Takea­ways (AI):
  • Das Pro­fil­ing mit hohem Risi­ko führt zu einem Per­sön­lich­keits­pro­fil, des­sen Vor­lie­gen im Ein­zel­fall beur­teilt wer­den muss.
  • Ein DSFA ist not­wen­dig, um die tat­säch­li­chen Risi­ken des Pro­filings zu eva­lu­ie­ren, jedoch ist dies kein end­gül­ti­ges Urteil.
  • Unter­las­sen einer DSFA kann zu einer Pflicht­ver­let­zung füh­ren, aber der Ver­ant­wort­li­che kann sich auf ein nied­ri­ges Net­to­ri­si­ko berufen.

Das neue “Pro­fil­ing mit hohem Risi­ko” nach Art. 5 lit. g revDSG wirft eini­ge Fra­gen auf, beson­ders was das Gesetz unter hohem Risi­ko ver­steht und wel­che Fol­gen ein sol­ches Pro­fil­ing hat.

Defi­niert ist das Pro­fil­ing mit hohem Risi­ko wie folgt:

Pro­fil­ing, das ein hohes Risi­ko für die Per­sön­lich­keit oder die Grund­rech­te der betrof­fe­nen Per­son mit sich bringt, indem es zu einer Ver­knüp­fung von Daten führt, die eine Beur­tei­lung wesent­li­cher Aspek­te der Per­sön­lich­keit einer natür­li­chen Per­son erlaubt;

Es han­delt sich im Kern also um ein Pro­fil­ing (i.S.v. Art. 5 lit. f revDSG), das zu einem Per­sön­lich­keits­pro­fil führt. Beim Per­sön­lich­keits­pro­fil nach dem heu­ti­gen DSG ist aber aner­kannt, dass das Vor­lie­gen eines Per­sön­lich­keits­pro­fils nicht abstrakt beur­teilt wer­den kann, son­dern eigent­lich erst bei der kon­kre­ten Ver­wen­dung und mit Blick auf die Ver­wen­dung im Ein­zel­fall, so z.B. nach dem Urteil des BVGer i.S. Money­hou­se:

Für die Fra­ge, ob eine Zusam­men­stel­lung meh­re­rer Daten einer bestimm­ten Per­son ein Per­sön­lich­keits­pro­fil ergibt, kommt es zum einen auf die Men­ge und den Inhalt der per­so­nen­be­zo­ge­nen Infor­ma­tio­nen an, mit ande­ren Wor­ten ob und inwie­fern die­se Wert­ur­tei­le über die betrof­fe­ne Per­son erlau­ben. Man muss über­dies nach der zeit­li­chen Dimen­si­on der Infor­ma­tio­nen dif­fe­ren­zie­ren. Per­so­nen­da­ten, die über einen län­ge­ren Zeit­raum zusam­men­ge­tra­gen wer­den und dadurch gleich­sam ein bio­gra­fi­sches Bild erge­ben, indem sie eine Ent­wick­lung, einen Wer­de­gang der betrof­fe­nen Per­son auf­zei­gen, sind eher als Per­sön­lich­keits­pro­fil zu qua­li­fi­zie­ren als Daten, die eine blo­sse Moment­auf­nah­me dar­stel­len. Im Wei­te­ren wird unter Umstän­den der kon­kre­te Zusam­men­hang, in dem die Daten ver­wen­det wer­den, mit ent­schei­dend dafür sein, ob der qua­li­fi­zier­te gesetz­li­che Schutz zum Tra­gen kom­men soll oder nicht. Der Begriff des Per­sön­lich­keits­pro­fils kann somit nicht gene­rell defi­niert wer­den, viel­mehr ist das Vor­lie­gen eines Per­sön­lich­keits­pro­fils im Ein­zel­fall auf­grund der kon­kre­ten Umstän­de zu beja­hen oder zu ver­nei­nen (VPB 65.48 E. 2.b).

Das muss m.E. auch beim Pro­fil­ing mit hohem Risi­ko gel­ten. Infol­gen­des­sen kann ein Pro­fil­ing mit hohem Risi­ko nur vor­lie­gen, wenn sein Ergeb­nis im kon­kre­ten Fall auf eine Wei­se ver­wen­det wird bzw. wer­den soll, die den qua­li­fi­zier­ten Schutz recht­fer­tigt. Wei­ter dürf­te gel­ten, dass ein Pro­fil­ing nie ein «Pro­fil­ing mit hohem Risi­ko» sein kann, wenn es nicht zu einem Per­sön­lich­keits­pro­fil führt. Bewirkt ein Pro­fil­ing aus ande­ren Grün­den ein hohes Risi­ko, ist eine DSFA durch­zu­füh­ren, doch ist es kei­nes­falls ein “Pro­fil­ing mit hohem Risi­ko”, das bspw. eine aus­drück­li­che Ein­wil­li­gung ver­langt (sofern eine Ein­wil­li­gung im kon­kre­ten Fall über­haupt erfor­der­lich ist).

Wei­ter bedeu­tet das «hohe Risi­ko» i.S.v. Art. 5 lit. g revDSG zunächst nur , dass eine DSFA durch­zu­füh­ren ist. Das nimmt das Ergeb­nis der DSFA nicht vor­weg; sie kann durch­aus erge­ben, dass im kon­kre­ten Fall kein hohes Risi­ko vor­liegt. Das «hohe Risi­ko» beim Pro­fil­ing mit hohem Risi­ko ist daher erst hohes Brut­to­ri­si­ko. Die wei­te­ren Rechts­fol­gen des Pro­fil­ing mit hohem Risi­ko (eine ggf. erfor­der­li­che Ein­wil­li­gung muss aus­drück­lich sein; es ist u.U. ein Ver­tre­ter in der Schweiz zu bestel­len) grei­fen dem­ge­gen­über nur, wenn das wirk­li­che Risi­ko (das Net­to­ri­si­ko) im kon­kre­ten Fall tat­säch­lich hoch ist.

In die­sem Zusam­men­hang sind auch die Fol­gen einer unter­las­se­nen DSFA bedeut­sam: Unter­lässt der Ver­ant­wort­li­che eine DSFA, obwohl ein Pro­fil­ing mit hohem Risi­ko vor­liegt, dürf­te er zwar die ent­spre­chen­de Pflicht ver­let­zen. Weil für die wei­te­ren Rechts­fol­gen des Pro­fil­ing mit hohem Risi­ko – d.h. abge­se­hen von der DSFA – aber das wirk­li­che (Netto-)Risiko mass­ge­bend ist, kann sich der Ver­ant­wort­li­che auch ausser­halb einer DSFA auf die­ses nied­ri­ge Net­to­ri­si­ko beru­fen; das Unter­las­sen der DSFA schnei­det ihm die­sen Ein­wand nicht ab. Sodann liegt der Beweis für das hohe Net­to­ri­si­ko dabei nach der all­ge­mei­nen Regel von Art. 8 ZGB beim Anspre­cher, denn Art. 5 lit. g revDSG indi­ziert zwar ein hohes Brut­to­ri­si­ko, ent­hält aber kei­ne Ver­mu­tung oder son­sti­ge Beweis­last­um­kehr für das Nettorisiko.

AI-generierte Takeaways können falsch sein.