Alles speichern dank Big Data?

Datenschutz setzt Big Data Grenzen

24.01.2013 | von Wolfgang Hackenberg
Mit Daten umzugehen heißt auch, sich an bestimmte Regeln zu halten. Wer glaubt, im Zuge von Big Data nach Belieben Daten sammeln, verarbeiten und weiterleiten zu dürfen, wird schnell mit dem Gesetz in Konflikt geraten.

Daten beliebig erheben, speichern und verarbeiten - im Zeitalter von Big Data scheinen die Möglichkeiten grenzenlos. Daten lassen sich überall besorgen, und oft ist zu beobachten, dass sie nach Belieben zwischen den Systemen hin- und hergeschaufelt werden. Getreu dem Motto: Was technisch machbar ist, wird auch gemacht. Doch es gibt Regeln, die der Nutzung von Big Data Grenzen setzen.

Foto: XtravaganT, Fotolia.com

Schon das Bundesverfassungsgericht hat im Hinblick auf die technischen Möglichkeiten der Datenverarbeitung im Volkszählungsurteil jedem Bürger das Grundrecht zugebilligt, zu wissen, wer was wann und bei welcher Gelegenheit über ihn weiß (Recht auf informationelle Selbstbestimmung). Deshalb normiert das Bundesdatenschutzgesetz (BDSG) in Paragraf 4 das grundsätzliche Verbot, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Erlaubt ist das nur dann, wenn es im Gesetz ausdrücklich vorgesehen ist (Verbot mit Erlaubnisvorbehalt). In der Realität wird das aber noch zu wenig beachtet.

Zweckbindung und Transparenz

Im Rahmen von Big Data sind vor allem die wesentlichen Grundsätze des Schutzes personenbezogener Daten zu beachten. Dazu zählt zunächst einmal der Grundsatz, dass die Daten direkt beim Betroffenen erhoben werden sollten, um sicherzustellen, dass sie entsprechend dem Zweck verwendet werden, für den sie erhoben wurden (Zweckbindung). Dabei müssen die Grundsätze der Datenvermeidung und der Datensparsamkeit berücksichtigt werden, was ganz offensichtlich nur schwer mit Big Data in Einklang zu bringen ist.

Die ganze Bandbreite der datenschutzrechtlichen Problematik bei Big Data wird deutlich, wenn man sich das Prinzip der Transparenz vor Augen führt. Dahinter verbirgt sich die Anforderung, dass jeder Betroffene wissen soll, dass Daten über ihn erhoben werden und zu welchem Zweck, an welcher Stelle, für wie lange sowie aus welchem Grund diese Daten gespeichert werden. Hier klaffen Rechtsanspruch und Rechtswirklichkeit wohl am weitesten auseinander.

Rechtsfolgen

Wer gegen den Datenschutz verstößt, kann auf Unterlassung in Anspruch genommen werden. Daneben kommt die Haftung auf Schadenersatzansprüche gemäß Paragrafen 7 und 8 BDSG in Betracht. Neben den zivilrechtlichen Sanktionsmechanismen sieht das BDSG aber auch empfindliche strafrechtliche Konsequenzen vor. Hier drohen Bußgelder bis zu 300.000 Euro oder Freiheitsstrafen bis zu zwei Jahren (Paragrafen 43 und 44 BDSG). Auch das Urheberrecht sieht neben Unterlassungs- und Schadenersatzansprüchen strafrechtliche Sanktionen vor. Gemäß Paragraf 106 UrhG können Geldstrafen oder Freiheitsstrafen bis zu drei Jahren verhängt werden.

Anonym oder mit Pseudonym

Es gibt jedoch Ausnahmen: Werden aus den betroffenen Daten alle Informationen entfernt, die für eine Identifizierung der dahinter stehenden Person erforderlich sind (Anonymisierung, Paragraf 3 Abs. 6 BDSG), oder werden die Personenbezüge wie Name, Anschrift oder andere Identifikationsmerkmale durch Pseudonyme ersetzt (Pseudonymisierung, Paragraf 3 Abs. 6a BDSG), ist die Nutzung der Daten rechtlich zulässig. Problematisch im Zusammenhang mit Big Data ist allerdings, dass durch eine Anreicherung der zulässig genutzten Daten mit anderen Informationen im Ergebnis doch wieder eine Zuordnung zu einer bestimmten Person möglich sein kann.

Das muss nach dem Willen des Gesetzgebers aber zwingend ausgeschlossen sein. Zudem ist zu beachten, dass das Zusammenführen der Daten wieder ein eigenständiger Vorgang ist, der datenschutzrechtlich grundsätzlich untersagt ist. Durch die Analyse der Daten werden Aspekte von Menschen sichtbar, die diese bei der Abgabe der Daten meistens nicht preisgeben wollten.

Zu eigenen Geschäftszwecken

Oft wollen Unternehmen die Daten ihrer Kunden zu Geschäftszwecken erheben und verarbeiten. Dafür bieten die Paragrafen 28, 28a und 28b BDSG einige Ausnahmen. So dürfen zum Beispiel personenbezogene Daten zu Scoring-Zwecken verwendet werden. Eine Bank etwa muss vor der Entscheidung über einen Kredit die Kreditwürdigkeit ihres Kunden bewerten. Diese Möglichkeit hatte die Schufa zeitweise mit dem Gedanken spielen lassen, dafür Daten aus den sozialen Netzwerken zu nutzen. Dort ist aber nicht nur der Betroffene verantwortlich für die Daten, die zu seiner Person gespeichert und der Öffentlichkeit zugänglich sind. Was, wenn aus den "Freunden", deren "Datenprofilen" und deren Posts ein schlechter Score-Wert erzeugt wird, für den der Betroffene nichts kann? Hier kann sich der Einzelne nicht mehr wehren, wenn er aufgrund statistischer Verfahren als "Risiko" eingestuft wird.

Betroffene müssen einwilligen

Besonderer Beliebtheit erfreut sich die Möglichkeit nach Paragraf 4a BDSG, den Betroffenen zu einer Einwilligung zu bewegen, seine Daten erheben, speichern und nutzen zu dürfen - einschließlich der Weitergabe an Dritte. Allerdings überbieten sich Anwälte und Datenschützer in der Gestaltung komplexer und kaum noch verständlicher Erklärungen. Diese sind den Vorgaben des Paragrafen 4a Satz 2 BDSG geschuldet, wonach der Betroffene "auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung" hinzuweisen ist. Ob die kaum noch verständlichen Erklärungen dem originären Ansatz des BDSG gerecht werden, ist zu bezweifeln.

Daten aus öffentlichen Quellen

Auch wenn die zu verarbeitenden Daten aus öffentlich zugänglichen Quellen stammen, sieht das BDSG in Paragraf 29 zwar die Möglichkeit vor, diese zu nutzen. Werden die Daten aber an Dritte übermittelt, muss besonders sorgfältig zwischen den schutzwürdigen Interessen des Betroffenen und den Interessen der verantwortlichen Stelle abgewogen werden. Diese Abwägung muss im Zweifel zugunsten des Betroffenen ausfallen. Öffentlich zugänglich im Sinne der Norm sind solche Daten, die einem beliebigen Personenkreis zugänglich sind - ohne dass diese Personen technische Barrieren überwinden müssen. Daten aus sozialen Netzwerken sind also nur dann "öffentlich zugänglich", wenn sie ohne zusätzliche Anmeldeverfahren eingesehen werden können. Demnach ist nicht nur die Erhebung der personenbezogenen Daten datenschutzkonform auszugestalten, sondern auch jeder weitere Verarbeitungsschritt, von der Speicherung über die Verarbeitung bis hin zu einer etwaigen Weitergabe der Daten.

Urheberrechtliche Probleme

Mit Big Data ist vor allem noch das Urheberrechtsgesetz und das darin enthaltene Recht zu Datenbanken zu beachten. Beim Einsammeln von Daten, gerade aus öffentlichen Quellen, werden meist automatisierte Tools eingesetzt. Dabei kann es zu unzulässigen Eingriffen kommen. Man unterscheidet zwischen dem Datenbankwerk und der eigentlichen Datenbank. Ein Datenbankwerk ist ein "Sammelwerk, dessen Elemente systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind" (Paragraf 4 Abs. 2 UrhG). Ein solches Sammelwerk genießt dann Urheberrechtsschutz, wenn die Auswahl und Anordnung der Elemente über das rein schematische Zusammenstellen hinausgehen und damit eine gewisse geistige Schöpfungshöhe vorliegt (Paragraf 2 UrhG).

Paragraf 87a ff UrhG schützt die Investitionen der Hersteller von Datenbanken. Ein Verstoß liegt vor, wenn der Datenbank ein "wesentlicher Teil entnommen" wird. Die Rechtsprechung erklärt aber nicht, was "wesentlich" bedeutet, sondern beurteilt den Einzelfall. Als Richtschnur gilt, dass weniger als ein Zehntel nicht als "wesentlich" eingestuft wird. Schließlich können Urheberrechtsverletzungen durch die Arbeitsweise der zur Auswertung eingesetzten Tools entstehen. Das Hadoop Distributed File System (HDFS) beispielsweise legt in der Standardkonfiguration jeden Datenblock dreimal innerhalb des Clusters ab. Soweit der Datenblock urheberrechtlich geschütztes Material enthält, könnte damit eine unerlaubte Vervielfältigung vorliegen.

Fazit

Big Data ist nicht nur technisch, sondern auch nach geltendem Recht eine Herausforderung. Dabei bestehen die Probleme hauptsächlich darin, dass die Frage der rechtlichen Zulässigkeit stets im Einzelfall geprüft werden muss. Unternehmen, die Big Data nutzen, sollten sich daher mit ihrem Datenschutzbeauftragten und kompetenten Juristen abstimmen, um unliebsame Folgen zu vermeiden. Für die Zukunft ist der Gesetzgeber gefordert, die angesprochenen Rechtsgebiete neu zu regeln und klare Vorgaben zu entwickeln. (ba)

»

Der Autor

Dr. Wolfgang Hackenberg ist Rechtsanwalt und Spezialist für IT-Recht.
Newsletter 'CP Business-Tipps' bestellen!
 

Wolfgang Ksoll
Der Autor beschreibt sehr schön mit gegenteiligem Duktus, dass weder Datenschutz noch Urheberrecht Big Data wesentlich entgegenstehen. Urheberrecht: Selbst wenn jemand in Deutschland zum Zwecke des Scoring in Facebook alle Daten aller Deutschen sammelt, dann sind das 80 Mio Personen von 1.000 Millionen Usern - also wie oben gezeigt eine urheberrechtlich bedeutungslose Teilmenge. Nach dem Bundesdatenschutzgesetz ist mindestens zulässig: - wenn es gesetzlich erlaubt ist *oder* (nicht *und*) - wenn der Benutzer zugestimmt hat - für wissenschaftliche Forschung §4a (auch Marktforschung kann wissenschaftlich sein) - zur Erfüllung eines Vertrages inkl. vorvertraglicher Maßnahmen (§4c) - öffentlichem Interesse (§4c) - Wahrung lebenswichtiger Interessen des Betroffenen (§4c) (Krebsforschung Pharmaindustrie in der Umgebung von Atomkraftwerken?) - Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist (§4C) Siehe auch Melderegisteraktivitäten der CDU, die Melderegisterdaten zur Information der Öffentlichkeit massenhaft an Unternehmen verkaufen werden sollen, - und auch wie erwähnt die öffentlich zugänglichen Daten. Auch muss nicht beim Betroffenen erhoben werden. §4 BDSG sagt ganz klar, dass auch ohne Mitwirkung des Betroffenen erhoben werden darf, wenn "die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde". Das BDSG setzt also keine wesentlichen Grenzen für Big Data. Wenn wir nicht wollen, dass personenbezogene Daten in Big Data in großem Stile zum Beispiel für Scoring verwendet werden, dann müssen wir das neu regeln. Das BDSG gibt das nicht her. Wenn wir das regeln wollen, dann sollten wir es endlich global bei der UN angehen. Selbst der Entwurf der EU DSVO ist in dem Sinne Blendwerk, weil es weite Teile (Polizei, Justiz, Arbeitnehmer) nicht behandelt, und als Lex Facebook ein globales Problem regional lösen will. Das ist so blödsinnig, als wenn wir die Kriegsführung nach den Genfer Konventionen auf Europa beschränken wollten, unsere Truppen aber in Afghanistan, Mali oder der Türkei Krieg führen.

comments powered by Disqus