Als im Mai 2018 die Datenschutzgrundverordnung (liebevoll DSGVO genannt…) in Kraft trat, gerieten nicht wenige Webseitenbetreiber in mehr oder weniger milde Panik. Die User aber, die ja durch die fünf Buchstaben geschützt werden sollten, verfielen stellenweise der Paranoia. Uh, ah, hieß es, wusste gar nicht, dass meine persönlichen Daten SO SEHR gefährdet sind! Der Staub hat sich gelegt, aber immer noch kennen Horst und Uschi Normalnetznutzer den Unterschied zwischen persönlichen und personenbezogenen Daten nicht. Dabei wäre dieses Wissen ein prima Beruhigungsmitteln gegen den digitalen Verfolgungswahn.

Früher war nicht nur alles früher, sondern manches auch einfacher. Persönliche Daten waren kaum mehr als das, was im Personalausweis oder Pass stand, also Name, Adresse und Geburtsdatum. Je nach Nation fanden sich in Identifikationspapieren zudem Angaben zur Körpergröße, Haar- und Augenfarbe sowie zu sogenannten „unveränderlichen Kennzeichen“ und zum Familienstand. Sinn der Sache war und ist es bei solchen staatlich ausgestellten Ausweisen, die Person dahinter identifizierbar zu machen. Über all die Jahrzehnte seit der Einführung von „Papieren“ hat sich daran wenig geändert – nicht einmal die Telefonnummer fand je Eingang in den Reisepass.

Auch wenn die/der Gesetzgeber seine Definition von personenbezogenen Daten merkwürdig wolkig hält, rechneten Datenschützer und Datenschutzinteressierte schon vor der vollständigen Digitalisierung des Lebens auch die folgenden Angaben zu diesem Datenkreis: Telefonnummern und E-Mail-Adressen, Konto- und Kreditkartennummer, Kfz-Kennzeichen, Sozialversicherungsnummer, Informationen zu etwaigen Vorstrafen, genetische Krankheits- und Krankendaten sowie Werturteile verschiedener Art (Schul- und Arbeitszeugnisse, Diplome, Auszeichnungen inklusive Orden). Nur, wie lässt sich dieser Wust zu einer Definition zusammenfassen? Vielleicht in folgendem Satz:

Personenbezogene Daten sind alle eindeutig beschreibbaren Merkmale von natürlichen Personen sowie Informationen zu deren Zustand in Raum und Zeit.

Wobei mit „Raum“ auch der virtuelle Raum, also im Wesentlichen das Internet gemeint ist. Damit wird die grundsätzliche Funktion von personenbezogenen Daten (in Relation zu persönlichen Daten) klar. Es geht nicht mehr nur darum, einen Menschen anhand dieser Daten zu identifizieren, sondern ihn so zu beschreiben, dass Rückschlüsse auf sein generelles Verhalten und das in gewissen Situationen gezogen werden können. Ui, klingt nach 1984, klingt gefährlich und regt zur Paranoia an. Denn das Problem besteht nicht darin, dass diese Daten überhaupt von staatlichen Stellen, aber auch Unternehmen gesammelt werden, sondern dass all diese Informationen unabhängig davon, wann, wo und wie sie gespeichert wurden, zu einem Bild zusammengesetzt werden können.

Und damit kommen wir zum entscheidenden Grundgedanken jeder Form von Datenschutz. Der besagt, dass jeder Mensch die volle Souveränität über die auf seine Person bezogenen Daten haben muss. Dass also jedes Individuum frei darüber zu entscheiden hat, wer, wann, wo und wie seine personenbezogenen Daten gespeichert werden darf. Tatsächlich ist die Forderung nicht bloß ein Gedanke, sondern auf dem Weg zu einem unveräußerlichen Menschenrecht zu werden.

Damit jeder Mensch, der sich im digitalen Raum bewegt, aber überhaupt über das Sammeln, Speichern und Auswerten seiner personenbezogenen Daten frei bestimmen kann, muss er/sie wissen, wer diese wann und wie sammelt, speichert und auswertet. Die User darüber zu informieren, ist Sinn der Datenschutzerklärung im Sinne der DSGVO. Schade, dass kaum jemand diese Texte überhaupt liest…