Profiling im Lichte der Datenschutz-Grundverordnung 3. Münchner Datenschutztag, 16.10.2014 Dr. Falk Böhm DSB Kabel Deutschland München, 16.10.2014 Profiling im Lichte des Verordnungsentw urfs C1 Öffentlich
Inhalt 1 Definition und praktische Bedeutung 2 Regelungsprogramm der Verordnung 3 4 5 Anwendungsfälle und Zulässigkeit Grundsätze des Profilings Fazit S / 2
1. Definition und praktische Bedeutung Definition: Profiling ist eine Form der automatisierten Datenverarbeitung zu dem Zweck, persönliche Aspekte einer natürlichen Person zu erfassen, insbesondere bestimmte Parameter ihres Lebens zu analysieren und vorherzusagen (Art. 4 Abs. 12a des Entwurfs zu einer Europäischen Datenschutz-Grundverordnung in der Fassung des Entwurfs des Europäischen Rats VO-E Bonitätscheck Customer Relationship Management Scoring/ Risiokomanagement Profiling Interne Prozessanalysen Targeted Advertisment S / 3
2. Regelungsprogramm der Verordnung Erwägungsgründe 21, 48, 51, 58, 59, 129 VO-E Art. 4 Nr. 12a VO-E Art. 4 Nr. 12b VO-E Gefährdungen im Hinblick auf Privatheit Grundsätzliche Anerkennung legitimer Fälle bei gleichzeitiger Transparenz Delegierte Rechtsakte der Kommission auf dem gemeinsamen Markt Erstmalige Definition des Begriffs der Profilbildung im Datenschutz Stark an einer potenziellen Gefährdung für den Betroffenen orientierte Definition Keine Berücksichtigung von Maßnahmen zur Sicherung der Betroffenenrechte auf dieser Ebene Erstmalige Definition des Begriffs des Profils im Datenschutz Orientierung am Zweck der Zuordnung zu einer natürlichen Person Art. 6 Nr. 1 lit. (f) VO-E Datenverwendung im berechtigten Interesse der verantwortlichen Stelle Art. 6 Abs. 2, Art. 83 VO-E Regelung der Verarbeitung personenbezogener Daten zu [ } statistischen Zwecken Grundsätzliche Gestattung der Verarbeitung Anforderung technisch-organisatorischer Sicherungsmaßnahmen Art. 19 Nr. 1 und Nr. 2a VO-E Widerspruchsrecht Art. 20 VO-E Datenverwendung auf Grundlage des Profilings, insbesondere i.r.d. automatisierten Einzelentscheidung Starke Orientierung an den Gefährdungen für den Betroffenen durch eine automatisierte Entscheidung allein auf Grundlage von Profilen ohne Einzelfallprüfung S / 4
3. Anwendungsfälle und Zulässigkeit Ohne Weiteres gem. Art. 6 Abs. 2, 83 VO-E zulässig Einwilligungsfreie automatisierte Einzelentscheidung auf Grundlage von Profiling im Rahmen des Art. 20 Abs. 1a und 1b VO-E Einwilligungsfreies Profiling im Rahmen des Art. 6 Abs.1 lit. (f)., 9 Abs. 2 VO-E, z.b. für werbliche Zwecke; Transparenz und u.u. Möglichkeit zum Widerspruch gem. Art. 19 Nr. 1 VO-E Nicht besonders legitimierte automatisierte Einzelentscheidungen nur mit Einwilligung. Art. 20 Nr. 1, 1a lit. (c) VO-E Einzelentscheidungen und Profiling allein auf Grundlage besonders sensibler Daten nur ausnahmsweise zulässig, Art. 20 Nr. 3 i.v.m. Art. 9 Abs. 2 VO-E Aggregierte/statistische Verwendung Erforderlich zur Vertragsdurchführung Sonstige Zwecke, z.b. Werbung Sonstige automatisierte Einzelentscheidung Verwendung besonders sensibler Daten S / 5
4. Grundsätze des Profilings Grundsätze innerhalb des Art 20 VO-E Echte Automatisierte Einzelentscheidungen nur in Ausnahmefällen Bekannte Anwendungsfälle (Scoring, Boni-Check, etc.) bleiben im Prinzip möglich Individualprüfungs- und Erläuterungspflichten Transparenz gegenüber den Betroffenen Information des Betroffenen als Grundlage für die Ausübung seiner Rechte Beschränkte Verwendung besonders sensibler personenbezogener Daten Schutz vor der Exposition besonders sensibler personenbezogener Informationen Allgemeine Grundsätze Zweckbindung Datensparsamkeit Datensicherheit Löschung S / 6
5. Fazit Regelungsziel für Profiling Boni-Check et. al. Profiling und Werbung Bereichsspezifischer Datenschutz Telekommunikation Offene Fragen Profiling als Grundlage automatisierter Einzelentscheidungen mit rechtlichen oder besonderen faktischen Folgen für den Betroffenen Nicht Profilbildung schlechthin Etablierte Anwendungsfälle bleiben - ggf. unter erhöhten (Transparenz-) voraussetzungen - zulässig Maßstab für die Zulässigkeit der Profilbildung zum Zwecke der Werbung ist grundsätzlich Art. 6 Abs. 1 lit. (f) VO-E Werbung als legitimes Interesse anerkannt; im Falle des Direktmarketings in den Grenzen des Widerspruchsrechts gem. Art. 19 Nr. VO-E Anwendungsbereich VO-E nach Art. 89 excl. E-Privacy-Richtlinie (2002/58/EG) Erhebung und Verwendung Verkehrs- und Standortdaten bzw. Vertraulichkeit der Kommunikation, Cookie-Thematik und Cold-Calling bleiben unberührt ( 15 Abs. 3 TMG, 88, 96 TKG, 7 UWG) Verarbeitung von Bestandsdaten im Übrigen nach den Grundsätzen der VO-E Maßstab erheblicher Auswirkungen gem. Art. 20 Nr. 1 VO-E Angemessenen Sicherungsmaßnahmen gem. Art. 20 Nr. 1b VO-E Bedeutung der umfassenden Def. In Art. 4 Nr. 12a VO-E außerhalb Art. 20 VO-E Grenzen des Rechts auf Widerspruch, Art. 19 Nr. 1 VO-E reasoned grounds S / 7
Kontakt DR. FALK BÖHM Bild Konzerndatenschutzbeauftragter Kabel Deutschland 85774 Unterföhring falk.boehm@kabeldeutschland.de S / 8
Danke für Ihr Interesse!