Big Data[1] ist in aller Munde. In der sogenannten ,Industrie 4.0[2]' sind Big-Data-Auswertungen nicht lediglich moderne Schlagworte, sondern praxisrelevante Verfahren: Es geht darum, Marketing, Produktion und Prozesse mit moderner Informations- und Datentechnik zu verbessern[3].
Datenschutzrechtliche Prinzipien wie das Verbot mit Erlaubnisvorbehalt, Datenvermeidung und Datensparsamkeit sowie die Zweckbindung stehen im Gegensatz zur Vorgehensweise von Big-Data-Analysen, die von einem großen, wachsenden und selbstlernenden Datenpool leben[4].
In dieser Arbeit sollen datenschutzrechtliche Fragen bei Big-Data-Analysen untersucht werden. Auf andere, ebenfalls potentiell relevante Rechtsgebiete wie das Urheberrecht[5]-, das Straf- oder Kartellrecht[6] oder den sui-generis-Schutz von Datenbanken[7] soll dagegen nicht eingegangen werden.
Gleiches gilt für Folgefragen, die sich im Zusammenhang mit Big Data durch sogenanntes Cloud Computing oder den Drittlandsbezug von Datenverarbeitung ergeben. Hingegen sollen lösungsrelevante Ansätze wie die Frage eines möglichen Eigentums an Daten betrachtet werden.
'Big Data' meint die Analyse großer Datenmengen in hoher Geschwindigkeit (Ideal: 'real-time') mit dem Ziel, diese wirtschaftlich nutzbar zu machen. Der Erkenntnisgewinn basiert auf der Auswertung von (neuen) Mustern und Zusammenhängen durch präzise Hochrechnungen und Vorhersagen[8].
Die ersten Ansätze von Big Data Analysen sind schon fast einhundert Jahre alt: Die Schutzgemeinschaft für Absatzfinanzierung stützte 1927 ihre Entscheidungen auf ein ,System zur Beurteilung des Zahlungsverhaltens'; hieraus ist 1952 die in Deutschland bekannte SCHUFA hervorgegangen[9].
Wie bereits erörtert zeichnen sich Big-Data-Anwendungen durch große und wachsende Datenmengen (z.B. Sensor-, Protokoll-, Standortdaten), Datenvielfalt (Quellen, Formate), die Geschwindigkeit der Auswertung (Ziel: Echtzeit) und die Qualität der erzielten Ergebnisse und Prognosen aus[10].
Bei den Prognoseentscheidung handelt es sich um Aussagen zur Wahrscheinlichkeit eines zukünftigen Verhaltens bzw. Geschehens, so dass z. B. rückblickende Leistungs- oder Verhaltensanalysen nicht unter die Norm des § 28 b Bundesdatenschutzgesetz (BDSG-alt) und § 31 BDSG-neu fallen[11].
Trotz der Tatsache, dass wesentlich mehr (Meta-)Daten Personenbezug bzw. eine Personenbeziehbarkeit aufweisen als so mancher Laie vermuten würde[12], sind Big-Data-Analysen primär gerade nicht darauf gerichtet, Informationen über einzelne Personen zu gewinnen[13]. Es geht vielmehr um Erkenntnisgewinn.
Nichtsdestotrotz bleibt es dabei, dass eine solche Vorgehensweise in den meisten Fällen als Verarbeitung personenbezogener Daten[14] zu qualifizieren ist, die einer validen Rechtsgrundlage bedarf und die geltende datenschutzrechtliche Anforderungen beachten und einhalten muss.
- 239/240 -
Datenauswertungen erlauben durch frühzeitiges Erkennen von Marktveränderungen eine bessere 'time-to-market', sie bilden die Voraussetzung für Prozessoptimierung und können sich durch transparentes Datenmanagement je nach Branche auch positiv auf die Erfüllung etwaiger regulatorischer Anforderungen auswirken[15].
Big-Data-Analysen werden zudem weitere Fähigkeiten zugesprochen, etwa die Datenvisualisierung sowie die Video- und Sprachanalyse: sentiment analysis und text mining sind ausgesprochen interessante Anwendungsfälle und kamen sogar schon auf politischer Ebene zum Einsatz[16].
Big Data versetzt Unternehmen in die Lage, Kundensegmente mit größerer Granularität im Auge zu behalten und somit Produkt- und Serviceangebote besser am realen Bedarf auszurichten. Insgesamt kann dadurch nicht nur Bestehendes verbessert, sondern es können völlig neue Angebote entwickelt werden[17].
Daten werden daher schon länger als die 'Währung des 21. Jahrhunderts' gehandelt[18] und sind zu geschätzten unternehmerischen 'Assets' geworden neben klassischen Produktionsfaktoren wie Kapital, Arbeitskraft und Rohstoffen[19]. Sie stellen daher auch eine gewichtige Komponente beim Unternehmensverkauf dar[20]:
In einer immer digitaler werdenden Welt steigt die Zahl von Produktions-, Transaktions-, Protokoll-, Nutzungs- oder Standortdaten, und immer mehr Daten wecken auch immer mehr Begehrlichkeiten, so dass manche im Hinblick auf Big Data vom 'digitalen Goldschürfen'[21]sprechen.
Es gibt unzählige Anwendungsfälle für diese neue 'digitale Wertschöpfung' durch Big-Data-Anwendungen[22]: Marketing und Vertrieb, Forschung und Entwicklung, Distribution und Logistik, Service und Support, usw. - praktisch jede Unternehmensabteilung hat ein Interesse an aussagekräftigen Daten.
'Business Intelligence' nutzt Daten aus den unterschiedlichsten Bereichen: Kundendaten aus CRM-Systemen, Buchungsdaten aus ERPTools, Protokolldaten aus browserbasierten Anwendungen, Kommunikationsdaten aus der Internet- und Email-Nutzung, aber auch Mitarbeiterdaten[23].
Je nach dem, aus welcher Perspektive man das Thema Big Data angeht, können die zugrunde liegenden Datenverarbeitungen unterschiedlich gruppiert werden. Man kann Kundendaten beispielsweise in Nutzungs-, Kommunikations-, Standort-, und Profildaten aufteilen.
Weniger aussagekräftig werden dagegen reine Sachdaten oder Vertragsdaten sein, weil diesen Daten der Personenbezug bzw. die für Auswertungen so wichtige Dynamik fehlt. Im Hinblick auf Kunden-, Interessenten- und Nutzerdaten können sog. Scoring, Profiling' und Tracking als Hauptanwendungsfälle genannt werden:
Sogenanntes Scoring ist aus dem Kreditgeschäft bekannt[24]. Der Gesetzgeber anerkennt die Bedeutung[25] der Kreditvergabe durch die Bankinstitute für die Wirtschaft und erlaubte das Scoring schon in § 28 b BDSG-alt[26] ausdrücklich, allerdings nur unter bestimmten Voraussetzungen[27]:
Dazu gehören der Einsatz wissenschaftlich anerkannter mathematisch-statischer Verfahren zur Score-Berechnung[28] und eine gewisse Nachvollziehbarkeit für den Betroffenen[29], die jedoch nicht gleichzusetzen ist mit einer Preisgabe des zugrunde liegenden Algorithmus[30].
Die Norm erforderte zudem, dass der Scorewert Eingang in eine Entscheidung findet, die für den Betroffenen eine rechtliche Folge hat. Das ist typischerweise bei Entscheidungen über den Abschluss von Kundenverträgen der Fall, nicht aber bei diversen 'internen Scorings':
Beim bloßen Werbescoring (Selektion) tritt noch keine rechtliche Folge ein; gleiches gilt für den Einsatz bestimmter Scorekarten, die zum Ziel haben, einen bestehenden Kundenkreis zu analysieren, damit entschieden werden kann, ob und falls ja, welche Vergünstigungen den Kunden angeboten werden[31].
- 240/241 -
Darüber hinaus haben sich im E-Commerce[32], im Bereich der Betrugsprävention oder Kreditvergabe neue Scoring-Szenarien herausgebildet: Manche Anbieter verlassen sich nach eigenen Angaben bei Bonitätsbewertungen auf künstliche Intelligenz und sogenanntes Machine Learning[33].
Die Dienstleistung anderer Unternehmen besteht dabei darin, potentielle Betrüger über digitale Fingerabdrücke bzw. Gerätedaten zu erkennen. In diesem Zusammenhang werde mit Hilfe intelligenter, dynamischer Regelwerke sichergestellt, dass Betrugszusammenhänge erkannt werden[34].
Was die Nutzung von Scoring-Diensten angeht, gab es schon bisher über die in diesem Kontext bekannteste deutsche datenschutzrechtliche Norm des § 28 b Nr. 1 BDSG-alt hinaus weitere rechtliche Vorgaben, insbesondere das Verbot automatisierter Einzelentscheidungen nach § 6 a BDSG-alt (§ 54 BDSG-neu)[35].
Im Zusammenhang mit Scoring zu Bonitätszwecken wird zudem oft übersehen, dass auch das Allgemeine Gleichbehandlungsgesetz zu berücksichtigen ist[36]. Alter und Geschlecht einer Person sind für Zahlungsausfälle mögen durchaus relevant sein; nichtsdestotrotz dürfen Antragsteller deswegen nicht benachteiligt werden.
Amazon, Google und Facebook gehören zu den Vorreitern des Profiling. Profiling meint die systematische Auswertung des Nutzerverhaltens[37]: Es wird erfasst, für welche Seiten, Bücher, Werbebanner und Suchbegriffe ein Besucher der Website sich interessiert hat.
Algorithmen errechnen dann, welche Suchergebnisse, Waren oder Werbeanzeigen den Besucher voraussichtlich interessieren werden. Der Internetnutzer erfährt (nur noch) das, was ihn mutmaßlich interessiert. Damit können Inhalte gezielter und passgenauer ausgesteuert werden.
Im Zusammenhang mit Profiling ist zu beachten, dass schon das Bundesverfassungsgericht früh das Verbot des Erstellens totaler Persönlichkeitsbilder im Sinne der Registrierung und Katalogisierung des Menschen in seiner ganzen Persönlichkeit' postuliert hat[38].
Das Verbot des Erstellens totaler Persönlichkeitsbilder soll verhindern, dass die Vergangenheit prägend wird für die Zukunft eines Menschen[39]. Insofern macht das neue Recht auf Vergessen werden aus Art. 17 der Datenschutzgrundverordnung Sinn; ob es tatsächlich umsetzbar ist[40], bleibt aber fraglich.
Was Scoring und Profiling als wichtige Anwendungsfälle von Big Data angeht, so sind folgende Unterschiede zu beachten: Während man mit Scoring auf eine Prognoseentscheidung abzielt, kann Profiling auch zu retrospektiven Analysezwecken angewandt werden.
Hinzu kommt, dass beim Profiling im Gegensatz zum Scoring in Deutschland bislang keine dezidierten gesetzlichen Regelungen bestanden, weder im BDSG-alt[41] noch in der kommenden DSGVO[42]. Allerdings definiert Art. 4 Nr. 4 DSGVO Profiling als:
"Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen."
Diese Begriffsbestimmung führt damit zu einem weiten Anwendungsbereich, allerdings ohne steuernde oder konkretisierende Anforderungen. Profiling ist demnach in der DSGVO zwar definiert; eine konkrete Vorgabe zum Profiling findet sich nur in Art. 22 DSGVO.
Die Norm befasst sich mit automatisierten Entscheidungen im Einzelfall einschließlich Profiling und damit eher mit dem Ergebnis des Profiling (abgesehen vom Umgang mit besonderen Kategorien personenbezogener Daten, Art. 22 IV DSGVO) und nicht mit der Profilbildung selbst, was unbefriedigend ist.
Sogenanntes Tracking und Retargeting sind Oberbegriffe für zwei weitere wichtige Erscheinungsformen der Profilbildung, die unter bestimmten Vorsausserzungen zulässig sein können. Mittlerweile haben sich gerade im Bereich des (Online-) Marketing unzählige
- 241/242 -
Anwendungsfälle und Geschäftsmodelle etabliert[43].
Nach in Deutschland bislang geltendem Recht durfte der Betreiber einer Webseite zum Zwecke der Werbung oder zur bedarfsgerechten Gestaltung des Telemediums Nutzerprofile erstellen, allerdings nur dann, wenn der Nutzer dem nicht widerspricht und wenn dafür Pseudonyme gebildet werden[44].
Echtzeitwerbung im Internet war datenschutzkonform möglich, und zwar dann, wenn die pseudonymen Nutzerprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden (§ 15 III 3 TMG). Anders verhält es sich dagegen beim CRM-Retargeting, bei dem online und offline-Daten verknüpft werden[45]:
Diese Art der Datenverknüpfung und -Verarbeitung bedarf einer Rechtsgrundlage. Da § 15 III 3 TMG die Verknüpfung von Nutzungsprofilen mit Daten über die Träger der Pseudonyme ausdrücklich verbietet, verbleibt als einzige denkbare Möglichkeit der Legitimation die Einholung von Einwilligungen.
Es ist jedoch nicht vorstellbar, dass derlei Einwilligungen rechtskonform eingeholt werden können[46] im Hinblick auf das Erfordernis der Informiertheit, der Zweckbindung sowie der (ungeklärten) Frage der (Vielzahl der) Empfänger, von Fragen des Auslandsbezugs ganz abgesehen.
Als Retargeting wird im Online-Marketing ein Verfahren bezeichnet, bei dem Besucher einer Webseite über Cookies gekennzeichnet und anschließend auf anderen Webseiten mit gezielter Werbung wieder angesprochen werden[47]. Der rechtliche Rahmen wird im Online-Bereich insgesamt komplizierter:
Der Streit darüber, ob der Einsatz von Cookies ein ausdrückliches Opt-in des Nutzers[48] erfordert - so die e-privacy directive - oder ob entsprechende textliche Hinweise samt Opt-out-Funktion genügen, was nach bislang geltendem deutschen Telemedienrecht vorgesehen ist[49], schwelt schon einige Jahre.
Die Lage wird durch folgende Faktoren schwieriger: Den Umstand, dass die Datenschutzgrundverordnung das deutsche Telemediengesetz verdrängt und die Tatsache, dass im Zuge der geplanten Harmonisierung auf EU-Ebene aus der e-privacy directive ebenfalls eine Verordnung mit direkter Geltung werden soll.
Die ePrivacy-Verordnung sollte zeitgleich mit der DSGVO in Kraft treten, im Moment steckt ePrivacy-Verordnung aber noch im Entwurfsstadium[50]. Damit ist fraglich, wie man in der Übergangszeit bis die ePrivacy-Verordnung gilt mit Cookies und Webtracking umgehen soll[51].
Abgesehen von dieser rechtlichen Problematik darf in technischer Hinsicht nicht übersehen werden, dass Cookies durch sogenannte Fingerprinting-Technologien[52] möglicherweise überholt sind. Zudem hat eine lange erwartete Entscheidung des EuGH zu IP-Adressen[53] für weitere Unsicherheit gesorgt.
Einerseits begrüßen Datenschützer, dass das Gericht den Personenbezug von IP-Adressen bejaht hat. Andererseits hat der EuGH aber auch entschieden, dass § 15 I TMG nicht derart restriktiv ausgelegt werden darf, dass die Speicherung der IP-Adresse grundsätzlich verboten ist.
Vielmehr müsse eine Interessenabwägung möglich sein wie sie schon die Datenschutzrichtlinie 95/46 vorsehe[54]. Welche Anwendungsfälle damit insgesamt abgesehen von der Abwehr von Hacker-Angriffen abgedeckt sein könnten, wird sich erst im weiteren Verlauf zeigen.
Die Herausforderung der datengetriebenen Entscheidungsunterstützung besteht darin, dass zwar eine große - exponentiell steigende[55] - Menge an Daten vorliegt, die Daten aber oft aus verschiedenen Quellen stammen und dass die Daten oft genug unstrukturiert sind.
Die Verarbeitung riesiger Datenmengen verschiedener Formate und Quellen in Echtzeit ist in technischer Hinsicht nicht trivial. Die Datenkomplexität, die sich daraus ergibt, spiegelt sich in den Anforderungen an das Datenvolumen, die Datenqualität oder die Heterogenität der Daten[56]:
Die neue 'digitale Wertschöpfungsmatrix'[57] übersetzt also heterogene, einem schnellen Wandel unterliegende und stetig wachsende Daten aus teilweise völlig disparaten operati-
- 242/243 -
ven Quellen und Kontexten möglichst treffsicher in übergreifende Muster, um wirtschaftlichen Nutzen zu erzeugen[58].
Eine weitere Schwierigkeit besteht darin, dass das (Datenschutz-)Recht der Entwicklung der Informations- und Kommunikationstechnik hinterherhinkt[59]. Zudem wird kritisiert, dass das Festhalten am geltenden Verbotsprinzip und die regelrechte 'Fetischisierung' des Einwilligungserfordernisses nicht mehr zeitgemäß seien[60].
Trotz bestehender Potenziale und trotz des Umstands, dass der Erkenntnisgewinn durch Business Analytics für die Wirtschaft ausgesprochen wichtig ist, darf nicht vergessen werden, dass Big-Data-Auswertungen gerade nicht automatisch und ausnahmslos richtige bzw. sinnvolle Ergebnisse liefern:
So konnte beispielsweise ein Zusammenhang zwischen dem Anstieg von Börsenkursen und dem Superbowl-Ausgang hergeleitet werden; gleiches gilt für die Korrelation zwischen der Anfälligkeit von Angina Pectoris und der Trägerschaft des Sternzeichens Wassermann[61].
Die Erfassung eines Sinnzusammenhangs fällt Algorithmen naturgemäß schwer; Algorithmen haben keine soziale Kompetenz[62], keine Intuition und auch keine 'Selbstkorrektur', um Muster gegebenenfalls wieder zu verwerfen, mit anderen Worten: Korrelation ungleich Intelligenz.
Zumal menschliches Verhalten gerade nicht nur vernunftgeleitet ist, sondern oft genug getrieben von Emotionen und Impulsen. Es ist gerade nicht sicher, dass häufiges Anklicken eines bestimmten Inhalts zwingend gleichzusetzen ist mit der Wichtigkeit bzw. Attraktivität des Inhalts für den Nutzer[63].
Diese Erkenntnis relativiert gerade Profiling als Big-Data-Anwendungsfall, das darauf anzielt, den Nutzer oder Kunden so gut zu kennen, dass diesem nur noch maßgeschneiderte und zielgerichtete Werbung und Angebote zukommen, in erheblicher Weise[64]:
"In einer Welt von Big Data geht es vielfach nicht so sehr um die Richtigkeit der Rohdaten, sondern um die Richtigkeit der Rückschlüsse, die aus den Daten gezogen werden. Fehlerhafte, manipulatorische oder diskriminierende Schlussfolgerungen können aus völlig unverfänglichen, zutreffenden Daten gezogen werden.
Der Beobachter eine Big-Data-Analyse kann die Ergebnisse seiner Untersuchung beeinflussen durch die Definition des Datensatzes, die Aufstellung einer Hypothese oder das Schreiben eines Algorithmus.
Big Data ist letztlich ein Prozess der Interpretation, bei dem die eigene Person und Perspektive die Ergebnisse beeinflusst. Wie bei jedem Interpretationsprozess unterliegt die Analyse den Gefahren des Irrtums, der Inkorrektheit und des Vorurteils."
Datenschutzrecht existiert wesentlich länger und findet sich in weit mehr Quellen als die breite Öffentlichkeit vermuten würde[65]. Abgesehen vom bereits erwähnten (und subsidiären, vgl. § 1 III 1) BDSG-alt als wichtigste nationale Regelung für den nicht-öffentlichen Bereich, ist folgender Rechtsrahmen zu beachten:
Auf EU-Ebene die Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten, die Charta der Grundrechte der Europäischen Union (2000/C 364/01) und die 'Konvention 108' des Europarats[66]. Am bekanntesten sind die Datenschutzrichtlinien 95/46/EC, 2002/58/EC und 2009/136/EC zu 'Cookies'.
Darüber hinaus gibt es eine Reihe von Stellungnahmen und Empfehlungen, die man unter dem Stichwort 'soft law' zusammenfassen kann: Es handelt sich zwar nicht um Gesetze; diese Art von Ausarbeitungen sollte im eigenen (Compliance-)Interesse des Unternehmens jedoch auf keinen Fall ignoriert werden.
Dazu zählen hauptsächlich die mittlerweile zahlreichen Veröffentlichungen der 'Art-29-Datenschutzgruppe' auf EU-Ebene[67]. Auf nationaler Ebene haben Datenschutzaufsichtsbehörden ebenfalls diverse Ausarbeitungen[68] zu praxisrelevanten Themen[69] veröffentlicht.
- 243/244 -
Je nach Thema lohnt sich aber auch ein Blick über den nationalen Tellerrand hinaus: Gerade das britische Information Commissioner's Office bietet Anleitungen zu diversen datenschutzrechtlichen Fragestellungen[70]. Gleiches gilt für die Federal Trade Commission[71] in den USA.
Bedingt durch die Marktmacht einzelner Konzerne gibt es mittlerweile sogar Berührungspunkte zwischen Datenschutz- und Kartellrecht. An dieser Stelle sei daran erinnert, dass kostenlose Dienstleistungen nicht existieren[72]; Barners-Lee beklagt den Kontrollverlust in Service-gegen-Daten-Geschäftsmodellen[73].
Auf europäischer Ebene ist vor allem die Datenschutzgrundverordnung (DSGVO) zu nennen, die ab Ende Mai 2018 direkt in den EU-Mitgliedstaaten anzuwenden ist. Schon allein aufgrund der Vielzahl von Themen, für die es nationalen Spielraum gibt[74], herrscht Rechtsunsicherheit.
Die angestrebte EU-weite Harmonisierung dieses Rechtsgebiets ist nicht abgeschlossen; die Öffnungsklauseln der DSGVO bringen Umsetzungsaufwand mit sich und können zu Interpretationsschwierigkeiten führen. Durch verbleibende Schnittmengen zu anderen Rechtsgebieten erhöht sich die Komplexität insgesamt:
In diesem Zusammenhang ist primär der schon genannte Entwurf einer e-privacy-(kurz: Cookie-)Verordnung[75] zu nennen, die ebenfalls direkte Geltung haben wird. Zu etwaigen Einschränkungen der Tracking-Möglichkeiten, die die Verordnung mit sich bringt, gibt es schon jetzt zahlreiche kritische Stimmen im Netz[76].
Hinzu kommt, dass es eine ganze Reihe weiterer gesetzgeberischer Initiativen gibt, die sich auf den Datenschutz auswirken können. Hierzu zählen beispielsweise die Know-How-Richtlinie[77], die NIS-Richtlinie[78], das IT-Sicherheitsgesetz[79], neue Verbandsklagerechte im Datenschutz[80], aber auch die Copyright-Reform[81].
Bei der Bewertung und rechtlichen Einordnung von Datenanalysen darf nicht übersehen werden, dass es Konstellationen gibt, in denen Unternehmen gehalten sind, bestimmte Auswertungen durchzuführen und diese durch entsprechende Ressourcen und Systeme sowie ein diesbezügliches Meldewesen zu erfüllen.
Hierzu zählen beispielsweise Anti-Terror-Screenings[82] oder (teilweise aggregierte) Datenerhebungen, die z. B. auf Geldwäscheprävention und Risikocontrolling abzielen. Der Bankensektor ist ein typisches Beispiel für diverse gesetzlich vorgeschriebene Screenings[83].
Schon nach bislang geltendem Recht war eine Datenverarbeitung für eigene Zwecke nach § 28 BDSG-alt möglich; die Datenschutzgrundverordnung sieht dies in Art. 6 f ebenfalls vor. Das setzt stets voraus, dass das Verarbeitungs- bzw. Auswertungsinteresse das schutzwürdige Interesse Betroffener überwiegt.
Generell gilt, dass jedes Erheben, Verarbeiten, etc. personenbezogener Daten einer Rechtsgrundlage bedarf. Denkbare Rechtsgrundlagen sind in Art. 6 DSGVO genannt und können sich z. B. aus einem Gesetz ergeben. Zwar ist denkbar, eine Verarbeitungserlaubnis durch Einwilligungen Betroffener zu schaffen.
Abgesehen vom Aufwand für die massenhafte Abfrage und Dokumentation individueller Einwilligungen, können Einwilligungen jederzeit widerrufen werden, so dass die Rechtsgrundlage dann nachträglich entfallen würde und die Datenverarbeitung dann nicht mehr zulässig wäre.
Insgesamt sind Einwilligungen bei Big-Data-Anwendungen daher ein weniger untaugliches Rechtsinstrument, denn in aller Regel wird es an der Informiertheit mangeln, die sowohl das BDSG-alt als auch die DSGVO voraussetzen, dass die Zwecke der Datenverarbeitung vorab festgelegt und kommuniziert worden sind[84].
- 244/245 -
Big-Data-Analysen zeichnen sich ihrem Wesen nach gerade dadurch aus, dass Daten für vorher nicht festgelegte bzw. bekannte Zwecke verwendet werden. Zweckbindung meint aber, dass Daten nur für den/die Zwecke verwendet werden dürfen, für die sie erhoben wurden[85].
Mit der Zweckbindung eng verbunden ist der Grundsatz der Erforderlichkeit: Eine Verarbeitung personenbezogener Daten ist somit nur zulässig, soweit sie für die Erreichung des konkreten Zwecks wirklich notwendig ist[86], was je nach Unternehmensabteilung oft genug abweichend interpretiert wird.
Datensparsamkeit steht der häufig gelebten Praxis entgegen, so viele Daten wie möglich zu erheben und diese ohne konkrete Löschtaktung auch möglichst lange aufzubewahren: Schon dem Wortlaut des deutschen § 3a BDSG-alt zufolge sollten so wenige Daten wie möglich erhoben und verarbeitet werden.
Die Datenschutzgrundverordnung lässt durch stark angestiegene Anforderungen an Informations- und Aufklärungspflichten gegenüber Betroffenen keinen Zweifel aufkommen, dass die Transparenz von Datenverarbeitungen zukünftig eine wichtige Rolle spielen wird, vgl. Art 12 ff DSGVO[87].
Zentraler Bestandteil des Schutzes der informationellen Selbstbestimmung ist die Gewährleistung der Betroffenenrechte. Die §§ 33 ff. BDSG-alt werden durch die DSGVO erheblich erweitert[88]. Auskunftsersuchen konnten schon bislang gestellt werden, aber gerade das neue Recht der Datenübertragbarkeit stellt ein Novum dar.
Auch 'data protection by design' und 'data protection by default' sollen sicherstellen, dass User durch datenschutzkonforme Settings geschützt werden; zudem komplettieren und stärken neue Verbandsklagerechte[89] im Datenschutz die Betroffenenrechte, zumal durch deren immanente Öffentlichkeitswirksamkeit.
Die sachliche Richtigkeit von Daten, der Schutz der Integrität und Vertraulichkeit von Daten zeigen deutlich die traditionellen Überschneidungen, die es zwischen Datenschutz und Datensicherheit gibt - Datenschutz funktioniert ohne IT-Sicherheit nicht.
Die vormals geltende Anlage zu § 9 BDSG-alt, die technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten thematisiert, die Anforderungen aus § 13 VII TMG sowie die Idee des Datenschutzes durch Technikgestaltung aus der DSGVO sprechen eine ganz ähnliche Sprache:
Datenverarbeitungen, zumal kritische, müssen durch entsprechende technische und organisatorische Schutzmaßnahmen abgesichert werden. Wegen der Dynamik technischer Entwicklungen ist zu begrüßen, dass Art. 32 DSGVO diesbezüglich explizit den Stand der Technik thematisiert.
Die DSGVO äußert sich zudem zu einer ganzen Reihe anderer Themen, die allesamt (dem Nachweis) der Datensicherheit dienen, etwa Pseudonymisierung oder Verschlüsselung. In diesem Zusammenhang werden Zertifizierungen oder Verhaltensregeln als weitere Instrumente genannt[90].
Allgemeine Datenschutzprinzipien waren im BDSG-alt eher schwach ausgeprägt[91]. Dagegen enthält die DSGVO einen ganzen Katalog datenschutzrechtlicher Anforderungen: In dieser Arbeit soll dabei die Zweckbindung als zentraler Prüfungspunkt untersucht werden.
Der Grundsatz der Zweckbindung gilt nicht ausnahmslos: Im Gegensatz zur geringen Orientierung, die die DSGVO im Hinblick auf Profiling schafft, äußert sich die DSGVO in Art. 6 Nr. 4 konkret zu den Anforderungen - und damit der Möglichkeit - einer zweckändernden Datenverarbeitung.
- 245/246 -
Allerdings wird nicht beschrieben, was genau unter einer Datenverarbeitung zu verstehen ist. Während die DSGVO wie die Datenschutzrichtlinie auch einen umfassenden Verarbeitungsbegriff annimmt, ging das deutsche BDSG-alt von einem ,Phasenmodell der Datenverarbeitung' aus[92]:
Danach bedarf jede einzelne Phase der Datenverarbeitung einer sie legitimierenden Rechtsgrundlage. Demgegenüber verstehen die o. g. europäischen Normen unter einer Weiterverarbeitung die Fortsetzung einer bestehenden - legitimen - Datenverarbeitung[93].
Es bedarf daher keiner neuen legitimierenden Rechtsgrundlage. À propos legitim: Schon allein die Übersetzung der englischen Begriffe 'legitimate' und 'explicit' sind gute Beispiele für unterschiedliche Rechtsauffassungen bzw. -Traditionen, die für die Rechtsinterpretation Folgen haben können[94]:
Der Begriff explicit bedeutet sowohl ausdrücklich als auch eindeutig, und er beruht auf dem Ausdruck 'explicare', also erklären, so dass im englischen Rechtsraum Verarbeitungszwecke durch eine privacy policy/notice gegenüber Betroffenen oder eine notification gegenüber der Aufsicht erklärt werden[95].
Hinzu kommt, dass im Hinblick auf eine korrekte Auslegung die DSGVO nicht allein der Normtext, sondern auch die Erwägungsgründe von Bedeutung sind. Eine zutreffende Interpretation dieses neuen komplexen Regelwerks hängt aber bereits von der Art und Weise der Übersetzung ab:
Beispielsweise wurde das englische Wort legitimate bislang mit rechtmäßig übersetzt, was auf eine wesentlich engere Anwendung schließen lässt als eine Übersetzung, die den Begriff legitim(e Interessen) verwendet. Zudem erlaubt Art 6 IV DSGVO eine zweckändernde Datenverarbeitung grundsätzlich.
Damit ist die rechtliche Zulässigkeit für die Fortsetzung einer bereits begonnenen Datenverarbeitung unter einer anderen als der ursprünglichen Zielsetzung vielleicht doch nicht so unmöglich bzw. eingeschränkt wie es auf den ersten Blick der Fall zu sein scheint[96].
Andererseits darf nicht außer Acht gelassen werden, dass diese Vorgehensweise durchaus ihren Preis hat, und zwar in zwei Richtungen: Erstens muss diese Art der Datenverarbeitung und die ihr zugrundeliegende Interessenabwägung dokumentiert werden (vgl. Wortlaut Art. [6] IV DSGVO).
Zweitens sind Betroffene nach Art. 13 III DSGVO im Falle zweckändernder Datenverarbeitungen umfassend zu informieren, da sämtliche maßgeblichen Informationen gemäß Art. 13 II DSGVO zur Verfügung zu stellen sind. Diese Informationspflicht könnte die 'Attraktivität' dieser Datenverarbeitung relativieren: in der Wahrnehmung betroffener Personen könnte gerade wegen der nun geltenden Vorab-Transparenzpflichten bei retrospektiver Information der Eindruck entstehen, dass man nicht rechtskonform agiert, sondern lediglich ein Informationsdefizit nachholen möchte, was Aufklärungsbedarf nach sich ziehen könnte.
Es gibt eine Reihe von Ansätzen, die im Zusammenhang mit der fortschreitenden Digitalisierung und den diesbezüglichen Herausforderungen eines zeitgemäßen Datenschutzes diskutiert werden. Manche Aspekte finden sich mehr oder weniger deutlich in geltenden Normen wieder:
Die Idee des Diskriminierungsschutzes kannte das deutsche Recht aus dem Bereich des Kreditscoring, vgl. § 28 b BDSG-alt. Wie bereits erörtert gab es die Anforderung, ein wissenschaftliches Verfahren einzusetzen; ob dies erfüllt wurde, war unter anderem wegen fehlender Offenlegungspflicht der Auskunfteien streitg[97].
Dynamische Preisgestaltung ist ein sehr interessantes Praxisbeispiel, wenn es um (potentielle) Diskriminierung geht. Das Recht auf Gleichbehandlung bzw. gleiche Preise ergibt sich in Deutschland nicht aus dem UWG, sondern bestenfalls aus dem AGG; auch das deutsche Kartellrecht greift erst bei marktbeherrschender Stellung[98].
Ein wirksamer Diskriminierungsschutz scheint in vielen Lebensbereichen notwendig, weil immer ausgefeiltere Analysemethoden zu Entscheidungsgrundlagen werden, die sich auf die Lebensumstände Betroffener auswir-
- 246/247 -
ken[99]. Daher fordern viele Autoren einen ethischen und sozial bewussten Umgang mit Betroffenendaten[100].
In einer digitalen Welt ist Datensicherheit eng mit dem Schutz der digitalen Identität verknüpft, denn gerade im Online-Bereich entstehen durch die Auswertung von Nutzerverhalten Profile, die durchaus als digitale Identität bezeichnet werden kann; sogenanntes Device Fingerprinting ist diesbezüglich ein beliebtes Mittel:
Ein weiteres, auf den ersten Blick banales Problem im Hinblick auf Wahrung der digitalen Identität ist das der Wahrnehmung von Risikopotenzialen: Immer wieder ist davon die Rede, dass der Einsatz biometrischer Verfahren dem Datenschutz diene und dabei für den Nutzer sehr bequem sei.
Was dabei jedoch immer wieder übersehen wird ist, dass wenn biometrische Daten einmal kompromittiert sind, was teilweise sehr einfach zu bewerkstelligen ist,[101] diese im Gegensatz zu Passwörtern gerade nicht wiederherstellbar sind, sondern für die Zukunft unbrauchbar geworden sind und eine 'offene Wunde' bleiben.
Viele Autoren haben sich mit der sehr interessanten Frage befasst, ob man datenschutz- und persönlichkeitsrechtlichen Schutzanliegen dadurch begegnen könnte, dass ein Eigentum an Daten angenommen wird[102]. Damit verbunden wären weitgehende Verwertungs-, Nutzungsund Abwehrrechte[103].
Im Ergebnis verhält es sich so, dass dies in Deutschland nach aktuell geltendem Recht weder aus dem Bundesdatenschutzgesetz, dem Gesetz gegen den unlauteren Wettbewerb oder dem Bürgerlichen Gesetzbuch noch aus dem Urhebergesetz oder dem Strafgesetzbuch hergeleitet werden kann[104].
Manche Autoren sprechen sich gegen ein solches Recht aus, da sonst die Wettbewerbsfreiheit beschnitten würde[105]. Dem steht gegenüber, dass neue Betroffenenrechte wie das Recht auf Datenportabilität zwar nicht als Dateneigentum, aber als eine Art 'Datensouveränität' interpretiert werden können.
Der Grundsatz der Zweckbindung meint eine Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke. Art. 6 IV DSGVO gestattet jedoch die zweckändernde Weiterverarbeitung von Daten in drei Konstellationen: Einwilligung, Gesetzesnorm zum Schutz der in Art. 23 genannten Ziele[106] oder Kompatibilität[107].
Die kompatible Zweckänderung ist der aus unternehmerischer Sicht interessanteste Anwendungsfall von Big Data: wie bereits erörtert ist wahrscheinlich, dass Einwilligungen Betroffener schon allein mangels Transparenz eine rechtliche Prüfung in aller Regel wohl nicht überstehen.
Dennoch heißt es in Erwägungsgrund 50:
"Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht der Mitgliedstaaten (...), so sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen."
Dies unterstreicht den Eindruck, dass eine zweckändernde Datenverarbeitung bei Berücksichtigung bestimmter Anforderungen zulässig sein kann. Zu den Voraussetzungen einer zweckändernden - kompatiblen - Weiterverarbeitung von Daten hat sich die Art-29-Datenschutzgruppe geäußert[108]:
Je enger die Verbindung der Zwecke ist, desto mehr spricht für eine kompatible Verwendung. Wenn der spätere Verwendungszweck im Zeitpunkt der Erhebung mehr oder weniger erkennbar war, dann kann argumentiert werden, dass die Verwendung für den späteren Zweck der absehbar nächste Schritt war[109].
- 247/248 -
Bei der Bewertung des Zusammenhangs, in dem die Daten erhoben wurden, spielt der Faktor Transparenz eine wichtige Rolle, also die Frage, ob der Betroffene ausreichend informiert wurde. Wenn der spätere Verwendungszweck allgemein üblich ist, dann spricht dies für eine Kompatibilität[110].
Hinzu kommt, dass das Verhältnis zwischen den Betroffenen und dem Verantwortlichen (Verarbeiter) für diesen Prüfungspunkt eine große Rolle spielt: Eine Kompatibilität ist demnach zu verneinen, wenn Betroffene beispielsweise kraft Gesetzes verpflichtet waren, Informationen offenzulegen[111].
Bei diesem Kriterium ist zunächst wichtig festzuhalten, dass die Auswirkungen und Folgen der weiteren Datenverarbeitung für Betroffene nicht gleichzusetzen sind mit drohenden Nachteilen oder Schaden[112]; vielmehr ist der Begriff 'Folgen für Betroffene' weiter auszulegen als ein potentiell eintretender Schaden.
Dennoch handelt es sich ähnlich wie beim vormals geltenden § 42 a BDSG-alt um eine Prognoseentscheidung, da es zu prüfen gilt, wie hoch die Wahrscheinlichkeit ist, dass sich ein Risiko realisiert: je höher die Wahrscheinlichkeit einer erheblichen Folge für den Betroffenen, desto unwahrscheinlicher die Kompatibilität[113].
Bei diesem Punkt ist einerseits von Bedeutung, ob es um besondere Arten personenbezogener Daten bzw. besonders schützenswerte Daten geht. Andererseits ist der Umstand, dass es sich um sensible Daten handelt, kein zwingendes Hindernis, z. B. wenn Betroffene die Daten öffentlich gemacht hatten[114].
Das bereits angesprochene Beispiel biometrischer Daten ist eine gute Überleitung zum nächsten Kriterium, der Frage, ob der Verantwortliche ausreichende Schutzmaßnahmen getroffen hat bzw. welche Garantien er für diese Art der Datenverarbeitung bieten kann:
Was vom Datenverarbeiter getroffene Schutzmaßnahmen angeht, so werden Techniken wie das Aggregieren von Daten oder Pseudonymisierung und Verschlüsselung (vgl. Art. 6 IV DSGVO) relevant. Diese sind bei der Prüfung der Zulässigkeit einer zweckändernden Datenverarbeitung sehr wichtig.
Denn die Funktion dieses Kriteriums besteht darin, Defizite, die sich bei der Prüfung anderer Voraussetzungen gezeigt haben, durch entsprechende Garantien zu kompensieren und damit die erforderliche Kompatibilität herzustellen. Die Technikgestaltung ist demnach von entscheidender Bedeutung[115].
Die bereits angesprochenen Anforderungen an die Technikgestaltung bilden die Basis für eine Lösungsmöglichkeit, die vielfach als der Königsweg bei Big-Data-Anwendungen beschrieben wird[116]: Anonymisierung - allerdings herrscht keine Einigkeit darüber, wann ein Datum tatsächlich als anonym gelten kann.
Einigkeit herrscht nur insofern als klar ist, dass bloßes Pseudonymisieren, also "das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren" (vgl. § 3 a Abs. 6a BDSG-alt) nicht ausreichend ist.
Was Anonymisierung angeht, so gilt es die absolute Anonymisierung und die faktische Anonymisierung zu unterscheiden: bei absoluter Anonymisierung ist eine Identifizierung des Betroffenen unmöglich; faktische Anonymisierung meint, dass eine Zuordnung nur mit unverhältnismäßig hohem Aufwand möglich ist[117].
"Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können."
- 248/249 -
Diese Definition in § 3 a Abs. 6 BDSG-alt zeigt, dass das Gesetz ein gewisses Restrisiko akzeptiert und auf die Verhältnismäßigkeit abstellt, zumal bekanntermaßen für die Anwendbarkeit datenschutzrechtlicher Normen ein lediglich theoretischer Personenbezug nicht ausreichend ist.
Jedoch dürfen im Zusammenhang mit der Prüfung des Risikos einer Personenzuordnung das Wissen und die (technischen) Möglichkeiten der verantwortlichen Stelle nicht außer Acht gelassen werden (so schon Erwägungsgrund 26 der EG-Datenschutzrichtlinie 95/46/EG[118]):
Es ist geradezu erschreckend zu sehen, wie wenig Daten teilweise nötig sind, um eine Person zu identifizieren; manchmal genügt allein die Kombination aus lediglich vier Datenpunkten aus einem Kreditkartenkonvolut, um eine Person aus dieser Gruppe eindeutig bestimmbar zu machen[119].
Es gibt aber durchaus Lösungsansätze, die den Personenbezug relativieren. Der Einfachheit halber soll hier nur auf drei Möglichkeiten eingegangen werden, da die Darstellung von Methoden der 'k-Anonymität, L-Diversität, t-Closeness' oder 'differential privacy' den Rahmen dieser Arbeit sprengen würde[120].
Da Merkmalsdaten bei Big-Data-Anwendungen im Hinblick auf die Anonymität eine große Herausforderung darstellen, kann eine Anonymisierung der Daten durch Aggregierung erfolgen, also eine Zusammenführung einer größeren Anzahl von Einzeldatensätzen zu Gruppendatensätzen[121].
Eine weitere Option der Anonymisierung ist die Veränderung tatsächlicher Werte, um die Herstellung einer Verbindung zwischen anonymisierten Daten und Originaldaten zu verhindern. Hier bieten sich eine ganze Reihe von Verfahren an, z. B. Vertauschung oder (stochastische) Überlagerung[122].
Bei diesem Ansatz werden Merkmale betroffener Personen durch einen weniger spezifischen Wert ersetzt, z. B. durch die Angabe einer Region statt einer Stadt oder eines Monats statt einer Woche. Dieses Verfahren erlaubt aber nicht in jedem Falle eine effektive Anonymisierung[123].
Zudem setzt diese Vorgehensweise einen spezifischen und ausgefeilten quantitativen Ansatz voraus, um Verknüpfbarkeit und Inferenzen vorzubeugen. Sämtliche Anonymisierungstechniken weisen Schwachstellen auf, so dass sich je nach Kontext eine Kombination verschiedener Möglichkeiten anbietet.
Außerdem sollte angedacht werden, sich nicht allein auf technische Maßnahmen zu verlassen, sondern diese mit organisatorischen Maßnahmen zu kombinieren[124], um z. B. eine funktionale Trennung herzustellen zwischen der operativen Nutzung von Daten in Live-Systemen und der Nutzung von Daten zu Auswertungszwecken.
Genannte Umstände lassen den Schluss zu, dass Anonymisierung nicht allein durch eine bestimmte Vorgehensweise erreicht werden kann, sondern dass das 'Bouquet' passender Maßnahmen jeweils abhängt von Faktoren wie gegebener Datenmenge und -Qualität sowie den (technischen) Auswertungsmöglichkeiten und -Zielen.
Die Idee, Daten systematisch auszuwerten, um damit in seinem Geschäftsmodell für die Zukunft gut gerüstet zu sein, ist wie erörtert nicht neu. Damit sind Big-Data-Anwendungen eher als Evolution und nicht als Revolution zu werten[125]. Der technische Fortschritt eröffnet in diesem Bereich aber ganz neue Möglichkeiten:
Stetig wachsende Datenmengen[126] haben zusammen mit neuen Speicherkapazitäten[127] und ungeahnter Verarbeitungsgeschwindigkeit einen Paradigmenwechsel in der Datenverarbeitung eingeläutet[128] - im rechtsfreien Raum bewegt man sich dadurch dennoch nicht.
Bestehende (datenschutz-)rechtliche Regelungen setzen Big-Data-Auswertungen
- 249/250 -
Schranken, auch wenn die Betrachtung des geltenden gesetzlichen Rahmens ergeben hat, dass Datenauswertungen, die als zweckändernde Daten-verarbeitungen zu qualifizieren sind, je nach Ausgestaltung durchaus möglich sind.
Einwilligungen scheinen keine taugliche Rechtsgrundlage für Big-Data-Anwendungen zu sein, da Datenverarbeitungszwecke vorab festgelegt werden müssen; Big Data lebt aber zu einem beträchtlichen Teil von Zufallsfunden, also Korrelationen, die gerade nicht vorab kommuniziert werden können.
Allerdings darf auch nicht außer Acht gelassen werden, dass eine Vorgehensweise auf Basis berechtigter Interessen nach Art. 21 I DSGVO neue Widerspruchsrechte Betroffener mit sich bringt; noch schwerer wiegt in diesem Zusammenhang die Pflicht, Betroffene über die Zweckänderung zu informieren[129].
Solange ein Personenbezug bei den auszuwertenden Daten gegeben ist, bleibt das Datenschutzrecht anwendbar, so dass Anonymisierung tatsächlich als der beste Lösungsansatz für Big-Data-Tools erscheint. Die Zuordnung von Daten zu Personen zu verhindern, ist in technischer Hinsicht allerdings alles andere als banal:
Wie der Name schon sagt, befasst man sich bei Big-Data-Auswertungen immer mit großen Datenmengen einschließlich Metadaten, was zu einem immanenten Konflikt führt, denn mit steigender Anzahl der Einzelangaben steigt auch die Wahrscheinlichkeit der Wiedererkennbarkeit.
In der Literatur wird daher in Bezug auf Big-Data vertreten, dass solche Technologien in mancher Hinsicht Ähnlichkeit mit risikotechnologischen Innovationen wie der Atomkraft aufweisen: Nutzen und Potenzial sind insgesamt betrachtet enorm, allerdings nur solange die Technik unter Kontrolle ist[130].
Die nach der DSGVO vorgesehenen Datenschutzfolgeabschätzungen könnten diesbezüglich wirksame interne Kontrollinstrumente sein, die noch dazu von umfassenden Betroffenenrechten (Auskunft, Datenportabilität, etc.) flankiert werden. Allerdings stoßen Betroffenenrechte in der digitalen Welt auf Grenzen:
Die Einhaltung datenschutzrechtlicher Vorgaben kann in Anbetracht derart fortgeschrittener Auswertungsmöglichkeiten nicht mehr vom Einzelnen selbst abhängig gemacht werden, sondern sie muss bereits im Vorfeld bei der Technikgestaltung durch entsprechende Architekturen angedacht werden[131].
Auch diesem Gedanken trägt die DSGVO durch den Grundsatz der data protection by design und data protection by default Rechnung: Die ausgewogene Balance zwischen wirtschaftlicher Wertschöpfung und wirksamen Persönlichkeitsschutz ist und bleibt eine der zentralen Herausforderung des Datenschutzrechts[132]. ■
NOTEN
[1] Begriffserläuterung: Noerr LLP: Industrie 4.0 Rechtliche Herausforderungen der Digitalisierung, 2015.
[2] Auch 'smart factory' genannt, vgl. Hofmann: Big Data und Industrie 4.0, Abs.6.
[3] Es geht um Wettbewerbsvorteile, vgl. Davenport, Competing on Analytics, S. 1 ff.
[4] Martini: Big Data als Herausforderung für Persönlichkeitsschutz und Datenschutzrecht. 2015, S. 21.
[5] Zum Urheberrecht und Leistungsschutz bei Datenbanken äußern sich Hoeren, Big Data und Recht, Seite 41 ff. und Hofmann in: Big Data und Industrie 4.0, Abs. 56 ff.
[6] Das Bundeskartellamt gab im März 2016 bekannt, dass es gegen Facebook ein Verfahren wegen des Verdachts des missbräuchlichen Verhaltens bei sozialen Netzwerke eingeleitet hat, Quelle: https://www.datenschutz-berater.de/meldungen/kartellrecht-goes-datenschutz/ Ähnliche Fragen wurden beim Zusammenschluss von Google / DoubleClick und bei der Fusionskontrolle von Facebook / WhatsApp untersucht. Vgl. auch Teile, Big Data und Kartellrecht, DSRI-Tagungsband 2015, S 835 ff.
[7] Hoeren, Big Data und Recht, S. 45 ff.
[8] Helbing, Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung. KuR, 2015, S. 145 ff.
[9] Martini: Big Data als Herausforderung für Persönlichkeitsschutz und Datenschutzrecht, S. 10.
[10] Helbing: i.m. S. 145 ff.
[11] Gola / Schumerus, Kommentar zu § 28 b BDSG-alt, Rn. 6, 11. Auflage 2012.
[12] Zum Beispiel bei 'digitalen Fingerabdrücken': https://www.fau.de/2016/02/news/wissenschaft/wie-einzigartig-ist-der-digitale-fmgerabdruck-ihres-browsers/.
[13] Härting, Internetreht, Seite 639, zitiert die berühmte Aussage: ,names are just noises'.
[14] Im Hinblick auf die Vereinfachung datenschutzrechtlicher Begrifflichkeiten rund um das Erheben, Speichern, Übermitteln, etc. von Daten durch die Datenschutzgrundverordnung wird in diesem Text nur der Begriff 'Datenverarbeitung' verwendet, vgl. Art 4 Nr. 2 DSGVO.
[15] BITKOM, Big Data im Praxiseinsatz - Szenarien, Beispiele, Effekte, S. 16.
[16] Weichert, Big Data und Datenschutz, erläutert auf Seite 8 den Einsatz von ,truth teller' und ,the optimizer' im US-amerikanischen Wahlkampf von Ex-Präsident Barack Obama.
[17] BITKOM, i.m. S. 16.
[18] Vgl. https://www.wired.com/insights/2014/07/data-new-oil-digital-economy/.
- 250/251 -
[19] Schmietendorf, Big Data & Co, Datenschutzberater 2016, S. 127.
[20] Vgl. dazu Wandtke, Ökonomischer Wert von Daten, MMR 2017, Seite 6 ff.
[21] Martini: Big Data als Herausforderung für Persönlichkeitsschutz und Datenschutzrecht. 2015, S. 4.
[22] BITKOM: Big Data im Praxiseinsatz - Szenarien, Beispiele, Effekte, 2012, S. 51 ff.
[23] Helbing: i.m. S. 145 ff.
[24] Der Anwendungsbreich von § 28 b BDSG-alt war aber keineswegs auf die Bankbranche beschränkt. Gola / Schumerus nennen in der Kommentierung zu § 28 b BDSG-alt in Rn. 1 weitere Anwendungsfälle wie Versicherungs- oder Wohnungsmietverträge, etc.
[25] Vgl. Überschrift von § 31 BDSG-neu 'Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften'.
[26] Die Neuregelung hatte in der Bankbranche zunächst für erhebliches Aufsehen gesorgt, da man befürchtete, dass Geschäftsmodelle beschnitten würden. Dem Tätigkeitsbericht des Hessischen Landesdatenschutzbeauftragten zu Folge entsprechen die derzeit üblichen Scoring-Verfahren den Anforderungen des Art. 6 Abs. 1 lit. b und f DSGVO, sofern und soweit nur risikorelevante Merkmale eingesetzt werden, vgl. https://www.haerting.de/neuigkeit/datenschutzbehoerden-und-die-dsgvo#AutomatisierteEntscheidungProfiling
[27] Einen vergleichenden Überblick datenschutzrechtlichen Regelungen zum Scoring, Profiling und automatisierten Einzelfallentscheidungen bietet Hülsmann unter: https://dsgvo.expert/wp/wp-content/uploads/2017/05/Scoring_Profiling_automatisierte_Einzelfallentscheidungen.pdf.
[28] Gola / Schumerus, Kommentar zu § 28 b BDSG-alt, Rn. 1, 11. Auflage 2012.
[29] Betroffene sind nach §§ 34 II S. 1 Nr. 3 iVm. VIII S. 1 und 2 BDSG-alt einzelfallbezogen über das Zustandekommen des Wahrscheinlichkeitswerts zu unterrichten.
[30] Nach dem Willen des Gesetzgebers unterliegt dieser dem Geheimnisschutz, vgl. Bundestags-Drucksache 16/10529: http://dip21.bundestag.de/dip21/btd/16/105/1610529.pdf. Vgl. auch Entscheidung des Bundesgerichtshofs vom 28. Januar 2014 - VI ZR 156/13. Ob der Verweis auf Betriebs- und Geschäftsgeheimnise auch nach der DSGVO gilt, scheint fraglich.
[31] Gola / Schumerus, Kommentar zu § 28 b BDSG-alt, Rn. 8, 11. Auflage 2012.
[32] Der Arvato Infoscore errechnet sich auf "Basis von tagesaktuellen Daten aus Bereichen des täglichen Konsums von mehr als etwa 7,8 Mio. Konsumenten", vgl. https://www.auxmoney.com/kredit/info/schufa-score.html#AIS%20Arvato%20Infoscore.
[33] Vgl. https://www.kreditech.com/what-we-do/ mit weiterführenden Informationen zu Kreditech.
[34] Vgl. http://www.gruenderszene.de/datenbank/unternehmen/risk-ident, RiskIdent gehört zur Firmengruppe des Otto-Versandhandels.
[35] Bei diesem Grundsatz gab es durchaus Ausnahmen: Gola / Schumerus, Rn. 12 ff § 6 a BDSG-alt.
[36] Moos/Rothkegel: Nutzung von Scoring-Diensten im Online-Versandhandel. ZD 2016, S. 561 ff.
[37] Härting: Datenschutzrecht im 21. Jahrhundert - Teil 1: Um was geht es beim Profiling?. CR-Online Blog vom 9. Oktober 2013: http://www.cr-online.de/blog/2013/10/09/datenschutz-im-21-jahrhundert-teil-1-um-was-geht-es-beim-profiling/.
[38] Bundesverfassungsgericht NJW 1969, S. 1707.
[39] Weichert: Big Data und Datenschutzrecht. S. 12.
[40] In diesem Zusammenhang wird typischerweise der Satz zitiert 'Das Internet vergisst nichts', vgl. https://www.tagesschau.de/ausland/recht-auf-vergessen100.html.
[41] § 37 BDSG-neu befasst sich mit dem Thema, vgl: https://dsgvo-gesetz.de/bdsg/37-bdsg/.
[42] Kugelmann: Datenfinanzierte Internetangebote, DuD 2016, S. 566 ff.
[43] Online und offline Tracking, ,behavioral' und 'predictive' analytics, universal analytics oder location based service sind nur einige bekannte Anwendungsfälle.
[44] Schürmann: Big Data und Tracking, Datenschutzberater. 2016, S. 10.
[45] Zunke: On- und Offline-Daten werden verheiratet. ADZINE-Beitrag, 24.08.2014.
[46] So Martin Schirmbacher, der im Beitrag von Zunke a.a.O. zitiert wird.
[47] Beispieldefinition, vgl. https://onlinemarketing.de/lexikon/definition-retargeting.
[48] Einige Autoren kritisieren die Nutzung von Einwilligungen grundsätzlich, weil diese unbedacht abgegeben würden und möglicherweise eher den Werbetreibenden zugutekommen würden, da diese dadurch ihre Vorgehensweise auf valide Rechtsgrundlagen stellen könnten, vgl. Schwenke unter: https://drschwenke.de/datenschutz-eprivacy-online-marketing-cookies/.
[49] Schmidt/Babilon: Einwilligungsvorbehalte für Tracking-Technologien im deutschen Recht. DSRI-Tagungsband, 2015, Seite 473 ff. BVDW-Whitepaper Targeting, Browsercookies und alternative Trackingtechnologien, 2015, S. 8 ff.
[50] Quelle: http://www.bvdw.org/fueadmin/downloads/mepo/Entwurf_ePrivacy_Verordnung_dt.pdf.
[51] Schwenke fasst die Problematik in folgendem Artikel zusammen: https://drschwenke.de/datenschutz-eprivacy-online-marketing-cookies/.
[52] Der Einsatz solcher Technologien bedarf einer vorherigen ausdrücklichen Einwilligung: Artikel-29-Datenschutzgruppe, Stellungnahme 9/2014 zu Device Fingerprinting, 2014.
[53] Urteil des EuGH vom 19.10.2016 (C 582/14).
[54] Schürmann: i.m. S. 11.
[55] Infographic 'What's the big data explosion?', online abrufbar unter: https://whatsthebigdata.com/2013/02/04/the-big-data-explosion-infographic/.
[56] Die englischen Begriffe bzw. Wesensmerkmale sind data volume, data velocity, data variety und data veracity, vgl. Hoeren, Big Data und Recht, Seite 4 und Martini, Big Data als Herausforderung für den Persönlichkeitsschutz und das Datenschutzrecht, 2015, S. 5 ff.
[57] Martini: Big Data als Herausforderung für Persönlichkeitsschutz und Datenschutzrecht. S. 19.
[58] BITKOM: i.m. S. 9.
[59] Das Problem lässt sich aktuell bei der anstehenden Regulierung von sogenannten 'over-the-top-Diensten' nachverfolgen, vgl. https://www.heise.de/newsticker/meldung/Analyse-EU-Kommission-verschlimmbessert-Entwurf-zur-E-Privacy-Verordnung-3594716.html.
[60] Härting: Internetrecht. S. 629 f.
[61] Martini: Big Data als Herausforderung für Persönlichkeitsschutz und Datenschutzrecht. S. 26.
[62] Härting: i.m. S. 626 f.
[63] Härting: i.m. S. 627.
[64] Härting: i.m. S. 627 zitiert (übersetzt) in diesem Zusammenhang eine Passage aus Tene, Polonetsky: Data for all - privacy and user control in the age of analytics. Northwestern Journal of Technology and Intellectual Property 2013, S. 239 ff.
- 251/252 -
[65] Das erste deutsche Datenschutzgesetz für die öffentliche Verwaltung trat in Hessen 1970 in Kraft, vgl. https://www.da-tenschutz-wiki.de/Hessisches_Datenschutzgesetz.
[66] Monreal: Weiterverarbeitung nach einer Zweckänderung nach der DSGVO. ZD, 2016, S. 508.
[67] Abrufbar unter: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm.
[68] Das Bayerische Landesamt für Datenschutzaufsicht sei hier nur beispielhaft genannt. Die Orientierungshilfen sind abrufbar unter: https://www.lda.bayern.de/de/orientierungshil-fen.html.
[69] Ausarbeitungen des sogenannten Düsseldorfer Kreises sind brufbar unter: https://www.ldi.nrw.de/mainmenu_Ser-vice/submenu_Entschliessungsarchiv/Inhalt/Beschluesse_Du-esseldorfer_Kreis/.
[70] Abrufbar unter: https://ico.org.uk/for-organisations/guidance-index/data-protection-and-privacy-and-electronic-communications/.
[71] Abrufbar unter: https://www.ftc.gov/policy/advisory-opinions.
[72] Ein diesbezüglich gerne verwendetes Zitat von Andrew Lewis: 'If you are not paying for it, you're not the customer; you're the product', Quelle: https://twitter.com/andlewis/status/24380177712?lang=de.
[73] Quelle: https://www.heise.de/newsticker/meldung/WWW-Erfinder-zunehmend-besorgt-ueber-Kontrollverlust-und-Fake-News-3651173.html.
[74] Kühling et al: Die Datenschutzgrundverordnung und das nationale Recht. 2016.
[75] Quelle: https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications.
[77] Eine von der Öffentlichkeit bislang wenig wahrgenommene Neuerung. Zum 'Know-How-Schutz 4.0': https://www.noerr.com/~/media/Noerr/PressAndPublications/News/2016/ip/Whitepaper%20KnowhowSchutz%2040.pdf.
[78] Zum Verhältnis der NIS-Richtlinie und IT-Sicherheitsgesetz: https://www.recht-freundlich.de/nis-richtlinie/nis-richtlinie-und-it-sicherheitsgesetz-ein-vergleich.
[79] Zu den Folgen des IT-Sicherheitsgesetzes für das Telemediengesetz (§ 13 VII TMG) vgl. http://www.cmshs-bloggt.de/tmc/it-sicherheit/das-neue-it-sicherheitsgesetz-konsequenzen-fuer-webseitenbetreiber/.
[80] Weiterführende Infos unter https://www.bmjv.de/SharedDocs/Artikel/DE/2015/12182015_Verbandsklagerecht.html.
[81] Der eco-Verband kritisiert, dass das EU-Leistungsschutzrecht zur Innovationsbremse der Digitalisierung werden könnte, vgl. https://www.eco.de/2017/pressemeldungen/europaeisches-urheberrecht-eco-gutachtenstellt-geplante-copyright-reform-in-frage.html.
[82] Z.B. bei Mitarbeitern, vgl. http://www.spiegel.de/wirtschaft/unternehmen/daimler-ueberprueft-mitarbeiter-wegen-angst-vor-terror-a-1011135.html.
[83] Hoffmann, Daniel: Datenschutz für Kreditinstitute. 2015, S. 74 ff.
[84] Martini: Big Data als Herausforderung für Datenschutzrecht und den Persönlichkeitsschutz. S. 30.
[85] Mit dieser Problematik befasst sich Helbing: Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung, Kommunikation und Recht. 2015, S. 145 ff.
[86] Weichert: Big Data und Datenschutz. S. 13.
[87] Es ist fraglich, ob das BDSG-Nachfolgegesetz (zulässigerweise) Änderungen mit sich bringt, vgl. http://www.compliancemagazin.de/gesetzestandards/datenschutzcompliance/dvd161216.html.
[88] Härting: Datenschutzgrundverordnung. S.159 ff.
[89] Vgl. https://www.bundesregierung.de/Content/DE/Artikel/2015/12/2015-12-17-bmjv-verbandsklagerecht-bei-datenschutzverstoessen.html: Datenschutzrecht als Verbraucherrecht.
[90] Härting: Internetrecht. Seite 637 betont in diesem Zusammenhang die accountability, also die Verantwortlichkeit des Datenverarbeiters.
[91] Härting: Datenschutzgrundverordnung, S. 24 ff.
[92] Monreal, Weiterverarbeitung nach einer Zweckänderung nach der DSGVO. ZD, 2016, S. 510.
[93] In diesem Sinne auch DSGVO-Erwägungsgrund 50.
[94] Monreal: i.m. S. 509.
[95] Monreal:i.m. S. 509.
[96] Die DSGVO sieht in Art. 23 zahlreiche Fälle zweckändernder Datenverarbeitungen vgl.: https://dsgvo-gesetz.de/art-23-dsgvo/ Zwecke wie die nationale oder öffentliche Sicherheit, Landesverteidigung o.ä. scheinen jedoch eher auf den öffentlichen Bereich gemünzt.
[97] Reiter/Methner: Scoring-Verfahren. DSRI-Tagungsband, 2016, S. 465.
[98] Schmidt: Dynamische und personalisierte Preise - datenschutz-, wettbewerbs- und kartellrechtliche Grenzen. DSRI-Tagungsband, 2016, S. 1007 ff.
[99] Härting: i.m.. S. 631.
[100] Z. B. der Europarat in seinen 'Guidelines on the protection of individuals with regard to the processing of personal data in a world of big data', 2017.
[101] Am Beispiel Iris nachzulesen unter: http://www.zeit.de/digital/datenschutz/2014-12/31c3-biometrie-austricksen-iris-scanner-fingerabdruck.
[102] Arkenau/Wübbelmann: Eigentum und Rechte an Daten - wem gehören die Daten?. DSRI-Tagungsband, 2015, S. 95 ff. Fezer, Dateneigentum, MMR 2016, S. 3 ff.
[103] Arkenau/Wübbelmann: i.m. S. 3 ff.
[104] Hoeren: Big Data und Recht. Seite 11 ff.
[105] Grützmann: Dateneigentum - ein Flickenteppich. CuR 2016, S. 495.
[106] Die Schutzziele des Art. 23 DSGVO treffen eher im öffentlichen Bereich zu.
[107] Monreal: Weiterverarbeitung nach einer Zweckänderung nach der DSGVO. ZD, 2016, S. 510.
[108] Stellungnahme 03/2013 zu Zweckbindung (purpose limitation), Brüssel 2013.
[109] Helbing: i.m. S. 145 ff.
[110] Helbing: i.m. S. 145 ff.
[111] Monreal: Weiterverarbeitung nach einer Zweckänderung nach der DSGVO. ZD, 2016, S. 510.
[112] Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff des berechtigten Interesses, 2014, S. 47.
[113] Monreal: i.m. S. 511.
[114] Artikel-29-Datenschutzgruppe, Stellungnahme zum Begriff des berechtigten Interesses, 2014 S. 49.
[115] Roßnagel et al, Datenschutzrecht 2016 - smart genug für die Zukunft, S. 134 ff.
- 252/253 -
[116] Martini: Big Data als Herausforderung für Persönlichkeitsschutz und Datenschutzrecht. S. 36.
[117] Begriffserläuterung unter: http://www.forschungsda-tenzentrum.de/anonymisierung.asp.
[118] http://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1401267191228&&uri=CELEX:31995L0046.
[119] Martini: i.m. S. 37.
[120] Die Lösungsmöglichkeiten sind hier stark vereinfacht dargestellt. Einen weiterführenden Überblick über gängige Anonymisierungsmethoden bietet die Stellungnahme 5/2014 der Art.-29-Datenschutzgruppe.
[121] Weichert: Big Data und Datenschutzrecht. S. 20.
[122] Artikel-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken, S. 34.
[123] Artikel-29-Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken, S. 19.
[124] Helbing: i.m. S. 145 ff.
[125] Martini: i.m. S. 38.
[126] Allein das mobile Datenvolumen des Jahres 2011 war achtmal so groß wie der gesamte weltweite Internetverkehr im Jahr 2000; weitere Zahlen zum wachsenden Datenvolumen finden sich beispielsweise in einer Cisco-Studie unter: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/visual-networking-index-vni/mobile-white-paper-c11-520862.html.
[127] Was auch dem sogenannten 'Cloud Computing' zu verdanken ist, vgl. z. B.
[128] Martini: i.m. 2015, S. 4.
[129] Härting: i.m. S. 120 und S. 127.
[130] Martini: i.m. S. 40.
[131] Roßnagel et al: Datenschutzrecht. 2016 - smart genug für die Zukunft, S. 136.
[132] Martini: i.m. 2015, S. 42.
Visszaugrás