3.1 Ein erweiterter Gegenstandsbereich?
Angesichts neuer Realitäten der Datenverarbeitung, der Verknüpfung von Daten aus verschiedenen Lebensbereichen sowie der Allgegenwärtigkeit datengetriebener Entscheidungsfindung erscheint es denkbar, dass der Gegenstandsbereich des Datenschutzes, d. h. Aufgabe und Zuständigkeit, überdacht werden muss. Im Folgenden bezeichnen wir als die Unvollständigkeitsthese den Standpunkt, dass der Gegenstandsbereich des Datenschutzes aktuell zu eng gefasst ist und einer Erweiterung bedarf, um den Schutz von Datensubjekten zu gewährleisten.
Eine prominente, aktuelle Verteidigung der Unvollständigkeitsthese findet sich bei Wachter und Mittelstadt. Datenschutz, so Wachter und Mittelstadt (
2019, S. 498), soll die Privatheit, Identität, Reputation und Autonomie der Individuen schützen, kann diesen Zweck angesichts neuer Risiken durch inferenzielle Datenanalyse jedoch nicht erfüllen. Um diese These eingehender darzustellen und zu fundieren, unterscheiden Wachter und Mittelstadt zwischen Daten und
inferences, die auf Basis dieser Daten gezogen werden.
Inferences sind definiert als „information relating to an identified or identifiable natural person created through deduction or reasoning rather than mere observation or collection from the data subject“ (Wachter und Mittelstadt
2019, S. 515). Die DSGVO schützt zwar Personendaten, also „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ (Art. 4 Nr. 1 DSGVO) beziehen. Ferner schützt sie die „Verarbeitung besonderer Kategorien personenbezogener Daten“ (Art. 9 DSGVO), z. B. Gesundheitsdaten. Wachter und Mittelstadt weisen jedoch darauf hin, dass Individuen nur wenig Kontrolle darüber zugesprochen bekommen, wie ihre Personendaten zur Ableitung von
inferences verwendet werden (Wachter und Mittelstadt
2019, S. 499). Sie unterscheiden in ihrer Diskussion zwischen
Inputs in Datenverarbeitung und
Outputs aus Datenverarbeitung, z. B. die Ableitung von Daten, Profiling, und datengetriebene Entscheidungsfindung. Wachter und Mittelstadt weisen darauf hin, dass gegenwärtiges Datenschutzrecht primär an den
Inputs in Datenverarbeitung ansetzt. Die wenigen Mechanismen im europäischen Datenschutz, die sich auf
Outputs beziehen, sind wesentlich schwächer (Wachter und Mittelstadt
2019, S. 514). Während die DSGVO prinzipiell so verstanden werden könnte (Wachter und Mittelstadt
2019, Kapitel 5), dass sie wenigstens zu gewissem Grad auch
inferences reguliert (z. B. Artikel 13–17, 21–22),
10 bleibt deren rechtlicher Status insgesamt unscharf und lückenhaft. Als Beispiel diskutieren Wachter und Mittelstadt (
2019, S. 570–572) das Recht auf Anfechtung automatisierter Entscheidungen (Artikel 22). So suggeriert der EuGH, dass Resultate von Verarbeitungsprozessen nur insofern datenschutzrechtlich problematisierbar sind, als falsche und/oder unvollständige Daten eingegeben wurden (oder die Verarbeitung aus anderen Gründen unrechtmäßig ist). Davon abgesehen enthält das Datenschutzrecht alleine jedoch keine Richtgrößen zur Beurteilung einer Anfechtung datengetriebener Entscheidungsfindung. Anfechtung bleibt so ein „mere procedural right“ und bloße „empty shell“ (Wachter und Mittelstadt
2019, S. 571). Überhaupt setzt die Anwendung der DSGVO auf
inferences voraus, diese als Personendaten oder sensitive Daten zu klassifizieren. Selbst dann, so resümieren Wachter und Mittelstadt, würden
inferences lediglich als „economy class“ Personendaten behandelt, die weniger geschützt sind als durch Datensubjekte bereitgestellte Personendaten oder sensitive Daten (Wachter und Mittelstadt
2019, S. 611).
Ein damit verbundenes Problem (auf das wir in Abschn.
3.2 ebenfalls eingehen) ist, dass die Unterscheidung zwischen Personendaten und nicht-Personendaten, oder zwischen sensitiven und nicht-sensitiven Daten, in Big-Data-Kontexten nicht tragfähig erscheint: Nicht-personenbezogene oder -sensitive Daten können personenbezogen oder sensitiv werden, sobald sie zur Ableitung personenbezogener oder sensitiver Attribute verwendet werden – ohne dass sich der Inhalt der Daten verändert (Wachter und Mittelstadt
2019, S. 564). Ebenso können vermeintlich neutrale Daten zu Daten werden, welche Verletzungen der Privatsphäre von Datensubjekten und/oder Schädigungen sowie Diskriminierung Tür und Tor öffnen (Wachter und Mittelstadt
2019, S. 615–616). Auf solche Kategorien fußende Regelungsmechanismen sind daher veraltet und ineffektiv, da sie nachgelagerte Verwendung und damit verbundene Änderungen in der Kategorisierung von Daten nicht ausreichend berücksichtigen (Wachter
2019, S. 7). Schließlich illustrieren Wachter und Mittelstadt anhand einer Reihe von Fallbeispielen, dass die europäische Rechtsprechung, insbesondere der Europäische Gerichtshof, dazu tendiert, Daten beim
Input in Datenverarbeitung wesentlich größeren Stellenwert als den
Outputs von Datenverarbeitung beizumessen.
Um den herausgearbeiteten Unzulänglichkeiten im Datenschutz beizukommen, fordern Wachter und Mittelstadt ein neues Datenschutzrecht, das Lücken in der Zurechenbarkeit, Haftung und Verantwortung von datengetriebenen Vorgängen schließt: ein
right to reasonable inferences. Dieses Recht soll
inferences mit besonders hohem Risiko regulieren, d. h. solche
inferences, die in die Privatsphäre eindringen, Reputationsrisiken bergen, oder schwer verifizierbar sind. Für solche
inferences würde das
right to reasonable inferences von Datenverarbeitern
ex ante folgende Erklärungen verlangen, um eine Einschätzung der
reasonableness zu ermöglichen: „(1) why certain data are a normatively acceptable basis to draw inferences; (2) why these inferences are normatively acceptable and relevant for the chosen processing purpose or type of automated decision; and (3) whether the data and methods used to draw the inferences are accurate and statistically reliable“ (Wachter und Mittelstadt
2019, S. 581). In Fällen, in denen
inferences unreasonable erscheinen, sollen Individuen zu deren Anfechtung befähigt werden.
Diese Forderungen sind unter die
Unvollständigkeitsthese zu fassen, da sie gegenwärtiges Datenschutzrecht als zu eng gefasst kritisieren und neue Regelungen fordern. Wie im etablierten Datenschutzrecht scheint Bedingung (1) zu regeln, welche Daten verarbeitet werden können, löst sich dabei jedoch von den fehlgehenden Klassifizierungsversuchen, die Grundlage momentaner Regulierung sind. Demgegenüber knüpfen der Fokus auf
inferences sowie die geforderten Mechanismen zur Anfechtung primär an der Verwendung der Daten sowie deren Auswirkungen und nur sekundär an der Herkunft der Daten an (Wachter und Mittelstadt
2019, S. 616). Bedingungen (2) und (3) sind schließlich dazu intendiert, den Gegenstands- und Aufgabenbereich des Datenschutzrechts auf
inferences und deren Adäquatheit zu erweitern.
Als Herausforderungen für Wachter und Mittelstadt können folgende Punkte angesprochen werden. Auf der einen Seite kritisieren sie gegenwärtige Kategorisierungen im Datenschutzrecht, z. B. Personendaten versus Nicht-Personendaten, oder sensitive versus nicht-sensitive Daten. Auf der anderen Seite führen sie selbst eine ganze Reihe von Unterscheidungen in die Diskussion ein, z. B. Hochrisiko versus nicht-Hochrisiko,
reasonable versus
unreasonable, verifizierbare Daten versus unverifizierbare Vorhersagen und akzeptable versus inakzeptable Grundlagen für
inferences. Man könnte befürchten, dass einige dieser Klassifizierungen ganz ähnliche Probleme aufwerfen. So könnte sich beispielsweise die Risikobewertung eines
inference in verschiedenen Kontexten von niedrig zu hoch verändern. Ebenso könnten manche Daten in einem Kontext akzeptable Grundlage für
inferences, in anderen Kontexten jedoch inakzeptabel sein. Ein Beispiel: Die Ableitung der Postleitzahl des Wohnsitzes einer Person mag zunächst als ein vergleichsweise harmloser
inference erscheinen. In Big-Data-Kontexten kann sich dies jedoch schnell ändern. Paradigmatisch sei auf die Forschung von Latanya Sweeney (Sweeney
2000; Sweeney et al.
2017; Yoo et al.
2018) verwiesen, die mehrfach gezeigt hat, wie bereits wenige solcher Datenpunkte zusammengenommen eine Person eindeutig identifizieren und Verknüpfungen mit anderen Datensätzen erlauben, z. B. mit öffentlich einsehbaren, prima facie anonymisierten Forschungs- und Gesundheitsdaten. Der initial harmlose
inference der Postleitzahl erhält in einem solchen Szenario ein hohes Risikopotenzial.
Selbstverständlich muss bei diesen Bedenken berücksichtigt werden, dass Wachter und Mittelstadt selbst explizit machen, dass die genauen Bedeutungen dieser Unterscheidungen kontextsensitiv erörtert werden und sozial akzeptable Standards insbesondere im Hinblick auf
reasonableness ausbuchstabiert werden müssen (Wachter
2019, S. 7). Ein wesentlicher Teil ihrer Position weist somit über unvollständiges Datenschutzrecht hinaus und hebt die Bedeutung von Aushandlungsprozessen zwischen Datensubjekten, -verarbeitern und Gesellschaft hervor. Zentrale Grundbegrifflichkeiten werden in konkreten Anwendungsszenarien und –kontexten situativ spezifiziert, in denen Daten verarbeitet,
inferences gezogen und Entscheidungsprozesse dadurch beeinflusst werden. Eine solche Offenheit und Kontextsensitivität wirft dabei mindestens zwei Fragen auf: Erstens wäre zu diskutieren, ob uns Prozesse der Ausbuchstabierung und diskursiven Erörterung des Umfangs von Datenschutz sowie der Bewertungsmaßstäbe nicht schon im
Status quo, d. h. im aktuellen und vermeintlich unvollständigen Datenschutzrecht genauso offen stehen wie im Modell von Wachter und Mittelstadt. Zweitens stellt sich die Frage, ob die Bedeutsamkeit der sozial-diskursiven Ausbuchstabierung von Grundbegrifflichkeiten und Bewertungsmaßstäben nicht suggeriert, dass wir bei der Berücksichtigung und dem Schutz der Grundrechte und Interessen von Datensubjekten über wesentlich
mehr nachdenken müssten als über Datenschutz. Diese Anfrage fördert eine Ambiguität in der Unvollständigkeitsthese zutage: Sie kann verstanden werden als die Behauptung, dass aktuelles Datenschutzrecht inadäquat ist und der Verbesserung bedarf. Aber sie kann ebenso als Hinweis darauf gelesen werden, dass Datenschutz nur ein Teil des Unterfangens sein kann. Datenschutz muss ergänzt werden, und zwar nicht nur durch andere gesetzliche Regelungen außerhalb des genuinen Datenschutzrechts, sondern durch gesellschaftliche Diskurse, die Maßstäbe – wie z. B.
reasonableness – kontinuierlich erörtern sowie neu verhandeln. Insofern Wachter und Mittelstadt eine Erweiterung des Gegenstands- und Aufgabenbereichs des Datenschutzrechts fordern, scheinen sie die erste Lesart der Unvollständigkeitsthese zu vertreten. In diesem Fall kann debattiert werden, inwieweit sich ihre neu eingeführten datenschutzrechtlichen Kategorien besser schlagen als die bisherigen. Insofern sie nun die Signifikanz sozialer Aushandlungsprozesse betonen, scheinen sie vor allem die zweite Lesart der Unvollständigkeitsthese zu unterstreichen. Beide Lesarten sind miteinander konsistent und es ist keineswegs abwegig beide zu verfolgen. Dies und das konzeptionelle Verhältnis beider Lesarten explizit zu machen wäre jedoch hilfreich um nachvollziehen zu können, in welchem Sinne Datensubjekte zur Formulierung und Durchsetzung neuartiger Ansprüche berechtigt sind bzw. sein sollten und inwieweit es gerade das Datenschutzrecht ist, das als systematischer Ort zur Einführung und Garantie solcher Ansprüche fungieren sollte.
Der diskutierte Vorschlag der Verankerung eines right to reasonable inferences im Datenschutzrecht illustriert ganz unabhängig davon, ob man ihn letztlich verteidigt oder zurückweist, wie ein erweiterter Gegenstandsbereich ein entscheidender Schritt beim Übergang zu einer neuen Generation des Datenschutzes sein könnte.
3.2 Ein veränderter Schutzgegenstand?
Wie gerade erwähnt basiert Datenschutz traditionellerweise auf Abgrenzungen zwischen unterschiedlichen Kategorien von Daten. Die wichtigste davon ist die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten (auch bekannt als Sachdaten). Es wird oft angenommen, nur personenbezogene Daten seien der relevante Schutzgegenstand des Datenschutzes, weil nur personenbezogene Daten Informationen enthalten, welche die individuelle Privatsphäre und die Selbstbestimmung der Personen betreffen. Informatiker/-innen und Rechtswissenschafter/innen sind lange davon ausgegangen, dass der Personenbezug von Daten durch Anonymisierung entfernt werden kann (Ohm
2009) und diese somit nicht mehr geschützt werden müssen, da Bezug und Auswirkungen auf identifizierbare Personen ausgeschlossen werden können. Dazu kommt die Tatsache, dass eine Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten eine intuitive und semantische Anziehungskraft hat, vor allem in der heute geläufigsten Wissenschaftssprache, nämlich Englisch. Tatsächlich heißt „personal“
11 sowohl ‚privat/intim’ – wie in „she resigned from this job for personal reasons“ – als auch ‚eigen/individuell’ – wie in „I’ve decided to hire a personal fitness trainer“
12. Dadurch mag auch die Semantik des Wortes „personal“ implizit die Annahme stützen, dass es einen selbstverständlichen Unterschied gibt zwischen den Daten, die ‚privat/intim’ oder ‚eigen/individuell’ sind und denen, die es nicht sind.
Dennoch werfen heutige Technologien der Datenverarbeitung die Frage auf, ob es zweckmäßig ist, dass nur personenbezogene Daten als Objekt des Datenschutzrechts verbleiben. Diesbezüglich stellen sich zwei unterschiedliche Fragen, die erste eher empirisch, die zweite eher normativ: (1) Ist es überhaupt noch möglich, personenbezogene von nicht-personenbezogenen Daten zu unterscheiden? (2) Wäre es wünschenswert zwischen personenbezogenen und nicht-personenbezogenen Daten zu unterscheiden und nur Erstere zum Schutzgegenstand des Datenschutzrechts zu zählen?
In Bezug auf die erste Frage ist festzustellen, dass es empirisch mehr und mehr zweifelhaft ist, ob man noch personenbezogene von nicht-personenbezogen Daten unterscheiden kann. Personenbezogene Daten werden traditionellerweise definiert als Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen.
13 Dementsprechend gibt es zwei unterschiedliche Hauptkriterien, die Informationen erfüllen müssten, damit sie als personenbezogene Daten erachtet werden können: erstens, dass sie sich auf eine Person beziehen; zweitens, dass diese Person bestimmbar ist. Obwohl diese zwei Kriterien
prima facie streng und spezifisch erscheinen, gibt es Hinweise, dass eine zunehmende Menge von Informationen beide Kriterien erfüllen kann, sodass Datenschutzrecht geradezu das „law of everything“ werden könnte (Purtova
2018). Die jüngste europäische Rechtsprechung hat zum Teil die Idee unterstützt, dass ein Personenbezug besteht, „wenn die Information aufgrund ihres
Inhalts, ihres
Zwecks oder ihrer
Auswirkungen mit einer bestimmten Person verknüpft ist.“
14 Purtova suggeriert im Hinblick auf die Auswirkung dieses wichtigen Urteils provokanterweise, dass prinzipiell auch Wetterinformationen diese Kriterien erfüllen können und dann als personenbezogene Daten gelten müssten.
15 Abgesehen von diesem hyperbolischen Beispiel besteht sicherlich ein konkretes Risiko einer Über-Erweiterung des Begriffes „personenbezogene Daten“, sodass jede Unterscheidung zu nicht-personenbezogenen Daten faktisch unmöglich wird. Manche argumentieren (Dalla Corte
2019), dass eine Abhilfe zu dieser möglichen Über-Erweiterung in der bereits existierenden Rechtsprechung und Rechtslehre gefunden werden könne und neue Gesetzgebung deshalb nicht notwendig sei. In jedem Fall bleibt die Tatsache, dass eine neue Generation des Datenschutzes definieren muss, wie umfangreich sein Schutzgegenstand sein soll (oder sogar sein kann).
Aber selbst wenn eine Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten tragfähig und die Klasse von Personendaten enger zu fassen wäre als von Purtova befürchtet, gibt es in Bezug auf die zweite Frage Argumente, die eine Erweiterung des Datenschutzrechts auf
mehr als nur personenbezogene Daten im klassischen Sinn nahelegen: Personen und ihre jeweilige Privatsphäre müssen auch von der Verarbeitung von Daten geschützt werden, die nicht-personenbezogen oder anonymisiert sind oder die sich auf andere Personen (und nicht die von der Verarbeitung betroffene Person) beziehen. Der Grund dafür ist, dass Erkenntnisse, welche durch nicht-personenbezogene Daten oder durch Daten gewonnen werden, die sich auf andere Personen beziehen, eine oft noch größere Gefahr für den Einzelnen darstellen können als die Bearbeitung seiner bzw. ihrer eigenen (d. h. auf sich selbst bezogenen) Daten (Loi
2019). Ein Beispiel hierfür wäre eine hypothetische Marktforschung (basierend auf Daten von
n anderen Personen), die zeigen würde, dass Kunden, die gewisse Dinge während einer gewissen Zeitspanne kaufen, bereit wären einen höheren Preis zu zahlen. Nach einer solchen hypothetischen Entdeckung wäre
jede andere Person, die potenziell in dieser Zeitspanne einkauft, von der initialen Datenverarbeitung betroffen – und nicht nur die Personen, auf welche sich die in der Marktforschung verwendeten Daten beziehen. Das heißt, Personen könnten also von der Verarbeitung von Daten, die weder ‚privat/intim’ noch ‚eigen/individuell’ sind, beeinträchtigt werden.
16 Aus diesem Grund sollte u.U. der „nominalist approach“ (Floridi
2017) des derzeitigen Datenschutzrechts überdacht werden, der grundsätzlich individuelle Rechte zuspricht und Personen nur Schutz bietet, wenn ihre eigenen Daten bearbeitet werden.
3.3 Ein Paradigmenwechsel?
Neben dem Gegenstandsbereich und dem Schutzgegenstand wird eine zukünftige Datenschutzgeneration möglicherweise auch zentrale Paradigmen überdenken müssen. Traditionell orientiert sich Datenschutz (zumindest in Europa) an Privatheit, Grundrechten und informationeller Selbstbestimmung. So ist beispielsweise ein in der DSGVO formuliertes Ziel, „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ (Art. 1 DSGVO) zu schützen. In diesem Zusammenhang stellt sich zunächst die Frage, durch welche
Art von Rechten diese Ziele und Zwecke verfolgt werden. Eine kontrovers diskutierte Idee ist es, Datenschutz mit Kategorien des Eigentums zu verknüpfen. Zurück geht diese Idee auf US-amerikanische Diskurse, wobei sie sich in jüngerer Zeit auch in Europa verbreitet hat (Purtova
2012). Befürworter der Propertisierung personenbezogener Daten formulieren eine ganze Reihe verschiedener Forderungen (Hummel et al.
2020). Unter anderem kritisieren sie, dass derzeitige Datenschutzrechte keine vollständige Kontrolle über Daten gewährleisten. Individuen können Daten beispielsweise nicht veräußern. Demgegenüber könnten Eigentumsrechte an Daten die Übertragung und Herausgabe von Daten sowie die Abwehr Dritter (Purtova
2017, S. 6–8; Thouvenin
2017, S. 25–27) ermöglichen und durchsetzen. Daten als Eigentum zu behandeln, so die Befürworter, würde die Anwendung traditioneller und bewährter Regelungen des Eigentumsrechts erlauben und könnte Datenaustausch für diejenigen erleichtern, die dies wünschen, ohne Datenschutz für diejenigen aufzuweichen, die ihre Daten nicht teilen möchten.
Der Vorschlag eines Dateneigentums hat besonders im medizinischen Bereich Begeisterung ausgelöst (Kish und Topol
2015). Auch wenn dies reizvoll erscheint, sind einige Fragen im Hinblick auf den Übergang zu einem Eigentums-Paradigma für personenbezogene Daten aufgeworfen worden, z. B. wie Eigentumsregeln auf Daten als neuen Gegenstandsbereich angepasst werden könnten (Thouvenin et al.
2017) oder ob ein Eigentum an personenbezogenen Daten den Schutz der Privatsphäre
de facto stärken oder schwächen würde. So mag die Möglichkeit Daten veräußern zu können zunächst wie ein Zugewinn über Schutz und Gestaltung der Privatsphäre erscheinen; sind Daten jedoch einmal veräußert, ist nicht mehr klar, inwieweit der/die Ex-Eigentümer/-in noch Ansprüche an und um ihre Verarbeitung formulieren und durchsetzen kann.
Dateneigentum kann als revisionistischer
17 Vorschlag in Bezug auf die Frage verstanden werden, durch welche Art von Recht Datenschutz praktisch werden sollte. Eine weitere Grundsatzfrage betrifft die Spezifizierung der
Zielsetzungen, die durch Datenschutz verfolgt werden. In Debatten über durch Datafizierung tangierte Grundrechte und Interessen treten vermehrt Begriffe von
Souveränität in Erscheinung. Historisch gesehen bezeichnet Souveränität den Anspruch auf absolute Macht in Bezug auf einen Gegenstandsbereich, z. B. die Macht eines souveränen Nationalstaates über sein Territorium. Datensouveränität (Hummel et al.
2018), digitale Souveränität (Pinto
2018) oder Cyber-Souveränität (Baezner und Robin
2018) übertragen dieses Konzept mit ganz verschiedenen Schwerpunkten und Konnotationen (Couture und Toupin
2019; Hummel et al.
2021a) auf den digitalen Raum. Beispielsweise wird Datensouveränität dann möglich, wenn die jeweilige Akteure in der Lage sind , Macht- und Kontrollansprüche rund um ihre Daten und deren Verarbeitung zu artikulieren und durchzusetzen. Derartige Ansprüche können von Einzelpersonen, Organisationen oder Staaten ausgehen. Dabei hält nicht jeder Kontrollanspruch einer genauen Überprüfung stand. Ansprüche können kritisiert werden, in Spannung zu anderen stehen und erfordern daher eine diskursive Aushandlung und Bewertung ihrer Autorität und Legitimität.
Der Deutsche Ethikrat (
2017) versteht Datensouveränität als die Fähigkeit des Einzelnen zu informationeller Freiheitsgestaltung. Er weist die Bedeutung von Paradigmen wie Privatheit, Grundrechte und Selbstbestimmung nicht von der Hand. Aber im Unterschied zu primär negativen Rechten zum Ausschluss anderer von der eigenen, intimen informationellen Sphäre beinhaltet informationelle Freiheitsgestaltung den Anspruch selbst zu bestimmen und zu gestalten, wie man mit anderen in informationelle Beziehungen tritt. Die Idee informationeller Freiheitsgestaltung schließt daher positive Ansprüche auf die Befähigung zur Ausübung gehaltvoller Kontrolle über die eigenen Daten ein.
Eine spannende Frage, die hier nicht abschließend geklärt werden kann, betrifft das Verhältnis zwischen dem datenschutzrechtlichen Rahmen der DSGVO und dem Leitkonzept der Datensouveränität, z. B. ob Letzteres eine Erweiterung oder Verschärfung des Ersteren erfordern würde. Auf der einen Seite könnte man Datensouveränität als Entfaltung der in Art. 1 DSGVO angesprochenen Grundrechte und Grundfreiheiten verstehen. Auf der anderen Seite enthält die DSGVO Erlaubnistatbestände (beispielsweise Art. 9 Abs. 2lit. j DSGVO), durch die zumindest in bestimmten Datenverarbeitungskontexten individuelle Kontrollansprüche nicht an erster Stelle stehen.