JurPC Web-Dok. 111/2017 - DOI 10.7328/jurpcb2017328111

Holger Nohr *

Big Data im Lichte der EU-Datenschutz-Grundverordnung

JurPC Web-Dok. 111/2017, Abs. 1 - 86


Zusammenfassung

Abs. 1
Der vorliegende Beitrag beschäftigt sich mit den Rahmenbedingungen für analytische Anwendungen wie Big Data, die durch das neue europäische Datenschutzrecht entstehen, insbesondere durch die EU-Datenschutz-Grundverordnung. Er stellt wesent­liche Neuerungen vor und untersucht die spezi­fischen datenschutzrechtlichen Regelungen im Hinblick auf den Einsatz von Big Data sowie Voraus­setzungen, die durch die Verordnung abverlangt werden. Abs. 2

I. Einleitung

Abs. 3
Analytische Anwendungen und Verfahren werfen – sofern sie mit personenbe­zogenen bzw. personenbeziehbaren Daten arbeiten – komplexe datenschutzrechtliche Fragen auf. Verfahren wie Data Mining oder insbesondere Big Data stellen hin­sichtlich des Grundrechts auf Datenschutz, wie es in der Charta der Grundrechte der Europäischen Union verankert ist (Art. 8 Charta), ein besonderes hohes Gefährdungspotenzial für natürliche Personen dar[1]. Die wachsenden Möglich­keiten der Eingriffe in die Privatsphäre durch Big Data werfen zahlreiche rechtliche und ethische Fragen auf[2]. Abs. 4
Am 25. Mai 2018 treten europaweit mit der Datenschutz-Grundverordnung (DS-GVO) (und wahrscheinlich auch der E-Privacy-Ver­ordnung, die derzeit allerdings erst im Entwurf mit Stand Januar 2017 vorliegt) wichtige neue Datenschutzbestimmungen in Kraft. Diese Verordnungen sind ein Ansatz, u.a. auch Antworten auf rechtliche Fragen bzgl. Big Data zu geben. Eines der vor­dringlichsten Ziele bei der Erarbeitung der DS-GVO war eine Anpassung europäischen Daten­schutzrechts an die zunehmende Digitalisierung[3]. In diesem Zusammenhang spielen datenbasierte Geschäftsmodelle und – eng mit diesen Geschäftsmodellen verbunden – die Auswertung großer Datenmengen mit Big Data[4] eine zentrale Rolle. Abs. 5
Für Unternehmen – auf diesen Anwendungsbereich bezieht sich der Beitrag – gilt es nun, bis zum 25. Mai 2018 Konformität mit dem neuen Datenschutzrecht herzustellen. Dies bedeutet teilweise erheb­lichen Vorbereitungs- und Anpassungsaufwand, insbesondere auch beim Einsatz analyti­scher Verfahren wie Data Mining und Big Data sowie der Vorhaltung entsprechen­der Datensammlungen. Regelungen, die sich auf analytische Anwendungen und Verfahren auswirken, finden wir in der DS-GVO. Abs. 6

II. Die Datenschutz-Grundverordnung

Abs. 7
Die DS-GVO löst die EU-Datenschutz-Richtlinie aus dem Jahre 1995 ab. Sie verfolgt das Ziel Grundrechte und Grundfreiheiten natürlicher Personen, insbes. deren Recht auf den Schutz personenbezogener Daten (Art. 1 DS-GVO) und nimmt dabei Bezug auf Artikel 8 der Charta der Grundrechte der Europäischen Union (ErwG 1 DS-GVO). Sie ist also operationalisierter Grundrechts­schutz des in Artikel 8 der Charta garantierten Datenschutzgrundrechts[5]. Als Verordnung ist sie ein Instrument der Vollharmonisierung europäischen Rechts, d.h. sie gilt unmittelbar in allen Mit­gliedsstaaten und löst bisheriges nationales Recht ab (in Deutschland das Bundesdaten­schutzgesetz). Sie hat Anwendungsvorrang[6] vor nationalem Recht. Abs. 8
Das Datenschutzrecht – so auch die DS-GVO – setzt einen Personenbezug der zu verarbeitenden Daten voraus. Dort, wo Big Data-Anwendungen Daten ohne jeden Personenbezug (anonyme Daten) analysieren, findet das Datenschutzrecht keine Anwendung. „Big Data heißt nicht notwendig Big Personal Data."[7]. Die Zusammenführung verschiedenster Daten zu großen Datenmengen erleichtert jedoch potenziell die Aufhebung von Anonymität.[8] Abs. 9
Die Verordnung behält weitgehend die bereits aus der Datenschutz-Richtlinie bekannten Grundsätze bei[9], bringt aber auch Neuerungen im Grundsätzlichen sowie im Detail (siehe dazu Übersichts­beiträge in der Literatur[10]). Die Rechtmäßigkeit der Verarbeitung (Art. 6 DS-GVO) folgt weiterhin dem Prinzip des Verbots mit Erlaubnisvorbehalt[11]. Dabei werden Unternehmen insbes. die Legitimations­möglichkeiten der infor­mierten Ein­willigung, der Vertragserfüllung sowie die Wahrnehmung berechtigter Interessen (sofern die schutzwürdigen Interessen nicht überwiegen) in Betracht ziehen können. Abs. 10
Die Grundsätze des Datenschutzes (Art. 5 DS-GVO) sind ebenfalls bereits aus dem bislang geltendem Recht bekannt: Abs. 11
› Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Abs. 12
› Datenminimierung, Abs. 13
› Zweckbindung, Abs. 14
› Richtigkeit, Abs. 15
› Speicherbegrenzung (Erforderlichkeit), Abs. 16
› Integrität und Vertraulichkeit, Abs. 17
› Rechenschaftspflicht. Abs. 18
Diese Grundsätze sind für die Auslegung aller weiteren Regelungen der DS-GVO anzuwenden und gelten für alle Verarbeitungen personenbezogener Daten. Abs. 19
Auf ausgewählte Neuerungen wird im Folgenden kurz einge­gangen. Abs. 20
Die DS-GVO gilt für Unternehmen, die eine Niederlassung innerhalb der EU haben sowie – dies ist eine grundsätzliche Neuerung – für Unternehmen, die Waren oder Dienstleistungen in der EU anbieten (auch unentgeltlich) oder das Verhalten von Personen in der EU beobachten. Diese Beobachtung meint die Erhebung von Internetaktivitäten (Tracking) sowie eine nachfolgende Profilbildung. Dieses Marktortprinzip ist ein Paradigmenwechsel, es gilt unabhängig davon, wo diese Unternehmen ihren Sitz haben oder wo die Datenverarbeitung stattfindet (Art. 3 Abs. 2 DS-GVO). Abs. 21
Im europäischen Datenschutzrecht sind mit dem Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) zwei neue Konzepte eingegangen (Art. 25 DS-GVO).[12] Datenschutz durch Technik soll bereits proaktiv während der Entwicklung angemessene technische und organisatorische Maßnahmen einführen, die ein ange­messenes Datenschutzniveau gewährleisten (etwa Pseudonymisierung) und Grundsätze wie Daten­minimierung konkret umsetzen. Eine Voreinstellung gilt dann als datenschutzfreundlich, wenn nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck objektiv erforderlich sind. Damit wird bereits bei der Erhebung von Daten eine technikseitige Beschränkung gefordert, die bspw. eine zweckfreie Sammlung „auf Vorrat" für Big Data unterbinden soll. Abs. 22
Das bekannte Verbotsprinzip wird in der DS-GVO an manchen Stellen durch das Risikoprinzip ergänzt. Dabei wird die Zulässigkeit einer Datenverarbeitung ebenso wie die zu treffenden Maßnahmen in Abhängigkeit von Risiken für die persön­lichen Rechte und Freiheiten betroffener Personen getroffen (Art. 24 DS-GVO). Abwägungskriterien für die Risikoanalyse enthält der ErwG 75 der DS-GVO. Ein zentrales Instrument der Risikoanalyse und -bewertung ist die Datenschutz-Folgenabschätzung (Art. 35 DS-GVO), die für den Einsatz typischer Big Data-Verfahren zwingend durchzuführen sein wird (s.u.). Abs. 23
Die DS-GVO nimmt eine Beweislastumkehr vor. Unternehmen haben jederzeit den Nachweis zu erbringen, dass sie die Verarbeitung gemäß der Verordnung durch­führen (Art 24 Abs. 1 DS-GVO). Insbes. gilt die Rechenschaftspflicht bzgl. der angeführten Grundsätze des Datenschutzes. Ihre Ein­haltung muss nachweisbar sein (Art. 5 Abs. 2 DS-GVO). Kern der Dokumentations- und Nachweis­pflichten ist das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO). Die erweiterte Rechenschaftspflicht verbunden mit den in den nächsten Absätzen angesprochenen Bußgeld- und Haftungserweiterungen stellt den Datenschutz in den Mittelpunkt von Compliance-Management-Systemen[13]. Abs. 24
Mit dem in Krafttreten der DS-GVO werden drastisch höhere Bußgelder einge­führt. Diese sollen in jedem Falle „wirksam, verhältnismäßig und ab­schreckend" sein (Art. 83 DS-GVO). Je nach Einordnung der Verstöße gegen die DS-GVO werden Bußgelder für Unternehmen und natürlichen Personen in Höhe von bis zu 10 Mio. Euro (bzw. 2% des globalen Umsatzes) oder bis zu 20 Mio. Euro (bzw. 4% des globalen Umsatzes) möglich. Es gilt jeweils der höhere Betrag. Die deutlich er­höhten Bußgelder werden dazu beitragen, den bislang zu konstatieren­den Mangel an Durchsetzungsfähigkeit im Datenschutzrecht zu vermindern[14]. Abs. 25
Ebenfalls erheblich erweitert wird die zivilrechtliche Haftung, da nun neben materiellen Schäden explizit auch immaterielle Schäden zu erstatten sind (Art. 82 Abs. 1 DS-GVO), sofern diese durch Verstöße gegen die DS-GVO entstanden sind. Abs. 26

III. Big Data und die Grundsätze des Datenschutzes

Abs. 27
Wie nach bisherigem Recht, so unterliegt auch nach DS-GVO jede Verarbeitung per­sonenbezogener Daten der Anforderung der Rechtmäßigkeit und der Ein­haltung der Grundsätze des Datenschutzes (s.o). Dies galt bisher bereits für den Einsatz analytischer Verfahren[15] sowie den ihnen zugrunde liegenden Datensammlungen, z.B. in einem Data Warehouse[16]. Für Big Data – wesentliche Verfahren sind hier das Profiling, das Scoring und das Screening – sowie für diese Zwecke angelegten Datenpools gilt entsprechendes. Abs. 28
Der Begriff der Verarbeitung ist weit gefasst (Art. 4 Abs. 2 DS-GVO). Er beginnt bereits mit der Erhebung personenbezogener Daten, bezieht sämtliche mögliche Verarbeitungsweisen bzw. -schritte ein und endet bei der Löschung der Daten. Abs. 29
Wesentliche Grundsätze für unsere Betrachtung sind die Datenminimierung, die Zweckbindung und die Speicherbegrenzung (Erforderlichkeit). Rechtmäßigkeits­anforderungen und Grundsätze des Datenschutzes können auf die wesentlichen Verarbeitungsschritte einer analytischen Anwendung (Abb. 1) bezogen werden. Abs. 30
Abb. 1: Verarbeitungsschritte in einer analytischen Anwendung Abs. 31
Im Unternehmen sind Datenquellen oft operative Systeme (ERP, CRM usf.). In diesem Fall wird eine Legitimation vorliegen, meist werden diese Daten zur Erfüllung eines Vertrags oder aufgrund einer Einwilligung gespeichert, jeweils mit Zweckbindung. Werden Daten direkt für Analysezwecke erhoben (bspw. durch das Tracking von Internetaktivitäten oder aus App-Nutzungen) muss dafür ebenfalls eine ent­sprechende Legitimation vorliegen, die diesem Zweck entspricht. Abs. 32
Die Zusammenführung von Daten aus verschiedenen Quellen ist aus datenschutzrechtlicher Sicht eine (neue) Datenerhebung, da die Kombination i.d.R. zu einem neuen Informations- und Aussagegehalt über eine betroffene Person führt. Dies stellt eine erlaubnisbedürftige Kategorie der Verarbeitung personen­bezogener Daten dar. Zudem tritt eine Ab­weichung von der Zweckbindung der Daten ein. Die Einwilli­gung des Betroffenen in den ursprünglichen Ver­wendungszweck ist dafür i.d.R. keine hinreichende Legitimation, das Bestimmtheitserfordernis von Einwilligungen deckt eine solche erweiterte Anwendung kaum ab[17]. Abs. 33
Häufig sind Analysezwecke auf längere Sicht nicht bekannt oder festgelegt. Datensammlungen werden angelegt, um zum Zeitpunkt der Speicherung noch nicht bekannten Analysezwecken zu dienen. Dies widerspricht grundsätzlich den Anforderungen der Erforderlichkeit, der Zweckbindung, der Datenminimierung und der Speicher­begrenzung. Eine zweck­freie Er­hebung bzw. Haltung von personenbezogenen Daten auf Vorrat ist grund­sätzlich nicht zulässig[18]. Abs. 34
Auch für Analysezwecke angelegte Datensammlungen gelten grundsätzlich die Rechte der Betroffenen auf Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO) oder das Widerspruchs­recht gegen eine Verarbeitung (Art. 21 DS-GVO). Abs. 35
Eine Datenanalyse generiert – so das Ziel – neue Erkenntnisse über betroffene Personen. Diese Erkenntnisse werden repräsentiert durch neu gewonnene Daten und i.d.R. in verschiedenen Daten­pools des Unternehmens gespeichert werden. Bspw. wird aufgrund einer Datenanalyse ein Kunde eines Unternehmens einem bestimmten Segment einer Kundensegmentierung zugewiesen, da er die typischen Merkmale (wie z.B. Einkommen, Preissensibilität, Bedürfnisse, Affinität zu bestimmten Produkten oder weiteren Verhaltensaspekten) dieses Segments teilt. Das Segment wird im Kunden­datensatz etwa im CRM-System abgespeichert. Dies stellt eine neue Datenerhebung dar, die einer entsprechenden Legitimation bedarf. Abs. 36
Die Zweckbindung ist der zentrale Ansatzpunkt[19]. Personenbezogene Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden. Der Zweck muss festgelegt werden, er hat eindeutig zu und legitim zu sein (Art. 5 Abs. 1, Nr. b DS-GVO). Aufgrund der Notwendig­keit der Angabe eines konkreten Zwecks bei der Datenerhebung sind zweckfreie analytische Anwendungen (wie bei Big Data-Anwendungen i.d.R. der Fall) mit dem Prinzip der Zweckbindung so gut wie nicht vereinbar[20]. Anders als das alte BDSG sieht die DS-GVO jedoch die begrenzte Möglichkeit einer Zweckänderung vor (Art. 6 Abs. 4 DS-GVO). Eine Zweckänderung ist danach nur zulässig, wenn der neue Zweck mit dem alten Zweck vereinbar ist. Für die Prüfung werden ver­schiedene Kriterien ge­nannt: (a) die Ver­bindung zwischen den Zwecken, (b) der Zusammenhang, in dem die Daten erhoben wurden, (c) die Art der Daten (insbes. ob besondere Kate­gorien von Daten verarbeitet werden), (d) die möglichen Folgen für den Betroffe­nen und (e) getroffene Maßnahmen zum Schutz der Betroffenen (insbes. Ver­schlüsselung oder Pseudonymisierung). Abs. 37
Zwar wird mit dieser Möglichkeit der Zweckänderung der Einsatz von Big Data potenziell erleichtert – allerdings in engen Grenzen und mit hohem Auf­wand für die Prü­fung und einer umfassenden Interessenabwägung zwischen dem neuen und dem ursprünglichen Verarbeitungszweck sowie der damit verbundenen Nachweispflicht. Inwie­fern eine Abgleichung des ursprünglich festgelegten Zwecks mit einer meist zweckfreien Big Data-Anwendung überhaupt möglich ist, bleibt derzeit eine offene Frage. Abs. 38

IV. Spezifische Regelungen für Big Data

Abs. 39
Die DS-GVO kennt in der Fachwelt gängigen Begriffe wie „Big Data", „Business Intelli­gence", „Analytik", „Data Mining" oder „Text Mining" nicht. In den Begriffsbestimmungen der Verordnung werden Verfahren zur Analyse und Prognose unter dem Begriff Profiling definiert: Abs. 40
„Profiling [ist] jede Art der automatisierten Verarbeitung personen­bezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufent­haltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen" (Art. 4 Nr. 4 DS-GVO). Abs. 41
Big Data wird in der DS-GVO also unter Profiling definiert. Hier tritt ein Ziel der Verordnung hervor, ihr technikneutrale Ansatz: Auf eine Spezifizierung bestimmter technischer Verfahren wurde verzichtet zugunsten grundlegender Wirkungsweisen.[21] Es geht um die Bewertung persönlicher Aspekte, um deren Analyse und ihre Vorhersage, nicht um die techno­logische Methode. Spezifische Analyseverfahren – wie bspw. Scoring oder Predicting – fallen ebenfalls unter diese Begriffs­bestimmung[22]. Die Einschränkung auf „automatisierte Verfahren" dürfte in der Praxis keine Rolle spielen, nicht-automatisierte Verfahren in diesem Sinne sind kaum vorstellbar. Abs. 42
Auf diese umfassende Definition greift nun Artikel 22 der DS-GVO zurück und ordnet das Profiling als einen speziellen Fall der auto­matisierten Einzelentscheidung ein: Abs. 43
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen­den Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt." (Art. 22 Abs. 1 DS-GVO) Abs. 44
Das ausschließlich automatische Profiling wäre danach unzulässig, wenn für Betroffene eine rechtliche Wirkung entstünde oder sie in „ähnlicher Weise erheb­lich beeinträchtigt" würden. Wenn – um auf das obige Beispiel zurückzukommen – ein Kunde automatisch als Ergebnis einer Datenanalyse einem Segment einer Kundensegmentierung zugeordnet wird, ist dies eine automatische Einzel­entscheidung. Wird diese Zuordnung etwa mit Maßnahmen einer Kundenstrategie verbunden, wie bspw. dem Ausschluss von Leistungen oder höheren Tarifen für bestimmte Leitungen, entfaltet sie rechtliche Wirkung. Abs. 45
Eine menschliche Intervention ist in diesen Fällen zwingend und soll den Einzelnen vor einem Bewertungsautomatismus[23] schützen. Was allerdings in ähnlicher Weise als erhebliche Beeinträchti­gung anzusehen ist, bleibt zunächst offen, die DS-GVO gibt in Erwägungsgrund 71 allenfalls vage Hinweise. Ausnahmen von diesem Verbot (Art. 22 Abs. 2) sind möglich, falls die Entscheidung bzw. das Profiling für den Abschluss oder die Erfüllung eines Vertrags objektiv erforderlich (z.B. die Messung des Stromverbrauchs durch Smart Meter) ist oder eine ausdrückliche Einwilligung der betroffenen Personen vor­liegt. Unternehmen müssen jedoch auch in diesen Ausnahmefällen ein Verfahren einrichten, dass Betroffenen die Möglichkeit auf Ein­spruch gegen die Entscheidung einräumt. Abs. 46
Besonders sensible personenbezogene Daten (wie in Art. 9 DS-GVO definiert) dürfen nicht Grundlage für ein Profiling sein (Art. 22 Abs. 4). Kinder sollen von einem Profiling generell nicht betroffen werden (ErwG 71 DS-GVO). Abs. 47
Der bundesdeutsche Gesetzgeber hat im neuen Bundesdatenschutzgesetz (BDSG neu), dem Umsetzungsgesetz der DS-GVO, eine Öffnungsklausel genutzt und zum Schutz des Wirtschafts­verkehrs bei Scoring und Bonitätsauskünften (Auskunfteien) Ausnahmen unter bestimmten Voraus­setzungen vorgesehen (§ 31 BDSG neu). Abs. 48
Wird ein Profiling nach Artikel 22 angestrebt, so gelten zusätzliche Informationspflichten (Art. 13 und 14 DS-GVO), die mindestens aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkun­gen für die betroffene Person beinhalten. Abs. 49
Für ein Profiling werden geeignete mathematische oder statistische Verfahren verlangt (ErwG 71 DS-GVO), die diskriminierende Wirkungen[24] (hinsichtlich Rasse, ethni­scher Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheits­zustand oder sexueller Orientierung) ausschließen und verhindern, dass es zu Maßnahmen kommt, die eine diskriminierende Wirkung haben (Neutralität der Algorithmen). Auch werden technische und organisa­torische Maßnahmen gefordert die geeignet sind, dass keine unrichtigen personenbezogenen Daten verarbeitet werden und diese Daten in einer Weise sichern, dass potenziellen Bedrohungen für die Interessen und Rechte Betroffener Rechnung getragen wird. Abs. 50
Die häufig als Lösung vorgeschlagene Anonymisierung der Daten hilft in vielen Fällen nicht weiter. Abgesehen davon, dass dieser Ansatz (kunden)individuelle Analysen unmöglich macht, bleibt die Gefahr einer Re-Identifizierung[25]. Anonymität ist gefährdet, wenn der technische und finanzielle Aufwand eine Re-Identifi­zierung nicht mehr unangemessen erscheinen lässt. Die Zusammen­führung diver­ser Daten­bestände für Big Data und der Einsatz mächtiger Analyse-Algorithmen machen jede Anonymisierung auf Dauer unmöglich, die Unterscheidung von Daten mit oder ohne Personenbezug weitgehend hinfällig[26]. Für Unternehmen muss sich damit ständig die Frage stellen, ob eine vorge­nommene Anonymisierung nach dem Stand der Technik noch greift und ob ggf. neue Risiken einer Re-Identifizierung entstanden sind[27]. Die DS-GVO bezieht ausdrücklich auch identifizierbare natürliche Personen in ihren Schutzbereich ein. Abs. 51

V. Risikobewertung als Voraussetzung von Big Data

Abs. 52
Besondere Risiken der Verarbeitung personenbezogener Daten entstehen für Be­troffene dann, wenn durch Profiling Verhaltensaspekte analysiert, bewertet und prognostiziert sowie ggf. automatisierte Einzelentscheidungen getroffen werden. Gerade in diesem Umfeld greift der risikobasierte Ansatz der GS-GVO. Das zentrale Instru­ment der Risikoanalyse, -bewertung und -abschätzung ist die Datenschutz-Folgenabschätzung (DSFA) (Art. 35 DS-GVO). Sie löst die bisherige Vorabkontrolle ab und ist durchzuführen, wenn durch eine Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen entsteht[28]. Dies ist immer der Fall, wenn (ErwG 91 DS-GVO) eine große Zahl von Personen betroffen ist, in großem Umfang neue Technologie eingesetzt wird oder wenn für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings erfolgt (Art 35 Abs. 3 DS-GVO). Der Leitfaden zur DSFA der Artikel-29-Datenschutzgruppe führt eine Reihe von Fällen auf, die ein grundsätzlich ein hohes Risiko darstellen und somit eine DSFA voraussetzen. Dort werden u.a. konkret angeführt[29]: Scoring, Profiling und Predicting, Automatische Entscheidungen, die zu rechtlichen Folgen für Betroffene führen, Datenverarbeitung in großem Umfang (Kriterien: Anzahl der Betroffenen, Menge der Daten etc.) sowie die Zusammenführung bzw. Kombi­nation von Daten die durch unterschiedliche Prozesse gewonnen wurden. Der Einsatz von Big Data setzt also immer präventiv eine DSFA voraus, wenn davon personenbezogene Daten betroffen sind. Abs. 53
Die Risikoanalyse der DSFA soll nach objektiven Kriterien (a) die mögliche Schwere eines Schadens (physisch, materiell, immateriell) und (b) die Eintrittswahrscheinlichkeit ermitteln, bewerten und abwägen (ErwG 76 DS-GVO). Die Betrachtung erfolgt dabei immer aus Sicht der betroffenen Per­sonen, es geht um die Schwere des Eingriffs in die Grundrechte für die Betroffenen. Abs. 54
Die DSFA verlangt eine systematische Beschrei­bung der Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Dies bein­haltet eine detaillierte Bewertung der Prozesse, IT-Systeme, Datenflüsse und Systemgrenzen. Mindestens fordert die Verordnung (Art. 35 Abs. 7) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Not­wendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den bestimmten Zweck sowie eine Bewertung der daraus entstehenden Risiken für die Rechte und Freiheiten der betroffenen Personen. Abschließend sind Abhilfemaßnahmen zu bestimmen und der Nachweis dafür zu erbringen, dass die DS-GVO eingehalten wird. Der Zweck ist auch hier wieder zentraler Ansatz­punkt. Hinsichtlich des Verarbeitungsvorgangs einer Big Data-Analyse besteht somit die Anforderung, den Zweck eindeutig und legitim festzulegen. Abs. 55
Die DSFA baut auf das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) auf, etwa auf die dortige Feststellung des Schutzbedarfs. Zu beschreiben sind be­rechtigte Interessen des Unter­nehmens an der Verarbeitung sowie die Erforder­lichkeit dieser Verarbeitung, eine anschließende systematische Risikobeurteilung sowie die getroffenen Maßnahmen, um das Risiko für die betroffenen Personen zu minimieren. Abs. 56
Besteht nach erfolgter Risikoanalyse ein hohes Risiko, ist die zuständige Aufsichtsbehörde zu konsultieren. Abs. 57

VI. Fazit

Abs. 58
Das neue Datenschutzrecht der EU – im Kern die DS-GVO – trägt dem Umstand Rechnung, dass mit dem Einsatz von Big Data (allgemeiner: analytischer Verfahren) besonders hohe Risiken für Grund­rechte betroffener natürlicher Personen verbunden sind. Die Bewertung und Abwägung der Risiken werden zum Ansatzpunkt wenn es um die Frage geht, ob bzw. verbunden mit welchen Schutz­maßnahmen eine Verarbeitung zulässig ist. Dabei sind weiterhin die etablierten Grund­sätze des Datenschutzes einzuhalten und zugleich neue (im Ansatz technikneutrale) Regeln für das Profiling – dem Rechtsbegriff zur Beschrei­bung von Big Data und ähnlicher Verfahren – genutzt. Gerade die wachsende Bedeutung analytischer Aufgaben und Big Data sowie die umfassende Pflicht zum Nachweis der Rechtskonformität lässt den Datenschutz in Unternehmen von einer Rand- zu einer zentralen Rechtsmaterie werden. Abs. 59
Der risikoorientierte Ansatz ermöglicht Unternehmen nach Bewertung und Ab­wägung geeignete Maßnahmen zu treffen, um Big Data – unter Berücksichtigung von Rechtmäßigkeit und Grund­prinzipien – rechtskonform anzuwenden. Konkret bleibt zum jetzigen Zeitpunkt allerdings offen, wie einzelne Regeln der DS-GVO ausgelegt werden müssen. Dies trifft etwa auf die Möglichkeit einer Zweckänderung zu oder auf die Frage, was eine erhebliche Beeinträchtigung automatischer Einzelentscheidungen ist bzw. nicht ist. Teilweise werden wohl erst Gerichte dies endgültig klären. Offen bleibt auch die Frage, ob es unter den Bedingungen von Big Data noch Anonymität gibt. Die Angemessenheit des zuweilen kritisierten technikneutralen Ansatzes wird sich u.a. auch an einer Antwort auf diese Frage entscheiden. Abs. 60
Für Unter­nehmen, die den Einsatz von Big Data mit personenbezogenen Daten beab­sichtigen, besteht jedenfalls die Notwendigkeit ein Datenschutz-Management-System zur Erfüllung umfassen­der Nachweispflichten über die Rechtskonformität (Compliance) einzuführen. Abs. 61

VII. Literatur

Abs. 62
Arning, M.A.: Datenpools – Big Data datenschutzkonform umsetzen. In: K&R Beiheft 3, 2015, S. 7-12. Abs. 63
Article 29 Data Protection Working Party (Ed.): Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679. Brussels, 4. April 2017 (WP 249). Abs. 64
Barocas, S./Selbst, A.D.: Big Data's Disparate Impact. In: California Law Review 3, 2016, S. 671-732. Abs. 65
BfDI (Hrsg): Datenschutz-Grundverordnung. 2. Aufl. Bonn 2016 (BfDI - Info 6). Abs. 66
Boehme-Neßler, V.: Das Ende der Anonymität – Wie Big Data das Datenschutzrecht verändert. In: DuD Datenschutz und Datensicherheit 7, 2016, S. 419-422. Abs. 67
Buchner, B.: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO. In: DuD Datenschutz und Datensicherheit 3, 2016, S. 155-161. Abs. 68
Diercks, N.: Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO) – Teil 6 zur EU-DSGVO. http://www.socialmediarecht.de/2016/11/29/big-data-im-zeitalter-der-eu-datenschutzgrundverordnung-dsgvo-teil-6-zur-eu-dsgvo/, (Abruf: 3.7.2017). Abs. 69
Dix, A.: Datenschutz im Zeitalter von Big Data: Wie steht es um den Schutz der Privatsphäre? In: Stadtforschung und Statistik 1, 2016, S. 59-64. Abs. 70
Dorschel, J. / Nauerth, P.: Big Data und Datenschutz ‒ ein Überblick über die rechtlichen und technischen Herausforderungen. In: Wirtschaftsinformatik & Management 2, 2013, S. 32-38. Abs. 71
EFI – Expertenkommission Forschung und Innovation: Gutachten zu Forschung, Innovation und technologischer Leistungsfähigkeit Deutschlands 2016. Berlin: EFI, 2016. Abs. 72
Golla, S.J.: Is Data Protection Law Growing Teeth? The Current Lack of Sanctions in Data Protection Law and Administrative Fines under the GDPR. In: Journal of Intellectual Property, Information Technology and Electronic Commerce Law 1, 2017, S. 70-78. Abs. 73
Kiesche, E.: So funktioniert die Folgenabschätzung. In: Computer und Arbeit 2, 2017, S. 31-36. Abs. 74
Kipker, D.-K.: Privacy by Default und Privacy by Design. In: DuD Datenschutz und Datensicherheit 6, 2015, S. 410. Abs. 75
Körner, M.: Die Datenschutzgrundverordnung der Europäischen Union: Struktur und Ordnungsprinzipien. Fakultät für Wirtschafts- und Sozialwissenschaften , Universität Hamburg, 2017 (Rechtswissenschaftliche Beiträge der Hamburger Sozialökonomie; Heft 12). Abs. 76
Kring, M.: Big Data und der Grundsatz der Zweckbindung. In: Plödereder, E. et al. (Hrsg.): Informatik 2014. Gesellschaft für Informatik, Bonn 2014, S. 551-562. Abs. 77
Lauser, R.: Data Warehouse vs. Datenschutz. In: Computerwoche vom 15.7.2014. https://www.computerwoche.de/a/data-warehouse-vs-datenschutz,2554608 (Abruf am 3.7.2017). Abs. 78
Martini, M.: Big Data als Herausforderung für das Datenschutzrecht und den Persönlichkeitsschutz. In: Hill, H. et al. (Hrsg.): Die digitale Lebenswelt gestalten. Baden-Baden 2015, S. 97-162. Abs. 79
Marnau, N.: Anonymisierung, Pseudonymisierung und Transparenz für Big Data. In: DuD Datenschutz und Datensicherheit 7, 2016, S. 428-433. Abs. 80
Richards, N.M./King, J.H.: Big Data Ethics. In: Wake Forest Law Review, May 19, 2014, S. 394-432. Abs. 81
Roßnagel, A./Nebel, M.: Die neue Datenschutzgrundverordnung - Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet? Karlsruhe: Forum Privatheit, 2016. Abs. 82
Weichert, T.: Die Europäische Datenschutz-Grundverordnung – Ein Überblick. In: Datenschutz Nachrichten 39 (2016) 2, S. 48-56. Abs. 83
Weichert, T.: Big Data – eine Herausforderung für den Datenschutz. In: Geiselberger, H./Moorstedt, T. (Red.): Big Data: Das neue Versprechen der Allwissenheit. Berlin: Suhrkamp, 2013. S. 131-148. Abs. 84
Wybitul, T.: EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht? In: Betriebs-Berater 18, 20166, S. 1077-1081. Abs. 85
Wybitul, T./Böhm, W.-T.: Das neue EU-Datenschutzrecht: Folgen für Compliance und interne Ermittlungen. In: Compliance-Berater 4, 2016, S. 101-108 (und Update v. 14.4.2016). Abs. 86
 

* Der Text ist die erweiterte schriftliche Fassung eines Keynote-Vortrags auf dem Big-Data- and Data-Science-Day am 25. Juli 2017 an der Hochschule der Medien in Stuttgart. Prof. Holger Nohr lehrt und forscht im Studiengang Wirtschaftsinformatik und digitale Medien an der Hochschule der Medien Stuttgart, insbes. zu den Themen Datenschutz / Privacy und Netzpolitik.
[1] Vgl. Weichert 2013, S. 133ff.
[2] Vgl. Weichert 2013, Richards/King 2014 und Barocas/Selbst 2016.
[3] Vgl. BfDI 2016, S. 7.
[4] Vgl. EFI 2016, S. 60ff.
[5] Vgl. Körner 2017, S. 10.
[6] Vgl. Körner 2017, S. 9 und 21.
[7] Dix 2016, S. 60.
[8] Dix 2016, S. 61 und Boehme-Neßler 2016.
[9] BfDI 2016, S. 9ff.
[10] Vgl. Weichert 2016 und Wybitul 2016.
[11] Vgl. Buchner 2016, S. 157f.
[12] Vgl. Kipker 2015.
[13] Wybitul/Böhm 2016.
[14] Vgl. Golla 2017.
[15] Vgl. Dorschel/Nauert 2013.
[16] Vgl. Lauser 2014.
[17] Vgl. Arning 2015, S. 10f.
[18] Vgl. Arning 2015, S. 9.
[19] Vgl. Buchner 2016, S. 158f.
[20] Vgl. Kring 2014 und Martini 2015.
[21] Die Technikneutralität auch bzgl. Big Data wird teilw. kritisch gesehen, u.a von Roßnagel/Nebel 2016, S. 6.
[22] Vgl. Diercks 2016.
[23] Vgl. Martini 2015.
[24] Zu diskriminierenden Wirkungen von Data Mining vgl. Barocas/Selbst 2016.
[25] Vgl. Marnau 2016, S. 429ff. und Boehme-Neßler 2016.
[26] Vgl. Boehme-Neßler 2016, S. 422f.
[27] Vgl. Marnau 2016, S. 429.
[28] Vgl. Kiesche 2017, S. 32.
[29] Vgl. Article 29 Data Protection Working Party 2017, S. 7ff.

 
(online seit: 15.08.2017)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 

Top 10

Klassiker

JurPC App