgemeiner gehaltene Information ausreichend. Man wird in diesem Kontext nicht verlangen können, dass jede einzelne Empfehlung erläutert und begründet wird. Die getroffenen Vorschläge basieren zwar auf Profiling, sind für den Betroffenen aber von geringer Relevanz und haben über den Informations- und Unterhaltungswert hinaus keine eigenständige Funktion. Vor allem sind die aufgrund der Ergebnisse des Profilings getroffenen Entscheidungen, die sich in der Anzeige bestimmter Vorschläge manifestieren, vom Nutzer in der Regel gewollt und steigern für ihn die Nutzbarkeit des erworbenen Dienstes. Daher genügt ein allgemeiner Verweis darauf, dass das Nutzerverhalten des Betroffenen mit statistischen Erkenntnissen über das Konsumverhalten von Nutzern mit ähnlichen Eigenschaften abgeglichen wird und die individuellen Empfehlungen aufgrund gefundener Korrelationen unterbreitet werden.
Deutlich weitreichender sind – als Gegenbeispiel – die Transparenzpflichten anzusetzen, denen Auskunfteien unterliegen. Im Bereich des Kredit-Scorings sind die für den Betroffenen möglicherweise erwachsenden Konsequenzen potenziell durchaus tiefgreifend, da ein schlechter Score-Wert ohne Weiteres dazu führen kann, dass ein Kredit nicht wie gewünscht vergeben wird. Der Score-Wert hat Einfluss auf das „Ob“ der Kreditvergabe und auf das „Wie“. Die genauen Modalitäten, wie z. B. Höhe des Zinssatzes, das Einfordern von Sicherheiten, Kredithöhe und Kreditlaufzeit werden regelmäßig vor allem von Score-Werten abhängig gemacht. Große Auskunfteien wie die Schufa sind zudem oft nicht nur im Kredit-Sektor tätig. Sie erstellen auch branchenspezifische Auskünfte, etwa über potenzielle Mietinteressenten, Kunden im Mobilfunksektor oder Versandhandelskunden. Aufgrund dieser weiten „Strahlwirkung“ auch auf Alltagsgeschäfte und aufgrund der deutlich stärkeren unmittelbaren Auswirkungen auf die Betroffenen sollte bei Anwendung der Transparenzpflichten gem. Art. 13 II lit. f, 14 II lit. g und 15 I lit. h DSGVO ein strengerer Maßstab angelegt werden.
c. Angemessene Maßnahmen als Schutzmechanismus
Art. 22 I DSGVO geht von der Prämisse aus, dass vollständig automatisierte Einzelentscheidungen grundsätzlich unzulässig sind. Dieses Verbot gilt ausnahmsweise nicht, wenn die Entscheidung „für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist“ (II lit. a) und im Falle des Vorliegens einer „ausdrücklichen Einwilligung“ des Betroffenen (II lit. c). Art. 22 II lit. b DSGVO enthält zudem eine Öffnungsklausel zugunsten von Union und Mitgliedstaaten.
Gemäß Art. 22 III DSGVO trifft den Verantwortlichen, der sich auf Art. 22 II lit. a bzw. lit. c DSGVO beruft, die Pflicht, „angemessene Maßnahmen [zu treffen], um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.“ Es obliegt also dem Verantwortlichen, institutionalisierte Vorkehrungen zu treffen, um diesen Pflichten nachzukommen und so einen effektiven Schutz des Betroffenen zu bewirken. Der Mindeststandard, den die Datenschutz-Grundverordnung vorsieht, um den Betroffenen vor ausnahmsweise zulässigen, vollständig automatisierten Einzelentscheidungen zu schützen, ist damit im weitesten Sinne ein Anspruch auf „inhaltliches Gehör“: Der Betroffene kann seinen Standpunkt geltend machen, der Verantwortliche muss einen menschlichen Entscheider einsetzen, und es muss eine reale Möglichkeit bestehen, dass die ursprüngliche Entscheidung inhaltlich abgeändert wird. Der Betroffene kann auf diese Weise erwirken, dass die zunächst automatisiert getroffene Entscheidung inhaltlich einzelfallbezogen neu gefällt und von einem Menschen verantwortet wird und dass sein Standpunkt dabei Berücksichtigung findet.
d. Besonderer Schutz sensibler Daten
Der dargestellte Interessenausgleich wird zugunsten des Betroffenen modifiziert, wenn sensible Daten i. S. d. Art. 9 I DSGVO verarbeitet werden. Art. 22 IV DSGVO verlangt, dass automatisierte Einzelentscheidungen im Falle der Verarbeitung sensibler Daten nur dann zulässig sind, wenn Art. 9 II lit. a bzw. lit. g DSGVO gilt. Im privatwirtschaftlichen Kontext bedeutet dies, dass immer eine „ausdrückliche Einwilligung“ gem. Art. 9 II lit. a DSGVO in die automatisierte Verarbeitung der sensiblen Daten vorliegen muss. Darüber hinaus muss – wie sonst auch – eine der Ausnahmen des Art. 22 II DSGVO greifen. Der Verweis des Art. 22 IV DSGVO auf „angemessene Maßnahmen“ zum Schutz des Betroffenen ist deklaratorisch, da er sich schon aus Art. 22 III und II lit. b DSGVO ergibt. Freilich sind bei Entscheidungen, die auf sensiblen Daten basieren, aufgrund der besonders hohen persönlichkeitsrechtlichen Relevanz und des gesteigerten Diskriminierungspotenzials tendenziell höhere Anforderungen an die Angemessenheit zu stellen, als es bei der Verarbeitung „regulärer“ personenbezogener Daten der Fall ist. Es kann daher durchaus geboten sein, vom Verantwortlichen Maßnahmen zu verlangen, die über den in Art. 22 III DSGVO definierten Mindestkatalog (vgl. die Formulierung „mindestens“) hinausgehen. Letztlich kommt es allerdings immer auf die konkrete Fallgestaltung an und darauf, wie stark die Gefährdung der Persönlichkeitsrechte des Betroffenen ausfällt und wie weitreichend und wahrscheinlich die Auswirkungen auf ihn im Einzelfall sind.
K. Wiedemann, Rechtliche Implikationen Profling-basierter Preispersonalisierung, Munich Studies on Innovation and Competition 20
Springer, Berlin, Heidelberg
https://doi.org/10.1007/978-3-662-67452-9_4
http://creativecommons.org/licenses/by/4.0/deed.de
Zur einfacheren Lesbarkeit wurden die Quell- und Literaturverweise entfernt.