Big Data und Datenschutz

Letztes Update:
29
.
06
.
2020
Lesezeit:
0
Min
Big Data - große Datenmengen - gehören zu den erklärten Lieblingsthemen der digitalen Revolution. Begeistert erfreuen sich viele Unternehmen an den innovativen Daten-Analyse-Methoden unserer Zeit für Marketing und Kundenbindung. Datenschutzrechtlich dagegen ist die Verarbeitung riesiger Datenmengen eine der größten denkbaren Herausforderungen. Die seit 25. Mai 2018 rechtskräftige EU-Datenschutzgrundverordnung versucht dieser Herausforderung auf eigene Weise zu begegnen.
Big Data und Datenschutz
Die wichtigsten Erkenntnisse
  • Big Data bietet Unternehmen neue Möglichkeiten für Marketing und Kundenbindung.
  • Die DSGVO regelt Big Data durch strenge Vorschriften zum Schutz personenbezogener Daten.
  • Profiling gemäß DSGVO umfasst automatisierte Verarbeitung zur Bewertung persönlicher Aspekte.
  • Unternehmen müssen Risikoanalysen durchführen und Aufsichtsbehörden bei hohem Risiko konsultieren.
  • Datenschutzkonformität wird zu einem entscheidenden Wettbewerbsfaktor für Unternehmen.

Big Data - große Datenmengen - gehören zu den erklärten Lieblingsthemen der digitalen Revolution. Begeistert erfreuen sich viele Unternehmen an den innovativen Daten-Analyse-Methoden unserer Zeit für Marketing und Kundenbindung. Datenschutzrechtlich dagegen ist die Verarbeitung riesiger Datenmengen eine der größten denkbaren Herausforderungen. Die ab 25. Mai 2018 bindend geltende EU-Datenschutzgrundverordnung versucht dieser Herausforderung auf eigene Weise zu begegnen.

Big Data und Datenschutz - datenschutzrechtliche Probleme

Wenn man von Big Data spricht, geht es vor allem um die Analyse riesiger Mengen von Daten mit dem Ziel, diese wirtschaftlich zu nutzen. Dabei werden Daten aus unterschiedlichsten Quellen und unterschiedlichster Herkunft zunächst unstrukturiert gesammelt und dann verarbeitet. Die Möglichkeiten der IT sind dabei heute schon so weit fortgeschritten, dass die gesammelten Datenmengen in völlig neue Zusammenhänge und Kombinationen gebracht werden können. Der Einsatz von entsprechenden internetfähigen Geräten in großem Umfang wie etwa Smartphones und Tablets, die Nutzung von Social Media Plattformen und vieler anderer Online Anwendungen erzeugt eine nie dagewesene Datenflut. Dabei stehen die entsprechenden Analysemöglichkeiten über Datenbanken und andere Analyseprogramme den übrigen technischen Innovationen des digitalen Zeitalters nicht nach.

Big Data ermöglicht Unternehmen dabei völlig neue Perspektiven, sich Marktpotenziale zu erschließen und ihre Kunden besser kennen zu lernen.

Von datenschutzrechtlicher Seite her ist die Verarbeitung von Big Data vielfach bedenklich. Regelmäßig sind in den Datenfluten auch personenbezogene Daten enthalten. Gerade deren Verknüpfung und Analyse stellt eine Gefahr für die datenschutzrechtlichen Belange der Nutzer dar. Vielfach werden nämlich in der Datenanalyse erst Bezüge zu Personen hergestellt, die sich aus den unstrukturierten Daten zunächst selbst nicht ergeben haben. Es kommt hinzu, dass der Begriff Big Data sehr unscharf erscheint und rechtlich schwer zu fassen ist.

Datenschutzrechtliche Fragen im Zusammenhang mit der Verarbeitung von Big Data

  • Verknüpfung von unstrukturierten Daten, die deshalb Bezüge zu einer Person erkennen lassen.
  • Verarbeiten von Daten aus einer vertraglichen Beziehung, die nicht mehr nur zum Zwecke der Vertragserfüllung erhoben und verarbeitet werden, sondern auch zu Marketing- und Werbezwecken.
  • Big Data Analysen zum Verhalten des Nutzers im Internet.
  • Erhebung und Verarbeitung von Standortdaten.

Big Data und Datenschutz ist ein komplexes Thema, weshalb es sich nicht um eine abschließende Auflistung relevanter Fragestellungen handeln kann.

Big Data und Datenschutz - Regelung unter der EU-Datenschutzgrundverordnung

Big Data und Datenschutz verhalten sich auch deshalb antagonistisch zueinander, weil die Sammlung und Verarbeitung großer Datenmengen mit bestimmten Grundsätzen des Datenschutzes kaum in Einklang zu bringen ist. Big Data widerspricht der Datenminimierung und der Datensparsamkeit.

Die EU-Datenschutzgrundverordnung begegnet der Thematik deshalb sehr risikobewusst. Grundsätzlich hält sie hinsichtlich personenbezogener Daten an einem Verbot mit Erlaubnisvorbehalt fest. Das heißt, dass ganz allgemein personenbezogene Daten nur erhoben und verarbeitet werden dürfen, wenn es dafür eine explizite gesetzliche Grundlage gibt oder aber der entsprechende Dateninhaber eingewilligt hat.

Das gilt also auch für personenbezogenen Daten, die sich großen Datenmengen verbergen.

Den Terminus Big Data setzt die EU-Datenschutzgrundverordnung nicht ein. Sie definiert die Verarbeitung großer Datenmengen in automatisierter Form unter dem Begriff Profiling.

Nach Art. 4 Nr. 4 DSGVO handelt es sich dabei um jede Art der automatisierten Verarbeitung von personenbezogenen Daten mit dem Ziel, bestimmte persönliche Aspekte der Person zu bewerten und zu analysieren.

Art. 4 Nr. 4 DSGVO muss dabei im Kontext von Art. 22 DSGVO gesehen werden. Das Profiling wird dabei als besonderer Unterfall einer automatisierten Einzelfallentscheidung eingeordnet.

Art. 22 DSGVO will Nutzer vor automatisierten Einzelfallentscheidungen schützen, die für sie spezielle rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Hier ergibt sich ein großer Auslegungsspielraum bei der Interpration der Vorschrift. Relativ eindeutig interpretieren lässt sich, dass insbesondere sensible personenbezogene Daten nicht Grundlage für ein entsprechendes Analyse-Bewertungsverfahren sein dürfen und Kinder grundsätzlich von solchen Maßnahmen auszuschließen sind. Im Übrigen bleiben zunächst noch viele Fragen offen, was für Unternehmen, die entsprechende große Datenmengen automatisiert verarbeiten, eine erhebliche Rechtsunsicherheit schaffen kann. Vor allem dürften den Unternehmen auch zusätzliche Informationspflichten aus Art. 13 und 14 DSGVO bei der Durchführung von Profiling Maßnahmen zu schaffen machen.

Klarheit besteht nur bei der Bewertung der wirtschaftlichen Bonität : Über eine Öffnungsklausel werden im neuen Bundesdatenschutzgesetz die Möglichkeiten von Auskunfteien zum Schutz des Wirtschaftsverkehrs mit Scoring- und Bonitätsverfahren explizit geregelt.

Die DSGVO setzt insgesamt auf eine eingehende Risikoanalyse vor der entsprechenden Durchführung von Profiling Maßnahmen. Dabei kommt in Zukunft der Dokumentation entsprechender geplanter Maßnahmen in den Unternehmen eine große Bedeutung zu. Solche Verarbeitungsvorgänge großer Datenmengen müssen systematisch beschrieben, ihr Zweck klar herausgearbeitet, ihre Notwendigkeit und Verhältnismäßigkeit in einer Risikoabwägung deutlich gemacht werden. Ein Verzeichnis der Verarbeitungstätigkeit ist unverzichtbar. Das berechtigte Interesse des Unternehmens an der entsprechenden Maßnahme muss klar erkenntlich sein.

Dabei kommt als zusätzliches Erfordernis auf die Unternehmen zu, dass sie von sich aus die zuständige Aufsichtsbehörde im Vorfeld konsultieren müssen, wenn ihre Risikoanalyse der geplanten Maßnahme ein hohes Risiko erkennen lässt.

Unternehmen müssen neue Strukturen bezüglich Big Data und Datenschutz schaffen

Um den Anforderungen der neuen EU-Datenschutzgrundverordnung gerecht zu werden, müssen die Unternehmen, die große Datenmengen verarbeiten wollen, entsprechende Verwaltungs- und Kontrollstrukturen schaffen. Nicht nur im Hinblick auf die hohen Bußgelder, mit denen die EU-Datenschutzgrundverordnung Datenschutzverstöße zukünftig sanktioniert, ist ein strukturiertes Vorgehen notwendig, um neue Routinen zu schaffen. Datenschutzkonformität wird immer mehr zu einem harten Wettbewerbsfaktor, den kein Unternehmen in seiner Bedeutung unterschätzen darf.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!