Profiling und Nutzungsanalyse
Art. 20 DS-GVO aller drei Entwürfe befasst sich mit der Thematik des sog. Profiling. Nach dem Entwurf der Kommission hat eine natürliche Person das Recht, nicht einer auf einer rein automatisierten Verarbeitung von Daten basierenden Maßnahme unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie maßgeblich beeinträchtigt. Ähnlich umschreibt der Ratsentwurf, dass eine betroffene Person das Recht hat, nicht einer allein auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Bei genauem Vergleich der beiden Entwürfe fällt auf, dass der Kommissionsentwurf auf „Maßnahmen“ abzielt, wohingegen der Ratsentwurf eine „Entscheidung“ erwähnt. Der Anwendungsbereich des Kommissionsentwurfs dürfte vom Wortlaut her daher weiter sein, da Maßnahmen ja nicht unbedingt eine vorherige Entscheidung erfordern.
Der Parlamentsentwurf sieht vor, dass jede natürliche Person das Recht hat, dem Profiling zu widersprechen und die betroffene Person über dieses Recht in deutlich sichtbarer Weise zu unterrichten ist. Der Parlamentsentwurf definiert in Art. 4 Abs. 3a DS-GVO das Profiling als jede Form automatisierter Verarbeitung personenbezogener Daten, die zu dem Zweck vorgenommen wird, bestimmte personenbezogene Aspekte zu bewerten oder insbesondere die Leistungen der betroffenen Person oder ihr Verhalten zu analysieren. Eine ähnliche Definition findet sich in Art. 4 Abs. 12a DS-GVO des Ratsentwurfs.
Interessant ist die unterschiedliche Herangehensweise der drei Entwürfe an das Thema Profiling. So sehen der Entwurf der Kommission und des Rates ein Recht der betroffenen Personen vor, einer Maßnahme bzw. einer Entscheidung nicht unterworfen zu werden. Nach dem Entwurf des Parlaments können betroffene Person durchaus einer solchen Maßnahme bzw. Entscheidung unterworfen werden, sie besitzen dann eben nur ein Widerspruchsrecht.
Nach dem Entwurf des Rates besitzt die betroffene Person das entsprechende Recht jedoch nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist oder aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten zugelassen wird und diese Rechtsvorschriften geeignete Schutzmaßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen (Art. 20 Abs. 1a DS-GVO). Eine Ausnahme sei ebenfalls dann gelten, wenn die betroffene Person ausdrücklich (!) eingewilligt hat.
Die Entwürfe von Kommission und Parlament sehen hingegen in Abs. 2 Voraussetzungen vor, wann ein Profiling betroffener Personen überhaupt erst gestattet ist. Diese Voraussetzungen gelten jedoch nur dann, wenn es sich um Maßnahmen handelt, durch die sich rechtliche Konsequenzen für die betroffene Person oder ähnliche erhebliche Auswirkungen auf die Interessen, Rechte oder Freiheiten der betroffenen Person ergeben (so der Entwurf des Parlaments). Erlaubt es ein Profiling danach, wenn es für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist und dieser Abschluss oder die Erfüllung auf Wunsch der betroffenen Person erfolgt ist. Das Parlament stellt als zusätzliche Voraussetzungen auf, dass geeignete Maßnahmen ergriffen wurden, um die berechtigten Interessen der betroffenen Person zu wahren, wohingegen die Kommission das Ergreifen geeigneter Maßnahmen alternativ zu der Voraussetzung des Wunsches der betroffenen Person ausgestaltet. Nach beiden Entwürfen ist das Profiling auch dann erlaubt, wenn dies ausdrücklich aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten gestattet ist oder die betroffene Person eingewilligt hat (anders jedoch als der Entwurf des Rates, wird hier keine ausdrückliche Einwilligung verlangt).
Das Parlament möchte zudem vorsehen (Abs. 5), dass sich ein Profiling, welches Maßnahmen zur Folge hat, durch die sich rechtliche Konsequenzen für die betroffene Person ergeben, nicht ausschließlich oder vorrangig auf eine automatisierte Verarbeitung stützen darf und stets eine persönliche Prüfung enthalten muss.