Personenbezogene Daten und Datenschutz

Big Data Compliance – ein Widerspruch in sich?

| Autor / Redakteur: Katja Schlangen / Nico Litzel

Die Autorin: Katja Schlangen ist Redakteurin beim Berufsverband der Rechtsjournalisten e. V.
Die Autorin: Katja Schlangen ist Redakteurin beim Berufsverband der Rechtsjournalisten e. V. (Bild: Katja Schlangen)

Big-Data-Analysen sind ein Modell der Zukunft. Die gesetzlichen Vorschriften zum Datenschutz stammen hingegen aus der weitestgehend internetlosen Vergangenheit. In Sachen Compliance herrscht bei Big-Data-Analysten dementsprechend ein hohes Maß an Unsicherheit. Das Inkrafttreten der neuen europäischen Datenschutz-Grundverordnung (DSGVO) im April 2018 trägt das seine dazu bei.

Der deutsche und europäische Datenschutz garantieren, dass die personenbezogenen Daten eines Menschen im besonderen Maße geschützt werden. In diese Kategorie fallen alle Informationen, welche eindeutige Rückschlüsse auf eine bestimmte Person erlauben. So gehören nebst Namen und Wohnadresse ebenfalls die Krankengeschichte oder Bonität einer Person dazu.

So klappt die Anonymisierung bei Big Data

Big Data und Datenschutz, Teil 1

So klappt die Anonymisierung bei Big Data

02.05.16 - Eine der ersten Forderungen an Big Data Analytics, die Datenschützer nennen, ist die Anonymisierung der personenbezogenen Daten. Doch wie bekommt man anonyme Daten in Big-Data-Projekten? lesen

Jede Verwendung dieser besonders sensiblen Daten ist einer Reihe an detaillierten Bestimmungen unterworfen. Big-Data-Anwendungen, welche ein schier unvorstellbares Datenvolumen analysieren, datenschutzkonform zu nutzen, stellt daher eine der größten Herausforderungen der modernen Datenverarbeitung dar. Im Folgenden werden die wichtigsten Aspekte genauer beleuchtet.

Der Einwilligungsvorbehalt als Gatekeeper

Die Nutzung, Verarbeitung oder Speicherung personenbezogener Daten unterliegt dem Prinzip des Einwilligungsvorbehalts. Das bedeutet: Alles, was nicht explizit erlaubt ist, ist verboten. Dieser Grundsatz gewährleistet den größtmöglichen Schutz persönlicher Daten von Privatpersonen. Diese gelten als Inhaber, also als Besitzer, ihrer eigenen personenbezogenen Informationen.

Eine Erlaubnis kann auf drei Wegen erlangt werden:

  • 1. Die betroffene Person stimmt der Erhebung, Nutzung und Speicherung ihrer Daten zu
  • 2. Eine gesetzliche Richtlinie gestattet den Vorgang
  • 3. Der Inhaber hat die Daten öffentlich zugänglich gemacht

Daten-Zweckbindung

Meist greifen Big-Data-Analysen auf Daten zurück, welche aus verschiedenen Quellen stammen und ursprünglich zu einem anderen Zwecke als die Einarbeitung in einer Big-Data-Anwendung erhoben wurden. Dies widerspricht jedoch dem datenschutzrechtlichen Grundsatz der Zweckbindung.

Dieser besagt, dass personenbezogene Daten nur zu dem Ziel genutzt werden dürfen, für welches die ursprüngliche Erlaubnis bestand. Das bedeutet in der Praxis: Sollen bereits erhobene Daten einer Big-Data-Anwendung zugeführt werden, müssen alle Betroffene darüber informiert werden und dem neuen Zweck zustimmen. Aufgrund der großen Anzahl an Betroffenen ist dieser Schritt vor allem eines: zeit- und kostenintensiv.

Big Data vs. Datensparsamkeit: datenschutzrechtliches Dilemma

Ein weiterer Datenschutzgrundsatz bestimmt, dass personenbezogene Daten nur dann genutzt werden dürfen, wenn dies auch notwendig ist. Dies ist beispielsweise für Onlineshops der Fall, in welchen ein Geschäft nur abgewickelt werden kann, wenn die Käufer ihre Adressdaten für die Lieferung hinterlassen.

Bestehen Zweifel an der Erforderlichkeit der Erhebung, ist im Idealfall stets eine Einzelfallprüfung notwendig, bei welcher die datenschutzrechtlichen Interessen des Betroffenen gegen den Nutzen der Datenerhebung abgewogen werden.

Einfacher Weg aus dem Datenschutz-Dschungel

Big Data und Datenschutz scheinen nur schwer vereinbar. Im Folgenden wird beleuchtet, welche Schritte die Compliance von Big-Data-Anwendungen sichern können. Der einfachste Weg besteht darin, keine personenbezogenen oder -beziehbare Daten zu nutzen.

Hierfür müssen diese Informationen dauerhaft entfernt bzw. unkenntlich gemacht werden. Nur, wenn keinerlei Rückschlüsse mehr von einem Datenpaket zu einer bestimmten Person zu ziehen sind, gilt der Datensatz als anonymisiert. Eine simple Verschlüsselung reicht hierzu nicht aus, da eine Entschlüsselung mit der entsprechenden Chiffre leicht zu bewerkstelligen ist.

Big Data mit personenbezogenen Daten: Sisyphos lässt grüßen

Schwieriger wird es, wenn personenbezogene Daten zwingend mit einbezogen werden müssen. Dies trifft beispielsweise auf Profiling oder auf medizinische Big-Data-Analysen zu, bei welchen eine umfangreiche Anamnese zu jedem berücksichtigten Patienten entscheidend ist.

Hierbei sind alle oben genannten Bestimmungen des Datenschutzes einzuhalten: Die Grundsätze des Einwilligungsvorbehalts, der Datensparsamkeit und der Zweckbindung müssen befolgt werden. Weiterhin sollte eine Pseudonymisierung der sensiblen Informationen stattfinden. Bei diesem Vorgang findet die Analyse der Informationen getrennt von den Identitäten der Betroffenen statt.

Damit die Rechte der Betroffenen gewahrt bleiben, müssen die Datensätze so aufgebaut werden, dass eine Auskunft, Berichtigung oder Löschung bezüglich der Daten einer bestimmten Person möglich ist. Dies stellt ohne Zweifel eine der größten Herausforderungen der Compliance von Big-Data-Analysen dar.

Datensicherheit nicht vergessen

Ein besonderer Fokus muss bei Big-Data-Anwendungen auf der Sicherheit der gespeicherten Daten liegen. Sowohl vor internen als auch vor externen Zugriffen müssen die Datenpakete geschützt werden. Verschlüsselungen, begrenzte Zugänge für wenige Personen, detaillierte Zugriffsprotokolle und die Verwendung von Sicherheitshardware sind an dieser Stelle zu nennen.

Die Pflicht, sensible Daten vor unbefugten Zugriffen zu schützen, ergibt sich aus § 9 BDSG und Art. 32 DSGVO. Dabei sind die technischen Entwicklungen und Neuerungen im Auge zu behalten, sodass der Schutz stets auf dem neuesten Stand bleibt.

Verschlüsselung als Grundlage der Big-Data-Analysen

Big Data und Datenschutz, Teil 2

Verschlüsselung als Grundlage der Big-Data-Analysen

06.06.16 - Technisch gesehen müssen Daten vor einer Big-Data-Analyse entschlüsselt werden. Aus rechtlicher Sicht erscheint die Verschlüsselung aber als Voraussetzung. Trotzdem liegt kein Widerspruch vor. lesen

Big Data erfordert auch das große Löschen

Big Data und Datenschutz, Teil 3

Big Data erfordert auch das große Löschen

04.07.16 - Die kommende Datenschutz-Grundverordnung (DSGVO) sieht ein Recht auf Vergessenwerden vor. Deshalb gehören zu einem Big-Data-Projekt nicht nur die Sammlung und Auswertung von Daten, sondern auch die Löschung personenbezogener Daten. lesen

Auch massenhafte Zugriffe müssen kontrolliert werden

Big Data und Datenschutz, Teil 4

Auch massenhafte Zugriffe müssen kontrolliert werden

15.08.16 - Big-Data-Anwendungen greifen meistens auf Daten aus verschiedenen Quellen zu. Dabei besteht die Gefahr, dass bestehende Kontrollen der Zugriffsberechtigung umgangen werden. Das muss man aus Datenschutzgründen verhindern. lesen

Diese Bußgelder drohen für unzureichende Datenschutzmaßnahmen

Das aktuell noch gültige BDSG legt in § 43 die Höhe der Bußgelder fest, welche für Datenschutzverstöße verhängt werden können. Hierfür ist eine Obergrenze von 300.000 Euro festgelegt. Allerdings können auch höhere Geldbußen verhängt werden, wenn der wirtschaftliche Vorteil, welcher durch den Verstoß erlangt wurde, mehr als 300.000 Euro beträgt.

Nach Inkrafttreten der EU-Datenschutz-Grundverordnung werden Verstöße mit deutlich höheren Bußgeldern geahndet. Je nach Verstoß drohen ab Mai 2018 bis zu 20 Millionen Euro oder – bei Konzernen – bis zu vier Prozent des jährlichen weltweiten Umsatzes des Unternehmens als Bußgeld. § 83 DSGVO bestimmt, dass die höhere der beiden Summen zu wählen ist. Der drastische Anstieg der Beträge ist dem Wunsch nach einer durchschlagenden Abschreckungsfunktion geschuldet.

Fazit

Datenschutzrechtlich ist insbesondere die Nutzung personenbezogener Daten problematisch. Ist eine Einbeziehung dieser in einer Big-Data-Anwendung nicht notwendig, sollten sämtliche personenbezogenen und personenbeziehbaren Informationen anonymisiert werden. Eine einfache Verschlüsselung der sensiblen Daten ist meist nicht ausreichend.

Sollen personenbezogene Daten mitverarbeitet werden, muss der Aufbau der Big-Data-Anwendung von vorneherein so aufgebaut und strukturiert sein, dass Betroffene ihre Rechte auf Auskunft, Berichtigung und Löschung durchsetzen können. Weiterhin dürfen die entsprechenden Daten nur dann verarbeitet werden, wenn dazu eine ausdrückliche Erlaubnis besteht – sei es durch eine gesetzliche Vorschrift oder durch die Einwilligung der betroffenen Person.

Weiterhin sind die Datenpakete ausreichen zu schützen und abzusichern. Die Konfiguration eines stringenten Datensicherheitskonzepts ist umso wichtiger, wenn personenbezogene Informationen verarbeitet werden.

Weiterführende Informationen zu den Bestimmungen gemäß Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) und IT-Sicherheitsgesetz finden Sie in diesem Ratgeber zum IT-Recht.

Ergänzendes zum Thema
 
Über den Berufsverband der Rechtsjournalisten e. V.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44886482 / Compliance und Datenschutz )