Dass Internet-Großkonzerne wie Google und Facebook im großen Stil personenbezogene und personenbeziehbare Daten über ihre Nutzer sammeln, sollte inzwischen jedem bekannt sein. Sie verwenden diese zumeist, um individualisierte Werbung zu schalten und so wirtschaftliche Gewinne zu erzielen. Aber auch für die meisten anderen marktwirtschaftlich ausgerichteten Unternehmen stellt Big Data einen bedeutsamen, wenn nicht sogar den wichtigsten Wettbewerbsfaktor dar. So geben 46 Prozent von 500 deutschen Unternehmen in einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom an, dass personenbezogene Daten die Grundlage ihres Geschäftsmodells darstellen. Die Daten kommen dabei vor allem für die Optimierung von Vertriebsstrukturen und die Individualisierung von Marketingmechanismen zum Einsatz.
Dem steht ein zunehmend mündigerer und besser informierter Verbraucher gegenüber, der zurecht befürchtet, durch die Erstellung ausführlicher Nutzerprofile zum „gläsernen Menschen“ zu mutieren. Dieses Misstrauen gegenüber Unternehmen (und auch Behörden) zeigt sich auch in den Ergebnissen einer Studie des Mediendienstleisters SYZYGY: Darin hielten es nur 14 Prozent der Deutschen für lohnenswert, ihre personenbezogenen Daten im Austausch für ein personalisiertes Konsumerlebnis herauszugeben. Jeder vierte Befragte gab zudem an, bereits einem Onlineservice aus Angst, die Kontrolle über die eigene Privatsphäre zu verlieren, den Rücken gekehrt zu haben.
Immer wieder auftretende Fälle von Datenklau und Datenmissbrauch durch Phishing und den Einsatz von Trojanern befeuern diese Angst noch weiter. Denn je mehr sensible Informationen über ein Individuum im Umlauf sind – so die logische Schlussfolgerung –, desto größer ist die damit verbundene Gefahr für dessen finanzielle und soziale Existenz.
Die Datenschutzbestimmungen nehmen die „Datenkraken“ deshalb in die Verantwortung: Unternehmen und Behörden sind gesetzlich dazu verpflichtet, den Schutz der Informationen über ihre Nutzer und Kunden zu gewährleisten. Dies impliziert die Einhaltung der folgenden Grundsätze und Praktiken, die in der DSGVO festgelegt sind:
- Rechtmäßigkeit der Datenverarbeitung: Das Sammeln, Speichern, Verwerten und Weitergeben von personenbezogenen Daten an Dritte ist nur mit ausdrücklicher Einwilligung des Betroffenen zulässig.
- Transparenz: Unternehmen und Behörden stehen in einer umfassenden Rechenschafts-, Dokumentations- und Nachweispflicht. Auf Anfrage eines Betroffenen müssen sie Auskunft über sämtliche Bearbeitungsvorgänge bezüglich seiner personenbezogenen Daten erteilen.
- Zweckbindung: Die Verwendung von Daten muss zu jedem Zeitpunkt zweckgebunden sein und darf nicht willkürlich erfolgen.
- Datenminimierung: Organisationen sind dazu angehalten, nur die notwendigsten Daten für ihre Zwecke zu sammeln und die gespeicherte Informationsmenge im Allgemeinen gering zu halten (vergleiche die Prinzipien der Datenvermeidung und Datensparsamkeit im BDSG).
- Richtigkeit der Datenverarbeitung: Gespeicherte Daten müssen stets korrekt und auf dem neuesten Stand sein und im Bedarfsfall aktualisiert werden.
- Speicherbegrenzung: Es besteht eine regelmäßige Pflicht zur Löschung von Daten, wenn diese nicht mehr für den Zweck einer Organisation benötigt werden, unrechtmäßig gespeichert worden sind oder eine vorher festgelegte Verjährungsfrist abgelaufen ist.
- Integrität und Vertraulichkeit: Unternehmen und Behörden müssen umfangreiche Maßnahmen zum internen Datenschutz ergreifen. Dazu gehört neben dem Einsatz von Verschlüsselungsprogrammen und Sicherheitssoftware auch die ausführliche Schulung von mit der Datenverarbeitung betrauten Mitarbeitern.
Verstöße gegen diese Grundsätze können gemäß Artikel 83 Absatz 5 DSGVO ein Bußgeld in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens nach sich ziehen – eine Regelung, die zwar einen finanziellen Anreiz zur Einhaltung der Richtlinien darstellt, aber dennoch keine absolute Sicherheit für personenbezogene Daten garantieren kann. Aus diesem Grund liegt es zuletzt am Verbraucher, seinePrivatsphäre in Eigeninitiative zu schützen. So ist Datensparsamkeit auch beim Surfen im Internet ein wirkungsvoller Grundsatz. Weiterhin empfiehlt es sich, eingegebene Personen-, Adress- und Bankdaten nach Abschluss eines Online-Einkaufs wieder zu löschen oder zumindest zu verfälschen. Nicht zuletzt ergibt es außerdem Sinn, sich seiner Rechte gegenüber Unternehmen und Behörden bewusst zu sein.