2. Begriff der Einschränkung der Verarbeitung
a) Inhalt
109
Die Bedeutung des Begriffs „Einschränkung der Verarbeitung“ gem. Art. 4 Nr. 3 DSGVO erschließt sich nur im Zusammenspiel mit Art. 18 DSGVO. So enthält die Definition des Begriffs „Einschränkung der Datenverarbeitung“ eine Tautologie, indem die Markierung der Daten gerade zu dem Ziel der „Einschränkung der Datenverarbeitung“ erfolgen muss, ohne diesen Begriff jedoch inhaltlich weiter zu definieren. Auch wenn eine solche Tautologie in der englischsprachigen Fassung der DSGVO nicht enthalten ist,229 geht auch aus der dort verwendeten Definition der Inhalt der Einschränkung der Datenverarbeitung nicht hervor.
110
Dieser ergibt sich vielmehr aus Art. 18 DSGVO (siehe hierzu ausführlich Art. 18 Rn. 9ff.). So besteht das Recht der betroffenen Person auf Einschränkung der Verarbeitung der sie betreffenden Daten gem. Art. 18 DSGVO z.B. für die Dauer der entsprechenden Prüfung, wenn die betroffene Person die Richtigkeit der Daten bestreitet oder wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, die betroffene Person sie jedoch noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt (siehe zu den inhaltlichen Voraussetzungen des Rechts auf eingeschränkte Verarbeitung Art. 18 Rn. 10–23).
111
Die Einschränkung der Verarbeitung tritt damit oftmals an die Stelle der Löschung. So überwiegen in diesen Fällen die Gründe für eine weitere Speicherung und „eingeschränkte“ Verarbeitung der Daten die durch eine Löschung der Daten geschützten Interessen der betroffenen Personen.230
b) Rechtsfolgen
112
Sind Daten eingeschränkt i.S.d. Art. 18 DSGVO zu verarbeiten, dürfen sie gem. Art. 18 Abs. 2 DSGVO nur noch gespeichert und zu den in Art. 18 Abs. 2 DSGVO genannten engen Zwecken verarbeitet werden, wie z.B. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (siehe zum Umfang der nach Art. 18 Abs. 2 DSGVO erlaubten Verarbeitung ausführlich Art. 18 Rn. 28–34). Alle darüber hinausgehenden Datenverarbeitungen bedürfen der Einwilligung der betroffenen Person.
c) Mittel zur Umsetzung der Einschränkung der Verarbeitung
113
Die DSGVO gibt keine verpflichtenden Vorgaben, mit welchen technischen und organisatorischen Mitteln der Verantwortliche die eingeschränkte Verarbeitung der Daten zu realisieren hat, sondern überlässt die Wahl der Mittel dem Verantwortlichen. Allerdings führt der Verordnungsgeber in ErwG 67 verschiedene Beispiele hierfür auf. So können z.B. Daten, die nur noch eingeschränkt verarbeitet werden dürfen, für diese Dauer von den übrigen Daten separiert und in einem anderen Verarbeitungssystem gespeichert, für Nutzer gesperrt oder – soweit sie auf einer Webseite eingestellt wurden – von dieser vorübergehend entfernt werden. Auch wenn die Wahl der Mittel grundsätzlich dem Verantwortlichen übertragen wird, verlangt ErwG 67 für den Fall, dass Daten automatisiert, also rechnergestützt, verarbeitet werden, dass die Einschränkung grundsätzlich (auch) durch technische Mittel erfolgt, und zwar so, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Außerdem sollte nach ErwG 67 in dem automatisierten Datenverarbeitungssystem unmissverständlich darauf hingewiesen werden, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wurde (siehe zu den Anforderungen an die Umsetzung des Rechts auf Einschränkung der Verarbeitung ausführlich Art. 18 Rn. 27).
V. Profiling (Nr. 4)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
a) Profiling
114
Der Begriff „Profiling“ umfasst gem. Art. 4 Nr. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Bei dieser Begriffsdefinition, die erst durch einen Änderungsantrag des EU-Parlaments mit in die DSGVO aufgenommen wurde,231 handelt es sich um eine Neuerung. So enthielt die DSRl keine Definition des Begriffs „Profiling“.232 Die Art.-29-Datenschutzgruppe nimmt zu diesem Begriff in ihren Leitlinien zu automatisierten Einzelfallentscheidungen und Profiling Stellung.233
115
In der DSGVO wird der Begriff im Rahmen des Widerspruchsrechts in Art. 21 Abs. 1 und 2 DSGVO sowie im dazugehörigen ErwG 70 verwendet. Allerdings besitzt die Verwendung des Begriffs in den genannten Vorschriften keine besondere Relevanz, weil durch die Nennung des Begriffs in der jeweiligen Vorschrift nur klargestellt wird, dass sie unter den dort genannten Voraussetzungen auch das Profiling erfassen. Hierfür wäre eine ausdrückliche Nennung des Begriffs aber rechtlich nicht zwingend erforderlich gewesen, weil diese Vorschriften das Profiling auch ohne die ausdrückliche Nennung des Begriffs (schon) erfasst hätten. Lediglich in ErwG 60 könnte die Verwendung des Begriffs eine rechtliche Bedeutung haben, als hieraus folgen könnte, dass betroffene Personen auch über Profiling zu informieren sind, obwohl Art. 13 und 14 DSGVO dies nicht ausdrücklich vorschreiben (siehe Art. 13 Rn. 27 und Art. 14 Rn. 9).234 In ErwG 72 wird sodann noch klargestellt, dass Profiling den Vorschriften dieser Verordnung für die Verarbeitung personenbezogener Daten unterliegt und der Europäische Datenschutzausschuss Leitlinien hierfür herausgeben kann.
b) Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
116
Häufiger wird der Begriff im Rahmen der Regelungen zu automatisierten Einzelfallentscheidungen verwendet, so in den ErwG 63, 71 und 91 sowie in Art. 13 Abs. 2 lit. f, Art. 14 Abs. 2 lit. g,235 Art. 15 Abs. 1 lit. h,236 Art. 22,237 Art. 35 Abs. 3 lit. a,238 Art. 47 Abs. 2 lit. e239 und Art. 70 Abs. 1 lit. f240 DSGVO. Der Verordnungsgeber verwendet in diesen Vorschriften die Formulierung „automatisierte Entscheidung im Einzelfall einschließlich Profiling“, teilweise auch in leicht abgewandelter Form. Allerdings ist zu beachten, dass sich der Begriff des Profiling vom Begriff der automatisierten Einzelfallentscheidung unterscheidet.241 So ist eine automatisierte Entscheidung im Einzelfall gem. Art. 22 Abs. 1 DSGVO eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Mithin setzt eine solche Entscheidung also nicht zwingend ein Profiling voraus, sondern kann auch auf Basis einer anders gearteten („normalen“) Datenverarbeitung ergehen. Und auch wenn die datenverarbeitende Stelle Profiling einsetzt, müssen gem. Art. 22 Abs. 1 DSGVO noch weitere Voraussetzungen erfüllt sein, damit eine automatisierte Einzelfallentscheidung vorliegt. So muss z.B. noch eine Entscheidung getroffen werden und diese muss der betroffenen Person gegenüber auch rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.
117
Damit ist also nicht jedes Profiling automatisch eine automatisierte Einzelfallentscheidung i.S.d. Art. 22 DSGVO. Dies ist nur der Fall, wenn die in Art. 22 Abs. 1 DSGVO genannten Bedingungen erfüllt sind. Wenn der Verordnungsgeber also die Formulierung „automatisierte Entscheidung im Einzelfall einschließlich Profiling“ verwendet, soll dadurch nur klargestellt werden, dass auch Profiling unter den in Art. 22 DSGVO genannten Voraussetzungen eine automatisierte Einzelfallentscheidung sein kann.