Gilt die DS-GVO nicht für Big Data?
von , veröffentlicht am 14.11.2016Jan Albrecht hat sich auf dem Smart Data Jahreskongress 2016 dahingehend geäußert, dass der größte Teil von Big Data nicht personenbezogen sei und damit nicht unter die DSGVO falle.
Diese Aussage widerspricht mE dem risikobasierten Ansatz der DS-GVO. Der risikobasierte Ansatz ist "die" Neuerung des Datenschutzrechtes. Personenbezogene Daten sind nicht um ihrer selbst willen schützenswert, sondern weil durch ihre Verarbeitung in die Betroffenenrechte eingegriffen werden kann. Im Erwägungsgrund 75 kommt dies explizit zum Ausdruck. Dort heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere- können aus einer Verarbeitung personenbezogener Daten hervorgehen, (…)“. Demnach kommt es in erster Linie auf das Risiko des Eingriffs für die Rechte und Freiheiten der Betroffenen an, nicht auf die personenbezogenen Daten des Betroffenen.
Das kommt u.a. auch in den Regelungen zum Profiling zum Ausdruck. Im Erwägungsgrund 91 heißt es: Eine Datenschutz-Folgenabschätzung sollte durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage eines Profilings dieser Daten (…) verarbeitet werden.“
Datenschutzrechtlich bedenklich ist nicht die Erhebung und Nutzung der personenbezogenen Daten, sondern die im Anschluss erfolgende Nutzung der Bewertungsergebnisse. Das Risiko der Verarbeitung für die Rechte und Freiheiten ist von Bedeutung nicht das Datum als solches.
Vor diesem Hintergrund dürfte es unerheblich sein, ob Teile von Big Data nicht personenbezogen sind, denn sollte die konkrete Verarbeitung ein Risiko für den Betroffenen darstellen, greift die DS-GVO.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
2 Kommentare
Kommentare als Feed abonnierenVielen Dank, Frau Schmitz. Dasselbe Problem sich auch im Bereich der Pseudonymisierung von Daten - das Thema habe ich gerade auf dem Tisch. Die Artikel 29 AG ist da streng. Pseudonymisierung reicht der AG im Zweifel nicht (Opinion 05/2014).
http://www.cnpd.public.lu/fr/publications/groupe-art29/wp216_en.pdf
Ist das Thema auf dem Kongress angesprochen worden? Gibt es neue Lösungsansätze?
Ob es Ansätze auf dem Kongress gab,kann ich nicht sagen. Einen Lösungsansatz bietet nach meinem Verständnis die Grundverordnung: das Pseudonymisieren wird zukünftig als Risikominimierungsmaßnahme eingestuft, die sowohl im Rahmen des Privacy-by-Design (Art. 25) als auch als technische (Sicherheits-) Maßnahme (Art. 32) einzusetzen ist. Die Bedenken der Art. 29 Gruppe im WP 216 beruhen im Wesentlichen auf unzureichende Techniken und Fehlern bei der Anwendung von Pseudonymen (siehe unter Punkt 4.2.u. 4.3). Es bleibt abzuwarten und zu hoffen, dass entsprechende "neue" Techniken diese Bedenken beheben können und/oder Verhaltensregeln nach Art. 40 entsprechende Maßnahmen und Anwendungen präzisiert.