Alles speichern dank Big Data?

Datenschutz setzt Big Data Grenzen

24.01.2013 | von Wolfgang Hackenberg
Mit Daten umzugehen heißt auch, sich an bestimmte Regeln zu halten. Wer glaubt, im Zuge von Big Data nach Belieben Daten sammeln, verarbeiten und weiterleiten zu dürfen, wird schnell mit dem Gesetz in Konflikt geraten.

Daten beliebig erheben, speichern und verarbeiten - im Zeitalter von Big Data scheinen die Möglichkeiten grenzenlos. Daten lassen sich überall besorgen, und oft ist zu beobachten, dass sie nach Belieben zwischen den Systemen hin- und hergeschaufelt werden. Getreu dem Motto: Was technisch machbar ist, wird auch gemacht. Doch es gibt Regeln, die der Nutzung von Big Data Grenzen setzen.

Foto: XtravaganT, Fotolia.com

Schon das Bundesverfassungsgericht hat im Hinblick auf die technischen Möglichkeiten der Datenverarbeitung im Volkszählungsurteil jedem Bürger das Grundrecht zugebilligt, zu wissen, wer was wann und bei welcher Gelegenheit über ihn weiß (Recht auf informationelle Selbstbestimmung). Deshalb normiert das Bundesdatenschutzgesetz (BDSG) in Paragraf 4 das grundsätzliche Verbot, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Erlaubt ist das nur dann, wenn es im Gesetz ausdrücklich vorgesehen ist (Verbot mit Erlaubnisvorbehalt). In der Realität wird das aber noch zu wenig beachtet.

Zweckbindung und Transparenz

Im Rahmen von Big Data sind vor allem die wesentlichen Grundsätze des Schutzes personenbezogener Daten zu beachten. Dazu zählt zunächst einmal der Grundsatz, dass die Daten direkt beim Betroffenen erhoben werden sollten, um sicherzustellen, dass sie entsprechend dem Zweck verwendet werden, für den sie erhoben wurden (Zweckbindung). Dabei müssen die Grundsätze der Datenvermeidung und der Datensparsamkeit berücksichtigt werden, was ganz offensichtlich nur schwer mit Big Data in Einklang zu bringen ist.

Die ganze Bandbreite der datenschutzrechtlichen Problematik bei Big Data wird deutlich, wenn man sich das Prinzip der Transparenz vor Augen führt. Dahinter verbirgt sich die Anforderung, dass jeder Betroffene wissen soll, dass Daten über ihn erhoben werden und zu welchem Zweck, an welcher Stelle, für wie lange sowie aus welchem Grund diese Daten gespeichert werden. Hier klaffen Rechtsanspruch und Rechtswirklichkeit wohl am weitesten auseinander.

Rechtsfolgen

Wer gegen den Datenschutz verstößt, kann auf Unterlassung in Anspruch genommen werden. Daneben kommt die Haftung auf Schadenersatzansprüche gemäß Paragrafen 7 und 8 BDSG in Betracht. Neben den zivilrechtlichen Sanktionsmechanismen sieht das BDSG aber auch empfindliche strafrechtliche Konsequenzen vor. Hier drohen Bußgelder bis zu 300.000 Euro oder Freiheitsstrafen bis zu zwei Jahren (Paragrafen 43 und 44 BDSG). Auch das Urheberrecht sieht neben Unterlassungs- und Schadenersatzansprüchen strafrechtliche Sanktionen vor. Gemäß Paragraf 106 UrhG können Geldstrafen oder Freiheitsstrafen bis zu drei Jahren verhängt werden.

Anonym oder mit Pseudonym

Es gibt jedoch Ausnahmen: Werden aus den betroffenen Daten alle Informationen entfernt, die für eine Identifizierung der dahinter stehenden Person erforderlich sind (Anonymisierung, Paragraf 3 Abs. 6 BDSG), oder werden die Personenbezüge wie Name, Anschrift oder andere Identifikationsmerkmale durch Pseudonyme ersetzt (Pseudonymisierung, Paragraf 3 Abs. 6a BDSG), ist die Nutzung der Daten rechtlich zulässig. Problematisch im Zusammenhang mit Big Data ist allerdings, dass durch eine Anreicherung der zulässig genutzten Daten mit anderen Informationen im Ergebnis doch wieder eine Zuordnung zu einer bestimmten Person möglich sein kann.

Das muss nach dem Willen des Gesetzgebers aber zwingend ausgeschlossen sein. Zudem ist zu beachten, dass das Zusammenführen der Daten wieder ein eigenständiger Vorgang ist, der datenschutzrechtlich grundsätzlich untersagt ist. Durch die Analyse der Daten werden Aspekte von Menschen sichtbar, die diese bei der Abgabe der Daten meistens nicht preisgeben wollten.

Zu eigenen Geschäftszwecken

Oft wollen Unternehmen die Daten ihrer Kunden zu Geschäftszwecken erheben und verarbeiten. Dafür bieten die Paragrafen 28, 28a und 28b BDSG einige Ausnahmen. So dürfen zum Beispiel personenbezogene Daten zu Scoring-Zwecken verwendet werden. Eine Bank etwa muss vor der Entscheidung über einen Kredit die Kreditwürdigkeit ihres Kunden bewerten. Diese Möglichkeit hatte die Schufa zeitweise mit dem Gedanken spielen lassen, dafür Daten aus den sozialen Netzwerken zu nutzen. Dort ist aber nicht nur der Betroffene verantwortlich für die Daten, die zu seiner Person gespeichert und der Öffentlichkeit zugänglich sind. Was, wenn aus den "Freunden", deren "Datenprofilen" und deren Posts ein schlechter Score-Wert erzeugt wird, für den der Betroffene nichts kann? Hier kann sich der Einzelne nicht mehr wehren, wenn er aufgrund statistischer Verfahren als "Risiko" eingestuft wird.

Betroffene müssen einwilligen

Besonderer Beliebtheit erfreut sich die Möglichkeit nach Paragraf 4a BDSG, den Betroffenen zu einer Einwilligung zu bewegen, seine Daten erheben, speichern und nutzen zu dürfen - einschließlich der Weitergabe an Dritte. Allerdings überbieten sich Anwälte und Datenschützer in der Gestaltung komplexer und kaum noch verständlicher Erklärungen. Diese sind den Vorgaben des Paragrafen 4a Satz 2 BDSG geschuldet, wonach der Betroffene "auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung" hinzuweisen ist. Ob die kaum noch verständlichen Erklärungen dem originären Ansatz des BDSG gerecht werden, ist zu bezweifeln.

Daten aus öffentlichen Quellen

Auch wenn die zu verarbeitenden Daten aus öffentlich zugänglichen Quellen stammen, sieht das BDSG in Paragraf 29 zwar die Möglichkeit vor, diese zu nutzen. Werden die Daten aber an Dritte übermittelt, muss besonders sorgfältig zwischen den schutzwürdigen Interessen des Betroffenen und den Interessen der verantwortlichen Stelle abgewogen werden. Diese Abwägung muss im Zweifel zugunsten des Betroffenen ausfallen. Öffentlich zugänglich im Sinne der Norm sind solche Daten, die einem beliebigen Personenkreis zugänglich sind - ohne dass diese Personen technische Barrieren überwinden müssen. Daten aus sozialen Netzwerken sind also nur dann "öffentlich zugänglich", wenn sie ohne zusätzliche Anmeldeverfahren eingesehen werden können. Demnach ist nicht nur die Erhebung der personenbezogenen Daten datenschutzkonform auszugestalten, sondern auch jeder weitere Verarbeitungsschritt, von der Speicherung über die Verarbeitung bis hin zu einer etwaigen Weitergabe der Daten.

Urheberrechtliche Probleme

Mit Big Data ist vor allem noch das Urheberrechtsgesetz und das darin enthaltene Recht zu Datenbanken zu beachten. Beim Einsammeln von Daten, gerade aus öffentlichen Quellen, werden meist automatisierte Tools eingesetzt. Dabei kann es zu unzulässigen Eingriffen kommen. Man unterscheidet zwischen dem Datenbankwerk und der eigentlichen Datenbank. Ein Datenbankwerk ist ein "Sammelwerk, dessen Elemente systematisch oder methodisch angeordnet und einzeln mit Hilfe elektronischer Mittel oder auf andere Weise zugänglich sind" (Paragraf 4 Abs. 2 UrhG). Ein solches Sammelwerk genießt dann Urheberrechtsschutz, wenn die Auswahl und Anordnung der Elemente über das rein schematische Zusammenstellen hinausgehen und damit eine gewisse geistige Schöpfungshöhe vorliegt (Paragraf 2 UrhG).

Paragraf 87a ff UrhG schützt die Investitionen der Hersteller von Datenbanken. Ein Verstoß liegt vor, wenn der Datenbank ein "wesentlicher Teil entnommen" wird. Die Rechtsprechung erklärt aber nicht, was "wesentlich" bedeutet, sondern beurteilt den Einzelfall. Als Richtschnur gilt, dass weniger als ein Zehntel nicht als "wesentlich" eingestuft wird. Schließlich können Urheberrechtsverletzungen durch die Arbeitsweise der zur Auswertung eingesetzten Tools entstehen. Das Hadoop Distributed File System (HDFS) beispielsweise legt in der Standardkonfiguration jeden Datenblock dreimal innerhalb des Clusters ab. Soweit der Datenblock urheberrechtlich geschütztes Material enthält, könnte damit eine unerlaubte Vervielfältigung vorliegen.

Fazit

Big Data ist nicht nur technisch, sondern auch nach geltendem Recht eine Herausforderung. Dabei bestehen die Probleme hauptsächlich darin, dass die Frage der rechtlichen Zulässigkeit stets im Einzelfall geprüft werden muss. Unternehmen, die Big Data nutzen, sollten sich daher mit ihrem Datenschutzbeauftragten und kompetenten Juristen abstimmen, um unliebsame Folgen zu vermeiden. Für die Zukunft ist der Gesetzgeber gefordert, die angesprochenen Rechtsgebiete neu zu regeln und klare Vorgaben zu entwickeln. (ba)

»

Der Autor

Dr. Wolfgang Hackenberg ist Rechtsanwalt und Spezialist für IT-Recht.
Newsletter 'CW IT-Management' bestellen!