Gilt die DS-GVO nicht für Big Data?
Gespeichert von Barbara Schmitz am
Jan Albrecht hat sich auf dem Smart Data Jahreskongress 2016 dahingehend geäußert, dass der größte Teil von Big Data nicht personenbezogen sei und damit nicht unter die DSGVO falle.
Diese Aussage widerspricht mE dem risikobasierten Ansatz der DS-GVO. Der risikobasierte Ansatz ist "die" Neuerung des Datenschutzrechtes. Personenbezogene Daten sind nicht um ihrer selbst willen schützenswert, sondern weil durch ihre Verarbeitung in die Betroffenenrechte eingegriffen werden kann. Im Erwägungsgrund 75 kommt dies explizit zum Ausdruck. Dort heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere- können aus einer Verarbeitung personenbezogener Daten hervorgehen, (…)“. Demnach kommt es in erster Linie auf das Risiko des Eingriffs für die Rechte und Freiheiten der Betroffenen an, nicht auf die personenbezogenen Daten des Betroffenen.
Das kommt u.a. auch in den Regelungen zum Profiling zum Ausdruck. Im Erwägungsgrund 91 heißt es: Eine Datenschutz-Folgenabschätzung sollte durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf Grundlage eines Profilings dieser Daten (…) verarbeitet werden.“
Datenschutzrechtlich bedenklich ist nicht die Erhebung und Nutzung der personenbezogenen Daten, sondern die im Anschluss erfolgende Nutzung der Bewertungsergebnisse. Das Risiko der Verarbeitung für die Rechte und Freiheiten ist von Bedeutung nicht das Datum als solches.
Vor diesem Hintergrund dürfte es unerheblich sein, ob Teile von Big Data nicht personenbezogen sind, denn sollte die konkrete Verarbeitung ein Risiko für den Betroffenen darstellen, greift die DS-GVO.