- Das Profiling mit hohem Risiko führt zu einem Persönlichkeitsprofil, dessen Vorliegen im Einzelfall beurteilt werden muss.
- Ein DSFA ist notwendig, um die tatsächlichen Risiken des Profilings zu evaluieren, jedoch ist dies kein endgültiges Urteil.
- Unterlassen einer DSFA kann zu einer Pflichtverletzung führen, aber der Verantwortliche kann sich auf ein niedriges Nettorisiko berufen.
Das neue “Profiling mit hohem Risiko” nach Art. 5 lit. g revDSG wirft einige Fragen auf, besonders was das Gesetz unter hohem Risiko versteht und welche Folgen ein solches Profiling hat.
Definiert ist das Profiling mit hohem Risiko wie folgt:
Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt;
Es handelt sich im Kern also um ein Profiling (i.S.v. Art. 5 lit. f revDSG), das zu einem Persönlichkeitsprofil führt. Beim Persönlichkeitsprofil nach dem heutigen DSG ist aber anerkannt, dass das Vorliegen eines Persönlichkeitsprofils nicht abstrakt beurteilt werden kann, sondern eigentlich erst bei der konkreten Verwendung und mit Blick auf die Verwendung im Einzelfall, so z.B. nach dem Urteil des BVGer i.S. Moneyhouse:
Für die Frage, ob eine Zusammenstellung mehrerer Daten einer bestimmten Person ein Persönlichkeitsprofil ergibt, kommt es zum einen auf die Menge und den Inhalt der personenbezogenen Informationen an, mit anderen Worten ob und inwiefern diese Werturteile über die betroffene Person erlauben. Man muss überdies nach der zeitlichen Dimension der Informationen differenzieren. Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang der betroffenen Person aufzeigen, sind eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme darstellen. Im Weiteren wird unter Umständen der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz zum Tragen kommen soll oder nicht. Der Begriff des Persönlichkeitsprofils kann somit nicht generell definiert werden, vielmehr ist das Vorliegen eines Persönlichkeitsprofils im Einzelfall aufgrund der konkreten Umstände zu bejahen oder zu verneinen (VPB 65.48 E. 2.b).
Das muss m.E. auch beim Profiling mit hohem Risiko gelten. Infolgendessen kann ein Profiling mit hohem Risiko nur vorliegen, wenn sein Ergebnis im konkreten Fall auf eine Weise verwendet wird bzw. werden soll, die den qualifizierten Schutz rechtfertigt. Weiter dürfte gelten, dass ein Profiling nie ein «Profiling mit hohem Risiko» sein kann, wenn es nicht zu einem Persönlichkeitsprofil führt. Bewirkt ein Profiling aus anderen Gründen ein hohes Risiko, ist eine DSFA durchzuführen, doch ist es keinesfalls ein “Profiling mit hohem Risiko”, das bspw. eine ausdrückliche Einwilligung verlangt (sofern eine Einwilligung im konkreten Fall überhaupt erforderlich ist).
Weiter bedeutet das «hohe Risiko» i.S.v. Art. 5 lit. g revDSG zunächst nur , dass eine DSFA durchzuführen ist. Das nimmt das Ergebnis der DSFA nicht vorweg; sie kann durchaus ergeben, dass im konkreten Fall kein hohes Risiko vorliegt. Das «hohe Risiko» beim Profiling mit hohem Risiko ist daher erst hohes Bruttorisiko. Die weiteren Rechtsfolgen des Profiling mit hohem Risiko (eine ggf. erforderliche Einwilligung muss ausdrücklich sein; es ist u.U. ein Vertreter in der Schweiz zu bestellen) greifen demgegenüber nur, wenn das wirkliche Risiko (das Nettorisiko) im konkreten Fall tatsächlich hoch ist.
In diesem Zusammenhang sind auch die Folgen einer unterlassenen DSFA bedeutsam: Unterlässt der Verantwortliche eine DSFA, obwohl ein Profiling mit hohem Risiko vorliegt, dürfte er zwar die entsprechende Pflicht verletzen. Weil für die weiteren Rechtsfolgen des Profiling mit hohem Risiko – d.h. abgesehen von der DSFA – aber das wirkliche (Netto-)Risiko massgebend ist, kann sich der Verantwortliche auch ausserhalb einer DSFA auf dieses niedrige Nettorisiko berufen; das Unterlassen der DSFA schneidet ihm diesen Einwand nicht ab. Sodann liegt der Beweis für das hohe Nettorisiko dabei nach der allgemeinen Regel von Art. 8 ZGB beim Ansprecher, denn Art. 5 lit. g revDSG indiziert zwar ein hohes Bruttorisiko, enthält aber keine Vermutung oder sonstige Beweislastumkehr für das Nettorisiko.