Kategorien von Daten, die über soziale Medien erhoben werden
Home » Soziale Netzwerke zu Forschungszwecken: ethische und rechtliche Anforderungen an den Datenschutz » Einführung in soziale Netzwerke und Fragen des Datenschutzes » Kategorien von Daten, die über soziale Medien erhoben werden

Im Prinzip ist es durchaus möglich, verschiedene Arten von Daten über soziale Medien zu sammeln. Dabei kann es sich um personenbezogene und nicht personenbezogene Daten handeln. Das Verständnis von Daten als nicht personenbezogen ist auf rechtlicher Ebene und natürlich für die Erstellung dieser Leitlinien von großer Bedeutung, da die DSGVO nicht anwendbar wäre, wohl aber die EU-Verordnung 2018/1807. In der Praxis verschwimmt diese Trennung zwischen diesen beiden Arten von Daten aufgrund des zunehmenden Einsatzes von Datenanalysetechnologie, die eine größere Datenverarbeitungskapazität und eine Extrapolation der Ergebnisse ermöglicht (Gruppendatenschutz). Diese Situation verwischt die Grenze zwischen personenbezogenen und nicht personenbezogenen Daten in dem Maße, dass beispielsweise Profile immer genauer werden, auch wenn sie nicht mit einer bestimmten Person verknüpft sind und daher keine personenbezogenen Daten darstellen.

Die Grenze für die Einstufung von Daten als personenbezogen liegt in ihrer Fähigkeit, eine Person direkt oder indirekt zu identifizieren, und insbesondere, wenn die Kosten und der Zeitaufwand für eine solche Identifizierung nicht übermäßig hoch sind[1]. Diese Art der Klassifizierung ist in der Praxis jedoch nicht so einfach anzuwenden. Zunächst einmal können einige Daten, die auf den ersten Blick anonym erscheinen, de-anonymisiert werden[2] (siehe Unterabschnitt „Identifizierung, Pseudonymisierung und Anonymisierung“, Abschnitt „Hauptbegriffe“des allgemeinen Teils dieser Leitlinien). Darüber hinaus haben personenbezogene Daten als Rechtsbegriff insofern einen expansiven Charakter, als die Hyperproduktion von Daten und die Fähigkeit, sie zu verarbeiten und zu analysieren, ständig zunehmen, wodurch die Kosten und der Zeitaufwand für die Identifizierung einer Person aus einem beliebigen Satz von Daten (personenbezogenen oder nicht personenbezogenen) sinken[3].

Unter Berücksichtigung dieser Ausführungen muss man zu dem Schluss kommen, dass bei sozialen Netzwerken die Verarbeitung personenbezogener Daten generell die Regel ist. Dies gilt insbesondere, wenn man bedenkt, dass es in diesem Zusammenhang üblich ist, dass sich die Nutzer mit einer Reihe von personenbezogenen Daten anmelden. Es ist durchaus möglich, dass (1) viele dieser Daten für die Anmeldung nicht unbedingt erforderlich sind und daher nicht dem Grundsatz der Datenminimierung entsprechen (Art. 5.1.c DSGVO) oder dass (2) die Daten für Zwecke verwendet werden, die über die bloße Anmeldung hinausgehen, was in diesem Fall einen Verstoß gegen den Grundsatz der Zweckbindung darstellt (Art. 5.1.b DSGVO). Schließlich kann die Erstellung von Personenprofilen ein hohes Maß an Genauigkeit erreichen, unabhängig von der Art der Daten, die für die Erstellung solcher Profile verwendet werden. Dabei sind die folgenden Vorsichtsmaßnahmen zu beachten:

  • Die Verantwortlichen sollten standardmäßig annehmen, dass sie personenbezogene Daten verarbeiten und entsprechend handeln.
    • Diese Annahme kann nur dann vermieden werden, wenn die zu verwendenden Daten und die von dem Verantwortlichen abgeleiteten Daten völlig unpersönlich sind (z. B. Wetterdaten). In diesen Fällen müssen die Verantwortlichen dies in den Verzeichnissen über die Verarbeitung dokumentieren.
    • Wenn sich die zu verarbeitenden Daten auf verstorbene Personen oder juristische Personen beziehen, müssen Vorkehrungen getroffen werden, um zu verhindern, dass diese Daten mit natürlichen Personen in Verbindung gebracht werden können (z. B. mit Angehörigen verstorbener Personen oder mit natürlichen Personen, die mit juristischen Personen in Verbindung stehen).
    • Wenn sich die zu verarbeitenden Daten auf verstorbene Personen beziehen, müssen auch die nationalen Datenverarbeitungsvorschriften berücksichtigt werden, da Daten von Verstorbenen keine personenbezogenen Daten im Sinne der DSGVO sind.
  • Für die Profilerstellung sollte eine Granularität festgelegt werden, die den Schutz der Privatsphäre von Personen, die potenziell mit einer solchen Profilerstellung in Verbindung gebracht werden können, ausreichend gewährleistet.
  • Es sollten Protokolle entwickelt werden, um die Möglichkeit einer Re-Identifizierung von Datennutzern, deren Daten zur Profilerstellung verarbeitet wurden, zu verhindern oder zu verringern. Dazu gehören ein rechtsverbindlicher Kompromiss, keine solche Re-Identifizierung anzustreben, und die Annahme von Maßnahmen zur Vermeidung einer unfreiwilligen Re-Identifizierung.

Zusätzlich zu der ursprünglichen Unterscheidung zwischen personenbezogenen und nicht personenbezogenen Daten sollte innerhalb der personenbezogenen Daten berücksichtigt werden, ob es sich um besondere Kategorien personenbezogener Daten handelt. Diese Unterscheidung ist insofern wichtig, als die Bedingungen für die Datenverarbeitung unterschiedlich sind, je nachdem, ob besondere Kategorien von Daten (Artikel 9 DSGVO) betroffen sind oder nicht.

Schließlich sollte noch eine Anmerkung zu aus Rückschlüssen erzeugten oder abgeleiteten Daten gemacht werden. Es gab eine Kontroverse darüber, ob abgeleitete Daten und insbesondere persönliche Profile als geistiges Eigentum betrachtet werden sollten oder nicht. Unabhängig davon ist zu bedenken, dass solche Daten gemäß Artikel 4 Absatz 1 DSGVO insofern personenbezogene Daten sind, als sie sich auf eine identifizerte oder identifizierbare Person beziehen. Zudemkann es möglich sein, aus gewöhnlichen personenbezogenen Daten oder sogar aus nicht personenbezogenen Daten, die mit anderen personenbezogenen Daten kombiniert werden(Gruppendatenschutz), Rückschlüsse auf die in Artikel 9 DSGVO als besondere Datenkategorien bezeichneten Daten zu ziehen[4]. Soweit sich diese Rückschlüsse auf eine identifzierte oder identifizierbare Person beziehen, sollten sie als besondere Datenkategorien behandelt werden, unabhängig davon, ob sie als Objekte des geistigen Eigentums verstanden werden (oder nicht).
 

Quellenangaben

1Siehe Erwägungsgrund 26 der Datenschutz-Grundverordnung: „Um festzustellen, ob eine natürliche Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, nach allgemeinem Ermessen wahrscheinlich genutzt werden.“

2Siehe Erwägungsgrund 26 der Datenschutz-Grundverordnung: „Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden..

3Siehe: allgemein G. Comandé (Editor) Encyclopedia of Data Science and Law Edwards Eldgar, 2021; in Vorbereitung; G. Comandé – G. Malgieri, Sensitive-by-distance: quasi-health data in the algorithmic era (2017), in Information & Communications Technology Law, Vol. 26, Iss. 3, S. 229-249; G. Comandé – G. Schneider, Regulatory Challenges of Data Mining Practices: The Case of the Never-ending Lifecycles of ‘Health Data’ (2018), in European Journal of Health Law, Band 25, Heft 3, S. 284 – 307.

4Siehe im Allgemeinen Taylor, L., Floridi, L., van der Sloot, B. eds. (2017) Group Privacy: new
challengesofdatatechnologies, Dordrecht, Springer.

 

Skip to content