Big Data und Datenschutz

Big Data - große Datenmengen - gehören zu den erklärten Lieblingsthemen der digitalen Revolution. Begeistert erfreuen sich viele Unternehmen an den innovativen Daten-Analyse-Methoden unserer Zeit für Marketing und Kundenbindung. Datenschutzrechtlich dagegen ist die Verarbeitung riesiger Datenmengen eine der größten denkbaren Herausforderungen. Die ab 25. Mai 2018 bindend geltende EU-Datenschutzgrundverordnung versucht dieser Herausforderung auf eigene Weise zu begegnen.

Big Data und Datenschutz - datenschutzrechtliche Probleme

Wenn man von Big Data spricht, geht es vor allem um die Analyse riesiger Mengen von Daten mit dem Ziel, diese wirtschaftlich zu nutzen. Dabei werden Daten aus unterschiedlichsten Quellen und unterschiedlichster Herkunft zunächst unstrukturiert gesammelt und dann verarbeitet. Die Möglichkeiten der IT sind dabei heute schon so weit fortgeschritten, dass die gesammelten Datenmengen in völlig neue Zusammenhänge und Kombinationen gebracht werden können. Der Einsatz von entsprechenden internetfähigen Geräten in großem Umfang wie etwa Smartphones und Tablets, die Nutzung von Social Media Plattformen und vieler anderer Online Anwendungen erzeugt eine nie dagewesene Datenflut. Dabei stehen die entsprechenden Analysemöglichkeiten über Datenbanken und andere Analyseprogramme den übrigen technischen Innovationen des digitalen Zeitalters nicht nach.

Big Data ermöglicht Unternehmen dabei völlig neue Perspektiven, sich Marktpotenziale zu erschließen und ihre Kunden besser kennen zu lernen.

Von datenschutzrechtlicher Seite her ist die Verarbeitung von Big Data vielfach bedenklich. Regelmäßig sind in den Datenfluten auch personenbezogene Daten enthalten. Gerade deren Verknüpfung und Analyse stellt eine Gefahr für die datenschutzrechtlichen Belange der Nutzer dar. Vielfach werden nämlich in der Datenanalyse erst Bezüge zu Personen hergestellt, die sich aus den unstrukturierten Daten zunächst selbst nicht ergeben haben. Es kommt hinzu, dass der Begriff Big Data sehr unscharf erscheint und rechtlich schwer zu fassen ist.

Datenschutzrechtliche Fragen im Zusammenhang mit der Verarbeitung von Big Data

• Verknüpfung von unstrukturierten Daten, die deshalb Bezüge zu einer Person erkennen lassen.
• Verarbeiten von Daten aus einer vertraglichen Beziehung, die nicht mehr nur zum Zwecke der Vertragserfüllung erhoben und verarbeitet werden, sondern auch zu Marketing- und Werbezwecken.
• Big Data Analysen zum Verhalten des Nutzers im Internet.
• Erhebung und Verarbeitung von Standortdaten.

Big Data und Datenschutz ist ein komplexes Thema, weshalb es sich nicht um eine abschließende Auflistung relevanter Fragestellungen handeln kann.

Big Data und Datenschutz - Regelung unter der EU-Datenschutzgrundverordnung

Big Data und Datenschutz verhalten sich auch deshalb antagonistisch zueinander, weil die Sammlung und Verarbeitung großer Datenmengen mit bestimmten Grundsätzen des Datenschutzes kaum in Einklang zu bringen ist. Big Data widerspricht der Datenminimierung und der Datensparsamkeit.

Die EU-Datenschutzgrundverordnung begegnet der Thematik deshalb sehr risikobewusst. Grundsätzlich hält sie hinsichtlich personenbezogener Daten an einem Verbot mit Erlaubnisvorbehalt fest. Das heißt, dass ganz allgemein personenbezogene Daten nur erhoben und verarbeitet werden dürfen, wenn es dafür eine explizite gesetzliche Grundlage gibt oder aber der entsprechende Dateninhaber eingewilligt hat.

Das gilt also auch für personenbezogenen Daten, die sich großen Datenmengen verbergen.

Den Terminus Big Data setzt die EU-Datenschutzgrundverordnung nicht ein. Sie definiert die Verarbeitung großer Datenmengen in automatisierter Form unter dem Begriff Profiling.

Nach Art. 4 Nr. 4 DSGVO handelt es sich dabei um jede Art der automatisierten Verarbeitung von personenbezogenen Daten mit dem Ziel, bestimmte persönliche Aspekte der Person zu bewerten und zu analysieren.

Art. 4 Nr. 4 DSGVO muss dabei im Kontext von Art. 22 DSGVO gesehen werden. Das Profiling wird dabei als besonderer Unterfall einer automatisierten Einzelfallentscheidung eingeordnet.

Art. 22 DSGVO will Nutzer vor automatisierten Einzelfallentscheidungen schützen, die für sie spezielle rechtliche Wirkungen entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen. Hier ergibt sich ein großer Auslegungsspielraum bei der Interpration der Vorschrift. Relativ eindeutig interpretieren lässt sich, dass insbesondere sensible personenbezogene Daten nicht Grundlage für ein entsprechendes Analyse-Bewertungsverfahren sein dürfen und Kinder grundsätzlich von solchen Maßnahmen auszuschließen sind. Im Übrigen bleiben zunächst noch viele Fragen offen, was für Unternehmen, die entsprechende große Datenmengen automatisiert verarbeiten, eine erhebliche Rechtsunsicherheit schaffen kann. Vor allem dürften den Unternehmen auch zusätzliche Informationspflichten aus Art. 13 und 14 DSGVO bei der Durchführung von Profiling Maßnahmen zu schaffen machen.

Klarheit besteht nur bei der Bewertung der wirtschaftlichen Bonität : Über eine Öffnungsklausel werden im neuen Bundesdatenschutzgesetz die Möglichkeiten von Auskunfteien zum Schutz des Wirtschaftsverkehrs mit Scoring- und Bonitätsverfahren explizit geregelt.

Die DSGVO setzt insgesamt auf eine eingehende Risikoanalyse vor der entsprechenden Durchführung von Profiling Maßnahmen. Dabei kommt in Zukunft der Dokumentation entsprechender geplanter Maßnahmen in den Unternehmen eine große Bedeutung zu. Solche Verarbeitungsvorgänge großer Datenmengen müssen systematisch beschrieben, ihr Zweck klar herausgearbeitet, ihre Notwendigkeit und Verhältnismäßigkeit in einer Risikoabwägung deutlich gemacht werden. Ein Verzeichnis der Verarbeitungstätigkeit ist unverzichtbar. Das berechtigte Interesse des Unternehmens an der entsprechenden Maßnahme muss klar erkenntlich sein.

Dabei kommt als zusätzliches Erfordernis auf die Unternehmen zu, dass sie von sich aus die zuständige Aufsichtsbehörde im Vorfeld konsultieren müssen, wenn ihre Risikoanalyse der geplanten Maßnahme ein hohes Risiko erkennen lässt.

Unternehmen müssen neue Strukturen bezüglich Big Data und Datenschutz schaffen

Um den Anforderungen der neuen EU-Datenschutzgrundverordnung gerecht zu werden, müssen die Unternehmen, die große Datenmengen verarbeiten wollen, entsprechende Verwaltungs- und Kontrollstrukturen schaffen. Nicht nur im Hinblick auf die hohen Bußgelder, mit denen die EU-Datenschutzgrundverordnung Datenschutzverstöße zukünftig sanktioniert, ist ein strukturiertes Vorgehen notwendig, um neue Routinen zu schaffen. Datenschutzkonformität wird immer mehr zu einem harten Wettbewerbsfaktor, den kein Unternehmen in seiner Bedeutung unterschätzen darf.