1.
Einleitung ^
Profiling ist ein datenschutzrechtliches Reizwort. Im Rahmen der Revision des Datenschutzgesetzes war Profiling der letzte Zankapfel, der die Verabschiedung des revidierten Datenschutzgesetzes in die Länge zog. Dabei ist Profiling heute ein alltäglicher Vorgang, den sich viele Kund*innen wünschen, auch wenn sie einen anderen Begriff dafür verwenden würden. Viele der heute beliebtesten Angebote würden ohne Profiling nicht funktionieren.
2.
Profiling ist ein alltäglicher Vorgang ^
Profiling bezeichnet die automatisierte Analyse des Verhaltens, um Annahmen über Interessen und Präferenzen zu treffen oder voraussichtliches Verhalten vorherzusagen. Für viele Befürworter eines sog. starken Datenschutzes darf eine solche «Schubladisierung» nur unter strengen Voraussetzungen hingenommen werden.1 Idealisiert wird der datensparsame «Tante Emma» Laden, der Produkte für alle gleich präsentiert und in dem Kund*innen frei von jeder Beeinflussung jene Produkte auswählen, die ihren Bedürfnissen entsprechen. Kund*innen wissen schliesslich selbst am besten, welche Produkte sie möchten oder brauchen.
Mit der heutigen Realität hat diese Vorstellung nur wenig zu tun. Vor allem online dominieren heute auf Personalisierung aufbauende Geschäftsmodelle: Auf Streamingplattformen werden basierend auf dem bisherigen Nutzungsverhalten Inhalte empfohlen. In Online-Stores werden auf der Startseite jene Produkte angezeigt, die zum bisherigen Kaufverhalten passen und deshalb für die betreffende Kundin oder den betreffenden Kunden voraussichtlich interessant sind. Im Online-Lebensmittelhandel werden die von der betreffenden Kundin bzw. vom betreffenden Kunden häufig gekauften Produkte prominent platziert, damit Kund*innen sie nicht erst mühsam zusammensuchen müssen. Aber nicht nur online, auch offline sind personalisierte Angebote weit verbreitet, z.B. wenn Teilnehmer*innen eines Loyalitätsprogramms auf sie zugeschnittene Angebote oder Vergünstigungen erhalten.
Oft würde es ohne solche Personalisierung gar nicht mehr gehen: Schätzungen zufolge hat z.B. Amazon mehr als 12 Millionen Produkte im Sortiment – Bücher und Medien nicht mitgezählt.2 Auch der Schweizer Online-Store Digitec Galaxus hat bereits rund 3 Millionen Produkte im Angebot.3 Und die über 50’000 Titel auf Netflix reichen aus für mehr als vier Jahre «Binge-Watching» – rund um die Uhr.4 Sich in dieser Vielfalt ohne gezielte Hilfe zu orientieren, ist unmöglich. Kund*innen setzen eine personalisierte Präsentation deshalb zu Recht voraus und hätten wenig Verständnis, würde man sie mit dem riesigen Angebot ohne Hilfestellung alleine lassen. Solche Personalisierungen setzen aber ein Profiling im Sinne des Datenschutzrechts5 voraus. Ohne Profiling keine Personalisierung.
3.
Nur wenige Sonderregeln für Profiling ^
Das Datenschutzrecht definiert den Begriff des Profiling ausführlich, hält aber kaum Rechtsfolgen dafür parat. Dies überrascht angesichts der bis zuletzt intensiv geführten Debatten. Tatsache ist aber, dass Profiling in fast jeder Hinsicht eine ganz «normale» Bearbeitung von Personendaten ist, bei der die üblichen Vorschriften zu beachten sind, allen voran die Bearbeitungsgrundsätze wie Transparenz, Zweckbindung und Verhältnismässigkeit. Wie jede andere Bearbeitung von Personendaten muss auch ein Profiling nur dann speziell gerechtfertigt werden, wenn die Bearbeitungsgrundsätze nicht eingehalten werden können oder anderweitig eine Persönlichkeitsverletzung vorliegt.6 Im Anwendungsbereich der DSGVO, wo jede Datenbearbeitung gerechtfertigt werden muss, stehen für die Rechtfertigung eines Profiling sämtliche Rechtsfertigungsgründe von Art. 6 DSGVO zur Verfügung.
Nur ganz vereinzelt finden sich im Datenschutzrecht Vorschriften, die sich spezifisch auf Profiling beziehen. Erwähnenswert ist insbesondere das in der DSGVO vorgesehene jederzeitige und unbedingte Widerspruchsrecht gegen Profiling, soweit es mit Direktmarketing in Verbindung steht.7 In der Schweiz wurde ein ähnliches Widerspruchsrecht gegen Profiling ebenfalls vorgeschlagen, in den parlamentarischen Beratungen aber verworfen.8
Nur wenn bestimmte qualifizierende Merkmale hinzutreten, sieht das Datenschutzrecht ein paar Sondervorschriften vor, die es neben den üblichen Vorgaben zu beachten gilt. Im Anwendungsbereich der DSGVO liegt ein qualifiziertes Profiling dann vor, wenn das Profiling als Grundlage für Entscheidungen dient, die rechtliche Konsequenzen für die betroffene Person haben oder sie in anderer Weise erheblich beeinträchtigen.9 Das ist in der Unternehmenspraxis aber nur selten der Fall, jedenfalls im Zusammenhang mit Marketingzwecken. Unter dem revidierten DSG liegt die Schwelle für ein qualifiziertes Profiling – genannt «Profiling mit hohem Risiko» – tiefer: Es liegt schon dann vor, wenn es eine Beurteilung wesentlicher Aspekte der Persönlichkeit erlaubt.10 Das wird häufiger der Fall sein.11 Weshalb der Schweizer Gesetzgeber ohne Not einen «Swiss Finish» geschaffen hat und nicht einfach das Kriterium der DSGVO übernommen hat, ist unverständlich.12
Liegt ein qualifiziertes Profiling vor, bedeutet dies vor allem, dass eine formalisierte Datenschutz-Folgenabschätzung durchgeführt werden muss, in deren Rahmen die Risiken für betroffene Personen systematisch bewertet und ggf. Abhilfemassnahmen definiert werden.13 Diese Rechtsfolge greift gleichermassen unter der DSGVO wie unter dem revidierten DSG. Unter dem revidierten DSG gilt bei einem qualifizierten Profiling zusätzlich, dass eine ggf. eingeholte Einwilligung ausdrücklich erfolgen muss, sich die Einwilligung also auf das Profiling als solches beziehen muss.14 Was manchem Parlamentarier wohl nicht bewusst war, sich aus der Systematik des Gesetzes aber klar ergibt: Das Erfordernis der Ausdrücklichkeit gilt nur, wenn das Profiling effektiv auf eine Einwilligung gestützt wird. Es bedeutet aber nicht, dass in jedem Fall eines Profiling mit hohem Risiko auch tatsächlich eine Einwilligung eingeholt werden muss.15 Auch bei einem Profiling mit hohem Risiko gilt vielmehr, dass eine Einwilligung nur erforderlich ist, wenn die Bearbeitungsgrundsätze nicht erfüllt werden können und kein anderer Rechtfertigungsgrund greift.
Das Datenschutzrecht enthält noch einzelne weitere Sondervorschriften für ein qualifiziertes Profiling, auf die vorliegend aber nicht weiter eingegangen wird.16
4.
Handlungsempfehlungen für die Praxis ^
Um die vorstehend skizzierten datenschutzrechtlichen Vorgaben an Profiling in der Unternehmenspraxis zu navigieren, empfiehlt sich eine Orientierung an folgenden Handlungsempfehlungen:
Erstens sollte in Geschäftsbedingungen, Datenschutzhinweisen sowie weiteren Angebotsbeschreibungen deutlich gemacht werden, dass die Personalisierung ein wesentlicher Leistungsbestandteil ist und in erster Linie im Interesse der Kund*innen ist. Dies stellt einerseits die Transparenz gegenüber Kund*innen sicher, stärkt andererseits aber auch das Argumentarium in der Frage des Rechtfertigungsgrunds der Bearbeitung (soweit ein solcher ausserhalb des Anwendungsbereichs der DSGVO überhaupt erforderlich ist). Nicht nur erschliesst es die Vertragserfüllung als möglichen Rechtfertigungsgrund, sondern hilft auch bei der Begründung eines berechtigten Interesses für die Bearbeitung.17
Zweitens sollte die Nutzung der mittels Profiling abgeleiteten Präferenzdaten möglichst auf leistungs- und vertragsnahe Zwecke begrenzt bleiben. Dazu gehören neben der Erbringung der Leistung selbst auch andere mit der Leistungserbringung oder der Vertragsabwicklung zusammenhängende Vorgänge, z.B. die Entscheidung, welche Zahlungsmöglichkeiten und andere Vertragsmodalitäten beim Vertragsschluss zur Verfügung stehen, sowie Marketingzwecke. Eine personenbezogene Nutzung für sachfremde Zwecke ohne jeden Zusammenhang mit der Kernleistung sollte hingegen unterbleiben.18
Drittens empfiehlt es sich, Nutzern wo sinnvoll und technisch möglich ein Opt-out-Recht einzuräumen – also die Möglichkeit, Personalisierung mitsamt des vorgelagerten Profiling «auszuschalten». Dafür sprechen zunächst rechtliche Überlegungen: Einerseits wird damit im Anwendungsbereich der DSGVO dem jederzeitigen Widerspruchsrecht gegen Profiling mit Direktmarketingbezug entsprochen.19 Andererseits operationalisiert ein Opt-out-Recht in Fällen, in denen das Profiling auf eine Einwilligung gestützt wird, das Recht auf Widerruf der Einwilligung.20 Zudem trägt ein Opt-out-Recht dem Leitgedanken des «Privacy by Design» Rechnung.21 Aber auch nicht-rechtliche Überlegungen legen ein solches Recht nahe: Kund*innen erwarten heute einfach, auf die Bearbeitung ihrer Daten in relevanter Weise Einfluss nehmen zu können. Idealerweise sollte das Opt-out über Profileinstellungen einfach ausübbar zugänglich gemacht werden.
Viertens, schliesslich, sollte in Fällen, in denen das Profiling eine gewisse Intensität erreicht oder dafür Daten aus unterschiedlichen Quellen verknüpft werden, eine Datenschutz-Folgenabschätzung durchgeführt werden. Wie gesehen ist eine Datenschutz-Folgenabschätzung jedenfalls dann obligatorisch, wenn die Schwelle des qualifizierten Profiling überschritten wird. Eine Datenschutz-Folgenabschätzung ist aber generell empfehlenswert, um in einem formalisierten Prozess die Risiken für betroffene Personen systematisch zu bewerten und Massnahmen zu ihrer Mitigierung zu definieren.
5.
Fazit ^
Der schlechte Ruf, den das Profiling hat, ist in vielen Fällen nicht berechtigt. Häufig ist Profiling eine notwendige Voraussetzung, um Kund*innen die nötige Orientierung gewährleisten und die gewünschte Ausrichtung auf individuelle Bedürfnisse bieten zu können. Hinzu kommt, dass Profiling zunehmend auch für den Schutz von Kund*innen vor Betrug und Cyberkriminalität eingesetzt wird. Wenn ein paar Handlungsempfehlungen berücksichtigt werden, können die an ein Profiling gestellten datenschutzrechtlichen Anforderungen insgesamt recht gut gemeistert werden.
Der Umgang mit Profiling sollte aber nicht auf eine juristische Betrachtung beschränkt bleiben. Neben dem rechtlichen Datenschutz zählt auch der gefühlte Datenschutz.22 Auch wenn eine Bearbeitung rechtskonform ist, kann die Reputation eines Unternehmens Schaden nehmen, wenn dem Vorgang aus Sicht von Kund*innen etwas Anstössiges anhaftet. Ein Fokus sollte deshalb auf die Kundenkommunikation und die Medienarbeit gelegt werden.23 Wem es nicht gelingt, Kund*innen den Nutzen eines Profiling zu vermitteln, muss über die Bücher gehen.
Matthias Glatthaar, Dr. iur., LL.M. (Harvard), Rechtsanwalt, CIPP/E, CIPM. Der Autor ist Leiter Datenschutz & Digitalisierung beim Migros-Genossenschafts-Bund, Zürich. Er gibt seine persönliche Meinung wieder.
- 1 Auch für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ist Profiling in erster Linie ein gefahrengeneigter Vorgang, vor dem betroffene Personen zu schützen sind und der grundsätzlich nur mit Einwilligung hinnehmbar ist; siehe z.B. Tätigkeitsbericht 2020/2021 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, S. 37.
- 2 «How Many Products Does Amazon Carry?», Retail Touchpoints, abrufbar unter https://retailtouchpoints.com/resources/how-many-products-does-amazon-carry. Werden Drittverkäufer auf Amazon Marketplace mitgezählt, steigt die Zahl auf 353 Millionen.
- 3 «Digitec Galaxus peilt Österreich an», Handelszeitung, 18. April 2019, abrufbar unter https://www.handelszeitung.ch/unternehmen/digitec-galaxus-peilt-osterreich.
- 4 «Netflix shows would take you four years to watch», The Times, 29. Mai 2019, abrufbar unter https://www.thetimes.co.uk/article/netflix-shows-would-take-you-four-years-to-watch-bcksqb7b0; « How Long Would It Take To Watch All Of Netflix?», What’s on Netflix, 31. März 2020, abrufbar unter https://www.whats-on-netflix.com/news/how-long-would-it-take-to-watch-all-of-netflix/.
- 5 Wenn im Folgenden von «Datenschutzrecht» gesprochen wird, ist damit das neue, totalrevidierte Schweizer Datenschutzgesetz (revDSG) sowie die auch für Schweizer Unternehmen häufig relevante Europäische Datenschutz-Grundverordnung (DSGVO) gemeint.
- 6 Art. 30 Abs. 2 i.V.m. Art. 31 Abs. 1 revDSG.
- 7 Art. 21 Abs. 2 DSGVO.
- 8 Auch das revidierte DSG enthält aber weiterhin eine generelle Widerspruchsmöglichkeit gegen jegliche Bearbeitung von Personendaten; Art. 30 Abs. 2 revDSG.
- 9 Art. 35 Abs. 3 lit. a DSGVO.
- 10 Art. 5 lit. g revDSG.
- 11 Noch nicht geklärt ist, ob schon das abstrakte Risiko, das mit der Beurteilung wesentlicher Aspekte der Persönlichkeit verbunden ist, zu einem «Profiling mit hohem Risiko» führt (so Emilie Jacot-Guillarmod, Le profilage à risque élevé de la nLPD : réflexions autour d’un monstre de Frankenstein, 24. August 2021, abrufbar unter https://swissprivacy.law/86/; David Vasella, Überlegungen zum Profiling mit hohem Risiko, datenrecht.ch, 23. November 2020, abrufbar unter https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/), oder ob auf das konkrete Risiko abzustellen ist, das sich erst aus einer separaten Risikobewertung ergibt (so David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020, N 27).
- 12 Dazu schon Matthias Glatthaar, The Good, the Bad and the Ugly: Gedanken zum neuen Datenschutzgesetz, datenrecht.ch, 16. März 2021, abrufbar unter https://datenrecht.ch/the-good-the-bad-and-the-ugly-gedanken-zum-neuen-datenschutzgesetz/.
- 13 Art. 35 Abs. 3 lit. a DSGVO bzw. Art. 22 Abs. 1 i.V.m. Art. 5 lit. g revDSG.
- 14 Art. 6 Abs. 7 revDSG.
- 15 David Vasella, Neues DSG: kein grundsätzliches Einwilligungserfordernis beim Profiling, auch nicht bei hohem Risiko, datenrecht.ch, 25. September 2020, abrufbar unter https://datenrecht.ch/neues-dsg-kein-grundsaetzliches-einwilligungserfordernis-beim-profiling-auch-nicht-bei-hohem-risiko/. Ebenso David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020, N 42.
- 16 Darunter unter der DSGVO die Einschränkung der möglichen Rechtfertigungsgründe, wenn das qualifizerte Profiling Grundlage einer vollautoamtisierten Entscheidung ist; vgl. Art. 2 Abs. 2 DSGVO. Oder unter dem revidierten DSG der Ausschluss eines überwiegenden Interesses für Kreditwürdigkeitsprüfungen, soweit sie auf qualifiziertem Profiling beruhen; Art. 31 Abs. 2 lit. c revDSG.
- 17 Zum berechtigten Interesse an einem Profiling zu Marketingzwecken siehe David Vasella, Zum berechtigten Interesse im Bereich des Direktmarketing, datenrecht.ch, 4. August 2018, abrufbar unter https://datenrecht.ch/zum-berechtigten-interesse-im-bereich-des-direktmarketing/.
- 18 Ein extremes Beispiel wäre die Nutzung für politische Zwecke im Stil von Cambridge Analytica. Siehe dazu «How Trump Consultants Exploited the Facebook Data of Millions», The New York Times, 17. März 2018, abrufbar unter https://www.nytimes.com/2018/03/17/us/politics/cambridge-analytica-trump-campaign.html?.
- 19 Art. 21 Abs. 2 DSGVO.
- 20 Art. 7 Abs. 3 DSGVO.
- 21 Art. 25 DSGVO bzw. Art. 7 revDSG.
- 22 Zum Konzept des «gefühlten Datenschutzes»: David Rosenthal, Die rechtlichen und gefühlten Grenzen der Zweitnutzung von Personendaten, in: sic! 4/2021.
- 23 Es empfiehlt sich, in der Kommunikation die Personalisierung und nicht das Profiling in den Vordergrund zu stellen. Profiling ist und bleibt kein wohlklingender Begriff.