Sobald du ein CRM, ein Newsletter-Tool oder Werbe-Tracking einsetzt, betreibst du wahrscheinlich Profiling — ohne es so zu nennen. Die DSGVO hat dafür klare Regeln: Profiling ist erlaubt, aber nicht ohne Spielregeln. Was genau dahintersteckt und was du als KMU konkret beachten musst, zeigt dieser Beitrag.
Was bedeutet Profiling?
Die DSGVO definiert Profiling in Art. 4 Nr. 4 als jede automatisierte Verarbeitung personenbezogener Daten, die dazu dient, bestimmte Aspekte einer Person zu bewerten — etwa ihr Kaufverhalten, ihre Bonität oder ihre Interessen.
Einfach gesagt: Dein CRM stuft Kunden nach Kaufhäufigkeit in Segmente ein — Profiling. Dein Newsletter-Tool berechnet, wer wohl auf eine Kampagne anspricht — ebenfalls Profiling. Profiling ist nicht automatisch verboten, braucht aber immer eine Rechtsgrundlage nach Art. 6 DSGVO.
Davon zu unterscheiden ist die automatisierte Entscheidung nach Art. 22 DSGVO: Sie geht einen Schritt weiter und trifft eine Entscheidung mit rechtlicher Wirkung — z. B. eine automatische Kreditablehnung — ganz ohne Eingriff eines Menschen. Nicht jedes Profiling führt zu einer automatisierten Entscheidung; automatisierte Entscheidungen beruhen häufig auf Profiling, setzen dies aber nicht zwingend voraus.
Warum ist Profiling für mein Unternehmen wichtig?
Profiling ist kein Konzernthema. Wer digitales Marketing, CRM oder Retargeting nutzt, ist betroffen — und hat konkrete Pflichten:
- Transparenz: Du musst Profiling in deiner Datenschutzerklärung beschreiben: Zweck, Rechtsgrundlage und der Hinweis auf das Widerspruchsrecht (Art. 13/14 DSGVO).
- Widerspruchsrecht: Kunden können Profiling für Direktwerbung jederzeit und ohne Begründung ablehnen — du musst diesen Opt-out technisch umsetzen (Art. 21 DSGVO).
- Rechtsgrundlage: Ohne gültige Grundlage nach Art. 6 DSGVO ist Profiling unzulässig.
Profiling in der Praxis
CRM-Segmentierung (z. B. HubSpot): Das CRM berechnet Lead-Scores und ordnet Kontakte in Kategorien ein. Das ist Profiling — solange danach ein Mensch entscheidet, was mit dem Segment passiert, greift Art. 22 DSGVO nicht. Rechtsgrundlage ist meist das berechtigte Interesse (Art. 6 Abs. 1 lit. f), sofern Kunden ein Opt-out haben.
E-Mail-Scoring: Tools wie Mailchimp berechnen Engagement-Scores auf Basis von Öffnungs- und Klickraten. Solange daraus keine automatische Vertragsfolge entsteht, kann dies in der Regel über das berechtigte Interesse oder eine Einwilligung abgedeckt werden.
Retargeting: Meta Pixel oder LinkedIn-Tracking profiliert Websitebesucher für zielgerichtete Werbung. Das erfordert eine Einwilligung via Consent-Banner — geregelt durch das TDDDG (ehemals TTDSG) sowie Art. 6 DSGVO. Art. 22 DSGVO kann erst dann relevant werden, wenn das Profiling zu Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung führt — normales Werbe-Retargeting erreicht diese Schwelle in der Regel nicht.
Bonitätsprüfung: Automatische Kreditentscheidungen fallen eindeutig unter Art. 22 DSGVO. Hier braucht es entweder eine vertragliche Notwendigkeit (Art. 22 Abs. 2 lit. a) oder eine ausdrückliche Einwilligung (lit. c) — plus das Recht auf menschliche Überprüfung.
Faustregel: Wer segmentiert und dann manuell handelt, hat weniger strenge Auflagen als wer automatisch Konsequenzen auslöst.
Häufige Fragen
Muss ich Profiling in meiner Datenschutzerklärung erwähnen? Ja. Wenn du Profiling betreibst, bist du nach Art. 13/14 DSGVO zur Transparenz verpflichtet — mit Angabe von Zweck, Rechtsgrundlage und dem Hinweis auf das Widerspruchsrecht nach Art. 21 DSGVO.
Darf ich CRM-Segmentierung ohne Einwilligung betreiben? Oft ja. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f reicht häufig — aber du musst ein einfaches Opt-out anbieten und das Profiling transparent machen. Eine Einwilligung ist vor allem beim Retargeting und Marketing-Scoring ohne Produktbindung nötig.
Was ist der Unterschied zwischen Profiling und einer automatisierten Entscheidung? Profiling bewertet Personen anhand von Daten. Eine automatisierte Entscheidung (Art. 22 DSGVO) trifft daraus eine Entscheidung mit rechtlicher oder erheblicher praktischer Wirkung — ohne menschlichen Eingriff. Letzteres ist deutlich strenger reguliert.
Wann brauche ich eine Datenschutz-Folgenabschätzung (DSFA)? Wenn dein Profiling ein hohes Risiko für Betroffene birgt — etwa bei automatischer Preisgestaltung, umfangreichem Scoring oder Verarbeitung besonderer Datenkategorien — kann eine DSFA nach Art. 35 DSGVO Pflicht sein. Bei einfacher CRM-Segmentierung ohne Rechtsfolgen ist das in der Regel nicht erforderlich.