Der DSGWS zur DSGVO

M it einer Handvoll wichtiger Begriffe steckt die europäische Da­tenschutzgrundverordnung die Grenze zwischen Privatsphäre und Datensammlern ab. Nur wer deren zentrale Ideen versteht, kann sich gegen Begehrlichkeiten wappnen – und verliert beim Katz-und-Maus-Spiel rund um die europäischen Vorgaben nicht den Faden.

Das Datenschutz-Grundrecht

Dass persönliche Daten ein potenziell kritisches Gut sind und sich durchaus gegen ihren „Urheber“ wenden können, hat man schon lange vor Big Data erkannt und deren Schutz vorausschauend im informationellen Selbstbestimmungsrecht verankert. Es ist das elementare Grundrecht des Datenschutzes und gesteht dem Einzelnen zu, selbst über die Preisgabe und Verwendung seiner höchstpersönlichen Daten entscheiden zu dürfen. Im Unterschied zu den anderen Grundrechten findet es sich allerdings nicht im Grundgesetz (GG), sondern wurde im Jahr 1983 vom Bundesverfassungsgericht im Rahmen des Volkszählungsurteils geboren: als Weiterentwicklung des allgemeinen Persönlichkeitsrechts, siehe  ct.de/y1z5.

Die Begründung von damals ist im Jahr 2020 aktueller denn je: Die freie Entfaltung der Persönlichkeit setze „unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus“. Wer sich unsicher sei, ob abweichende Verhaltensweisen jederzeit festgestellt und gespeichert würden, werde versuchen, nicht durch bestimmte Verhaltensweisen aufzufallen. Aufgrund dieses „nachhaltigen Einschüch­terungseffektes“ könne der Bürger seine Persönlichkeit nicht mehr frei entfalten – wogegen ihn das Recht auf informationelle Selbstbestimmung schützen soll.

Unter das Grundrecht auf informationelle Selbstbestimmung und in den Anwendungsbereich der DSGVO fallen ausschließlich die sogenannten personen­bezogenen Daten. Dazu gehören alle Informationen, mit deren Hilfe man eine natürliche Person identifizieren kann oder die sie zumindest identifizierbar machen: ganz naheliegend also alle Angaben, die unmittelbar auf eine bestimmte Person hinweisen wie etwa Name, Adresse oder Fotos. Darüber hinaus umfasst der Begriff aber auch Informationen, bei denen man zusätzliche Kenntnisse braucht, um jemanden zu bestimmen: zum Beispiel Telefonnummer, Autokennzeichen oder Ma­trikelnummer. Lange gestritten haben die Juristen um die Einordnung von dynamischen IP-Adressen. Inzwischen ist man sich aber einig, dass auch diese Angabe eine Person identifizierbar macht – nämlich mithilfe des Providers, dem die Kontaktdaten des Anschlussinhabers vorliegen. Für nachwachsenden Diskussionsstoff sorgt in der Regel die Werbeindustrie mit ihren immer neuen Ideen, Benutzer zu tracken, angeblich ohne sie zu iden­tifizieren: etwa der fürs Cross-Device-­Tracking (S. 26) verwendbaren Werbe-IDs, insbesondere der von Android (S. 27).

Das höchste Schutzniveau genießen die in Artikel 9 der DSGVO genannten besonderen Kategorien personenbezogener Daten. Beim Blick auf die Details wird schnell klar, warum: Darunter fallen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit. Gleiches gilt für genetische und biometrische Daten, Gesundheitsdaten sowie Informationen über das Sexualleben oder die sexuelle Orientierung. Während die DSGVO bereits die Nutzung „normaler“ personenbezogener Daten stark reglementiert, liegt die Hürde bei den sensiblen Daten besonders hoch: Diese darf man nur in Ausnahmefällen verarbeiten, etwa zum „Schutz lebenswichtiger Interessen der betroffenen Person“ oder wenn die jeweilige Person explizit eingewilligt hat. Außerdem muss man dabei sehr hohe technische und organisatorische Anforderungen erfüllen, um unbefugten Zugriff zu verhindern (Anonymisierung, Pseudonymisierung, siehe S. 30).