Jetzt anfragen
Glossar

Profiling

Profiling ist jede automatisierte Verarbeitung personenbezogener Daten, um persönliche Aspekte einer Person zu bewerten oder vorherzusagen – etwa Verhalten, Interessen oder Bonität. Die DSGVO stellt dafür besondere Anforderungen.

Was ist Profiling?

Profiling ist nach Art. 4 Nr. 4 DSGVO jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, persönliche Aspekte einer natürlichen Person zu bewerten – insbesondere um Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Interessen, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren oder vorherzusagen.

Typische Beispiele sind Bonitätsbewertungen (Scoring), Kaufempfehlungen im Onlinehandel, die Einordnung von Bewerbern oder verhaltensbasiertes Marketing. Sobald aus vorhandenen Daten automatisiert neue Bewertungen oder Prognosen erzeugt werden, liegt Profiling vor.

Rechtsgrundlage und Betroffenenrechte

Profiling braucht wie jede Verarbeitung eine Rechtsgrundlage, etwa eine Einwilligung oder ein berechtigtes Interesse. Besonders streng wird es bei automatisierten Entscheidungen im Einzelfall: Nach Art. 22 DSGVO hat eine Person grundsätzlich das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.

Betroffene haben in diesem Zusammenhang besondere Rechte:

  • das Recht auf transparente Information über das Bestehen von Profiling,
  • aussagekräftige Informationen über die involvierte Logik,
  • das Recht auf menschliches Eingreifen bei automatisierten Einzelentscheidungen,
  • ein besonderes Widerspruchsrecht, etwa gegen Profiling zu Direktwerbungszwecken.

Wann eine Datenschutz-Folgenabschätzung nötig ist

Umfangreiches Profiling, das die Grundlage für Entscheidungen mit Rechtswirkung bildet, gilt als Verarbeitung mit voraussichtlich hohem Risiko. In solchen Fällen ist häufig eine Datenschutz-Folgenabschätzung (DSFA) erforderlich, bevor die Verarbeitung beginnt.

Mit dem Einzug von KI-Systemen gewinnt das Thema an Brisanz, denn viele KI-Anwendungen sind im Kern Profiling-Werkzeuge. Hier greift zusätzlich der EU AI Act ineinander mit der DSGVO. Wer KI-gestützte Bewertungen einsetzt, sollte beide Regelwerke im Blick haben – dabei unterstützt meine Leistung KI-Datenschutz.

FAQ

Profiling – häufige Fragen

Ist Profiling generell verboten?

Nein. Profiling ist erlaubt, wenn eine Rechtsgrundlage vorliegt und die Transparenz- und Betroffenenrechte gewahrt werden. Strenger geregelt sind nur ausschließlich automatisierte Entscheidungen mit erheblicher Wirkung nach Art. 22 DSGVO.

Zählt Newsletter-Personalisierung schon als Profiling?

Wenn Inhalte automatisiert anhand des bisherigen Verhaltens ausgespielt werden, ja. Sie benötigen dann eine passende Rechtsgrundlage und müssen darüber transparent informieren.

Muss ich für Profiling immer eine DSFA durchführen?

Nicht immer, aber bei umfangreichem oder systematischem Profiling mit erheblichen Auswirkungen ist eine DSFA in der Regel verpflichtend.

Welche Rolle spielt der EU AI Act beim Profiling?

Setzen Sie für das Profiling ein KI-System ein, kommen die Pflichten des EU AI Act hinzu – zusätzlich zur DSGVO, die sie nicht ersetzt, sondern ergänzt.

Profiling rechtssicher gestalten

Sie werten Kunden- oder Bewerberdaten automatisiert aus? In einem kostenlosen Erstgespräch klären wir, welche Pflichten und Grenzen für Sie gelten.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen