Wie „Big Data“-konform ist die Datenschutz-Grundverordnung?

„Big Data“ (BD) ist in aller Munde. Es geht um riesige Datenmengen und die Analyse und Verknüpfung dieser Daten, um damit Ergebnisse und Vorhersagen über (technische oder menschliche) Verhaltensweisen treffen zu können (man erinnere sich an den Film „Minority Report“), aber etwa auch darum, die Produktivität von automatisierten Abläufen in der Wirtschaft zu verbessern oder im medizinischen Bereich Krankheiten zu analysieren und zu bekämpfen. Also Fluch und Segen zugleich.

Da die öffentliche Diskussion zu diesem Thema erst begonnen hat (obwohl das Prinzip der massenhafte Analyse von Daten nichts komplett Neues ist) und ihren Weg auch unweigerlich in die Beratungen um die geplante Datenschutz-Grundverordnung (DS-GV) findet, sollen hier einige Aspekte beleuchtete werden, inwiefern das derzeit in Aussicht gestellte neue europäische Datenschutzrecht dem Phänomen, der Entwicklung und damit auch dem effektiven Nutzen von BD im Wege stehen könnte.

1. Prinzip der Datensparsamkeit und -minimierung

Art. 5 lit c) DS-GV schreibt das bereits in dem jetzt geltenden Datenschutzrecht bekannte Prinzip der Datensparsamkeit fort. Datenverarbeitungen sollen auf ein notwendiges Mindestmaß beschränkt werden. Allein diese Aussage positioniert sich bereits klar gegen die im Rahmen von BD erforderliche Verarbeitungen von Datenmassen. Freilich muss es bei BD nicht immer um personenbezogene Daten gehen (dazu gleich unter 2.), jedoch wird auch der Anteil an der Verarbeitung von personenbezogenen Daten im Rahmen von BD weiter zunehmen.

Ein wirklicher Ausweg dieses Aufeinanderprallens von gesetzgeberischem Wunsch und blanker Innovationsrealität, lässt sich wohl höchstens nur in einer vermittelnden Lösung finden (man beschränkt das Prinzip der Datensparsamkeit z. B. auf bestimmte Bereiche der Datenverarbeitung). Im Endeffekt stehen sich hier jedoch zwei schwer zu vereinbarende, wenn auch jeweils verständliche, Interessenströmungen gegenüber. Die Frage ist, ob das Prinzip der Datensparsamkeit in der jetzigen Form noch überleben kann? Falls ja, dann eventuell nur als Relikt einer „Small-Data“ Ära, dessen Nichteinhaltung die Realität wird.

2. personenbezogene Daten

Die jetzige Datenschutz-Richtlinie (DS-RL) fußt ebenso wie die Datenschutz-Grundverordnung (Art. 4 (1) und Erwägungsgrund 23 der DS-GV) auf dem Anknüpfungspunkt der Personenbezogenheit von Daten. Vor allem dann werden Regelungen und Schranken für die Datenverarbeitung aufgestellt.

Doch werden wir auch über diesen Anknüpfungspunkt im Rahmen des Einflusses von BD nachdenken müssen. Denn durch BD wird es wohl auch möglich sein aus anonymisierten Daten wieder auf eine Person schließen zu können (dazu unter 5.), wenn nur genug Datenmaterial vorhanden ist. Soll für diese Prozesse auch schon die Datenschutz-Grundverordnung gelten? Unklar ist auch, inwiefern die Schranken des Gesetzes Anwendung finden sollen auf Verarbeitungsprozesse von grundsätzlich nicht personenbezogenen Daten, aus denen sich neues Wissen und Ergebnisse ableiten, auf deren Grundlage dann wiederum Entscheidungen gegenüber Personen getroffen werden. Man denke etwa an die Einstufung der Kreditwürdigkeit oder in Versicherungstarife.
Sollen die Datenschutzgesetze also auch auf Verarbeitungsprozesse, mit all ihren Vorgaben, wie das Recht auf Vergessenwerden, Transparenz und Einwilligung, Anwendung finden, die sozusagen aus vormals personenbezogenen Daten abgeleitet und dann wieder auf diese angewendet werden? (dazu unter 5.) Falls ja, dann hätte die Datenschutz-Grundverordnung im Prinzip keine Anwendungsgrenze.

3. risiko-basierter Ansatz

Wie bereits berichtet, setzt sich der Rat der Europäischen Union für eine Stärkung eines risiko-basierten Ansatzes bei der Auferlegung von datenschutzrechtlichen Pflichten ein. Aber wie lässt sich BD als Risiko einordnen?
Als das ultimative, potentielle Risiko schlechthin und damit die Notwendigkeit, eine Folgenabschätzung und Anzeige bei der Datenschutzbehörde vor der Datenverarbeitung durchzuführen? Zumindest wird wohl kaum jemand behaupten, die Verarbeitung von aber-millionen Datensätzen wäre auf einer niedrigen Risikoschwelle anzusiedeln. Solche Pflichten würden jedoch das Prinzip von BD konterkarieren. Es geht gerade um schnelle, massenhafte Verarbeitung von Daten.
Zudem gibt es in Bezug auf die Risikoabschätzung ein weiteres Problem, welches sich in mehreren Bereichen niederschlagen wird: niemand weiß vorher genau, welche Ergebnisse die Datenverarbeitung und –analyse im Rahmen von BD erzielt.

4. informierte Einwilligung

Auch in der neuen Datenschutz-Grundverordnung wird als Ermächtigungsgrundlage die freiwillige, informierte Einwilligung (ob nun auch in ausdrücklich abgegebener Weise bleibt abzuwarten) Einzug halten (Art. 4 (8), Art. 6 (1) lit a) und Erwägungsgrund 25 der DS-GV). Wenn aber die Anbieter oder Kunden von BD und damit Verantwortlichen der Datenverarbeitung, meist selbst nicht einmal die Ergebnisse kennen, die ihnen aus der Analyse geliefert werden, wie können sie dann, sollte die DS-GV anwendbar sein, die Betroffene ausreichend informieren?
Eigentlich ist dies nicht möglich, bzw. maximal in einem weit abgesteckten Feld, den die Verantwortlichen z. B. durch die verwendeten Daten bereits vorher eventuell eingrenzen können. Hier weiter zu fordern, dass die Betroffenen informierte, für den konkreten Fall festgelegte Entscheidungen treffen können müssen, wird jedoch wohl bald an der Realität vorbeigehen.

5. Profiling, Tracking und Anonymisierung

Das Beobachten des Verhaltens von Betroffenen (Tracking) und die Auswertung und Analyse ihres Verhaltens (Profiling) spielt in der DS-GV ebenfalls eine Rolle (Art. 20 und Erwägungsgrund 58 der DS-GV). Grundsätzlich soll jede Person das Recht haben, nicht einer solchen Maßnahme unterworfen zu werden, wenn diese rein automatisiert erfolgt und ihr gegenüber rechtliche Wirkung entfaltet oder sie maßgeblich beeinträchtigt.

Häufig wird schon als Präventivschutz angeführt, dass man die Daten ja anonymisieren und dann erst weitergeben könnte. Dann bestünde auch keine Gefahr. Doch auch hier wird BD eventuell unsere Sicht der Dinge ändern. Denn wenn nur genug Eckdaten vorhanden sind, so lassen sich die Kreise um eine Person immer enger ziehen, bis eventuell eine Re-Identifikation möglich ist. Diese Gefahr ist auch nicht neu, denn es gab bereits solche Fälle (z. B. im Zusammenhang mit AOL). Nur wird wohl die riesige Datenmenge und Rechenleistung von BD hier noch schneller eine vorherige Anonymisierung unschädlich machen können.

Art. 20 DS-GV, der Art. 15 der DS-RL entstammt, wird insgesamt für den Bereich von BD wohl noch einigen Diskussionsstoff bieten. Zum einen wird fraglich sein, ob Art. 20 DS-GV mit seinen Anforderungen überhaupt anwendbar ist. Denn dazu müssten alle Voraussetzungen erfüllt sein, also eine auf rein automatisierter Verarbeitung beruhende Maßnahme, die dem Betroffenen gegenüber direkt Wirkung entfaltet. Tatsächlich wird wohl selbst bei BD am Ende oder in Zwischenschritten immer noch der Mensch gewisse Entscheidungen treffen können und sei es nur die Endauswahl der anzuwenden Maßnahme. Zudem sieht Art. 20 (2) lit a) die Ausnahme vor, dass solche Analysen durchgeführt werden dürfen, wenn geeignete Maßnahmen ergriffen werden, die die berechtigten Interessen der Person wahren.
Der Betroffene besitzt ein Auskunftsrecht, Art. 20 (4) DS-GV. Dies kann er aber erst ausüben, wenn er weiß, dass er Ziel einer solchen, auf einer rein automatisierten Verarbeitung beruhenden, Maßnahme geworden ist. In Zukunft werden wir aber eventuell gar nicht mehr darüber nachdenken, ob so ein Fall gegeben ist und uns gegenüber etwa rechtliche Wirkung entfaltet…oder es wäre einfach zu müßig, darüber nachzudenken.

Fazit

Mit dem sog. Phänomen „Big Data“ und den Prinzipien der derzeit geplanten Datenschutz-Grundverordnung prallen zwei Bestrebungen aufeinander, die in einigen Punkten schwer übereinkommen werden. Die Frage stellt sich, welches Recht des Stärkeren gilt? Dasjenige des Gesetzgebers und der Aufsichtsbehörden oder doch jenes einer Tatsachen schaffenden Realität?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert