Rz. 82
Schließlich hat der Verantwortliche Informationen über "das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zur Verfügung zu stellen."
Rz. 83
Hinsichtlich der Begriffsbestimmungen der automatisierten Entscheidungsfindung und des Profilings und der Reichweite der hierauf bezogenen Bestimmungen in Art. 22 DSGVO kann auf das bereits Ausgeführte (siehe oben § 4 Rdn 283 ff.) verwiesen werden.
Rz. 84
Beabsichtigt der Verantwortliche derartige Maßnahmen, hat er dem Betroffenen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung zur Verfügung zu stellen.
Rz. 85
Ob die Verpflichtung zum zur Verfügung stellen aussagekräftiger Informationen über die involvierte Logik einer automatisierten Entscheidungsfindung (einschließlich des Profilings) auch die Mitteilung der sog. Scoreformel, also die abstrakte Methode der Scorewertberechnung, umfasst oder nur eine allgemeine Beschreibung des Zustandekommens des Scorewerts genügt, lässt der Gesetzgeber unbeantwortet. Es spricht viel dafür, ein restriktiveres Verständnis der Norm an den Tag zu legen und keine Informationen über die Scoreformel zu verlangen. Nach hiesiger Auffassung soll dem Betroffenen die "Logik" begreiflich und nachvollziehbar werden, was nicht die Nachrechenbarkeit eines Scores im Einzelfall umfasst. Mit Kamlah ist vielmehr davon auszugehen, dass sich die Informationspflicht nach Art. 13 Abs. 2 lit. f) DSGVO nicht auf "(mathematische) Algorithmen" erstreckt, sondern lediglich, "allgemeinverständliche und in einfacher Sprache verfasste Erläuterungen zur Berechnungsgrundlage und der Methodik" umfasst. In diesem Sinne formuliert auch das "Information Commissioner's Office" (ICO), die englische Datenschutzbehörde, in seiner Stellungnahme zum Thema Profiling in der DSGVO:
Zitat
"Instead of providing a detailed technical description about how an algorithm or machine learning works, the controller should consider clarifying:"
▪ |
the categories of data used to create a profile; |
▪ |
the source of the data; and |
▪ |
why this data is considered relevant.“ |
Rz. 86
Eine Information über die involvierte Logik umfasst Angaben, aus denen für den Betroffenen ersichtlich wird, welche konkreten Umstände als Berechnungsgrundlage in die Ermittlung eingeflossen sind. Dies erfordert Angaben zu den Kategorien personenbezogener Daten des Betroffenen, die in das Profiling Eingang finden, die Quelle dieser Daten und einer Darlegung dazu, warum und wie diese Datenkategorien Einfluss auf das konkrete Berechnungsergebnis nehmen.
Rz. 87
Weiterhin ist über die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu informieren. Schon vor dem Hintergrund, dass die Informationspflicht nach Art. 13 Abs. 2 lit. f) DSGVO bereits besteht, wenn ein Profiling lediglich beabsichtig ist, kann sich die geforderte Information nicht auf den konkreten Einzelfall beziehen, sondern nur auf allgemeine Informationen, z.B: in der Form, dass ein Bonitätsscore Auswirkungen auf die Risikobewertungsprozesse des Verantwortlichen haben und ein schlechter Score insoweit zu einem Ausschluss bestimmter Zahlungsweisen (=kein Kauf auf Rechnung, keine Lastschriftverfahren) führen kann. Der Verantwortliche hat zu beschreiben, in welchem Kontext eine Maßnahme stattfindet, wie und welche Entscheidungsprozesse des Verantwortlichen durch die Maßnahme beeinflusst werden oder werden können.