Datenschutz

Big Data und Datenschutz

Big Data liegt im Trend und wird in Zukunft von entscheidender Bedeutung sein, insbesondere für Unternehmen. Für den Datenschutz birgt dies allerdings erhebliche Risiken.

 

datenschutz smartphone big data

© IckeT – Fotolia

Das Schlagwort “ Big Data” ist in aller Munde. Denn im Zuge der immer schneller fortschreitenden Digitalisierung unserer Gesellschaft gewinnt die Auswertung der in riesigen Mengen vorhandenen Daten (Big Data) in nahezu allen Lebensbereichen stetig an Bedeutung.

Nicht nur für etwa im Zusammenhang mit polizeilicher bzw. geheimdienstlicher Arbeit und wissenschaftlicher Forschung, sondern insbesondere im Bereich der Wirtschaft wird die Analyse (Data Analytics) und Auswertung (Data Mining) aller verfügbaren Daten sowie die Umsetzung von Big-Data-basierten Erkenntnissen in unternehmerische Entscheidungen künftig zu einem der wichtigsten Erfolgsfaktoren werden.

1. Potenziale von Big Data

In Zeiten von eCommerce, Cloud Computing, Social Media, Smartphones/Mobile Devices und dem sog. Internet der Dinge (RFID, QR) lassen sich die rasant ansteigend anfallenden Datenmengen auf vielfältige Weise miteinander verknüpfen und durch spezielle Analyseanwendungen bzw. –algorithmen für verschiedenste Zwecke fruchtbar machen.

So kann Big Data etwa der Fahndungen nach Auffälligkeiten (z.B. Fraud-Detection bei Finanztransaktionen), der Erforschung von Krankheiten, der Steuerung des Energieverbrauchs (Smart-Metering), insbesondere aber der Untersuchung des Kundenverhaltens für Marktforschung, Werbemaßnahmen oder andere unternehmensrelevante Erkenntnisse (z.B. Cross-selling, Up-selling) dienen. In Anbetracht dessen erstaunt es kaum, dass im Zusammenhang mit Big Data oftmals sogar vom „neuen Öl“ die Rede ist.

2. Datenschutzrechtliche Aspekte von Big Data

Trotz dieses unbestreitbar positiven Potenzials von Big Data stellt sich mit Schärfe aber auch die Frage nach den diesbezüglichen Risiken, insbesondere datenschutzrechtlicher Art. Denn die zumindest latent bestehende Gefahr der Erstellung von personenbezogenen Profilen hinsichtlich Interessen, Kaufverhalten, Bewegungsdaten, finanziellen Verhältnissen oder anderen relevanten Faktoren und eine damit einhergehende mögliche Beeinträchtigung der Privatsphäre von betroffenen Personen ist so real wie offensichtlich. Plastisch veranschaulicht wird dies durch den vor einiger Zeit publik gewordenen und nach heftiger Kritik gestoppten Plan des Telefonica Konzerns, im Rahmen des Projekts Smart Steps die Bewegungsdaten seiner Kunden zu Zwecken der Werbung zu verkaufen. Daher soll die Frage der datenschutzrechtlichen Zulässigkeit von Big Data bzw. diesbezüglichen Projekten kurz skizziert werden.

a) Grundsatz des Verbots mit Erlaubnisvorbehalt

Als Grundregel im Bereich des Datenschutzrechts ist insofern das sog. Verbot mit Erlaubnisvorbehalt des § 4 des Bundesdatenschutzgesetzes (BDSG) als Ausgangspunkt für eine rechtliche Bewertung zu beachten. Nach diesem ist eine Erhebung, Speicherung und Nutzung von personenbezogenen Daten nur dann ausnahmsweise zulässig, soweit dies durch einen gesetzlichen Erlaubnistatbestand oder eine entsprechende Einwilligung des Betroffenen gedeckt ist.

Zu bedenken ist vorab jedoch, dass eine Anwendung des BDSG sowie anderer Datenschutzgesetze stets eine Personenbeziehbarkeit der betreffenden Daten voraussetzt. Sofern also die Informationen einer bestimmten oder zumindest bestimmbaren Person nicht zugeordnet werden können, greifen datenschutzrechtliche Regelungen bereits überhaupt nicht ein und ihre Verwendung in Big Data Projekten wäre rechtlich unbedenklich.

b) Anonymisierung als Lösung?

Rechtlich betrachtet mangelt es an einem solchen Personenbezug etwa in Fällen der sog. Anonymisierung (§ 3 Abs. 6 BDSG), bei der die Daten auf eine Weise verändert  oder unter Umständen bereits derart erhoben werden, dass sie einer bestimmten Person überhaupt nicht (mehr) oder nur unter unverhältnismäßigem Aufwand zuordenbar sind. Und auch eine Pseudonymisierung (§ 3 Abs. 6a BDSG), bei der identifizierende Merkmale des Betroffenen durch ein anderes Kennzeichen ersetzt werden, kann bei hinreichender Stärke den Personenbezug und damit die Anwendung des Datenschutzrechts ausschließen.

Ob im Zusammenhang mit Big Data faktisch aber eine effektive Anonymisierung bzw. ausreichend starke Pseudonymisierung überhaupt herstellbar ist, scheint pauschal zumindest zweifelhaft und ist für den Einzelfall sorgfältig zu prüfen. Denn aufgrund der Vielfalt der Daten und ihrer möglichen Verknüpfungen lässt es sich kaum mit hinreichender Sicherheit ausschließen, dass durch die Kombination einzelner Informationen nicht doch Rückschlüsse auf die Identität einzelner Personen gezogen werden und diese damit re-identifizierbar gemacht werden können. Umso mehr gilt dies wenn man beachtet, dass sich Erkenntnissen  der amerikanischen Wissenschaftlerin Latanya Sweeney zufolge, beinahe 90 Prozent aller Personen anhand von drei Informationen – Geburtsdatum, Postleitzahl und Geschlecht – eindeutig identifizieren lassen.

Nur sofern also eine Re-Identifizierung der betroffenen Personen praktisch mit Sicherheit ausschließen lässt, ist von einer zulässigen Verwendung der entsprechenden Information im Rahmen von Big Data auszugehen.

c) Öffentlich zugängliche Informationen

Als Grundlage einer zulässigen Realisierung von Big Data Vorhaben kommen aber auch gesetzliche Erlaubnistatbestände in Betracht. So ist trotz einer Personenbeziehbarkeit etwa nach § 29 Abs. 1 Satz Nr. 2 BDSG die Erhebung von öffentlich zugänglichen Daten grundsätzlich zulässig. Sofern also frei im Web verfügbare Informationen die Grundlage von Big Data bilden, bestehen per se keine datenschutzrechtlichen Bedenken. Indes sind Daten, die nur mit bestimmten Einschränkungen, also etwa unter der Voraussetzung einer Registrierung auf Plattformen oder Sozialen Netzwerken, verfügbar sind, nicht als aus öffentlich zugänglichen Quellen stammend eingeordnet, so dass der Anwendungsbereich dieser Erlaubnisnorm beschränkt bleibt.

Zudem gilt die Vorschrift ausnahmsweise dann nicht,  wenn schutzwürdige Interessen des Betroffenen das berechtigte Nutzungsinteresse des die Daten verarbeitenden Unternehmens offensichtlich überwiegt. In Fällen von sensitiven Daten im Sinne des Daten i.S.d. § 3 Abs. 9 BDSG, stellt sich eine Verwendung für Big Data ebenfalls als problematisch dar.

c) Einwilligung der Betroffenen

Zuletzt kann eine Nutzung von Informationen im Rahmen von Big Data zulässig sein, sofern der Betroffene eine entsprechende Einwilligung erteilt hat.  Eine solche ist nach § 4a BDSG aber nur wirksam, wenn sie freiwillig und unter Hinweis der betroffenen Person auf den Zweck der jeweiligen Datenerhebung, -verarbeitung oder –nutzung erfolgt. Stehen besonders sensible Daten im o.g. Sinne in Rede, so muss ich die Einwilligungserklärung zudem explizit auch auf diese Datenkategorien beziehen. Sofern Betroffenen seine Einwilligung im Zusammenhang mit anderen Erklärungen – etwa in AGB zur Nutzung von Online-Plattformen oder ähnlichem – abgenommen werden, so hat sie darüber hinaus in besonders hervorgehobener Form zu erfolgen. Grundsätzlich wird von der Rechtsprechung eine aktive Abgabe, der Erklärung gefordert, so dass sich in der Praxis Opt-in-Lösungen durchgesetzt haben.

Ob diese Anforderungen durch die in der heutigen Praxis oftmals gängigen ellenlangen Geschäftsbedingungen, die eine Vielzahl möglicher Verwendungszwecke und Nutzungsmöglichkeiten in Bezug auf erhobene Daten aufzählen tatsächlich erfüllt werden darf bezweifelt werden. Jedoch sind diese durch entsprechende Gestaltung der Einwilligungserklärung herbeiführbar, so dass Unternehmen ihre  Big Data Projekte auf eine rechtssichere Grundlage stellen können.

3. Fazit

Insgesamt kann konstatiert werden, dass eine rechtskonforme Gestaltung von Big Data Projekten auf dem Boden der derzeitigen Rechtslage zwar durchaus möglich ist, eine rechtssichere Umsetzung aber  unter verschiedenen Aspekten problematisch sein kann.

Um die Potenziale von Big Data für Wirtschaft und Gesellschaft vollumfänglich nutzbar zu machen, ohne dass schützenswerte Ziele und Interessen des Datenschutzes tangiert werden, ist daher die Erarbeitung und Umsetzung adäquater Lösungsmöglichkeiten unabdingbar. Im Hinblick auf eine sichere Anonymisierung können hier beispielsweise technikorientierte Ansätze, sog. Privacy-by-Design-Lösungen (vgl. hierzu die Forderung des Bundesdatenschutzbeauftragten Peter Schaar auf dem Safer Internet Day) neue Möglichkeiten eröffnen.

Insbesondere aber sollten Unternehmen, die Big Data nutzen und gewinnbringend einsetzen möchten, die von ihnen geplanten Projekte, insbesondere im Hinblick auf etwaig erforderlicher Einwilligungen, nach Möglichkeit transparent gestalten und kommunizieren sowie eine hinreichende Kontrolle durch die Betroffenen sicherstellen. Dann sind Big Data und Datenschutz durchaus miteinander in Einklang zu bringen.

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (3 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.