Profiling ist in Art. 4 DSGVO als “jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte Aspekte einer Person zu bewerten, insbesondere um Aspekte bezüglich der beruflichen Leistungsfähigkeit, der finanziellen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, des Aufenthaltsorts oder der Ortswechsel dieser Person zu analysieren oder vorherzusagen”.

Grundsätzlich kann die Profilerstellung den Nutzern wichtige Vorteile bringen, da sie die Effizienz des Systems erhöhen, Ressourcen einsparen oder dazu beitragen könnte, einen besseren Service anzubieten. So könnte uns beispielsweise die Profilerstellung durch einen Smart-TV dabei helfen, Serien zu finden, die gut zu unseren Vorlieben passen, ohne dass wir viel Zeit damit verbringen müssen, sie selbst zu suchen. Es ist jedoch auch klar, dass es für obskurere, diskriminierende Zwecke eingesetzt werden könnte, die erhebliche Risiken für die Rechte und Freiheiten des Einzelnen mit sich bringen” und “bestehende Stereotypen und soziale Segregation verewigen” können, wenn keine angemessenen Sicherheitsvorkehrungen getroffen werden.

Besondere Vorsicht ist bei der Profilerstellung geboten, wenn die für die Verarbeitung Verantwortlichen beginnen, Daten zu vermischen. Der Abgleich verschiedener Arten von personenbezogenen Daten kann sensible Informationen über Einzelpersonen offenbaren. Manchmal enden diese Prozesse sogar damit, dass personenbezogene Daten besonderer Kategorien auf unbemerkte Weise verarbeitet werden. Beispielsweise kann die Vermischung von nicht besonderen Datenkategorien wie Daten über Vorlieben, Standort und Verbindungen zu sozialen Medien mit einem hohen Erfolgsgrad Rückschlüsse auf die sexuelle Orientierung von Personen oder ihre religiösen Überzeugungen zulassen. Dies kann geschehen, ohne dass sich die Betroffenen dessen bewusst sind. Diese Folgen sollten natürlich sorgfältig vermieden werden.

Um diese Probleme anzugehen, sollten KI-Entwickler über gute Kenntnisse von Artikel 22 DSGVO verfügen. Darin heißt es: “Betroffene Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die für sie rechtliche Folgen nach sich zieht oder sie in ähnlicher Weise erheblich beeinträchtigt.” Auf dieser Grundlage müssen einige wichtige Überlegungen angestellt werden.

• Erstens gilt das Verbot der “vollautomatischen Entscheidungsfindung” nur dann, wenn die auf einer solchen Technologie beruhende Entscheidung “eine rechtliche Wirkung auf eine Person hat oder diese in ähnlicher Weise erheblich beeinträchtigt“. Die EDPB-Leitlinien nennen als Beispiele dafür: die Ablehnung eines Auswahlverfahrens, die Verweigerung eines Kredits oder einer Versicherung oder die Anwendung unterschiedlicher Preise für dieselbe Gruppe. Es ist nicht erforderlich, dass eine große Anzahl von Menschen davon betroffen ist. In anderen Situationen ist es für den für die Verarbeitung Verantwortlichen nicht immer klar, ob die vollautomatisierte Entscheidungsfindung erhebliche Auswirkungen hat. In diesen Fällen empfehlen wir, sich vom DSB beraten zu lassen.
• Zweitens muss man bedenken, dass keine “ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung” vorliegt, wenn die Entscheidung von einem Menschen überprüft wird, der “bei der endgültigen Entscheidung auch andere Faktoren berücksichtigt”. Wenn ein Mensch nur bestätigt, was ein Werkzeug angibt, würde dies nicht als menschliches Eingreifen als solches gelten. Das menschliche Element muss über genügend Macht verfügen, um die Empfehlung des Tools zu korrigieren. Einige Faktoren, um dies zu beurteilen, könnten die Anzahl der Fälle sein, in denen der Mensch von der automatisierten Empfehlung abweicht, ob die Person innerhalb der Organisation Autonomie hat, um die Entscheidung zu treffen, und welche anderen Faktoren von der Person berücksichtigt werden, die nicht im automatisierten Modell enthalten sind.
• Darüber hinaus sieht Artikel 22 Absatz 2 einige Ausnahmen von diesem allgemeinen Verbot des Profilings oder der automatisierten Entscheidungsfindung vor. So wird in den von der A29WP veröffentlichten Leitlinien erklärt, dass das Verbot nicht gilt, wenn das Profiling oder die automatisierte Entscheidungsfindung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen erforderlich ist, durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der für die Verarbeitung Verantwortliche unterliegt, genehmigt wurde und diese Rechtsvorschriften auch geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person (technische und organisatorische Maßnahmen, Garantien usw.) vorsehen, oder auf der ausdrücklichen Einwilligung der betroffenen Person beruht. Das heißt, in diesen drei Fällen sind vollständig automatisierte Entscheidungsprozesse zulässig. Ein Dienst, der beispielsweise darin besteht, personalisierte Medieninhalte auf der Grundlage der von Ihnen angegebenen Präferenzen und Nutzungsdaten anzubieten, erfordert zwangsläufig ein Profiling. Wenn die “Notwendigkeit” nachgewiesen werden kann, ist ein vollständig automatisiertes Profiling zulässig.

Kasten 6: Profiling negativer Effekte und inferentielle Analytik Mögliche Überwachungs- und Profiling-Methoden, die zu Datenschutz- und Diskriminierungsproblemen in IoT-Systemen führen können: Profiling durch Datenrückschlüsse, sei es auf der Grundlage von Daten, die in erster Linie vom Subjekt zur Verfügung gestellt werden, oder von anderen Datenquellen (z. B. Internet-Browsing-Verhalten); Profilerstellung durch Verknüpfung von IoT-Datensätzen; die Profilerstellung, die erfolgt, wenn Daten an Dritte weitergegeben werden, die Daten mit anderen Datensätzen kombinieren (z. B. Produktlieferanten, technischer Support).

Daher kann das Profiling oder die automatisierte Entscheidungsfindung akzeptabel sein, wenn einer dieser Umstände zutrifft, vorausgesetzt, dass die Verarbeitung nicht in irgendeiner anderen Weise gegen die Datenschutzverordnung verstößt. Aber auch in diesen Fällen sollten zusätzliche Maßnahmen ergriffen werden. IoT-Entwickler sollten besonders vorsichtig sein, wenn sie mit besonderen Datenkategorien zu tun haben, die von den Systemen abgeleitet werden. Artikel 22 Absatz 4 enthält Einschränkungen in Bezug auf die Verwendung besonderer Datenkategorien für eine vollautomatisierte Entscheidungsfindung oder ein Profiling. In diesem Fall muss Art. 22 in Übereinstimmung mit Art. 9 GDPR ANGEWANDT WERDEN. Insbesondere bei besonderen Datenkategorien sind vollautomatisierte Entscheidungen nur mit ausdrücklicher Einwilligung der betroffenen Person (Artikel 9 Absatz 1 Buchstabe a) oder aus Gründen eines wichtigen öffentlichen Interesses auf der Grundlage bestehender Rechtsvorschriften (Artikel 9 Absatz 1 Buchstabe g) zulässig. Beispielsweise möchte ein für die Verarbeitung Verantwortlicher Profile von Bürgern erstellen, um die Wahrscheinlichkeit einer Virusinfektion zu ermitteln und eine Pandemie zu verhindern. Zu diesem Zweck sollen verschiedene Datenquellen, darunter auch Gesundheitsdaten, vermischt werden. Dies könnte als notwendig für den Schutz eines wesentlichen öffentlichen Interesses angesehen werden. Außerdem muss es EU- oder nationale Rechtsvorschriften geben, die diese Verarbeitung zulassen. Wenn alle diese Umstände erfüllt sind, ist Art. 9(2) (g) anwendbar, und der für die Verarbeitung Verantwortliche kann daher unter die Ausnahme von Art. 22(4) fallen, der dieses vollautomatisierte Profiling erlaubt.

In jedem Fall müssen alle anderen Verpflichtungen und Garantien erfüllt werden. Zum Beispiel Informationspflichten, Bewertung einer Umweltverträglichkeitsprüfung, usw. Darüber hinaus enthält Art. 22 Absatz 3 zusätzliche Garantien, die bei bestimmten vollautomatisierten Entscheidungen zu beachten sind, wie das Recht auf ein menschliches Eingreifen, das Recht, den Standpunkt der betroffenen Person darzulegen, und das Recht, die Entscheidung anzufechten. Die betroffenen Personen sollten über all diese Informationen und die entsprechenden Rechte und Maßnahmen, die sie ergreifen können, aufgeklärt werden.

Kasten 7: Ableitung von Daten. Beispiel “Unternehmen X hat eine Anwendung entwickelt, die durch die Analyse von Rohdaten aus Elektrokardiogrammsignalen, die von handelsüblichen Sensoren für Verbraucher erzeugt werden, in der Lage ist, Drogenabhängigkeitsmuster zu erkennen. Die Anwendungsengine kann spezifische Merkmale aus den EKG-Rohdaten extrahieren, die nach früheren Untersuchungsergebnissen mit dem Drogenkonsum in Zusammenhang stehen. Das Produkt, das mit den meisten auf dem Markt befindlichen Sensoren kompatibel ist, könnte als eigenständige Anwendung oder über eine Webschnittstelle, die das Hochladen der Daten erfordert, genutzt werden. Höchstwahrscheinlich wird die ausdrückliche Zustimmung die am besten geeignete Rechtsgrundlage für diese Verarbeitung sein”. Quelle: Art. 29 Stellungnahme der Datenschutzgruppe 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (SEP 16, 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

Wie bereits erwähnt, ist der Prozess der Profilerstellung “für die betroffene Person oft unsichtbar. Es funktioniert durch die Erstellung von abgeleiteten oder abgeleiteten Daten über Personen. Einzelpersonen haben unterschiedliche Verständnisniveaus und können es schwierig finden, die komplexen Techniken zu verstehen, die mit Profiling und automatisierten Entscheidungsprozessen verbunden sind”. ^[1]

1. Artikel-29-Datenschutzgruppe (2017) Leitlinien zur automatisierten Einzelentscheidung und zum Profiling für die Zwecke der Verordnung 2016/679. Angenommen am 3. Oktober 2017 in der zuletzt überarbeiteten und angenommenen Fassung vom 6. Februar 2018. Europäische Kommission, Brüssel, S.9. Verfügbar unter: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053. ↑