Big Data vs. DSGVO: Schon vor Inkrafttreten faktisch abgeschafft?

Am 25.05.2019 tritt die DSGVO in Kraft. Im Hintergrund haben allerdings bereits die befürchteten Verwässerungs- und Zersetzungsprozesse begonnen:

Die EU-Kommission schlägt eine Verordnung über den freien Verkehr nicht-personenbezogener Daten in der EU vor (im Folgenden „Datenfreihandelsverordnung“).

Der zuständige IMCO-Ausschuss des Europaparlaments hat den Kommissionsvorschlag – entgegen der gemeinsamen Verhandlungsposition von Kommission und Europarat – nun am 08.03.2018 auf die öffentliche Verwaltung erstreckt – einschließlich des Beschaffungs- und Vergabewesens sowie der behördeninternen Verwaltungspraktiken. Dies scheint mit Blick auf den qualitativ grundlegenden Unterschied zwischen Daten öffentlicher Stellen (mit den Besonderheiten hinsichtlich Sensibilität und Reichweite) und den sonstigen Daten, wie sie bspw. in der freien Wirtschaft generiert werden, schon im Ausgangspunkt verfehlt.

Noch schwerwiegender ist jedoch der Änderungsantrag zur Behandlung sogenannter gemischter Datensätze („mixed data sets“): Diese Datenpakete, die sowohl personenbezogene wie auch nicht-personenbezogene (z.B. statistische oder anonyme Daten, wie etwa Sensordaten) enthalten, sollen nach Auffassung des Ausschusses aus der DSGVO hinausfallen, sofern eine Trennung dieser Datensätze in personenbezogen und nicht-personenbezogen nach der Art der Datensätze möglich ist. Im Zweifel soll der gesamte Datensatz – bei Unauftrennbarkeit – unbeschadet der Regelungen der DSGVO nach den Bestimmungen der “Datenfreihandelsverordnung” zu behandeln sein. Dies bedeutete nichts weniger als den Anwendungsvorrang der „Datenfreihandelsverordnung“ gegenüber der DSGVO. Der hierzu ergangene Entwurf einer Stellungnahme des ITRE-Parlamentsausschusses (Industrie, Forschung und Energie) präzisiert dies – vermeintlich einschränkend – dahin, dass die neue Verordnung der DSGVO dann vorgehen soll, wenn es sich beim personenbezogenen Teil gemischter, untrennbarer Datensätze um nicht-sensible persönliche Daten handelt; dieses Kriterium wird allerdings nicht weiter definiert.

Diese Ansätze fortgedacht, könnten Datenverarbeitungsprozesse mit geeigneter Gestaltung, ggf. auch manipulativer Natur, in der personenbezogene Daten mit Daten ohne Personenbezug verquickt werden, aus dem Anwendungsbereich der DSGVO „hinausbefördert“ werden. Damit würde einer Umgehung der EU-weiten Regulierung des Datenverkehrs durch den Schutz des Individuums bei der Verarbeitung personenbezogener Daten durch die DSGVO Tür und Tor geöffnet.