Frage von Bernhard Thomas (ehemals Continental AG): Problematisch ist oft die Herkunft der Daten. Welche rechtlichen Konsequenzen hat ein Unternehmen zu fürchten, wenn es Daten aus externen Quellen nutzt, die es nicht selbst kennt und zu denen es keine Zustimmung der Betroffenen hat? Können Unternehmen die Daten externer Quellen überhaupt besitzen?
Antwort von Fabian Niemann (Bird & Bird LLP, Düsseldorf): Diese Frage betrifft die größte rechtliche Schwierigkeit überhaupt bei Big Data: die Nutzung zahlreicher, vielfach externer Daten. Hier muss unterschieden werden zwischen Eigentumsrechten (das betrifft Sacheigentum an den Daten und gegebenenfalls IP-Rechte, insbesondere Datenbank- und Urheberrechte) sowie dem eigentlichen Datenschutz. Bezüglich der Eigentumsrechte lässt sich regelmäßig ein ausreichendes Maß an Sicherheit herstellen, indem nur eigene Bestände und solche aus verlässlichen Quellen (auf Basis rechtlich geprüfter Verträge) genutzt werden.
Datenschutzrechtlich bleibt aber das Problem, dass jedes einzelne Datensubjekt (also jede identifizierbare natürliche Person) für sich allein verfügungsberechtigt ist. Die von vielen Datenschützern geforderte Zustimmung zu der Big-Data-Nutzung ist daher realitätsfern.
Wirklich zulässig ist Big Data folglich nur in zwei Fällen. Entweder wenn rein anonyme Daten genutzt werden. Das dürfte jedoch angesichts der strengen datenschutzrechtlichen Anforderungen an "Anonymität" selten sein. Oder wenn die Nutzung aufgrund einer Interessenabwägung datenschutzrechtlich auch ohne Zustimmung zulässig ist. Hier kann man sich aber nicht darauf verlassen, was die Quelle der Daten sagt, sondern man muss selbst im Einzelfall eine datenschutzrechtliche Prüfung vornehmen.
Noch eine Frage von Bernhard Thomas: Mit welchen rechtlich abgesicherten vertraglichen Klauseln gegenüber den Datenlieferanten kann ein Unternehmen das Datenmaterial für Raster- oder Pattern-Analysen nutzen, ohne zur Verantwortung gezogen zu werden? Gibt es bei der Erlaubnis, Daten zu analysieren, rechtliche Einschränkungen auf bestimmte Verwendungszwecke?
Fabian Niemann: Jedes Unternehmen bleibt stets für das eigene Handeln verantwortlich, sowohl eigentumsrechtlich, etwa wenn sein Lieferant fremde Datenbanken unrechtmäßig angezapft hat, als auch datenschutzrechtlich. Man kann und sollte aber Freistellungsansprüche in den Vertrag mit den Lieferanten aufnehmen. Daneben lässt sich das eigene Haftungsrisiko durch sorgfältiges Handeln verringern. Dazu gehört zum einen die Auswahl seriöser Lieferanten und zum anderen eine datenschutzrechtliche Vorabprüfung der konkret geplanten Nutzung. Beispielsweise kann eine Nutzung für Forschung, nicht aber für Marketing oder Vertrieb zulässig sein.
- Big Data in Zahlen
Karl Valentin hat einmal das Bonmot geprägt, schwer sei leicht was. Das kann man für den Trend Big Data mit Sicherheit auch behaupten. Sinnvoll in der Theorie, schwer in der Realisierung. Wir liefern ein paar Fakten. - Welche Probleme sehen Sie beim Einsatz von Big Data?
Big-Data-Konzepte werden nicht vorangetrieben, weil es an den richtigen Skills fehlt.<br> Angaben in Prozent; n = 206; Mehrfachnennungen möglich; Quelle: BARC
Frage von Bernd Hilgenberg (SHD): Welche Rolle spielt der Datenschutzbeauftrage im Rahmen der Datennutzung für Big-Data-Analysen? (Anmerkung der Redaktion: Oft ist diese Rolle mit einem IT-Laien besetzt, der vielleicht gar nicht weiß, welche Daten wofür genutzt werden.)
Fabian Niemann: Eine ausreichende datenschutzrechtliche Prüfung ist wesentlich. Bei technisch komplexen und rechtlich neuen Fragestellungen wie Big Data und Cloud Computing ist hier eine Kombination von technischem Verständnis, Erfahrung mit der Materie und (daten-)schutzrechtlichen Detailkenntnissen erforderlich. Idealerweise verfügt darüber der eigene Datenschutzbeauftragte oder die eigene Rechtsabteilung. Gerade in kleineren oder nicht so techniklastigen Unternehmen wird man aber in vielen Fällen auf externes Expertenwissen zurückgreifen müssen.