Überall um uns herum werden Daten gesammelt. Alles, was wir tun, wird aufgezeichnet. Denken Sie an den Internetverkehr, aber auch an den Verkehr auf der Straße, den Schrittzähler auf Ihrem Telefon oder etwa die Heizung im Haus. Alle diese Geräte zeichnen Ausschnitte aus Ihrem täglichen Leben in Daten auf.
Es sind großen Datenmengen, in denen viele interessante Geschichten verborgen sind. Viele Organisationen wie Behörden, aber auch Wirtschaftsunternehmen sammeln Daten über Menschen, um diese für bestimmte Dienstleistungen oder Produkt-Entwicklungen zu nutzen. Aber ist das einfach so erlaubt? Und wie gehen die Organisationen mit all diesen (persönlichen) Daten um? Natürlich ist es nicht vorgesehen, dass alle Ihre Daten einfach auf der Straße liegen. Die diesbezüglichen Regelungen sind weitgehend in der Allgemeinen Datenschutzverordnung (DSGVO) festgelegt.
Das neue Gesetz ist umfassend. Aber was bedeutet es eigentlich für den Einzelnen? In diesem Artikel finden Sie fünf Fragen und die Antworten dazu.
Was ist Datenschutz und was sind personenbezogene Daten?
Datenschutz ist die persönliche Freiheit, die uns und unsere Handlungen, Merkmale und Informationen von jenen anderer unterscheidet – sowie der Schutz dieser persönlichen Freiheit. Datenschutz kann eine Person aber auch eine Gruppe von Personen betreffen – wie zum Beispiel eine Familie. Menschen entscheiden selbst, mit wem sie Informationen austauschen, und mit dieser Freiheit ist Datenschutz verbunden.
Personenbezogene Daten sind die greifbaren Daten, die involviert sind, wenn wir über den Datenschutz sprechen. Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Es können Informationen sein, die sich direkt auf jemanden beziehen oder Informationen, die auf eine Person zurückgeführt werden können. Dabei gibt es einen Unterschied zwischen gewöhnlichen und speziellen personenbezogenen Daten. Personenbezogene Daten sind zum Beispiel Ihr Name, Ihr Geburtsdatum und Ihre Adresse. Spezielle personenbezogene Daten sind meist sensibler, denken Sie an Rasse und Religion oder an Informationen zur gesundheitlichen Verfassung von Personen.
Welche Rolle spielt dabei die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist die europäische Gesetzgebung zum Schutz personenbezogener Daten. Darin wird dargelegt, welche Verantwortung Regierungen, Organisationen und Unternehmen in Bezug auf personenbezogene Daten haben. Dieses Gesetz legt auch fest, welche Rechte die Bürger in Bezug auf ihre personenbezogenen Daten haben. Die Einhaltung dieses Gesetzes überwacht die Behörde für personenbezogene Daten.
Grundlagen
Die DSGVO enthält sechs Prinzipien für die Verarbeitung personenbezogener Daten. Eine Organisation darf personenbezogene Daten nur dann verarbeiten, wenn mindestens eine davon gegeben ist. Diese Prinzipien lauten folgend:
- die betroffenen Person hat zugestimmt;
- Die Datenverarbeitung ist für die Durchführung eines Vertrages erforderlich;
- Die Datenverarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich;
- Die Datenverarbeitung ist zum Schutz lebenswichtiger Interessen erforderlich;
- Die Datenverarbeitung ist notwendig für die Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt;
- Die Datenverarbeitung ist zum Schutz berechtigter Interessen erforderlich;
Organisationen
Bei der Verarbeitung personenbezogener Daten ist eine Organisation verantwortlich für die zu verarbeitenden Daten. Diese muss sicherstellen, dass diese Daten ordnungsgemäß verarbeitet und verwendet werden und auch sicher gespeichert werden.
Bürger
Neben den Rechten und Pflichten der datenverarbeitenden Unternehmen, haben auch Bürger Rechte in Bezug auf ihre personenbezogenen Daten. So haben sie beispielsweise das Recht, ihre personenbezogenen Daten bei einer bestimmten Organisation einzusehen, zu korrigieren und/oder zu löschen.
Verarbeitung personenbezogener Daten
Nicht jedes Unternehmen, das personenbezogene Daten verarbeiten darf, handelt diesen Prozess intern ab. Manchmal wird dieser an einen Dritten ausgelagert, zum Beispiel an ein Verwaltungsbüro. Nach der DSGVO müssen hierüber klare Vereinbarungen in Form eines Verarbeitungs-Vertrages getroffen werden. Bei der Verarbeitung personenbezogener Daten gibt es zwei Zuständigkeiten: den Verantwortlichen für die Verarbeitung und den Bearbeiter. Der Datenverantwortliche ist das Unternehmen, das personenbezogene Daten sammelt und verarbeiten darf. Der Bearbeiter ist derjenige, der die Daten tatsächlich verarbeitet. Eine Verarbeitungs-Vereinbarung enthält sowohl die Pflichten des Verantwortlichen als auch jene des Bearbeiters. Letztendlich bleibt aber die Verantwortung für die personenbezogenen Daten und deren Verarbeitung immer beim datenverantwortlichen Unternehmen.
In einer solchen Verarbeitungs-Vereinbarung steht unter anderem:
- welche Art der Verarbeitung vorliegt;
- welche personenbezogenen Daten das Unternehmen in dieser Angelegenheit verarbeitet;
- zu welchem Zweck das Unternehmen dies tut;
- wie das Unternehmen dies tut;
Um dies nachvollziehbar zu machen, schauen wir uns an, wie eine Gemeinde wie Eindhoven mit der Verarbeitung personenbezogener Daten umgeht. In den Berichten von Innovation Origins ist die Gemeinde oft eine Quelle für Zahlen oder auch für die Klärung von Zahlen. Mariëlle van den Bos, Datenschutzbeauftragte der Gemeinde Eindhoven, erklärt, wie die Gemeinde mit Verarbeitungs-Verträgen umgeht. “Es kommt vor, dass die Gemeinde die Verarbeitung einer anderen Partei überträgt, aber sie bestimmt stets den Zweck und die Mittel einer solchen Verarbeitung.” So hat die Gemeinde beispielsweise einen solchen Verarbeitungs-Vertrag mit der Stiftung Wij Eindhoven, der bestimmte Vorteile bietet. Van den Bos: “Ich glaube nicht, dass die Einwohner viel davon mitbekommen. Als Gemeinde bleiben wir verantwortlich und haben alle Haftungen im Verarbeitungsvertrag festgelegt.”
Die Verpflichtungen der Gemeinde
“Als Gemeinde haben wir viel mit persönlichen Daten zu tun. Wir müssen diese ordnungsgemäß und sorgfältig behandeln”, erklärt Van den Bos. Es gibt einen internen Verantwortlichen, der viel mit dem externen Verantwortlichen, der Personaldaten-Behörde, zu tun hat. Die Gemeinde führt ein Register, in dem festgehalten wird, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden. Wir prüfen auch, ob unsere Grundlagen den Anforderungen der DSGVO entsprechen.
Van den Bos: “Die Verarbeitung personenbezogener Daten ist weitreichend. Es können Daten sein, welche die Gemeinde einer anderen Person zur Verfügung stellt, aber es kann auch das Kopieren oder Bereitstellen von Daten sein. Die Gemeinde prüft bei jedem Verarbeitungs-Vorgang die Höhe des Datenschutz-Risikos. Ist ein Risiko gegeben, wird eine Datenschutzfolgen-Einschätzung durchgeführt. “Dabei sehen wir uns an, was genau wir als Gemeinde tun und was der Zweck ist. Es ist sehr wichtig zu sehen, ob wirklich alle Daten für eine bestimmte Verarbeitung benötigt werden”, erklärt Van den Bos. “Darüber hinaus bewerten wir die Risiken für die Beteiligten. Für uns sind das oft die Einwohner. Wenn es Risiken gibt, prüfen wir Maßnahmen zu deren Bewältigung.”
Wie die Gemeinde damit umgeht
Die Gemeinde ist nur für die Daten verantwortlich, die sie selbst erhebt, und nicht für die Daten, die ferner in der Stadt erhoben werden. “Aber natürlich haben wir eine Verantwortung gegenüber unseren Bürgern in Bezug auf die Gestaltung des (digitalen) öffentlichen Raums”, sagt Olga Bondarenko, strategische Beraterin der Gemeinde Eindhoven. “Zum Beispiel können wir eine Partei nicht verpflichten, uns zu melden, wenn sie in der Stadt Daten erfasst. Aber wir haben in unserer Richtlinie festgehalten, dass wir den Datenschutz für sehr wichtig halten und dass wir wollen, dass Unternehmen und Organisationen innerhalb der Gemeinde die Regeln einhalten. Dazu gehört auch, dass wir die in der Stadt gesammelten Daten den Einwohnern und anderen Parteien zur Nutzung zur Verfügung stellen.”
Das Sensor-Register (Anm.: Datensammler-Register) ist ein Beispiel dafür, wie die Gemeinde mit verschiedenen datensammelnden Parteien zusammenarbeitet, um für die Bürgern transparent zu machen, wo sich die datensammelnden Sensoren befinden. Auf diese Weise wissen die Bürger auch, wo sie etwas über die eingesetzten Instrumente oder die von ihnen gesammelten Daten erfahren können. Bondarenko: “Vor Ort haben wir noch zu wenig Mittel, um durchzusetzen, dass die Transparenz im öffentlichen Raum auch im digitalen Bereich erhöht wird”. Die Gemeinde arbeitet mit dem Verband der niederländischen Gemeinden und dem Innenministerium zusammen, um dies zu ändern.
Intelligente Gesellschaft
Anfang 2018 forderte der Verband der niederländischen Kommunen (VNG) seine Mitglieder auf, “sich aktiv an den Aktivitäten des Wissensnetzwerks der Smart Society zu beteiligen und an der Weiterentwicklung der Prinzipien”. Die Grundsätze der Smart Society wurden von den Gemeinden Eindhoven und Amsterdam festgelegt. Zu den vier Prinzipien zählen
- die Ziele der digitalen Infrastruktur;
- die Rolle der Regierung;
- die Datentransparenz;
So wurde eine Ausgangsbasis für die Gemeinden geschaffen. “Wir hoffen, dass solche Initiativen und vielleicht sogar Gesetze langfristig immer weiter ausgebaut werden, damit die Transparenz im Bereich der Daten im öffentlichen Raum gewährleistet werden kann”, sagt Bondarenko.
Laut Bondarenko handelt es nicht immer nur um Daten, bei denen die Privatsphäre der Einwohner gefährdet ist: “Es geht um viel mehr als nur personenbezogene Daten. Es geht auch um Daten, die sich möglicherweise nicht auf eine Person zurückführen lassen. Aber vielleicht wollen Sie als Einwohner trotzdem wissen, was mit diesen Daten passiert. Der öffentliche Raum gehört jedem und ich denke, als Einwohner will man die Kontrolle haben.”
Allerdings gibt es ihrer Meinung nach noch eine weitere Perspektive zu bedenken, nämlich die der Unternehmen. “Diese können diese Daten oft sehr gut nutzen, zum Beispiel für Eventmanagement, die Kontrolle von Menschenmengen und die Sicherheit im öffentlichen Raum. Das kann auch für die Einwohner relevant sein, da es ihre Sicherheit auf der Straße erhöht. Solange diese Daten mit Sorgfalt behandelt werden, hat deren Erhebung eine Berechtigung”, erklärt Bondarenko. “Darüber hinaus verwenden Unternehmen Daten, um Produkte zu innovieren und zu entwickeln, und wir als Regierung wollen Innovationen nicht behindern. Deshalb denke ich, dass die Einwohner ein Gleichgewicht finden müssen zwischen “Ich will nicht gemessen werden” und “Ich will in einer sicheren Stadt leben”. Das ist ein Gleichgewicht, das wir miteinander besprechen sollten.”
Was können Sie selbst tun?
“In der gesamten Digitalisierungs-Agenda der Regierung geht es oft auch um Sensibilisierung und Wissen. Wenn man weiß, was mit seinen Daten passiert, kann man selbst entscheiden”, sagt Bondarenko. Van den Bos ergänzt: “Ein Einwohner hat einfach viel mehr Rechte und Möglichkeiten, als er oder sie weiß oder denkt. Menschen haben die Kontrolle über die Daten, die von einer Organisation gespeichert werden. Darüber hinaus werden sich auch diese Organisationen zunehmend des Datenschutzes und seiner Bedeutung bewusst.”
Autorin: Linda Bak
Übersetzung: Hildegard Suntinger
Auch interessant:
Eindhoven smart city principles are going national
The sensor register: more insight into data collected about you