Kontextuelle Sensitivität von Daten

Arnold Redhammer | 07.March 2025

Wenn „normale“ Daten sensibel werden – jenseits von Artikel 9 und 10 der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) definiert in den Artikeln 9 und 10 besondere Kategorien personenbezogener Daten, die aufgrund ihrer Natur einen höheren Schutz genießen. Doch die Realität zeigt, dass auch Daten, die formal nicht als „besonders sensibel“ eingestuft werden, im richtigen – oder falschen – Kontext gravierende Auswirkungen auf das Privatleben haben können.

DSGVO im Überblick

Die DSGVO unterscheidet zwischen:

• Besonderen Kategorien personenbezogener Daten (Artikel 9):
  Hierzu zählen Informationen zu rassischer und ethnischer Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben und der sexuellen Orientierung.

• Daten im Zusammenhang mit strafrechtlichen Verurteilungen (Artikel 10):
  Auch diese unterliegen einem besonderen Schutz.

Kontextuelle Sensitivität „normaler“ Daten

Obwohl nur bestimmte Datenkategorien explizit als besonders schützenswert gelten, kann der Kontext der Datenerhebung und -verarbeitung bewirken, dass auch „normale“ personenbezogene Daten sensible Informationen preisgeben. Dies wird besonders deutlich, wenn Daten in Kombination ein detailliertes Bild des Privatlebens einer Person zeichnen.

Beispiele für kontextuell sensible Daten

• Kaufverhalten und Online-Aktivitäten:
  Informationen über getätigte Käufe oder besuchte Webseiten erscheinen auf den ersten Blick unsensibel. Wird beispielsweise dokumentiert, dass jemand regelmäßig intime oder spezialisierte Produkte in einem bestimmten Onlineshop erwirbt, kann eine unbefugte Offenlegung gravierende private Konsequenzen nach sich ziehen – etwa im familiären oder sozialen Umfeld.

• Standortdaten:
  GPS-Daten oder Bewegungsprofile können Rückschlüsse auf private Routinen zulassen. Regelmäßige Besuche an Orten wie Beratungsstellen, Kliniken oder anderen sensiblen Einrichtungen können auf gesundheitliche oder persönliche Herausforderungen hindeuten.

• Soziale Medien und Kommunikationsverhalten:
  Aktivitätsdaten aus sozialen Netzwerken – wie Likes, Posts oder Nachrichten – ermöglichen in Kombination mit weiteren Informationen intime Einblicke in Beziehungen, Überzeugungen und private Konflikte.

• Berufliche und finanzielle Daten:
  Einzelne Daten wie Gehaltsangaben oder Leistungsbewertungen wirken isoliert oft wenig sensibel. Werden diese jedoch mit weiteren Informationen kombiniert, kann dies zu erheblichen beruflichen Nachteilen oder gar Diskriminierungen führen.

Warum der Kontext entscheidend ist

• Kombinationseffekt:
  Einzelne Datenpunkte erscheinen möglicherweise harmlos. In der Kombination können sie jedoch ein umfassendes Bild des Privatlebens zeichnen und so unerwartet sensible Informationen preisgeben.

• Individuelle Lebensumstände:
  Was für die eine Person als unbedeutend gilt, kann für eine andere enorme private Relevanz besitzen – insbesondere, wenn es um Beziehungen oder berufliche Konsequenzen geht.

• Risikomanagement:
  Unternehmen und Organisationen sollten nicht nur die formalen Vorgaben der DSGVO berücksichtigen, sondern auch das individuelle Risiko einer Datenpanne einschätzen. Der verantwortungsvolle Umgang mit Daten erfordert daher den Blick über rein formale Klassifikationen hinaus.

Fazit

Die DSGVO setzt klare Grenzen, welche Daten als besonders schützenswert gelten. Doch in der heutigen vernetzten Welt können auch „normale“ personenbezogene Daten, abhängig vom Kontext der Verarbeitung, gravierende Auswirkungen auf das Privatleben haben. Ein verantwortungsvoller Umgang mit diesen Informationen erfordert daher, dass stets auch der konkrete Anwendungsfall und mögliche Konsequenzen im Blick behalten werden.

---

Links zum Artikel

• DSGVO – Artikel 9 & 10
• Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)