Der Begriff „Daten“ bezieht sich auf Rohinformationen in ihrem grundlegenden Zustand. Andererseits wird der Begriff „Big Data“ üblicherweise verwendet, um riesige, komplexe und schwer zu strukturierende Informationsmengen zu beschreiben. Ursprünglich wurde dieser Begriff in erster Linie verwendet, um den Umfang von Daten zu bezeichnen. Im heutigen Sprachgebrauch hat er sich jedoch zu einem Konzept entwickelt, das die Gesamtheit der Prozesse von der Speicherung der Daten bis zu ihrer Umwandlung in Informationen umfasst und die Größenordnung des gesamten Spektrums abbildet.
Big Data zeichnet sich durch seine grundlegenden Komponenten aus, darunter die Eskalation des Datenvolumens, die zwingende Natur der Datengeschwindigkeit und die vielfältige Herkunft der Daten. Durch den geschickten Einsatz von Datenanalyse- und -interpretationsfähigkeiten befähigen Big Data Unternehmen dazu, vernünftige Entscheidungen zu treffen, Kosten zu senken und die Qualität von Produkten/Dienstleistungen zu steigern. Big Data wird daher als eine Fähigkeit angesehen, die der Gesellschaft die Möglichkeit bietet, Informationen auf innovative Weise zu nutzen. In dem Maße, in dem sich Big Data als unverzichtbarer Bestandteil des technologischen Fortschritts im betrieblichen Rahmen etabliert, ist eine neue Epoche angebrochen, die ein umsichtiges Risikomanagement im Hinblick auf den Schutz personenbezogener Daten erforderlich macht. Wie im Folgenden dargelegt wird, trägt das Gesetz Nr. 6698 über den Schutz personenbezogener Daten, das die Rechtsprechung zum Schutz personenbezogener Daten in der Türkei untermauert, den durch Big Data ausgelösten Veränderungen jedoch nicht ausreichend Rechnung.
I. Schutz besonderer und sensibler personenbezogener Daten
Gemäß Artikel 3 des Gesetzes Nr. 6698 über den Schutz personenbezogener Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, als personenbezogene Daten. Darüber hinaus werden gemäß Artikel 6 Daten wie „Ethnie, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte, Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen“ als besondere Kategorien personenbezogener Daten bezeichnet, zu denen auch biometrische und genetische Daten gehören. Alle Daten, die unter diese Definition fallen, genießen den Schutz, den das Gesetz vorsieht. Die Nutzung umfangreicher Datensätze im Rahmen von Big Data kann jedoch potenziell Zugang zu sensiblen persönlichen Informationen gewähren, die aus scheinbar gewöhnlichen Daten stammen. Tatsächlich ist es möglich, identifizierbare Informationen aus nicht-personenbezogenen Daten zu ermitteln, was die Notwendigkeit eines sorgfältigen Umgangs mit solchen Datenumwandlungen unterstreicht.
II. Grundsatz der zweckgebundenen, begrenzten und verhältnismäßigen Verarbeitung von Daten
Gemäß Artikel 4, Absatz 2 des Gesetzes über den Schutz personenbezogener Daten sind bei der Verarbeitung personenbezogener Daten folgende Grundsätze zu beachten: „a) die Einhaltung des Gesetzes und der Grundsätze der Redlichkeit; b) die Richtigkeit und, wenn nötig, die Aktualität; c) die Verarbeitung für bestimmte, eindeutige und rechtmäßige Zwecke; d) die Verknüpfung, Begrenzung und Verhältnismäßigkeit mit dem Zweck der Verarbeitung; und e) die Aufbewahrung für die in den einschlägigen Rechtsvorschriften vorgesehene Dauer oder so lange, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist.“ Betrachtet man diese vom Gesetz vorgeschriebenen Bedingungen, so stellt man fest, dass die Nutzung von Big Data nahezu undurchführbar werden könnte. Der Rechtsrahmen, der versucht, die Erhebung und Verarbeitung von Daten mit Big Data durch die Verknüpfung mit bestimmten Zwecken zu minimieren, ist inkongruent. Die grundlegendste Herausforderung in diesem Zusammenhang ist die fehlende Vorhersehbarkeit für jeden Zweck der Datenverarbeitung zum Zeitpunkt der Datenerhebung und der Erteilung der Einwilligung.
III. Ausdrückliche Einwilligung der betroffenen Person
In Artikel 3 Absatz 1 des Gesetzes wird die ausdrückliche Einwilligung definiert als „Einwilligung, die auf der Grundlage von Informationen über eine bestimmte Person und aus freiem Willen erteilt wird“. Sowohl nach Artikel 5 Absatz 1 als auch nach Artikel 6 Absatz 2 ist für die Verarbeitung personenbezogener und sensibler personenbezogener Daten die ausdrückliche Einwilligung der betroffenen Person erforderlich. Auch für die Übermittlung personenbezogener Daten ist die ausdrückliche Zustimmung erforderlich. Es ist von entscheidender Bedeutung zu betonen, dass eine beiläufige Einwilligung in die Verarbeitung personenbezogener Daten die im Gesetz festgelegten Qualifikationskriterien nicht erfüllt. Zum Zeitpunkt der Bekanntgabe der Einwilligung muss der Zweck, für den die betroffene Person ihre Einwilligung erteilt, genau angegeben werden. Eine weitere im Gesetz vorgesehene Bedingung ist die Einwilligung auf der Grundlage einer informierten Entscheidung. In der Praxis versuchen die Unternehmen jedoch, die Einwilligung der betroffenen Person durch langwierige und komplizierte Formulare einzuholen, was im Widerspruch zu den Bestimmungen des Gesetzes steht. Schließlich wird auch festgelegt, dass die Einwilligung aus freien Stücken erteilt werden muss. In diesem Rahmen stellen Bestimmungen, die den Kauf einer Dienstleistung oder eines Produkts von der Zustimmung einer Person abhängig machen, eine Herausforderung dar, insbesondere wenn es darum geht, sicherzustellen, dass die Zustimmung freiwillig erteilt wird.
IV. Grundsatz der Verarbeitung von Daten für bestimmte, eindeutige und rechtmäßige Zwecke
Gemäß Artikel 11 des Gesetzes haben Personen das Recht, von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber zu verlangen, ob ihre personenbezogenen Daten verarbeitet werden. Die Art und Weise, in der Personen informiert werden und in der Lage sind, gegen nachteilige Ergebnisse, die sich aus der durch diesen Artikel eingeführten Analyse durch automatisierte Systeme ergeben, Einspruch zu erheben, bleibt jedoch ungewiss. Nach den Bestimmungen der Artikel 13 und 14, die das Recht der betroffenen Personen regeln, sich an den für die Datenverarbeitung Verantwortlichen zu wenden und beim Ausschuss Beschwerde einzulegen, müssen die Anträge schriftlich oder auf andere vom Ausschuss festgelegte Weise eingereicht werden. Bei der Prüfung dieser Bestimmungen wird deutlich, dass die Verordnungen von der Annahme ausgehen, dass die betroffenen Personen voll informiert sind. Im Zusammenhang mit Big-Data-Anwendungen erscheint es jedoch zweifelhaft, ob die betroffenen Personen über ein solches Bewusstsein verfügen. Der Hauptgrund für die fehlende Abstimmung dieser Verordnung auf Big-Data-Anwendungen ist das Fehlen einer interaktiven Kommunikation zwischen der betroffenen Person und dem Datenverarbeiter. Gleichzeitig erlaubt die derzeitige Verordnung der betroffenen Person nur, Informationsanfragen zu stellen, wodurch ihr die Möglichkeit genommen wird, die erhaltenen Informationen zu bestätigen.
V. Anonymisierung von personenbezogenen Daten
Zusätzlich zu den verfassungsrechtlichen und gesetzlichen Bestimmungen zum Schutz personenbezogener Daten besteht die Notwendigkeit, Verfahren wie die Vernichtung, Löschung und Anonymisierung personenbezogener Daten nach Ablauf der für die Zwecke, für die sie verarbeitet wurden, erforderlichen Höchstdauer durchzuführen. Das Hauptziel der Anonymisierung besteht darin, aus Datensätzen mit großem Potenzial Nutzen zu ziehen und sie gleichzeitig von persönlichen Informationen zu befreien. Obwohl die Anonymisierung so bedeutsam ist, dass sie eine gesonderte Regelung zum Schutz personenbezogener Daten rechtfertigt, ist die bloße Anonymisierung großer Datenmengen für den Datenschutz nicht ausreichend. Selbst wenn Daten in großem Umfang anonymisiert werden, wird die Identifizierung von Personen mit zunehmendem Umfang der Daten einfacher. Folglich kann die Anonymisierung großer Datenmengen in der Praxis im Hinblick auf den Datenschutz mehr Schaden als Nutzen bringen.
