Profiling (Art. 4 Nr. 4 DSGVO)
Profiling bezeichnet jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte einer natürlichen Person, insbesondere zur Analyse oder Prognose von Verhalten, wirtschaftlicher Lage oder Gesundheit.
Art. 4 Nr. 4 DSGVO definiert Profiling als jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, diese Daten zu nutzen, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Der Begriff ist weit gefasst und erfasst sowohl die Analyse bereits vorhandener Merkmale als auch die Prognose künftigen Verhaltens oder künftiger Zustände.
Das Wichtigste in Kürze
- Profiling ist jede automatisierte Auswertung personenbezogener Daten, die auf die Bewertung persönlicher Aspekte einer natürlichen Person zielt.
- Drei Tatbestandsmerkmale müssen kumulativ vorliegen: automatisierte Verarbeitung, Bewertung persönlicher Aspekte, Bezug auf eine identifizierbare natürliche Person.
- Scoring (z. B. Kreditwürdigkeitsbewertung) ist der praktisch bedeutsamste Unterfall; der EuGH hat SCHUFA-Scoring als Profiling nach Art. 4 Nr. 4 DSGVO eingestuft.
- Profiling und automatisierte Einzelentscheidung sind verschiedene Tatbestände: Art. 22 DSGVO greift nur, wenn das Profiling unmittelbar Grundlage einer erheblich wirkenden Entscheidung wird.
- Transparenzpflicht: Verantwortliche müssen über das Stattfinden von Profiling und dessen vorgesehene Folgen informieren (Art. 13, Art. 14 DSGVO).
1. Überblick
Profiling setzt drei Tatbestandsmerkmale voraus: eine automatisierte Verarbeitung, eine Bewertung persönlicher Aspekte sowie den Bezug auf eine identifizierbare natürliche Person (vgl. Art. 4 Nr. 1 DSGVO).
Profiling ist keine eigenständige Kategorie der Verarbeitung, sondern ein Unterfall automatisierter Verarbeitung. Es unterliegt zunächst den allgemeinen Anforderungen der DSGVO: Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und Einhaltung aller Grundsätze nach Art. 5 DSGVO. Besondere, zusätzliche Regeln greifen erst, wenn das Profiling Grundlage einer automatisierten Einzelentscheidung nach Art. 22 DSGVO wird.
2. Tatbestandsmerkmale
2.1 Automatisierte Verarbeitung
Die Verarbeitung muss automatisiert erfolgen, also ohne maßgebliche menschliche Mitwirkung im eigentlichen Auswertungsvorgang. Typische Umsetzungen sind algorithmische Auswertungen, maschinelles Lernen und regelbasierte Systeme. Rein manuelle Sichtung und Bewertung von Datensätzen durch Personen fällt nicht unter den Begriff.
2.2 Bewertung persönlicher Aspekte
Kernmerkmal ist die Bewertung. Die Verarbeitung muss darauf gerichtet sein, Aussagen über eine Person zu gewinnen, seien es Ist-Zustände (Analyse) oder Prognosen. Erwägungsgrund 71 DSGVO nennt als Regelbeispiele bewertbarer persönlicher Aspekte:
| Aspekt | Praxisbeispiel |
|---|---|
| Arbeitsleistung | Automatisierte Auswertung von Produktivitätsdaten im Homeoffice |
| Wirtschaftliche Lage | Bonitätsscore auf Basis von Kontoführungs- und Zahlungsdaten |
| Gesundheit | Auswertung von Fitness-Tracker-Daten zur Krankheitsrisikoabschätzung |
| Persönliche Vorlieben und Interessen | Empfehlungsalgorithmus auf Basis von Klick- und Kaufverhalten |
| Zuverlässigkeit | Bewertung von Liefertreue oder Rückgabequoten bei Onlinekäufern |
| Verhalten | Analyse von Surfverhalten zur Einstufung als Betrugsrisiko |
| Aufenthaltsort oder Ortswechsel | Mobilitätsprofil aus Standortdaten zur Werbeansprache |
Die Aufzählung ist nicht abschließend; entscheidend ist, dass die Verarbeitung auf die Gewinnung von Erkenntnissen über persönliche Merkmale zielt, nicht auf sachbezogene Auswertungen ohne Personenbezug.
Scoring ist ein praktisch besonders bedeutsamer Unterfall: Aus vorhandenen Daten wird ein Wahrscheinlichkeitswert errechnet, der eine Aussage über künftiges Verhalten trifft, etwa zur Kreditwürdigkeit oder Zahlungsmoral. Der EuGH hat bestätigt, dass automatisiertes Scoring durch Auskunfteien unter Art. 4 Nr. 4 DSGVO und, soweit der Score unmittelbar Grundlage einer Kreditentscheidung wird, unter Art. 22 DSGVO fällt (EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring)).
2.3 Bezug auf eine natürliche Person
Das Profiling muss auf eine bestimmte oder bestimmbare natürliche Person bezogen sein. Rein aggregierte Statistiken ohne Rückführbarkeit auf Einzelpersonen genügen dem Tatbestand nicht. Ist eine Reidentifizierung mit verhältnismäßigem Aufwand möglich, bleibt der Personenbezug bestehen.
3. Verhältnis zu Art. 22 DSGVO
Art. 22 Abs. 1 DSGVO schützt betroffene Personen davor, einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung, einschließlich Profiling, beruht und ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Profiling und automatisierte Einzelentscheidung sind zwei verschiedene Sachverhalte. Profiling kann Vorstufe, Bestandteil oder Instrument einer solchen Entscheidung sein, ist aber nicht mit ihr identisch. Profiling ohne anschließende Einzelentscheidung unterliegt Art. 22 DSGVO nicht; es gelten dann ausschließlich die allgemeinen Anforderungen der DSGVO, insbesondere die Grundsätze nach Art. 5 DSGVO und die Rechtsgrundlagenpflicht nach Art. 6 Abs. 1 DSGVO.
Erwägungsgrund 71 DSGVO erläutert, dass der Schutzbereich des Art. 22 DSGVO Profiling erfasst, soweit es rechtliche Wirkung entfaltet oder die betroffene Person ähnlich erheblich beeinträchtigt (Erwägungsgrund 71 DSGVO). Dort wird auch die Verhaltens- und Leistungskontrolle von Beschäftigten als relevanter Anwendungsbereich benannt.
4. Profiling auf Basis besonderer Datenkategorien
Fließen in das Profiling Daten nach Art. 9 Abs. 1 DSGVO ein, etwa Gesundheitsdaten, Daten über die ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen, gelten die erhöhten Anforderungen dieser Vorschrift. Eine solche Verarbeitung ist nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Erwägungsgrund 71 DSGVO hebt ausdrücklich hervor, dass Profiling auf Grundlage besonderer Kategorien besonderer Absicherung bedarf (vgl. Sensible Datenkategorien).
Praktisch kann Profiling auch dann besondere Datenkategorien berühren, wenn diese nicht direkt verarbeitet werden: Wird aus neutralen Daten (Einkaufsverhalten, Standortdaten, Browsing-Verlauf) auf Gesundheitszustand, Religionszugehörigkeit oder politische Einstellung geschlossen, kann dies de facto eine Verarbeitung besonderer Kategorien darstellen. Verantwortliche sollten dies bei der Konzeption von Profiling-Verfahren frühzeitig prüfen.
5. Transparenz und Informationspflicht
Der Verantwortliche muss die betroffene Person darüber informieren, dass Profiling stattfindet, und über die vorgesehenen Folgen dieser Verarbeitung aufklären. Erwägungsgrund 60 DSGVO konkretisiert diesen Grundsatz: Die Information gehört zur fairen und transparenten Verarbeitung und ist Teil der Informationspflichten nach Art. 13 und Art. 14 DSGVO (Erwägungsgrund 60 DSGVO). Kommt es zu einer automatisierten Einzelentscheidung im Sinne von Art. 22 DSGVO, treten weitere spezifische Informations- und Widerspruchsrechte hinzu.
Die Richtigkeit der für das Profiling verarbeiteten Daten ist von besonderer Bedeutung: Fehlerhafte Eingangsdaten können zu unzutreffenden Profiling-Ergebnissen führen und verletzen den Grundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO (vgl. Richtigkeit).
6. Leitlinien des Europäischen Datenschutzausschusses
Erwägungsgrund 72 DSGVO hält fest, dass der Europäische Datenschutzausschuss Leitlinien zum Profiling herausgeben kann (Erwägungsgrund 72 DSGVO). Praxisrelevant sind insbesondere die Leitlinien des EDSA (ehemals Artikel-29-Datenschutzgruppe) zu automatisierten Entscheidungen und Profiling, die Anforderungen an Rechtsgrundlage, Transparenz, Datenminimierung und Betroffenenrechte bei Profiling-Verfahren konkretisieren.
Personenbezogene Daten
Voraussetzung des Profilings: Bezug auf eine identifizierbare natürliche Person.
Sensible Datenkategorien
Art. 9 DSGVO: erhöhte Anforderungen bei Profiling auf Basis sensibler Daten.
Richtigkeit
Art. 5 Abs. 1 lit. d DSGVO: korrekte Eingangsdaten als Voraussetzung valider Profiling-Ergebnisse.
EuGH SCHUFA Scoring
EuGH C-634/21: Scoring als Profiling und Verhältnis zu Art. 22 DSGVO.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Einschränkung der Verarbeitung (Art. 4 Nr. 3 DSGVO)
Einschränkung der Verarbeitung bezeichnet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung zu begrenzen. Sie entspricht der früheren Sperrung und bildet die technische Grundlage des Rechts aus Art. 18 DSGVO.
Pseudonymisierung (Art. 4 Nr. 5 DSGVO)
Pseudonymisierung als technische und organisatorische Maßnahme: Trennung der Zuordnungsinformationen, Abgrenzung zur Anonymisierung, fortbestehender Personenbezug und Sonderformen wie Verschlüsselung und Depersonalisierung.