Profiling

Profiling ist die automatisierte Bearbeitung von Personendaten um eine Person zu bewerten.

Die manuelle Bearbeitung von Personendaten ist kein Profiling.

Profiling ist laut Art. 5 Bst. f DSG die automatisierte Bearbeitung von Personendaten mit dem Zweck, persönliche Aspekte der Person zu bewerten.

Die Sammlung sensibler Daten ist noch kein Profiling. Profiling setzt voraus, dass eine subjektive Bewertung oder Prognose enthalten ist. Die Feststellung von Tatsachen (objektiven Sachverhalten) ist somit auch kein Profiling.

Profiling selber ist relativ unproblematisch. Anders sieht es aus, wenn durch das Profiling ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person entsteht.

Profiling mit hohem Risiko

Profiling mit hohem Risiko bringt ein hohes Risiko für die betroffene Person mit sich.

Wann das Risiko hoch ist, kann nur eingeschätzt werden. Im Zweifelsfall besser vorher eine nachweisbare Einwilligung einholen.

Profiling mit hohem Risiko wird in Art. 5 Bst. g DSG definiert und ist erfüllt, wenn die Bearbeitung ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Person mit sich bringt.

Laut dem DSG ist Profiling mit hohem Risiko die Verknüpfung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben. Diese Definition ist alles andere als eindeutig. Im Zweifelsfall sollte man sich aber absichern und im Voraus die nötigen Schritte ergreifen:

Vor dem Profiling muss eine Datenschutz-Folgeabschätzung durchgeführt werden. Falls trotz der geplanten Massnahmen das Risiko hoch bleibt, muss ein Datenschutzberater oder der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) konsultiert werden.
Für Profiling mit hohem Risiko ist immer die vorherige ausdrückliche Einwilligung der betroffenen Person nötig.
Wer Profiling mit hohem Risiko betreiben will, muss zudem ein Verzeichnis der Bearbeitungstätigkeiten führen.