Datenschutz bei Profiling und Scoring

Pi mal Daumen minus Adresse = Sorry, du bist uns zu arm

Profiling im Alltag: Versicherung aus dem Automaten
Bei der Suche nach einer Autoversicherung stößt du auf einen Anbieter, der eine Police basierend auf deinem Fahrverhalten im Programm hat. Es wird ein Wahrscheinlichkeitswert ermittelt, der abbilden soll, wie riskant dein Fahrstil ist. Während des Autofahrens werden dafür Daten erhoben, zum Beispiel zu Bremswegen, Geschwindigkeiten, Fahrtdauer und -länge. Die Versicherung erklärt dir, dass diese Daten miteinander verknüpft werden, um auf diese Weise vollautomatisch die Höhe der Versicherungsprämie zu bestimmen.

Solche Erklärungen zur Bedeutung und Auswirkungen sind bei automatisierten Entscheidungen notwendig: Profiling darf nur in engen Grenzen stattfinden und du hast außerdem Eingriffsmöglichkeiten.

Was Profiling bedeutet: Die Vermessung deiner Person anhand von jeder Menge Daten

Profiling ganz allgemein heißt, dass deine Daten analysiert werden, um dich einer bestimmten Gruppe oder Kategorie zuzuordnen und/oder Aussagen über dein zukünftiges Verhalten zu machen. Ein solches Personenprofil wird dann zum Beispiel dafür genutzt, um dir personalisierte Werbung anzuzeigen. Ein spezieller Fall des Profilings ist das Scoring, welches vor allem bei der Kreditvergabe zur Anwendung kommt. Basierend auf deinen Daten wird dabei berechnet, wie wahrscheinlich es ist, dass und wie du einen Kredit zurückbezahlen wirst. Wenn solche Profiling-Entscheidungen vollautomatisch und ohne menschliches Zutun getroffen werden – beispielsweise wenn allein ein Computerprogramm über deinen Kredit bestimmt – ist das laut Datenschutz-Grundverordnung nur mit deiner ausdrücklichen Einwilligung oder für eine festgelegte Vertragserfüllung erlaubt.

Menschliches Zutun erwünscht: Deine Rechte beim Profiling

Bei automatisierten Entscheidungen hast du stets das Recht, zu verlangen, dass eine reale Person bei den Datenverarbeitern in den Entscheidungsprozess einbezogen wird. Du kannst außerdem immer deinen eigenen Standpunkt vortragen und die Entscheidung anfechten, indem du beispielsweise die Datenschutzbeauftragten der Unternehmen kontaktierst, am besten schriftlich. Datenverarbeiter müssen dir darüber hinaus zumindest in groben Zügen erklären, wie die automatisierte Entscheidung zustande kommt (in der Datenschutz-Grundverordnung heißt das „involvierte Logik“, mehr dazu findest du im Lexikon). Sie müssen dir auch Informationen darüber geben, welche Auswirkungen die automatisierte Entscheidungsfindung auf dich hat. Auf diese Wege wirst du dir leichter darüber bewusst, welchen Organisationen du es erlaubst, dich zu profilen oder zu scoren.

Deutsche Sonderregeln: Scoring anhand deiner Adresse muss offengelegt werden

In Deutschland gelten abweichend von der Datenschutz-Grundverordnung eigene Regeln speziell für das Scoring. So muss zur Berechnung des Score-Wertes ein wissenschaftlich anerkanntes, mathematisch-statistisches Verfahren verwendet werden. Außerdem darf ein Score-Wert nicht ausschließlich auf deinen Adressdaten beruhen. Selbst wenn deine Adressdaten lediglich in den Score-Wert einfließen, musst du gesondert darüber informiert werden. Schließlich gibt es auch noch Vorgaben dazu, welche deiner nicht gezahlten Rechnungen oder Kredite für das Scoring genutzt werden dürfen, beispielsweise wenn du diese ausstehenden Forderungen ausdrücklich anerkannt hast oder sie durch ein Urteil festgestellt worden sind.