2. Begriff des Profiling
118
Die Definition des Profiling in Art. 4 Nr. 4 DSGVO beinhaltet drei Voraussetzungen: 1. Die Datenverarbeitung muss automatisiert erfolgen, 2. die Verarbeitung muss sich auf personenbezogene Daten beziehen, 3. die Verarbeitung muss erfolgen, um bestimmte persönliche Aspekte zu bewerten, die sich auf die betroffene Person beziehen.244
a) Automatisierte Datenverarbeitung
119
Automatisiert erfolgt die Datenverarbeitung, wenn die Daten durch automatisierte Mittel, also rechnergestützt verarbeitet werden (siehe Art. 2 Rn. 9).245 Allerdings bedeutet dies nicht, dass jede menschliche, also manuelle Tätigkeit im Rahmen des Profiling gleich dazu führen würde, dass die Tätigkeit kein Profiling i.S.d. Art. 4 Nr. 4 DSGVO mehr darstellen kann.246
b) Verarbeitung in Bezug auf personenbezogene Daten
120
Dass sich die Datenverarbeitung auf personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO beziehen muss, ist evident, da sonst der sachliche Anwendungsbereich der DSGVO gem. Art. 2 Abs. 1 DSGVO schon gar nicht eröffnet wäre. Für den Begriff des personenbezogenen Datums kann auf die Kommentierung zu Art. 4 Nr. 1 DSGVO oben unter Rn. 2ff. verwiesen werden.
c) Zweck der Datenverarbeitung: Bewertung bestimmter persönlicher Aspekte
121
Entscheidend für die Qualifikation eines Datenverarbeitungsvorgangs als „Profiling“ ist ganz regelmäßig der Zweck, der mit der jeweiligen Datenverarbeitung verfolgt wird. Damit ein Profiling i.S.d. Art. 4 Nr. 4 DSGVO vorliegt, muss der Zweck der Datenverarbeitung in der Bewertung bestimmter persönlicher Aspekte bestehen, die sich auf eine natürliche Person beziehen. Solche persönlichen Aspekte können nach Art. 4 Nr. 4 DSGVO z.B. die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönliche Vorlieben, Interessen, die Zuverlässigkeit, das Verhalten, der Aufenthaltsort oder Ortswechsel dieser natürlichen Person sein, die im Rahmen des Profilings analysiert oder vorhergesagt werden. Diese Auflistung ist aber nicht abschließend. So können auch andere persönliche Aspekte, wie z.B. die DNA, die (ethnische) Herkunft oder die Körpersprache, im Rahmen eines Profilings bewertet werden. Oftmals werden für eine solche Bewertung Daten aus verschiedenen Quellen zusammengeführt und ausgewertet,247 so z.B. oftmals beim Scoring, bei bestimmten Online Behavioral Advertising-Diensten oder im Rahmen von Big Data.
122
Die Bewertung bestimmter persönlicher Aspekte erfordert eine Einschätzung bzw. Beurteilung/Wertung der Persönlichkeit der betroffenen Person.248 Deshalb stellt die reine Segmentierung von Listen anhand bestimmter Kriterien zu statistischen Zwecken oder um einen aggregierten Überblick zu erhalten, kein Profiling i.S.d. Art. 4 Nr. 4 DSGVO dar, so z.B. die Analyse von Käufer- oder Nutzergruppen anhand bestimmter Kriterien wie Alter, Geschlecht etc.249 Demgegenüber wird z.B. regelmäßig im Rahmen des Kredit-Scorings, des Online Behavioral Advertisings, des Direktmarketings oder teilweise auch im Rahmen von Bewerbermanagement-Tools die Persönlichkeit der betroffenen Person bewertet.
123
Keine Rolle bei der Qualifikation eines Datenverarbeitungsvorgangs als Profiling i.S.d. Art. 4 Nr. 4 DSGVO spielt der Umstand, durch welche Technologie das Profiling erfolgt. So ist die DSGVO gem. ErwG 15 technologieneutral. Für das Vorliegen von Profiling i.S.d. Art. 4 Nr. 4 DSGVO ist es zudem irrelevant, ob die Bewertung der Person im Rahmen des Profiling richtig oder falsch bzw. vollständig oder unvollständig ist. Allerdings sind diese Umstände im Rahmen der Zulässigkeit der Datenverarbeitung zu berücksichtigen, insbesondere vor dem Hintergrund des Grundsatzes der Richtigkeit gem. Art. 5 Abs. 1 lit. d DSGVO.250
VI. Pseudonymisierung (Nr. 5)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
124
Die Pseudonymisierung spielt als Schutzmechanismus für personenbezogene Daten unter der DSGVO eine prominentere Rolle als noch unter der alten Rechtslage. In Art. 4 Nr. 5 DSGVO ist die Pseudonymisierung definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.
125
Die Pseudonymisierung ist mithin ein Werkzeug, durch das die Identität einer betroffenen Person verschleiert bzw. die Identifizierung erschwert werden kann, indem die direkt identifizierenden Merkmale von den anderen Informationen getrennt und durch ein Ersatzkennzeichen, das Pseudonym,251 ersetzt werden. Im Gegensatz zur Anonymisierung (zur Abgrenzung siehe bereits oben Rn. 54) behält sich der Verantwortliche jedoch eine separate Zuordnungsmöglichkeit bei (z.B. eine Zuordnungstabelle oder einen Schlüssel). Beispiele für Pseudonyme können Nutzerkennungen, E-Mail-Adressen, öffentliche bzw. private Schlüssel (z.B. in Blockchains) und Künstler- oder Decknamen sein,252 wobei stets gesondert geprüft werden muss, ob tatsächlich eine wirksame Pseudonymisierung i.S.v. Art. 4 Nr. 5 DSGVO vorliegt (dazu unten Rn. 124ff.). Die Pseudonymisierung ist ein wichtiger Bestandteil vieler neuer Technologien, wie z.B. Datenanalyse im Rahmen von Augmented Reality,253 Big Data,254 Car-to-Car-Communication,255 HealthTech,256 InsurTech257 und Blockchains.258
126
Pseudonyme Daten werden selbst nicht ausdrücklich definiert, aus der Definition der Pseudonymisierung in Art. 4 Nr. 5 DSGVO lässt sich jedoch schließen, dass pseudonyme Daten personenbezogene Daten sind, die „ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.
127
Neben der Definition in Art. 4 Nr. 5 DSGVO und den begleitenden Erwägungen in ErwG 26 Satz 2, 28, 29, 78 Satz 3 hält die DSGVO keine Erläuterungen vor, wie genau eine Pseudonymisierung erreicht werden kann. Hierfür sind wiederum die noch zur DSRl getätigten Ausführungen der Art.-29-Datenschutzgruppe hilfreich.259 Die DSRl sah keine Definition der Pseudonymisierung vor; auf deutscher Gesetzesebene existierte eine entsprechende Begriffsbestimmung in § 46 Nr. 5 BDSG, die jedoch lediglich für die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen Anwendung findet und – mit marginalen Abweichungen – den Wortlaut von Art. 4 Nr. 4 DSGVO wiedergibt.
2. Rechtliche Wirkung und Anreize
128
Nach ErwG 26 Satz 2 sind einer Pseudonymisierung unterzogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden können, als Informationen über eine identifizierbare natürliche Person, also als personenbezogene Daten (siehe dazu oben Rn. 55), zu betrachten. Rechtlich gesehen bewirkt eine Pseudonymisierung unter der DSGVO somit keine umfassende