Kundendaten auswerten, Zielgruppen segmentieren, Kaufverhalten analysieren – das gehört zum Alltag vieler Unternehmen. Ob Newsletter-Personalisierung, Bonitätsprüfung oder dynamische Preisgestaltung: Sobald personenbezogene Daten automatisiert verarbeitet werden, um persönliche Merkmale zu bewerten, sprechen wir von Profiling. Und genau hier setzt die DSGVO klare Grenzen.
Trotzdem ist Profiling nicht verboten. Es muss nur richtig gemacht werden. Dieser Artikel zeigt Ihnen, was Profiling rechtlich bedeutet, welche Pflichten Sie als Unternehmen haben und wie Sie Kundendatenanalyse DSGVO-konform umsetzen.
Art. 4 Nr. 4 DSGVO definiert Profiling als jede automatisierte Verarbeitung personenbezogener Daten, die darin besteht, persönliche Aspekte einer natürlichen Person zu bewerten. Dazu zählen Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Vorlieben, Interessen, Zuverlässigkeit, Verhalten oder Aufenthaltsort.
Typische Profiling-Beispiele im Unternehmensalltag:
Kein Profiling liegt vor, wenn Sie Daten rein manuell auswerten – etwa wenn ein Sachbearbeiter Kundenakten durchsieht. Entscheidend ist die automatisierte Verarbeitung.
Verwechseln Sie Profiling nicht mit automatisierten Einzelentscheidungen. Profiling analysiert und bewertet Daten. Eine automatisierte Einzelentscheidung trifft darauf basierend eine Entscheidung ohne menschliches Eingreifen – etwa die automatische Ablehnung eines Kreditantrags. Letzteres unterliegt den strengeren Regeln des Art. 22 DSGVO.
Profiling ist nicht per se verboten. Sie brauchen aber eine tragfähige Rechtsgrundlage nach Art. 6 DSGVO. Welche passt, hängt vom konkreten Einsatzzweck ab.
| Rechtsgrundlage | Wann geeignet | Beispiel |
|---|---|---|
| Einwilligung (Art. 6 Abs. 1 lit. a) | Bei umfassendem Tracking oder wenn besondere Datenkategorien betroffen sind | Cookie-basiertes Targeting, verhaltensbasierte Werbung |
| Vertragserfüllung (Art. 6 Abs. 1 lit. b) | Wenn Profiling zur Erbringung einer vereinbarten Leistung nötig ist | Bonitätsprüfung vor Ratenkauf, personalisierte Versicherungstarife |
| Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) | Bei maßvollem Profiling, wenn Betroffenenrechte nicht überwiegen | Kundensegmentierung für Direktmarketing, Betrugserkennung |
Bei automatisierten Einzelentscheidungen nach Art. 22 DSGVO gelten strengere Voraussetzungen: Hier reicht ein berechtigtes Interesse nicht aus. Sie brauchen entweder eine ausdrückliche Einwilligung, eine vertragliche Erforderlichkeit oder eine gesetzliche Grundlage.
Viele Geschäftsführer unterschätzen, wie schnell alltägliche Datenanalysen unter den Profiling-Begriff fallen. Schon eine einfache Newsletter-Segmentierung nach Kaufhistorie kann Profiling sein. Das muss kein Problem werden – wenn Sie die Spielregeln kennen.
„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen."
Nils OehmichenDatenschutzberater bei frag.hugo
Wir sehen das bei unseren Mandanten regelmäßig: Ein mittelständischer Online-Shop segmentiert seine Kunden nach Kaufverhalten, um gezieltere Newsletter zu versenden. Rechtlich ist das unproblematisch – solange die Datenschutzerklärung darüber informiert, ein Widerspruchsweg existiert und das Verfahren dokumentiert ist. Kritisch wird es erst, wenn auf Basis dieser Daten automatisiert Entscheidungen getroffen werden – etwa die Ablehnung eines Ratenkaufs ohne menschliche Prüfung.
Der Unterschied zwischen „erlaubt mit wenig Aufwand" und „hochriskant" liegt oft nur in einem Schritt: ob ein Mensch die finale Entscheidung trifft oder nicht.
Profiling ist ein wertvolles Instrument für Marketing, Risikomanagement und Produktentwicklung. Die DSGVO verbietet es nicht. Sie verlangt aber Transparenz, eine saubere Rechtsgrundlage und den Schutz der Betroffenenrechte.
Starten Sie mit einer Bestandsaufnahme: Welche Ihrer Datenverarbeitungen sind Profiling? Gibt es automatisierte Entscheidungen? Ist alles im Verarbeitungsverzeichnis erfasst? Wenn Sie bei einer dieser Fragen unsicher sind, holen Sie sich Unterstützung – etwa durch einen externen Datenschutzbeauftragten.
Nutzen Sie auch unseren kostenlosen DSGVO-Website-Check, um einen ersten Eindruck zu bekommen, wie es um den Datenschutz auf Ihrer Website steht. Einen Überblick über alle Datenschutzleistungen finden Sie auf unserer Leistungsseite.
Profiling DSGVO-konform umsetzen
Wir prüfen Ihre Datenverarbeitungsprozesse und beraten Sie zur rechtskonformen Nutzung.
Kostenlose Erstberatung →Jede automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte einer natürlichen Person. Art. 4 Nr. 4 DSGVO nennt als Beispiele die Analyse von Kaufverhalten, Kreditwürdigkeit, Arbeitsleistung oder Interessen.
Profiling ist erlaubt, wenn eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt – etwa eine Einwilligung, die Erforderlichkeit zur Vertragserfüllung oder ein berechtigtes Interesse. Voraussetzung ist, dass die Rechte der Betroffenen nicht überwiegen.
Ja. Art. 13 und 14 DSGVO verlangen, dass Sie Betroffene über das Profiling, die verwendete Logik und die Tragweite der Verarbeitung informieren. Diese Angaben gehören in Ihre Datenschutzerklärung.
Profiling analysiert Daten, um persönliche Merkmale zu bewerten – etwa die Einteilung in Kundensegmente. Eine automatisierte Einzelentscheidung trifft darauf basierend eine Entscheidung ohne menschliche Beteiligung, die rechtliche oder vergleichbar erhebliche Wirkung hat. Nur Letzteres fällt unter das Verbot des Art. 22 DSGVO.
Inhaltsverzeichnis
Pseudonymisierung vs. Anonymisierung nach DSGVO: Unterschiede, Pflichten und wie Unternehmen personenbezogene Daten rechtskonform verarbeiten.
WeiterlesenDatensparsamkeit DSGVO: Warum weniger Daten mehr Schutz bedeuten. Pflichten, Umsetzung und Praxistipps für KMU – Art. 5 Abs. 1 lit. c.
WeiterlesenBiometrische Daten DSGVO: Rechtsgrundlagen, Pflichten und praktische Umsetzung für Unternehmen. Fingerabdruck, Gesichtserkennung, Zeiterfassung.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
