Ich habe doch nichts zu verbergen - Datenschutz in einer digitalisiserten Welt

"Wer nichts zu verbergen hat, hat auch nichts zu befürchten" - Diesen Satz hört man immer wieder, wenn es um den Gebrauch von Messengern, Sozialen Netzwerken und Datensammlung allgemein geht. Warum soll nicht jeder Urlaubsfotos sehen, Name und Adresse, Freunde, Kontakte, Arbeitsstelle und mehr wissen dürfen? Was ist daran bedenklich? Haben denn nicht nur Kriminelle und Terroristen etwas zu verbergen?

Bei anfallenden und gesammelten Daten kann zunächst unterschieden werden, ob diese personenbeziehbar sind oder nicht.

Der Umgang mit personenbeziehbaren Daten wird in Europa durch die Datenschutzgrundverordnung geregelt. Daten sind personenbezogen, wenn sie persönliche oder sachliche Verhältnisse einer natürlichen Person beschreiben. Daten sind auch dann personenbeziehbar, wenn die Person nicht namentlich benannt wird, aber den Daten zuzuordnen bzw. durch diese Daten ermittelbar ist.

Bei anonymen Daten ist die Person unbekannt und auch nicht mehr bestimmbar. Anonymität ist nicht einfach zu erreichen, häufig können scheinbar anonymisierte Daten z.B. unter Einbeziehung von Metadaten de-anonymisisert werden.

Davon zu unterscheiden sind pseudonyme Daten – hier wird der Name durch ein Pseudonym ersetzt, beispielsweise für die Auswertung von Studien, bei denen mehrere Befragungen oder medizinische Daten als Untersuchungsreihen einer Person zugeordnet werden müssen. Diese fallen ebenfalls unter den Geltungsbereich der DSGVO – sie sind ja einzelnen Personen zuzuordnen. Die Pseudonymisierung erschwert die Zuordnung zu realen Personen zwar, ist aber höchst anfällig für eine De-Pseudonymisierung durch die Hinzunahme weiterer Daten aus anderen Quellen.

Die DSGVO führt in Art. 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
• Datenminimierung ("dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt")
• Richtigkeit ("es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden")
• Speicherbegrenzung (Daten müssen "in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist")
• Integrität und Vertraulichkeit ("angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung")

Dieser Wikibereich hat ein Dokument der ZPG Informatik BW von Dietrich/Lautebach (2017) zur Vorlage und ist lizenziert unter einer Creative Commons Namensnennung - Nicht kommerziell - Weitergabe unter gleichen Bedingungen 4.0 International Lizenz.