Server Vernetzung Daten Management Prozesse concept of big data processing and transfers users devices and file storage
© faithie / shutterstock.com
SERIE: Vom BDSG zur EU-DSGVO

Die rechtlichen Grenzen der Datennutzung

Teil 2

Ob (Vorrats-) Datenspeicherung oder Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), ob ausgeweitete DNA-Analyse oder intelligente Videoüberwachung: Wo immer Sicherheitsbehörden digitale Ermittlungstechniken einsetzen oder künftig einsetzen wollen, werden Daten erzeugt, deren Speicherung, Verarbeitung und Austausch bei der Kriminalitätsaufklärung helfen soll. Doch dem sind enge Grenzen gesetzt.

Knackpunkt Zweckbindung

Ein Knackpunkt, der die Sicherheitsbehörden bis heute erheblich in ihren Möglichkeiten einschränkt, ist der Grundsatz der Zweckbindung der erhobenen Daten. Demnach dürfen personenbezogene Daten grundsätzlich nur zweckgebunden erhoben und nur für eben diesen Zweck verarbeitet und genutzt werden; ohne einen bestimmten Zweck ist eine Datenerhebung nicht zulässig und eine Zweckentfremdung erfordert eine explizite Einwilligung des Betroffenen bzw. eine rechtliche Grundlage, die dies gestattet.

Auch erhobene Daten mit einer anderen, über bloße Amtshilfe hinausgehenden Aufgabenstellung an eine andere Stelle weiterzugeben, würde gegen den Grundsatz der Zweckbindung verstoßen – was zum Beispiel den Abgleich mit anderen Datentöpfen sowie den Informationsaustausch und die Vernetzung der Sicherheitsbehörden erschwert oder verhindert.

 

Kontextbasierte Datenanalyse

Stattdessen gewinnt der Ansatz der kontextbasierte Analyse von Datenstrukturen, das heißt der gezielten Auswertung unterschiedlichster Daten, an Bedeutung. Um die Quote analysierter Informationen zu steigern, werden dabei bereits erhobene Daten sinnvoll zusammengeführt und ausgewertet, also strukturiert angezeigt; eine kontextbasierte Datenbank verknüpft die vorhandenen Datenbestände auch aus verschiedenen Datenquellen miteinander, ordnet sie nach Kategorien und speichert sie gemeinsam als Kontext. Dadurch können etwa aktuelle Ereignisse, Echtzeitinformationen, historische Daten, Sensordaten oder Inhalte sozialer Medien berücksichtigt werden.

Laut Entschließung der Datenschutzbeauftragten des Bundes und der Länder auf ihrer 89. Konferenz ist es besonders kritisch, „wenn Analysesysteme vermeintlich harmlose, allgemein zugängliche Daten aus dem Internet auswerten, etwa aus Foren oder sozialen Netzwerken“. Denn „diese können zudem mit polizeilichen Speicherungen verknüpft und einer konkreten Person zugeordnet werden“.

Der Übergang zur allgemeinen „Big Data“-Thematik rund um die Auswertung riesiger Mengen strukturierter wie unstrukturierter Daten ist fließend. Dabei stellt die Weiterentwicklung Künstlicher Intelligenz, in deren Rahmen etwa selbst lernende Systeme Muster und Gesetzmäßigkeiten erkennen und selbst Kriterien für die Auswertung entwickeln, mit denen auch unbekannte Daten beurteilt werden, eine besondere Problematik dar, weil hierdurch eine Zweckänderung stattfinden könnte. Um es vorwegzunehmen: Die nachfolgend benannte EU-Richtlinie für den Datenschutz bei Polizei und Justiz lässt diese Entwicklungen außen vor.

 

Perspektiven der EU-DSGVO

Am 25. Mai 2016 in Kraft getreten, wird die EU-Datenschutz-Grundverordnung (EU-DSGVO) nach einer zweijährigen Umsetzungszeit mit Wirkung zum 25. Mai 2018 verbindlich. Gleichzeitig tritt die Neufassung des BDSG in Kraft, die das nationale Datenschutzrecht aufhebt bzw. die EU-DSGVO in Deutschland hinsichtlich unwirksam werdender Regelungen, erforderlicher Anpassungen und der Schaffung neuer Datenschutzvorschriften umsetzt.

Zeitgleich mit der EU-DSGVO wurde auch die EU-Richtlinie für den Datenschutz bei Polizei und Justiz verabschiedet, die einen Mindeststandard für den Grundrechtsschutz beim grenzüberschreitenden Datenaustausch zwischen Polizei- und Justizbehörden innerhalb der EU festlegt. Deren Relevanz ist allerdings dadurch begrenzt, dass Europol und Eurojust, aber auch die Nachrichtendienste und der Verteidigungsbereich, nicht unter die Richtlinie fallen.

Die EU-DSGVO ihrerseits behält als einen wesentlichen Datenschutzgrundsatz bei, dass personenbezogene Daten „für festgelegte, eindeutige und legitime Zwecke erhoben werden“ müssen und „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen (Artikel 5 Abs. 1b), d. h. die Zweckbestimmung bleibt bestehen und wird in allen EU-Mitgliedstaaten verbindlich. Weitere Grundsätze für die Verarbeitung personenbezogener Daten sind Rechtmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit der personenbezogenen Daten.

Mit der EU-weiten Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten können – von wenigen Öffnungsklauseln der EU-DSGVO, die es den Mitgliedsstaaten erlauben, eigene Sonderregelungen zu treffen, und den nationalen Umsetzungsspielräumen der Richtlinie abgesehen – auch rechtliche Änderungen zur Ausweitung der Befugnisse der Sicherheitsbehörden überwiegend nur noch im EU-Rahmen vorgenommen werden.

SERIE: Vom BDSG zur EU-DSGVO

Keine Wunsch-, sondern eine Pflichtveranstaltung!

Köln arbeitet seit zwei Jahren an der Umsetzung des neuen Datenschutzrechts / Datenschützer Fricke: „Nachvollziehbar darlegen, zielgerichtet vorgehen“

SERIE: Vom BDSG zur EU-DSGVO

Die rechtlichen Grenzen der Datennutzung

Teil 2

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.