Individualisierung und Datenschutz

Ausgangspunkt der vorliegenden Arbeit ist das Phänomen der Individualisierung. Der Begriff Individualisierung bezeichnet den mit der Aufklärung und Modernisierung¹ der westlichen Gesellschaften einhergehenden Prozess eines Übergangs des Individuums von der Fremd- zur Selbstbestimmung, also einen Prozess, in dem das Individuum zum Gestalter seiner Umwelt und seines Lebens wird.2 Inter- und intradisziplinär wird der Begriff Individualisierung in Nuancen unterschiedlich verstanden, daher existiert eine Vielzahl an Untersuchungen mit unterschiedlichen Definitionen, Modellen und Erklärungsversuchen. Hieraus wird deutlich, dass die Individualisierung ein facettenreiches, vielschichtiges und komplexes Phänomen ist.

Der Begriff Individualisierung wird in den Disziplinen Soziologie, Psychologie und Betriebswirtschaft uneinheitlich verwendet, auch intradisziplinär existiert eine Vielzahl an voneinander abweichenden Definitionen.44 Die meisten Arbeiten stellen einen bestimmten Aspekt der Individualisierung in den Vordergrund, mit dem sie sich dann dezidiert auseinandersetzen. Folglich lassen sich unter dem Thema Individualisierung die verschiedensten Abhandlungen finden, die zu teilweise völlig unterschiedlichen soziologischen, psychologischen und betriebswirtschaftlichen Entwicklungen und Aspekten Stellung nehmen. Eine allgemeingültige Definition des Begriffs Individualisierung gibt es also nicht. Vielmehr werden unter dem Begriff mehrere komplexe und vielschichtige Entwicklungsprozesse und Phänomene zusammengefasst.

Das deutsche Datenschutzrecht enthält umfangreiche und konkrete Regelungen für die Verarbeitung personenbezogener Daten sowie zu den Rechten der Betroffenen. Die Anforderungen des deutschen Datenschutzrechts sind ganz überwiegend höher und stärker ausdifferenziert als die Anforderungen anderer Staaten sowie europa- und völkerrechtlicher Regelungen.127 Dennoch kann das Datenschutzrecht in der Bundesrepublik Deutschland nicht vollständig losgelöst von der internationalen und erst recht nicht ohne Berücksichtigung der europäischen Rechtsentwicklung betrachtet werden.128 Europa- und völkerrechtliche Regelungen wirken über die Auslegung normativ und argumentativ verstärkend auf die deutsche Rechtslage ein. So leitet das Bundesverfassungsgericht aus der Entscheidung des Grundgesetzes für die internationale Zusammenarbeit einen Auslegungsgrundsatz ab, der in Zweifelsfällen einer Deutung Vorranggibt, die in Übereinstimmung mit dem jeweiligen völkerrechtlichen Vertrag steht.129 Die Tatsache, dass Daten problemlos weltweit und ohne echte Kontrolle grenzüberschreitend versendet werden können, macht eine überstaatliche Perspektive beim Blick auf die zu Grunde liegenden Rechtsnormen ebenfalls erforderlich. Viele gesetzgeberische Aktivitäten des letzten Jahrzehnts, auch im Bereich des Datenschutzrechts, wurden durch die europäische Integration und das dadurch bedingte Bedürfnis nach einer Harmonisierung des Rechts bestimmt. Zum besseren Verständnis der für den Untersuchungsgegenstand einschlägigen datenschutzrechtlichen Vorgaben in Deutschland wird daher zunächst ein Überblick über den Regelungsrahmen auf inter- und supranationaler Ebene gegeben.

In allen vier Fallgruppen der Individualisierung entstehen Herausforderungen für den Datenschutz aufgrund der Datenverarbeitungsmaßnahmen, die zur Ermöglichung der Individualisierung durchgeführt werden. Die neuartigen Dienstleistungen und Geräte, die adaptiv auf Situationen und Verhaltensmuster von Menschen reagieren, um ihre Nutzer möglichst effektiv zu unterstützen, können nur funktionieren, wenn sie Zugriff auf bestimmte Daten ihrer Nutzer haben. Je mehr sie von ihren Nutzern „wissen“, desto individueller können sie diese unterstützen und auf spezifische Bedürfnisse eingehen. Das bedeutet, dass personenbezogene Daten erhoben und verarbeitet werden müssen, da ein Großteil der Funktionalitäten nicht oder nur schwer vorstellbar sind, ohne dass die Nutzer personenbezogene Daten preisgeben. Um etwa Bedürfnisse antizipieren zu können, ist die Beobachtung des Verhaltens der Nutzer über Zeiträume notwendig, was wiederum notwendig die Speicherung der Daten also die Erstellung von Profilen erforderlich macht. Außerdem haben Unternehmen zum Beispiel auch ein Interesse daran, ihre Vertragspartner möglichst genau zu kennen, um sich gegen finanzielle Risiken wie etwa das Kreditausfallrisiko abzusichern. Die Problematik wird noch komplexer, wenn man sich vor Augen führt, dass an den Individualisierungsmaßnahmen oft mehrere Unternehmen beteiligt sind, wie zum Beispiel Zugangsvermittler, Diensteanbieter, Gerätehersteller, Informationsübermittler, Data Warehousing- und Scoring-Betreiber.

Eines der Gestaltungsziele im Datenschutzrecht ist die Datenvermeidung. Grundsätzlich sollen so wenig personenbezogene Daten wie möglich erhoben und verarbeitet werden. Gemäß § 3a Satz 2 BDSG ist deshalb von der Möglichkeit der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies technisch möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Datenvermeidung und Datensparsamkeit bilden die Grundpfeiler des oben dargestellten Konzepts „Datenschutz durch Technik“, also des Verständnisses, dass Datenschutz nicht gegen, sondern mit und durch die Technik gewährleistet wird.¹⁰¹⁰ Im Internet kann ein einmal entstandenes Datum vom Nutzer kaum noch kontrolliert werden. Durch den Einsatz von Pseudonymen und Anonymisierungstechniken kann bereits das Entstehen von personenbezogenen Daten verhindert werden, so dass es zu den Folgeproblemen gar nicht erst kommt.¹⁰¹¹