Big Data und Datenschutzrecht - Einführung, Übersicht und Webinar

Mit "Big Data" hat die IT Branche ein neues Lieblings-Schlagwort gefunden. Gemeint ist damit die Analyse großer Datenmengen in hoher Geschwindigkeit, mit dem Ziel, diese - meist wirtschaftlich - nutzbar zu machen. Die Daten stammen dabei oft aus verschiedenen Quellen und sind unstrukturiert, d.h. liegen in unterschiedlichen Formaten vor. Die hohe Geschwindigkeit erlaubt Echtzeit-Berechnungen (real-time data) und immer genauere Hochrechnungen und Vorhersagen (Prediction) sowie das Erkennen von neuen Zusammenhängen, Mustern und Bedeutungen.

Bedeutung von Big Data

Der Boom von Big Data begründet sich zum einen aus der schier unvorstellbaren Menge an Daten die heute tagtäglich anfällt und exponentiell wächst. Smartphones und Tablets, Sensoren in Fahrzeugen und andere Geräten oder die Spuren von Nutzern in sozialen Netzen, Online Anwendungen (Cloud Computing / Software as a Service) und im restlichen Web generieren alleine schon eine immense Datenflut. Zum anderen erlauben verbesserte Techniken, etwa bei Datenbanken (Hadoop, NoSQL-Datenbanken, InMemory), eine schnellere Auswertung und Analyse der Datenberge.

Big Data Lösungen können Unternehmen helfen, fundiertere Entscheidungen zu treffen, weil sich zum Beispiel Marktpotentiale und Kundenverhalten besser abschätzen lassen. Dem Marketing und Vertrieb erlaubt Big Data eine bessere Kundensegmentierung und -ansprache und so Streuverluste bei Werbung zu reduzieren. In der Forschung und Entwicklung können anhand von Simulationen und Experimenten neue Lösungsansätze gefunden und Produkte optimiert werden. Der Logistik und Warenverteilung soll die Datenflut helfen, Abläufe und Prozesse zu optimieren und so Kosten zu senken. Im Controlling kann Big Data bei der Betrugsprävention und dem Erkennen sonstiger Unternehmens-Risiken helfen.

Die Begriffe Data Mining, Data Warehousing, Business Intelligence (BI) oder Customer Relationship Management (CRM) werden manchmal in ähnlichem Zusammenhang wie Big Data verwendet, stehen aber nur für bestimmte Teilaspekte der weiten Thematik des "Big Data".  

Big Data und Datenschutz

Bei fast allen Big Data Anwendungen sind personenbezogene Daten in Spiel, z.B. Vertragsdaten zu gekauften Produkte und Dienstleistungen, Nutzungsdaten von Apps oder Clickstreams von Webseiten, Daten aus sozialen Netzwerken, Sensordaten von Maschinen, Standortdaten von Handys oder Fahrzeugen, E-Mails, Chats, Telefonverbindungs- und andere Kommunikationsdaten.

In all diesen Fällen von Big Data müssen die gesetzlichen Vorgaben des Datenschutzrechts beachtet werden. Beim Datenschutzrecht denken viele an Datensicherheit. Tatsächlich regelt aber nur ein einziger Paragraf sehr vage die Datensicherheit. Im Kern schützt das Bundesdatenschutzgesetz nicht Daten, sondern Menschen, nämlich vor einer "Verdatung".

Das Datenschutzrecht ist zu einer komplexen Materie geworden, die sich über verschiedene Gesetze verteilt, die teilweise veraltet sind und bruchstückhaft ergänzt wurden. Zudem sind die Vorschriften geprägt von vielen unklaren Begriffen wie "Interessen", "schutzwürdigen Belangen" oder "Erforderlichkeit". Die Anforderungen für eine Big Data Analyse ergeben sich so oft erst aus einer Zusammenschau verschiedener Normen und der Auslegung durch Datenschutz-Aufsichtsbehörden auf nationaler und europäischer Ebene sowie entsprechender Fachliteratur.

Beispiele zu Big Data und Datenschutz

Wohl auch deshalb stimmten in einer Umfrage der BITKOM 89 Prozent der befragten Unternehmen der Aussage zu, dass eine wesentliche Herausforderung bei der Planung und Umsetzung von Big Data-Initiativen die Analyse- und Verwertungsmöglichkeiten der Daten aufgrund juristischer Fragen zu Datenschutz und Datensicherheit sei (43 Prozent davon erklärten eine "hohe Zustimmung" zu der Aussage - Quelle BITKOM "Big Data im Praxiseinsatz – Szenarien, Beispiele, Effekte").

Im Folgenden finden Sie eine Auswahl an Fakten zum Thema Big Data und Datenschutzrecht:

• Selbst wenn Daten einer Big Data Lösung keine Personen-Namen enthalten (z.B. Standortdaten) aber aufgrund einer Verkettung mit sonstigen Daten der Bezug zu einer Einzelperson herstellbar ist, kann es sich um personenbezogene Daten handeln, sodass das Datenschutzrecht zu beachten ist.
• Daten aus einer Vertragsbeziehung, z.B. welcher Kunde wann welche Produkte gekauft hat, oder Abrechnungsdaten dürfen grundsätzlich nur zur Vertragsabwicklung und nur in bestimmten Grenzen für Datenanalysen im Rahmen von Big Data verwendet werden.
• Spezielle Anforderungen gelten bei der Verwendung von Daten zu Werbezwecken. Das Gesetz verlangt hier eine Einwilligung und sieht nur wenige Ausnahmen vor. "Werbung" wird dabei weit verstanden, nämlich als Alles, was der Absatzförderung dient.
• Bei der Verwendung bestimmter Online-Daten für Big Data Analysen (Surfverhalten, Login-Logout-Zeiten, eingegebene Suchbegriffe) verlangt das Telemediengesetz, die Kunden vorab zu informieren und ihnen die Möglichkeit einzuräumen, der Auswertung ihrer Daten zu widersprechen, selbst wenn die Daten ohne Namen verwendet werden.
• Wer sich bei seinem Big Data Vorhaben auf eine Einwilligung von Kunden stützen will, muss eine Reihe von Punkten beachten: Vorallem müssen Kunden exakt informiert werden, welche Daten von wem wie und wofür genutzt werden. Auch kann eine Einwilligung nicht ohne Weiteres in Allgemeinen Geschäftsbedingungen versteckt werden.
• Standortdaten die anhand eines GPS, GSM- oder WLAN-Netzes ermittelt werden, dürfen für Big Data Auswertungen grundsätzlich nur anonymisiert oder mit Einwilligung des Kunden genutzt werden. Das Telekommunikationsgesetz enthält hierzu seit 2013 geänderte Anforderungen.
• Das Bundesdatenschutzgesetz enthält spezielle Regelungen, wenn automatisierte Entscheidungen, z.B. über einen Vertragsschluss oder die Ablehnung eines Kunden, erfolgen sollen.
• Auch Algorithmen mit deren Hilfe die Wahrscheinlich für ein bestimmtes Verhalten berechnet werden soll (z.B. zum Zahlungsverhalten), unterliegen speziellen gesetzlichen Anforderungen, was unter Umständen auch eine Big Data Auswertung betrifft.
•  Die Europäische Kommission will das Datenschutzrecht in Europa grundlegend reformieren. Der Gesetzgebungsprozess hierzu ist derzeit (Mai 2013) in vollem Gange. Kommt die geplante EU-Datenschutzgrundverordnung, werden die deutschen Datenschutzgesetze obsolet. Dann gelten auch für Big Data neue Spielregeln. So sieht der Kommissionsentwurf etwa eine neue Reglementierung des sogenannten "Profiling" vor.  
• Die Datenschutz-Aufsichtsbehörden haben ihre Aufmerksamkeit bereits auf das Thema Big Data gerichtet. Das zeigt die Stellungnahme der Artikel 29 Arbeitsgruppe, in der Vertreter aller Datenschutzbehörden der EU Mitgliedstaaten vertreten sind. Die Arbeitsgruppe hat sich in ihrem Papier zum Grundsatz der "Zweckbindung" recht ausführlich auch mit dem Thema Big Data auseinandergesetzt.

Folgen von Datenschutz-Verstößen bei Big Data

Datenschutzanforderungen müssen bei Big Data Projekten frühzeitig berücksichtigt werden, am besten schon in der Konzeptionsphase. Nur so kann die Datenschutz Compliance sichergestellt werden, ohne dass später Rechtsrisiken entstehen oder Zeit- und Kostenintensive Projektanpassungen nötig werden.

Ignorieren die Verantwortlichen die gesetzlichen Anforderungen können Datenbestände oder Auswertungsmechanismen nutzlos oder Big Data Geschäftsmodelle gefährdet werden, weil sie sich nicht mehr datenschutzkonform realisieren lassen. Auch wenn eine höchstrichterliche Entscheidung hierzu noch aussteht: Die datenschutzrechtswidrige Nutzung von Kundendaten kann unter Umständen von Wettbewerbern abgemahnt und durch einstweilige Verfügung unterbunden werden. Zudem drohen bei Datenschutzverletzungen Bußgelder bis € 300.000 oder sogar Haftstrafen. Nach dem Entwurf der Europäischen Union für eine neues Europäisches Datenschutzrecht sollen sogar Bußgelder bis zwei Prozent des weltweiten Konzernumsatzes verhängt werden können. Hinzu kann ein erheblicher Image-Schaden für das Unternehmen treten.

Aufsatz zu "Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung"

In der juristischen Fachzeitschrift „Kommunikation und Recht“ ist im Heft 3/2015 mein Aufsatz zum Thema „Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung“ erschienen. Sie können den Beitrag hier als PDF kostenlos herunterladen. Eine Kurzzusammenfassung lesen Sie im Blog.

Mein Buchkapitel zu Big Data und Business Intelligence

Sie können mein Kapitel im "Handbuch Business Intelligence - Potenziale, Strategien und Best Practices", Hrsg.: Michael Lang, ISBN 978-3-86329-660-5 kostenlos im Bereich "Vorlagen, Checklisten und Whitepaper" herunterladen.

Kostenloses Webinar "Big Data und Datenschutzrecht"

Für alle Inhouse-Mitarbeiter, die mehr zum Thema Big Data und Datenschutzrecht erfahren wollen, biete ich ein kostenloses Webinar an. Einzelheiten und den Link zur Anmeldung finden Sie hier: Anmeldefrist abgelaufen