75
Scoring fällt unter den Oberbegriff des Profiling. Als Scoring wird die Berechnung einer Wahrscheinlichkeitsprognose für zukünftiges Verhalten mithilfe der Verarbeitung personenbezogener Daten der betroffenen Person verstanden.[166] Wenn der mittels Scoring ermittelte Wahrscheinlichkeitswert ohne weiteres menschliches Zutun dazu benutzt wird, eine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses herbeizuführen, unterfällt das Scoring dem Anwendungsbereich des Art. 22, wo das „Profiling“ ausdrücklich als ein Unterfall der dort genannten automatisierten Verarbeitung genannt wird.[167] Beruht die Einzelfallentscheidung dagegen ausschließlich auf einer menschlichen Entscheidung, die lediglich maschinell umgesetzt wird, findet Art. 22 keine Anwendung.
76
Nach Art. 70 Abs. 1 lit. f kann der EDSA Leitlinien, Empfehlungen und bewährten Verfahren zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gem. Art. 22 Abs. 2 bereitstellen.
77
Im deutschen Datenschutzrecht hat der Gesetzgeber mit § 31 BDSG n.F. die bisherigen Voraussetzungen des Scorings aus § 28a Abs. 1 und § 28b BDSG a.F. übernommen.[168]
3. Pflichten beim Profiling
78
Der Verantwortliche muss den Betroffenen dann über ein Profiling informieren, wenn es zu einer automatisierten Entscheidungsfindung führt, Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g. Auf Antrag muss der Verantwortliche dem Betroffenen Auskunft über ein Profiling geben, aber ebenfalls nur bei einer damit in Zusammenhang stehenden automatisierten Entscheidungsfindung, Art. 15 Abs. 1 lit. h. Nach Art. 35 Abs. 3 lit. a kann eine Datenschutz-Folgenabschätzung[169] bei automatisierten Einzelentscheidungen, die auf Profiling gründen, erforderlich sein.
1. Allgemeines
79
Der Begriff der „Pseudonymisierung“ wird in Art. 4 Nr. 5 definiert als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzliche Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“
80
Im BDSG a.F. war sowohl die Pseudonymisieung als auch die Anonymisierung bislang in § 3 Abs. 6, 6a BDSG a.F. verankert. Der Wortlaut des § 3 Abs. 6a BDSG a.F. nahm im Rahmen der Pseudonymisierung insbesondere die Ersetzung personenbezogener Angaben und anderer Identifikationsmerkmale durch Kennziffern in den Blick und war damit enger als Art. 4 Nr. 5 gefasst. § 3 Abs. 6 BDSG a.F. mit seiner Definition der Anonymisierung entspricht demgegenüber in weiten Teilen Art. 4 Nr. 5.[170]
81
Die DSRL enthielt keine Definition der Pseudonymisierung, sondern in ErwG 26 lediglich die Klarstellung, dass die Schutzprinzipien der DSRL „keine Anwendung auf Daten finde[n], die derart anonymisiert sind, dass die betroffene Person nicht mehr identifizierbar ist“.[171]
82
Der Pseudonymisierung kommt in der Praxis eine zentrale Bedeutung zu, weil sie eine technische Schutzmaßnahme darstellt, die eine betroffene Person vor einer unmittelbaren Identifikation schützt, aber gleichzeitig den Personenbezug von Daten lockert, um sie so für die wirtschaftliche Verwertung nutzbar zu machen.[172] Hierbei ist zu beachten, dass die Pseudonymisierung aus sich heraus nicht die Rechtmäßigkeit einer Datenverarbeitung begründen kann.[173] Sie ist vielmehr ein Baustein, um eine Datenverarbeitung im Einklang mit der DS-GVO und einen hinreichenden (technischen) Schutz personenbezogener Daten zu gewährleisten.[174]
83
Art. 4 Nr. 1[175], 6 Abs. 4[176], 25[177], 32[178], 40[179], 83 Abs. 2 lit. d[180] sowie Art. 89 Abs. 1[181] nehmen auf die Pseudonymisierung Bezug. Ausweislich ErwG 28 dient die Pseudonymisierung nach der Wertung der DS-GVO als technisches Verfahren der Risikominimierung und soll die Verantwortlichen und Auftragsverarbeiter bei der Einhaltung der Datenschutzpflichten unterstützen.[182] Folgerichtig unterstreicht auch Art. 32 Abs. 1 lit. a[183], dass die Pseudonymisierung eine technische Sicherungsmaßnahme (und keine Anonymisierung) darstellt.[184] Denn im Rahmen einer Pseudonymisierung kann die betroffene Person unter Hinzuziehung von gesondert aufbewahrten oder ggf. öffentlich zugänglichen Informationen wieder identifiziert werden, während dies im Falle einer Anonymisierung nicht oder nur mit unverhältnismäßigem Aufwand[185] möglich ist.[186]
84
Neben dieser Schutzfunktion trägt die Pseudonymisierung zudem dem Prinzip der Datenminimierung und Datensparsamkeit aus Art. 5 Abs. 1 lit. c[187] Rechnung. Nach dieser Vorschrift müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Insofern adressiert Art. 5 Abs. 1 lit. c die Pseudonymisierung zwar nicht unmittelbar, sie kommt aber insbesondere dann zum Tragen, wenn ein Personenbezug von Informationen nicht mehr notwendig ist, um die Zwecke der Verarbeitung zu realisieren. Sie ist damit eine konkrete Umsetzung und Ausdruck des Gebotes des sparsamen Umgangs mit personenbezogenen Daten.[188]
85
Darüber hinaus weist die Pseudonymisierung eine enge Verknüpfung mit dem Datenschutzprinzip des „Privacy by Design“ aus Art. 25[189] auf. Sie sorgt dafür, dass bereits in einem frühen Stadium durch TOM eine Entkoppelung persönlicher Informationen von anderen Daten erfolgen kann, was zu einem wirksamen Schutz für die Betroffenen führt.[190]
86
Im Rahmen eines risikobasierten Ansatzes wirkt sich die Pseudonymisierung auch zugunsten des Verantwortlichen aus. So kann sie Verarbeitungen zulässig machen, die ansonsten unzulässig wären. Dies ist insbesondere im Zeitalter von Big Data und Internet of Things von wesentlicher Bedeutung.[191] Ein wichtiges Anwendungsbeispiel ist dabei Art. 6 Abs. 4[192], der für eine Datenverarbeitung im Falle einer Zweckänderung
