Was müssen Unternehmen beim Profiling gemäß Art. 9 DS-GVO und Art. 26 Abs. 3 DSA beachten?

Artikel 26 Absatz 3 des Digital Services Act (DSA) bezieht sich auf die Anforderungen an das Profiling von Nutzern durch Online-Plattformen. Unternehmen können die Vorgaben dieses Artikels umsetzen, indem sie folgende Schritte beachten: 1. **Transparente Informationen bereitstellen**: Unternehmen müssen den Nutzern klare und verständliche Informationen darüber geben, wie und warum sie profiliert werden. Dies umfasst die Art der gesammelten Daten und die Zwecke der Verarbeitung. 2. **Einwilligung einholen**: Vor dem Profiling sollten Unternehmen die ausdrückliche Zustimmung der Nutzer einholen, es sei denn, es gibt eine andere rechtliche Grundlage für die Datenverarbeitung. 3. **Nutzerrechte respektieren**: Nutzer müssen die Möglichkeit haben, ihre Einwilligung jederzeit zu widerrufen und die Verarbeitung ihrer Daten zu überprüfen. Unternehmen sollten Mechanismen bereitstellen, um dies zu ermöglichen. 4. **Datenminimierung**: Nur die Daten erheben und verarbeiten, die für den spezifischen Zweck des Profilings notwendig sind. Dies hilft, die Privatsphäre der Nutzer zu schützen. 5. **Sicherheitsmaßnahmen implementieren**: Unternehmen sollten geeignete technische und organisatorische Maßnahmen ergreifen, um die gesammelten Daten zu schützen und Missbrauch zu verhindern. 6. **Regelmäßige Überprüfung und Anpassung**: Die Praktiken des Profilings sollten regelmäßig überprüft und an die aktuellen rechtlichen Anforderungen sowie an die Bedürfnisse der Nutzer angepasst werden. Durch die Umsetzung dieser Schritte können Unternehmen sicherstellen, dass sie die Anforderungen des DSA in Bezug auf Profiling erfüllen und gleichzeitig das Vertrauen der Nutzer stärken.

Unternehmen dürfen beim Profiling keine Daten gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) verwenden, weil diese Daten als besonders sensibel gelten. Artikel 9 umfasst Informationen über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung. Die Verarbeitung dieser sensiblen Daten ist grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung der betroffenen Person vor oder es gibt andere spezifische rechtliche Grundlagen, die eine solche Verarbeitung rechtfertigen. Der Schutz dieser Daten ist besonders wichtig, um Diskriminierung und Missbrauch zu verhindern. Daher ist es Unternehmen untersagt, diese Daten für Profiling-Zwecke zu verwenden, um die Privatsphäre und die Rechte der betroffenen Personen zu schützen.

Profiling im Datenschutz bezieht sich auf die automatisierte Verarbeitung personenbezogener Daten, um bestimmte Aspekte einer Person zu bewerten oder vorherzusagen. Dazu gehören beispielsweise die Analyse von Verhaltensmustern, Vorlieben oder Interessen. Profiling kann in verschiedenen Kontexten eingesetzt werden, wie etwa im Marketing, bei Kreditentscheidungen oder zur Risikobewertung. Im Rahmen der Datenschutz-Grundverordnung (DSGVO) in der EU gibt es spezifische Regelungen, die den Umgang mit Profiling betreffen. Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Auswirkungen auf sie hat oder sie erheblich beeinträchtigt. Zudem müssen die betroffenen Personen über die Durchführung von Profiling informiert werden und haben das Recht, Widerspruch einzulegen.

Profiling ist kein Betroffenenrecht laut DSGVO. Die anderen genannten Rechte (Portabilität, Widerspruch und Löschung) sind Betroffenenrechte gemäß der Datenschutz-Grundverordnung.