# Profiling (Art. 4 Nr. 4 DSGVO)

Profiling bezeichnet jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte einer natürlichen Person, insbesondere zur Analyse oder Prognose von Verhalten, wirtschaftlicher Lage oder Gesundheit.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/begriffe-und-definitionen/1.2.4-profiling
> Sprache: en



[Art. 4 Nr. 4 DSGVO](https://dsgvo-gesetz.de/art-4-dsgvo/) definiert Profiling als jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, diese Daten zu nutzen, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Der Begriff ist weit gefasst und erfasst sowohl die Analyse bereits vorhandener Merkmale als auch die Prognose künftigen Verhaltens oder künftiger Zustände.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Profiling ist jede automatisierte Auswertung personenbezogener Daten, die auf die Bewertung persönlicher Aspekte einer natürlichen Person zielt.
  * Drei Tatbestandsmerkmale müssen kumulativ vorliegen: automatisierte Verarbeitung, Bewertung persönlicher Aspekte, Bezug auf eine identifizierbare natürliche Person.
  * Scoring (z. B. Kreditwürdigkeitsbewertung) ist der praktisch bedeutsamste Unterfall; der EuGH hat SCHUFA-Scoring als Profiling nach Art. 4 Nr. 4 DSGVO eingestuft.
  * Profiling und automatisierte Einzelentscheidung sind verschiedene Tatbestände: Art. 22 DSGVO greift nur, wenn das Profiling unmittelbar Grundlage einer erheblich wirkenden Entscheidung wird.
  * Transparenzpflicht: Verantwortliche müssen über das Stattfinden von Profiling und dessen vorgesehene Folgen informieren (Art. 13, Art. 14 DSGVO).
</Callout>

## 1. Überblick [#1-überblick]

Profiling setzt drei Tatbestandsmerkmale voraus: eine automatisierte Verarbeitung, eine Bewertung persönlicher Aspekte sowie den Bezug auf eine identifizierbare natürliche Person (vgl. [Art. 4 Nr. 1 DSGVO](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten)).

<Callout type="info">
  Profiling ist keine eigenständige Kategorie der Verarbeitung, sondern ein Unterfall automatisierter Verarbeitung. Es unterliegt zunächst den allgemeinen Anforderungen der DSGVO: Rechtsgrundlage nach [Art. 6 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-6-dsgvo/) und Einhaltung aller Grundsätze nach [Art. 5 DSGVO](https://dsgvo-gesetz.de/art-5-dsgvo/). Besondere, zusätzliche Regeln greifen erst, wenn das Profiling Grundlage einer automatisierten Einzelentscheidung nach Art. 22 DSGVO wird.
</Callout>

## 2. Tatbestandsmerkmale [#2-tatbestandsmerkmale]

### 2.1 Automatisierte Verarbeitung [#21-automatisierte-verarbeitung]

Die Verarbeitung muss automatisiert erfolgen, also ohne maßgebliche menschliche Mitwirkung im eigentlichen Auswertungsvorgang. Typische Umsetzungen sind algorithmische Auswertungen, maschinelles Lernen und regelbasierte Systeme. Rein manuelle Sichtung und Bewertung von Datensätzen durch Personen fällt nicht unter den Begriff.

### 2.2 Bewertung persönlicher Aspekte [#22-bewertung-persönlicher-aspekte]

Kernmerkmal ist die Bewertung. Die Verarbeitung muss darauf gerichtet sein, Aussagen über eine Person zu gewinnen, seien es Ist-Zustände (Analyse) oder Prognosen. [Erwägungsgrund 71 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-71/) nennt als Regelbeispiele bewertbarer persönlicher Aspekte:

| Aspekt                               | Praxisbeispiel                                                       |
| ------------------------------------ | -------------------------------------------------------------------- |
| Arbeitsleistung                      | Automatisierte Auswertung von Produktivitätsdaten im Homeoffice      |
| Wirtschaftliche Lage                 | Bonitätsscore auf Basis von Kontoführungs- und Zahlungsdaten         |
| Gesundheit                           | Auswertung von Fitness-Tracker-Daten zur Krankheitsrisikoabschätzung |
| Persönliche Vorlieben und Interessen | Empfehlungsalgorithmus auf Basis von Klick- und Kaufverhalten        |
| Zuverlässigkeit                      | Bewertung von Liefertreue oder Rückgabequoten bei Onlinekäufern      |
| Verhalten                            | Analyse von Surfverhalten zur Einstufung als Betrugsrisiko           |
| Aufenthaltsort oder Ortswechsel      | Mobilitätsprofil aus Standortdaten zur Werbeansprache                |

Die Aufzählung ist nicht abschließend; entscheidend ist, dass die Verarbeitung auf die Gewinnung von Erkenntnissen über persönliche Merkmale zielt, nicht auf sachbezogene Auswertungen ohne Personenbezug.

**Scoring** ist ein praktisch besonders bedeutsamer Unterfall: Aus vorhandenen Daten wird ein Wahrscheinlichkeitswert errechnet, der eine Aussage über künftiges Verhalten trifft, etwa zur Kreditwürdigkeit oder Zahlungsmoral. Der EuGH hat bestätigt, dass automatisiertes Scoring durch Auskunfteien unter Art. 4 Nr. 4 DSGVO und, soweit der Score unmittelbar Grundlage einer Kreditentscheidung wird, unter Art. 22 DSGVO fällt ([EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding (Scoring)](/docs/dsgvo-hub/rechtsprechung/1.4.32-eugh-schufa-scoring)).

### 2.3 Bezug auf eine natürliche Person [#23-bezug-auf-eine-natürliche-person]

Das Profiling muss auf eine bestimmte oder bestimmbare natürliche Person bezogen sein. Rein aggregierte Statistiken ohne Rückführbarkeit auf Einzelpersonen genügen dem Tatbestand nicht. Ist eine Reidentifizierung mit verhältnismäßigem Aufwand möglich, bleibt der Personenbezug bestehen.

## 3. Verhältnis zu Art. 22 DSGVO [#3-verhältnis-zu-art-22-dsgvo]

[Art. 22 Abs. 1 DSGVO](https://dsgvo-gesetz.de/art-22-dsgvo/) schützt betroffene Personen davor, einer Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung, einschließlich Profiling, beruht und ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Profiling und [automatisierte Einzelentscheidung](/docs/dsgvo-hub/einzelthemen/1.3.14-automatisierte-einzelentscheidung) sind zwei verschiedene Sachverhalte. Profiling kann Vorstufe, Bestandteil oder Instrument einer solchen Entscheidung sein, ist aber nicht mit ihr identisch. Profiling ohne anschließende Einzelentscheidung unterliegt Art. 22 DSGVO nicht; es gelten dann ausschließlich die allgemeinen Anforderungen der DSGVO, insbesondere die Grundsätze nach [Art. 5 DSGVO](https://dsgvo-gesetz.de/art-5-dsgvo/) und die Rechtsgrundlagenpflicht nach Art. 6 Abs. 1 DSGVO.

Erwägungsgrund 71 DSGVO erläutert, dass der Schutzbereich des Art. 22 DSGVO Profiling erfasst, soweit es rechtliche Wirkung entfaltet oder die betroffene Person ähnlich erheblich beeinträchtigt ([Erwägungsgrund 71 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-71/)). Dort wird auch die Verhaltens- und Leistungskontrolle von Beschäftigten als relevanter Anwendungsbereich benannt.

## 4. Profiling auf Basis besonderer Datenkategorien [#4-profiling-auf-basis-besonderer-datenkategorien]

Fließen in das Profiling Daten nach Art. 9 Abs. 1 DSGVO ein, etwa Gesundheitsdaten, Daten über die ethnische Herkunft, politische Meinungen oder religiöse Überzeugungen, gelten die erhöhten Anforderungen dieser Vorschrift. Eine solche Verarbeitung ist nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig. Erwägungsgrund 71 DSGVO hebt ausdrücklich hervor, dass Profiling auf Grundlage besonderer Kategorien besonderer Absicherung bedarf (vgl. [Sensible Datenkategorien](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien)).

<Callout type="warn">
  Praktisch kann Profiling auch dann besondere Datenkategorien berühren, wenn diese nicht direkt verarbeitet werden: Wird aus neutralen Daten (Einkaufsverhalten, Standortdaten, Browsing-Verlauf) auf Gesundheitszustand, Religionszugehörigkeit oder politische Einstellung geschlossen, kann dies de facto eine Verarbeitung besonderer Kategorien darstellen. Verantwortliche sollten dies bei der Konzeption von Profiling-Verfahren frühzeitig prüfen.
</Callout>

## 5. Transparenz und Informationspflicht [#5-transparenz-und-informationspflicht]

Der Verantwortliche muss die betroffene Person darüber informieren, dass Profiling stattfindet, und über die vorgesehenen Folgen dieser Verarbeitung aufklären. Erwägungsgrund 60 DSGVO konkretisiert diesen Grundsatz: Die Information gehört zur fairen und transparenten Verarbeitung und ist Teil der Informationspflichten nach Art. 13 und Art. 14 DSGVO ([Erwägungsgrund 60 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-60/)). Kommt es zu einer automatisierten Einzelentscheidung im Sinne von Art. 22 DSGVO, treten weitere spezifische Informations- und Widerspruchsrechte hinzu.

Die Richtigkeit der für das Profiling verarbeiteten Daten ist von besonderer Bedeutung: Fehlerhafte Eingangsdaten können zu unzutreffenden Profiling-Ergebnissen führen und verletzen den Grundsatz der Richtigkeit nach Art. 5 Abs. 1 lit. d DSGVO (vgl. [Richtigkeit](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.6-richtigkeit)).

## 6. Leitlinien des Europäischen Datenschutzausschusses [#6-leitlinien-des-europäischen-datenschutzausschusses]

Erwägungsgrund 72 DSGVO hält fest, dass der Europäische Datenschutzausschuss Leitlinien zum Profiling herausgeben kann ([Erwägungsgrund 72 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-72/)). Praxisrelevant sind insbesondere die Leitlinien des EDSA (ehemals Artikel-29-Datenschutzgruppe) zu automatisierten Entscheidungen und Profiling, die Anforderungen an Rechtsgrundlage, Transparenz, Datenminimierung und Betroffenenrechte bei Profiling-Verfahren konkretisieren.

<Cards>
  <Card title="Personenbezogene Daten" href="/docs/dsgvo-hub/begriffe-und-definitionen/1.2.1-personenbezogene-daten" description="Voraussetzung des Profilings: Bezug auf eine identifizierbare natürliche Person." />

  <Card title="Sensible Datenkategorien" href="/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten/1.3.12.1-sensible-datenkategorien" description="Art. 9 DSGVO: erhöhte Anforderungen bei Profiling auf Basis sensibler Daten." />

  <Card title="Richtigkeit" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.6-richtigkeit" description="Art. 5 Abs. 1 lit. d DSGVO: korrekte Eingangsdaten als Voraussetzung valider Profiling-Ergebnisse." />

  <Card title="Automatisierte Einzelentscheidung" href="/docs/dsgvo-hub/einzelthemen/1.3.14-automatisierte-einzelentscheidung" description="Art. 22 DSGVO: wann Profiling Grundlage einer verbotenen Einzelentscheidung wird." />

  <Card title="EuGH SCHUFA Scoring" href="/docs/dsgvo-hub/rechtsprechung/1.4.32-eugh-schufa-scoring" description="EuGH C-634/21: Scoring als Profiling und Verhältnis zu Art. 22 DSGVO." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.