Die Forschung auf der Grundlage von Daten, die über soziale Netzwerke erhoben wurden, beinhaltet oft die Verarbeitung einer Vielzahl personenbezogener Daten. Dies schafft ein komplexes Szenario. Die Verantwortlichen müssen sich darüber im Klaren sein, dass die betroffenen Personen in der Lage sein müssen, zu verstehen, wie und zu welchem Zweck ihre personenbezogenen Daten verwendet werden, auch wenn dies schwer zu erreichen sein mag. Im Allgemeinen bedeutet dies, dass die Forscher Instrumente verwenden sollten, die dieses Wissen auf möglichst einfache Weise vermitteln können. Die Erklärbarkeit ist besonders wichtig bei der automatischen Verarbeitung von Daten oder beim Profiling. „Die Methoden für die Auskunftserteilung, für die Belehrung über das Recht auf Widerspruch gegen die Datenverarbeitung und für die Einholung der Einwilligung sollten so nutzerfreundlich wie möglich gestaltet werden. Insbesondere die Verfahren für die Auskunftserteilung und die Einholung der Einwilligung müssen auf Informationen ausgerichtet werden, die für den Nutzer verständlich sind und nicht auf allgemeine Datenschutzbestimmungen auf der Webseite des für die Verarbeitung Verantwortlichen beschränkt sein sollten.“[1]
Wenn der Verantwortliche „plant“, eine Verarbeitung zu anderen Zwecken als denen, für die die Daten vom sozialen Netzwerk erhoben wurden, durchzuführen, muss er die Nutzer oder betroffenen Personen vorab über eine solche Weiterverarbeitung informieren, Informationen bereitstellen und alle anderen Anforderungen erfüllen, wie z. B. das Vorhandensein einer Rechtsgrundlage für diesen neuen Zweck oder die Durchführung einer Vereinbarkeitsprüfung (siehe Unterabschnitt „Grundsatz der Zweckbindung“, Abschnitt „Hauptkonzepte“des allgemeinen Teils dieser Leitlinien). Die Anforderungen an die Transparenz hängen natürlich eindeutig mit dem Grundsatz der Verarbeitung nach Treu und Glauben zusammen, denn je schwieriger es für den Nutzer ist, die Datenverarbeitung zu verstehen, desto größer ist der Unterschied zwischen den verschiedenen Arten von Nutzern. Generell gilt: „Je größer die Datenmenge, desto schwieriger ist ein klarer, verständlicher Überblick in Textform. Symbole bieten eine Möglichkeit, persönliche Datenkategorien schlank und wiedererkennbar darzustellen. Dies erfordert eine aussagekräftige und selbsterklärende grafische Darstellungen der Daten.“[2]
Nach der DSGVO sind die Informationen, die ein Verantwortlicher den betroffenen Personen zur Verfügung stellen muss, unterschiedlich, je nachdem, ob diese Informationen von den betroffenen Personen erhalten wurden oder nicht. Wenn die personenbezogenen Daten nicht vom Nutzer erhoben werden (Art. 14 DSGVO), wie z. B. im Falle des Erhalts der Daten von einem sozialen Netzwerk, muss der Verantwortliche besonders darauf achten, die betroffene Person angemessen zu informieren, insbesondere da eine Massendatenerhebung stattfindet. Daher müssen die Verantwortlichen den Nutzer über die Bestimmungen von Art. 14 DSGVO informieren[3].
Es ist jedoch zu erwähnen, dass es für einen Verantwortlichen, der die Daten in einem sozialen Netzwerk erhoben hat, manchmal äußerst schwierig sein kann, die betroffenen Personen über die Verarbeitung zu informieren. In diesem Fall könnte er/sie auf Artikel 14 Absatz 5 Buchstabe b verweisen, in dem es heißt: „Die Erteilung solcher Informationen erweist sich als unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern;dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der inArtikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt” (siehe Unterabschnitt „Datenschutz und wissenschaftliche Forschung“, Abschnitt „Hauptkonzepte“des allgemeinen Teils dieser Leitlinien).
In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit (siehe Unterabschnitt „Recht auf Information“, Abschnitt „Rechte der betroffenen Personen“des allgemeinen Teils dieser Leitlinien). So könnten die Verantwortlichen grundsätzlich vermeiden, die betroffenen Personen über die Verarbeitung zu informieren, wenn dies nicht möglich ist, aber nur, wenn sie geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person ergreifen, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit.
Es ist jedoch zu beachten, dass ein unverhältnismäßiger Aufwand in einigen Rechtsordnungen eng ausgelegt werden kann. So hat beispielsweise die polnische Datenschutzbehörde vor Kurzem (März 2019) eine Geldstrafe in Höhe von 220.000 Euro gegen ein Unternehmen verhängt, das Daten aus einem öffentlichen Register ausgelesen hatte, weil es versäumt hatte, 5,7 Millionen Personen, deren Daten ausgelesen worden waren, über den Datenschutz zu informieren. Die polnische Datenschutzbehörde wies das Argument zurück, dass ein Datenschutzhinweis auf der Website des Datenausleseunternehmens zur Benachrichtigung der Personen ausreicht, insbesondere wenn die Personen nicht wussten, dass ihre Daten ausgelesen und verarbeitet wurden.[4]
| Checkliste: Verarbeitung nach Treu und Glauben und Transparenz
Verarbeitung nach Treu und Glauben ☐ Die Verantwortlichen führen Audits durch, die darauf abzielen, Verzerrungen in den erstellten Datensätzen und/oder den Schlussfolgerungen der Analyse aufzudecken ☐ Die Verantwortlichen haben angemessene Maßnahmen ergriffen, um durch den Einsatz von KI-Tools verursachte Verzerrungen zu vermeiden. Transparenz ☐ Der Verantwortliche bietet
☐ Da die personenbezogenen Daten nicht von der betroffenen Person zur Verfügung gestellt wurden, haben die Verantwortlichen alle in Artikel 14 Absatz 1 DSGVO aufgeführten Informationen bereitgestellt; ☐ Da die personenbezogenen Daten nicht von der betroffenen Person zur Verfügung gestellt werden, werden die Informationen wie folgt bereitgestellt:
☐ Die Informationen werden knapp, transparent, verständlich und leicht zugänglich bereitgestellt. Sie sind klar und in einfacher Sprache abgefasst. ☐ Wenn die Bereitstellung der Informationen unmöglich ist, ergreifen die Verantwortlichen geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit. ☐ Die Verantwortlichen haben alle Informationen zu diesen Fragen dokumentiert |
Quellenangaben
1Artikel-29-Datenschutzgruppe (2014), Stellungnahme 8/2014 zu den jüngsten Entwicklungen im Internet der Dinge (16. September 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
2Bier C., Kühne K., Beyerer J. (2016) PrivacyInsight: The Next Generation Privacy Dashboard. In: Schiffner S., Serna J., Ikonomou D., Rannenberg K. (eds) Privacy Technologies and Policy. APF 2016. Lecture Notes in Computer Science, vol 9857. Springer, Cham. https://doi.org/10.1007/978-3-319-44760-5_9 ↑
3Siehe: CNIL, La réutilisation des données publiquement accessibles en ligne à des fins de démarchage commercial, unter: https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial ↑
4Campbell, Fiona, Data Scraping – Considering the Privacy Issues, unter: https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/data-scraping-considering-the-privacy-issues ↑