Big Data & Recht – Herausforderungen für den Datenschutz

Fragen wie “Wem gehören diese Daten” und “Wer darf diese Daten und Informationen wie und zu welchen Zwecken aus- und verwerten ?” werden sich in unmittelbarer Zukunft vermehrt stellen. Bei vielen Experten bestehtEinigkeit, dass hier ein neuer Markt mit spezifischen Werten ensteht (Stichwort “data is the new oil“).

Technische Fortschritte im Bereich der Rechnerleistung und die massive Zunahme an Speicherkapazitäten (Stichwort Cloud Computing) tragen dazu bei, dass immer größere Datenmengen gespeichert und verarbeitet werden können. Hinzu kommen neue Erkenntnisse und Fortschritte bei der Datenanalyse (Data Analytics) und Auswertung großer Datenbestände (Data Mining).

Verstärkt wird diese Entwicklung dadurch, dass immer mehr Menschen über das Internet immer mehr Daten und Informationen produzieren (zum Beispiel in Sozialen Netzwerken) beziehungsweise mobile Endgeräte oder andere Sensoren (Stichwort RFID) Daten generieren, die es vor einigen Jahren noch überhaupt nicht gegeben hat.

Die Aus- und Bewertung der entstehenden Datenmengen kann in bisher kaum ausgeschöpftem Ausmaß zum Wohl der Menschen, aber auch zum Wachstum der globalen Ökonomie beitragen, indem Innovationen und Produktivität vorangetrieben und schlussendlich auch Wachstum gefördert werden können.

Gleichzeitig stellen sich aber auch zahlreiche rechtliche Fragen, die bisher nur in Teilen diskutiert und gelöst worden sind. In einer zweiteiligen Beitragsreihe sollen deshalb nun die wesentlichen rechtlichen Fragestellungen dargestellt werden. Nachdem dieser Beitrag die datenschutzrechtlichen Implikationen erläutert, soll im zweiten Teil den urheber- bzw. datenbankrechtlichen Fragen nachgegangen werden, wem im Internet zugängliche Daten eigentlich “gehören” bzw. unter welchem Voraussetzungen im Internet zugängliche Daten erhoben und anderweitig verarbeitet und veröffentlicht werden dürfen.

Datenschutzrechtliche Bedenken

Vor einiger Zeit schockte die Firma O2 einige ihrer Kunden mit der Mitteilung, die Bewegungsdaten der Kunden, die sich aus der Nutzung mobiler Endgeräte ergeben, nun zu monetarisieren (siehe auch den entsprechenden Werbefilm von Telefonica). Nach dem Bericht von netzpolitik sollen Bestandsdaten (Geschlecht, Alter) mit Bewegungsdaten zusammengeführt werden, um daraus Erkenntnisse zu gewinnen, die an (Werbe-)kunden weitergegeben werden sollen.

Neben der bisweilen undifferenzierten (nichtsdestotrotz nachvollziehbaren) Sorge eines “Big Brother Szenarios”, bei dem jeder Schritt verfolgt wird, gibt es zahlreiche datenschutzrechtliche Fragen, die bei entsprechenden “Big Data” Projekten zu beachten sind.

Wenn es Unternehmen – wie im Fall von O2 – nicht schaffen, entsprechende Projekte nachvollziehbar zu kommunizieren und Kundenbedenken frühzeitig mit Aufklärung zu begegnen, wird “Big Data” in Zukunft stets als Bedrohung gesehen werden. Wenn es Institutionen und Unternehmen aber gelingt, die datenschutzrechtlichen Fragen “aufzufangen” und sauber und transparent abzubilden, könnte “Big Data” in einigen Bereichen zu den oben skizzierten positiven Folgen führen.

Datenschutzrechtliche Grundlagen bei Big Data

Nach § 4 Bundesdatenschutzgesetz (BDSG) ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, wenn der Betroffene eingewilligt hat oder eine andere Rechtsvorschrift die jeweilige Datenverwendung auch ohne entsprechende Einwilligung legitimiert (sog. Verbot mit Erlaubnisvorbehalt).

Soweit also keine keine personenbezogenen Daten im Sinne des § 3 Abs.1 BDSG, also keine Informationen betroffen sind, die einer bestimmten oder bestimmbaren natürlichen Person zuzuordnen sind, greift das Bundesdatenschutzgesetz überhaupt nicht ein.

Gestaltungsmöglichkeit: Anonymisierung oder Pseudoymisierung

Nach dem BDSG sind tatsächlich nur Daten geschützt, die einen Personenbezug im Sinne des § 3 Abs.1 BDSG aufweisen.

Demgemäß ist es möglich durch eine Anonymisierung oder Pseudonymisierung Daten so zu modifizieren, dass die jeweilige Nutzung zulässig ist bzw. wird. Bei der Anonymisierung (§ 3 Abs.6 BDSG) werden alle Informationen aus den zu speichernden Daten dauerhaft entfernt, die zur Identifizierung der dahinter stehenden Person notwendig sind, was die (Weiter-)verwertung zulässig werden lassen kann. Pseudonymisieren (§ 3 Abs. 6a BDSG) hingegen, ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.Wenn Daten also hinreichend anonymisiert werden, steht das BDSG auch der Auswertung von Big Data eigentlich nicht mehr im Weg.

Unzureichend ist die Anonymisierung selbstverständlich, wenn Dritte die Daten de-anonymisieren. Möglichkeiten der De-Anonymisieung müssen also möglichst ausgeschlossen werden.

Gestaltungsmöglichkeit: Einwilligung

Die Verarbeitung personenbezogener Daten ist stets zulässig, wenn der Betroffene gemäß § 4a BDSG eingewilligt hat.

§ 4a Satz 2 BDSG lautet außerdem:

Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.

Es braucht also eine hinreichende Aufklärung, wie welche Daten gespeichert und verarbeitet werden. Stimmt der Betroffene dieser VOR der Datenverarbeitung zu, ist die Datenverarbeitung als zulässig anzusehen. Ist die Erteilung nicht für das Rechtsgeschäft zwingend, genügt aus datenschutzrechtlicher Sicht wohl eine Opt-out-Klausel, sonst bedarf es einer aktiven Zustimmungshandlung (Opt-In).

Gestaltungsmöglichkeit: Datenerhebung aus öffentlich zugänglichen Quellen

Im Hinblick auf die geschäftsmässige Verarbeitung von Big Data stellt § 29 Abs.1 Satz 1 Nr.2 BDSG eine weitere mögliche Erlaubnisnorm dar. Danach dürfen Daten, die öffentlich zugänglich sind, erhoben werden, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

Diese Vorschrift geht von dem Grundsatz aus, dass es demjenigen, der sich aus allgemein zugänglichen Quellen unterrichten darf, auch grundsätzlich gestattet sein muss, die dort zugänglichen Daten zu speichern. Öffentliche zugänglich sind alle Informationsquellen, „die sich sowohl ihrer technischen Ausgestaltung als auch ihrer Zielsetzung nach dazu eignen, einem individuell nicht bestimmbaren Personenkreis Informationen zu vermitteln“ (Simitis in: Simitis (Hrsg.), BDSG § 28 Rn. 189). Damit sind Informationen aus dem Internet immer dann als öffentlich zugänglich zu qualifizieren, wenn diese zulässigerweise als für jedermann zugängliche Daten im WorldWideWeb verfügbar gemacht worden sind. Informationen, die nur unter gewissen Einschränkungen verfügbar sind, z.B. weil diese nur von angemeldeten Nutzern eines Sozialen Netzwerkes eingesehen werden können, sind hingegen nicht als öffentlich zugänglich zu werten. Hier kann also nicht § 29 Abs.1 Satz 1 Nr.2 BDSG, unter Umständen aber andere Normen des BDSG, als gesetzliche Rechtfertigung herangezogen werden.

Wenn also öffentlich zugängliche Informationen als Datenbasis des jeweiligen Big Data Ansatzes dienen, ist die Erhebung zulässig, soweit der entsprechenden Verarbeitung nicht offensichtliche Interessen des Betroffenen entgegenstehen, was schlussendlich von der “Sensibilität” der Daten abhängen wird. Diese Vorschrift ermöglicht bei entsprechender Konfiguration also bereits eine Beschränkung datenschutzrechtlicher Risiken.

Neben einigen weiteren Gestaltungsoptionen ermöglichen die dargestellten gesetzlichen Rahmenbedingungen in vielen Fällen also eine datenschutzkonforme Ausgestaltung des jeweiligen Big Data Ansatzes.  Bei der datenschutzrechtlichen Prüfung ist schlussendlich zu beachten, dass jeder einzelne Datenverarbeitungschritt, sprich die Erhebung, über die notwendige Speicherung und Verarbeitung bis hin zu einer etwaigen Weitergabe, muss eine gesetzliche Vorschrift aus dem BDSG die Datenverwendung legitimieren. Da bei Big Data Projekten aber in der Regel nicht Informationen einzelner Personen Ergebnis sein sollen, sondern allgemeinere Erkenntnisse, wird sich bei einem der Datenverarbeitungsschritte eine Anonymisierung durchführen lassen.

Aus den vorgehenden Ausführungen wird deutlich, dass sich Big Data Ansätze durch ein durchdachtes Zusammenwirken der verschiedenen Gestaltungsmöglichkeiten durchaus auch im Einklang mit deutschem Datenschutzrecht organisieren und durchführen lassen.

Bewertung des Projekts “Smart Steps” von O2

Auch das Projekt “Smart Steps” ließe sich auf Grundlage der im Telekommunikationsbereich spezielleren Sondervorschrift des § 98 TKG insofern zulässig gestalten, wenn die entsprechenden Standortdaten “nur im zur Bereitstellung von Diensten mit Zusatznutzen erforderlichen Umfang und innerhalb des dafür erforderlichen Zeitraums verarbeitet werden, wenn sie anonymisiert wurden oder wenn der Teilnehmer dem Anbieter des Dienstes mit Zusatznutzen seine Einwilligung erteilt hat”. Sollten im Rahmen des Projekts auch Bestandsdaten bzw. anderweitige Verkehrsdaten verarbeitet oder weitergegeben werden, sind überdies die § 95 Abs.1 S.2 TKG bzw. § 96 Abs.3 TKG beachtet werden.

Auch im Hinblick auf die öffentliche Wahrnehmung ist Unternehmen wie O2  in jedem Fall zu raten, eine hinreichende Einwilligung der Kunden einzuholen.

Die bei netzpolitik dargestellten Einwilligungsformulare würden für eine Weitergabe aggregierter Bestands- und Bewegungsdaten (vorbehaltlich einer hinreichenden Anonymisierung) aber sicher nicht ausreichen.

Zum einen ist schon fraglich, ob der Zweck der Datenerhebung und -weitergabe mit “Werbezwecken für Produkte von o2 und Marktforschung” hinreichend erläutert ist. Auf Grundlage der Rechtsprechung muss jedoch in jedem Fall angegeben werden, an wen etwaige datenschutzrechtlich relevante Informationen weitergegeben werden. “Andere Firmen” etwa genügt nicht. Aus den angegebenen Formularen wird jedenfalls nicht klar, welche Daten konkret erhoben und verarbeitet gegebenenfalls an wen weitergegeben werden.

Bei solchen Unklarheiten ist – unabhängig von der datenschutzrechtlichen Beurteilung -Widerstand der Kunden vorprogrammiert.

Zusammenfassung und Praxishinweise

Big Data Projekte, wie das von O2, sind erst der Anfang. Das kürzlich von der SCHUFA geplante Projekt, der Auswertung von  Daten aus Sozialen Netzwerken zur Beurteilung der Kreditwürdigkeit , die Analyse der Handydaten von 15 kenianischen Mobilfunkkunden im Hinblick auf die Ausbreitung von Malaria, aber auch die Forschungszwecken dienende Auswertung von 52 Millionen anonymisierten Krankenakten in Grossbritannien zeigen das Potential von Big Data, aber auch die Risiken und Bedenken in der Bevölkerung.

Der oben stehende Beitrag zeigt, dass durchaus Gestaltungsmöglichkeiten bestehen, um die Auswertung von Big Data mit den datenschutzrechtlichen Vorgaben in Einklang zu bringen. Je nach Einzelfall oder Werkzeug kann bei Big Data Projekten über eine entsprechend granulare Ausgestaltung die Erhebung personenbezogener Daten vermieden oder über Anonymisierungsmechanismen teilweise im Zusammenwirken mit weiteren Maßnahmen auf eine rechtssichere Grundlage gestellt werden.

In Ansehung der wachsenden Bedeutung des Datenschutzes in Zeiten von Internet und Social Media und der steigenden Sensibilität bei Menschen sind die verantwortlichen Stellen gut beraten, die Datenschutzrechte zu achten und klar zu kommunizieren, welche Daten zu welchen Zwecken wie eingesetzt und verarbeitet werden. Je nach Rechtslage sollte bei den Betroffenen (Kunden) nach einer hinreichenden Aufklärung die Einwilligung (Opt-In) zur jeweiligen Datenerhebung bzw. die Möglichkeit zur Ablehnung (Opt-Out) gegeben werden. Transparenz und Kontrolle der Betroffenen sind elementare Voraussetzungen um Big Data nicht zu einer unkontrollierbaren Gefahr für die Menschen werden zu lassen und so schlussendlich zu einer Überregulierung zu führen.

Gleichzeitig ist der Gesetzgeber aufgerufen, die aktuelle datenschutzrechtliche Systematik auch im Hinblick auf Big Date zu überdenken und überarbeiten. Der allgemeingültige Grundsatz der Datensparsamkeit passt ebenso wenig in die digitale Welt, in Menschen freiwillig Daten preisgeben, wie der undifferenzierte Ansatz personenbezogener Daten. Vorzugswürdig scheint eine weitergehende Differenzierung nach der “Sensibilität” von Informationen. Davon sollte abhängig gemacht werden, ob diese Daten ohne weitergehende Voraussetzungen, auf Grundlage eines Opt-Out bzw. erst nach einer ausdrücklichen Einwilligung verarbeitet werden dürfen. Das Festhalten an einer umfassenden Aufklärung der Nutzer über die Datenverwendung und -weitergave ist im Hinblick auf die dringend notwendige Transparenz und das Erfordernis einer informierten Entscheidung der Betroffenen hingegen unverzichtbar.

Im zweiten Teil des Beitrags, der hier in Kürze erscheinen wird, soll aus urheber- und datenbankrechtlicher Sicht erläutert werden, ob und wann frei zugängliche Informationen und Daten aus dem Internet für eigene Geschäftsmodelle eingesetzt werden können und wann der “Inhaber” der Daten rechtlich dagegen vorgehen kann, so wie etwa die Deutsche Bahn vor kurzem “ihren” Fahrplan gegen ein Open Data Projekt verteidigt und die Nutzung untersagt hat.