Serie, Teil 3: Darf der Computer entscheiden, ob ein Bewerber einen Job bekommt, ein Mitarbeiter eine Gehaltserhöhung, ein Kreditwerber ein Darlehen? Auch diese Fragen sind Thema der neuen Datenschutz-Grundverordnung, die schon am 25. Mai in Kraft tritt.
Stark vereinfacht ist Big Data eine Datensuppe, in der alle möglichen Informationen schwimmen. Beim Profiling pickt der Computer Interessantes über eine Person heraus, analysiert es und trifft Vorhersagen, die rechtliche Konsequenzen haben können. Zum Beispiel: Aufgrund dieser Infos wird entschieden, ob ein Bewerber einen Job bekommt (oder eben nicht), ein Mitarbeiter eine Gehaltserhöhung (oder eben nicht) und ein Kreditwerber ein Darlehen (oder eben nicht).
Wie passt das zur Datenschutz-Grundverordnung (DSGVO)? Es sei paradox, sagen die Anwälte Michael Hecht und Alexander Kompein, Spezialisten bei der Kanzlei FWP, Big Data werde in der DSGVO nicht einmal erwähnt. Profiling schon, und es sei grundsätzlich nicht verboten. Geregelt sei nur, unter welchen Bedingungen es gemacht werden dürfe. Es gäbe Verbote auf dem Feld der rein automatisierten Entscheidung. Sprich: wenn ausschließlich der Computer über Job, Gehaltserhöhung oder Darlehen entscheidet. Trifft die Letztentscheidung ein Mensch, ist die DSGVO nicht zuständig.
Wann Profiling erlaubt ist
Doch sogar für die rein automatisierte Entscheidung gibt es Schlupflöcher. Das einfachste: Der Betroffene hat eingewilligt (siehe Teil 1 dieser Serie). Es genügt ein simples Häkchen im entsprechenden Zustimmungsfeld, hier allerdings mit besonderen Informationspflichten: „Ich muss ausdrücklich einwilligen, dass meine Daten für Profiling und automatische Entscheidungen verwendet werden dürfen“, erläutert Kompein, „und dazu muss ich über Logik und Tragweite aufgeklärt werden.“ Was einen Rattenschwanz an Informationen hinter sich ziehen könne.
Dann ist da noch die Sache mit dem Kopplungsverbot (siehe auch Teil 1): Es ist verboten, den eigentlichen Vertragszweck, z. B. die Bewerbung, von der Zustimmung zum Profiling abhängig zu machen. Die Bewerbung muss auch ohne Zustimmung bearbeitet werden – dann eben händisch. Kniffligen Einzelfällen sei zu juristischer Konsultation geraten.
Eine andere Lösung: Wo es nicht um die Daten konkreter Personen geht, etwa bei medizinischen Studien, bieten sich Anonymisierung oder Pseudonymisierung an. Bei Ersterer ist die Rückidentifizierung der Betroffenen nicht möglich, bei Letzterer schon. Ein Sonderfall ist der Handel mit Personendaten, früher Adresshandel genannt. Da verkauft der Pizzadienst seine Kundendatei an das Chinarestaurant ums Eck. Fortan flattert dem Pizzakunden auch Chopsuey-Werbung ins Haus. Für solche Werbepraktiken gibt es auch künftig zwei Erlaubnistatbestände, sagt Kompein: erstens wieder die Einwilligung des Kunden, zweitens die Interessenabwägung. Wessen Interessen wiegen schwerer, die geschäftlichen von Pizzadienst und Chinarestaurant oder die persönlichen der Privatsphäre?
AUF EINEN BLICK
Der erste Teil der „Presse“-Serie zur Datenschutz-Grundverordnung (DSGVO) beschäftigte sich mit ihren Hintergründen und den Rechten, die Menschen an ihren personenbezogenen Daten bekommen. Der zweite Teil widmete sich dem Verzeichnis der Verarbeitungstätigkeiten, das verpflichtend ab 25. Mai zu führen ist. Dieser dritte Teil hat Big Data und Profiling zum Thema. Alle Folgen sind nachzulesen unter www.diepresse.com/karriere.
Pech für alle Datenschützer: Direktwerbung gilt ausdrücklich als berechtigtes Interesse – sofern Datenkäufer und -verkäufer (beide!) ihre streng gefassten Informationspflichten erfüllen. Was in der Praxis amüsant werden kann: Die nötigsten Infos zur Datenweitergabe müssen nämlich auch auf dem Chopsuey-Flugblatt stehen, die Details auf beiden Homepages. Den Empfängern steht dann neben den sonstigen Betroffenenrechten (siehe Teil 1) ein besonderes Widerspruchsrecht zu.
("Die Presse", Print-Ausgabe, 17.02.2018)