28.10.2013

Datenschutz im 21. Jahrhundert – Teil 7: Auslaufmodell „absolute Anonymität“, was sind die Folgen?

Portrait von Niko Härting
Niko Härting

Profiling, Big Data, Internet der Dinge: Das Datenschutzrecht hinkt der Entwicklung der Informations- und Kommunikationstechnik weit hinterher und schwankt zwischen Überregulierung und Resignation. Das eiserne Festhalten am Verbotsprinzip und die Fetischisierung der Einwilligung versperren den Blick auf die Zukunftsfragen des Persönlichkeitsschutzes.

In einem Annex zu dem jetzt in 5. Auflage erschienenen „Internetrecht“ befasse ich mich mit der Zukunft des Datenschutzrechts ("Datenschutz im 21. Jahrhundert"). In einigen Blogbeiträgen stelle ich meine Überlegungen auszugsweise vor.

Zur vollständigen 5. Auflage in CRonline bei juris:  Härting, Internetrecht, 5. Aufl., 2014

 

Von der Illusion ...

Bei der Netzkommunikation ist die „absolute Anonymität“ schon lange eine Illusion:

 “Die gewaltigen Möglichkeiten der Reidentifizierung … verändern die rechtspolitischen Debatten über den Schutz der Privatsphäre. Diese Debatten kreisen heute fast ausschließlich um magische Formeln wie ‚personenbezogene Informationen’ oder ‚persönliche Daten’. Die Fortschritte bei der Reidentifizierung zeigen, dass diese Formeln am eigentlichen Problem vollkommen vorbei gehen. Zwar ist es richtig, dass ein bösartiger Gegner personenbezogene Daten wie den Namen und die Sozialversicherungsnummer mit einer Person in Verbindung bringen kann. Der Gegner kann jedoch genau dasselbe erreichen mit Informationen, die niemand als personenbezogen bezeichnen würde.“ (Hervorhebung nicht im Original) (Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701 (2010), 1704)

... zum Ende

Big Data-Anwendungen bedeuten das Ende jedweder „echten“ Anonymität:

„Big Data stellt die Fundamente (des Datenschutzrechts) in Frage, indem Big Data Daten ohne Personenbezug einsetzt, um die Reidentifizierung von Betroffenen zu ermöglichen, und hierdurch die grundlegende Unterscheidung zwischen Daten mit und ohne Personenbezug in Frage stellt.“ (Rubinstein: Big Data: The End of Privacy or a New Beginning?, International Data Privacy Law, 2013, 74, 77)

Personenbezug absolut ...

Der „absolute“ Begriff des Personenbezugs ist nicht die richtige Antwort auf die erweiterten Möglichkeiten der Reidentifizierung, da er zu einem Übermaß an Verboten führt:

“Auf der anderen Seite werden aufgrund der erleichterten Reidentifizierung Gesetze wie die EU-Datenschutzrichtlinie übermäßig – faktisch uferlos. Da die Richtlinie darauf abstellt, ob sich Informationen ‚direkt oder indirekt’ auf eine Person beziehen, wird die Richtlinie durch jede erfolgreiche Reidentifizierung einer vermeintlich anonymisierten Datenbank erweitert und findet auf diese Datenbank Anwendung. Je weiter die Möglichkeiten der Reidentifizierung fortschreiten, desto mehr wird die EU-Richtlinie aufgebläht… Ein Gesetz, das Grenzen haben sollte, wird grenzenlos, und die sorgsame Abwägung des Gesetzgebers zwischen Privatsphäre, Datenschutz und Datenverkehr wird aus den Angeln gehoben“ (Hervorhebung nicht im Original) (Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA Law Review 1701 (2010), 1741)

... "schwarz-weiß"

Das heutige Datenschutzrecht fußt auf einem „Schwarz-Weiß-Prinzip“. Wenn Daten Personenbezug haben, ist das kleinteilige Datenschutzrecht uneingeschränkt anwendbar. Fehlt es dagegen an einem Personenbezug, ist die Datenverarbeitung keinerlei Beschränkungen unterworfen. Das „IT-Grundrecht“ ist ein Türöffner zur Durchbrechung des „Schwarz-Weiß-Denkens“ und damit eines Regelungskonzepts, das zunehmend als verfehlt angesehen wird:

“Personenbezogene Daten sollten stattdessen anhand einer Risikomatrix definiert werden, die die Risiken, Absichten und mögliche Konsequenzen einer Reidentifizierung berücksichtigt statt einer Dichotomie zwischen ‚bestimmbaren’ und ‚nicht bestimmbaren’ Personen. Ein bipolarer Ansatz, der sich darauf stützt, Daten entweder als ‚personenbezogen’ anzusehen oder nicht, ist nicht hilfreich und führt zwangsläufig zu einem nutzlosen Wettrüsten zwischen Anonymisierung und Reidentifizierung.“ (Hervorhebungen nicht im Original) (Tene/Polonetsky, Big Data for All: Privacy and User Control in the Age of Analytics, 11 Nw. J. Tech. & Intell. Prop. 239 (2013), 258)

Unabhängig von einer nie auszuschließenden Re-Identifizierung anonymer Informationen wird eine Ausspähung auch dann als Eingriff in die Privatsphäre empfunden, wenn sie erfolgt, ohne dass dem Späher die Identität der ausgespähten Person bekannt ist. Die umfangreiche Speicherung von Daten bei Google, Facebook und Apple stellt nach dem Empfinden vieler Nutzer einen Eingriff in die Privatsphäre dar. Die heimliche und unkontrollierte Protokollierung und Auswertung der Nutzergewohnheiten wird als ein „Ausspähen“ des Nutzers empfunden, das sich von der gezielten Online-Durchsuchung einer Computerfestplatte allenfalls graduell unterscheidet (Härting, AnwBl. 2011, 246, 247; Schneider/Härting, ZD 2011, 63, 68).

 

Zurück