Daten, die zum Beispiel im Rahmen von Verkehrserhebungen privater Haushalte gewonnen werden, liefern Informationen zu den befragten Personen und zu ihrem Verhalten. Dementsprechend spielt das Thema Datenschutz hierbei eine zentrale Rolle. Eine wichtige gesetzliche Grundlage für den Umgang mit personenbezogenen Daten und zum Datenschutz liefert die Datenschutz-Grundverordnung, die im gesamten europäischen Wirtschaftsraum und darüber hinaus seit dem 20. Juni 2018 auch in den Nicht-EU-Staaten Island, Liechtenstein und Norwegen gilt. [DSGVOb]

Die Datenschutz-Grundverordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. [DSGVOb, Art. 1] Der Schutz personenbezogener Daten wird in der Charta der Grundrechte der Europäischen Union festgelegt und ist damit ein Grundrecht. Laut Grundrechtecharta dürfen entsprechende Daten nur nach Treu und Glauben für festgelegte Zwecke mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten Grundlage verarbeitet werden. Darüber hinaus hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken. [ChGr]

Unter personenbezogenen Daten versteht man sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann [DSGVOb, Art. 4]. In Artikel 5 der DSGVO werden Grundsätze für die Verarbeitung von Daten festgelegt. Diese umfassen:

So besteht beispielsweise bei der Datenerhebung personenbezogener Daten eine Informationspflicht gegenüber den betroffenen Personen. Zusätzlich haben betroffene Personen ein Auskunftsrecht, welches impliziert, dass zum Beispiel die Verarbeitungszwecke mitgeteilt werden müssen. Die Datenverarbeitung darf nur erfolgen, wenn entweder eine Rechtsgrundlage gegeben ist oder eine Einwilligung der betroffenen Personen vorliegt. Die betroffenen Personen müssen nicht nur über die Verarbeitung der Daten in Kenntnis gesetzt werden, sondern diese muss für die Betroffenen nachvollziehbar gemacht werden. Darüber hinaus ist eine Verarbeitung der Daten nur für festgelegte, eindeutige und legitime Zwecke zulässig. Die Erhebung muss dem Zweck angemessen erfolgen und auf das für die Zwecke der Datenverarbeitung notwendige Maß beschränkt werden. Die Datenerhebung und -verarbeitung haben sachlich richtig und auf dem rechtlich aktuellen Stand zu erfolgen. Zusätzlich darf eine Speicherung nur so lange erfolgen, wie es für den Zweck erforderlich ist. Darüber hinaus muss der für die Datenerfassung und -verarbeitung Verantwortliche einen Schutz vor unrechtmäßiger Verarbeitung oder vor Verlust der Daten sicherstellen. Die Einhaltung dieser Grundsätze muss nachgewiesen werden können.

Die Einführung der Datenschutz-Grundverordnung führte zu einer Sensibilisierung der Bevölkerung in Bezug auf den Datenschutz. Diese zunehmende Sensibilisierung der Bevölkerung bezüglich des Datenschutzes äußert sich unter anderem in einem kontinuierlichen Rückgang der Teilnahmebereitschaft an Erhebungen. Dieser Sachverhalt wird in Abbildung 1 dargestellt. Dadurch werden klassische Erhebungen vermehrt vor Probleme gestellt, die im Ergebnis die Repräsentativität der gewonnenen Daten beeinflussen können.

Angesichts der steigenden Datenerzeugung und Digitalisierung muss ein Rahmen geschaffen werden, wie Daten genutzt werden können. Ein weiterer Begriff, welcher im Zusammenhang mit der Erhebung und Verarbeitung von Daten daher genannt werden muss, ist der der Datensouveränität. Datensouveränität bezeichnet die Fähigkeit einer natürlichen oder legalen Person, vollständig und selbstbestimmt über die eigenen Daten zu verfügen. [FIT24] Der Kernaspekt der Datensouveränität ist, dass jeder entscheiden können muss, wer Daten zur eigenen Person für welche Zwecke und auf welche Art und Weise verwenden darf. Entscheidende Voraussetzung für das Teilen von personenbezogenen Daten ist, dass die Privatsphäre betroffener Personen nicht gefährdet werden darf. Dazu muss gewährleistet sein, dass eine Auswertung personenbezogener Daten ohne Rückschlüsse auf die betroffenen Personen möglich ist. Dabei betrifft die Datensouveränität nicht nur personenbezogene Daten, sondern auch Daten ohne Personenbezug, beispielsweise unternehmensbezogene Daten. Grundlegende Voraussetzungen, um Datensouveränität zu gewährleisten, sind Transparenz und Kontrolle bei der Erhebung, Speicherung, Verarbeitung und Nutzung der Daten. Konkret können solche Prinzipien beispielsweise in einem Forschungsprojekt durch einen Data Management Plan umgesetzt werden, der festlegt, wie Daten über die gesamte Laufzeit dieses Forschungsprojekts gesammelt, generiert und verarbeitet werden. Zusätzlich spielen die rechtlichen und gesellschaftlichen Rahmenbedingungen eine entscheidende Rolle für einen datensouveränen Umgang, die durch entsprechende Gesetze geschaffen werden müssen. Daneben sind technologische Anforderungen für die Datensouveränität festzulegen. Dazu gehören zum Beispiel die Bereitstellung datenschutzfreundlicher Standards und das Vermeiden von Abhängigkeiten einzelner Technologien oder Unternehmen. [Lube22]