Profiling mit hohem Risiko: nur mit Einwilligung – aber wann und wie genau?
Aus verschiedenen Quellen können personenbezogene Daten automatisiert ausgewertet werden. Mit diesem Profiling können z. B. Persönlichkeitsprofile, Lebensumstände und Verhaltensweisen einer Person abgeleitet werden. Nicht für jedes Profiling braucht es eine Einwilligung. Eine solche ist aber nötig, wenn das Profiling mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person verbunden ist.
Wann liegt ein hohes Risiko vor? Noch gibt es dazu keine klaren Leitplanken oder Entscheide.
Autor:
Jürg Eberhart ist Rechtsanwalt in der Eberhart Anwaltskanzlei AG, Bern und Solothurn. Die Kanzlei ist nebst anderen Tätigkeiten spezialisiert auf Vertrags- und Gesellschaftsrecht, Telekommunikations-und Datenschutzrecht. Er ist Mitglied bei GetYourLawyer.
Consent Management
Versicherungen haben weniger Kontaktpunkte zu den Kunden als z. B. Banken. Das Consent Management wird für sie deshalb sehr anspruchsvoll. Wie soll man eine Einwilligung überhaupt einholen? Elektronisch oder physisch? Über die AGB oder die Datenschutzerklärung? Oder braucht es doch eine ausdrückliche Einwilligung, etwa wenn eine Versicherungsgesellschaft Kundendaten an eine Tochterfirma weitergeben will, die in einem anderen Geschäftsbereich tätig ist? Und wie soll im Geschäftsalltag dann mit nur teilweise oder gar nicht vorliegenden Einwilligungen umgegangen werden?
Automatisierte Einzelentscheidungen – nur mit Information und Überprüfungsrecht
Wenn ein System selber Entscheidungen trifft, spricht man von «automatisierter Einzelentscheidung» (etwa welche Versicherungspolice für eine bestimmte Person die richtige sein soll). Hier entsteht auch eine Informationspflicht. Die betroffene Person kann verlangen, dass die automatisiert getroffene Entscheidung von einer Person im Unternehmen überprüft wird. Dies ist besonders anspruchsvoll beim Dynamic Pricing, also wenn das Preisberechnungstool den Preis nach bestimmten Modellen berechnet. Es ist nicht immer einfach, den Kunden dann ganz genau erklären zu können, nach welchen Parametern das System einen Preis genau berechnet hat. Versicherungen mit dynamischen Preismodellen stehen jetzt vor der Herausforderung, die Information und das Überprüfungsrecht der Kunden umfassend sicherstellen zu können.
Auch Versicherungen müssen jetzt mit Unsicherheiten umgehen
Wenn ein Versicherungsunternehmen die Fallen des neuen Datenschutzgesetzes kennt und sich professionell damit auseinandersetzt, kann es künftige Bussen oder Reputationsschäden vermeiden. Weil es bei der Umsetzung des neuen Gesetzes noch einige offene Punkte gibt, welche erst im Laufe der Zeit mit (Gerichts-)Entscheiden geklärt werden, müssen jetzt auch Versicherungen mit gewissen Unsicherheiten umgehen können.