Über welche Produkte soll ein Kunde im Newsletter des Unternehmens informiert werden? Wird er den vollen Preis bezahlen oder nur zuschlagen, wenn er einen Gutschein über 100 Euro erhält? Soll dem Kunden ein Ratenkauf angeboten werden oder ist das Ausfallrisiko zu groß? Fragen wie diese können heutige Big-Data-Systeme mit verhältnismäßig hoher Treffsicherheit beantworten. Sie können vielfach voll automatisiert bessere Entscheidungen treffen, als dies ein Mensch könnte. Rechtlich ist die Vollautomatisierung von Entscheidungen jedoch nur eingeschränkt zulässig. [...]
Genau dies ist aber häufig gar nicht möglich: Erstens ist der automatisierte Entscheidungsprozess in vielen Fällen so komplex, dass er sich nicht in „in allgemein verständlicher Form“ erklären lässt. Zweitens setzen viele Unternehmen Big-Data-Systeme von kommerziellen Softwareherstellern ein, ohne die genaue Funktionsweise dieser Systeme überhaupt zu kennen. Diese wird von den Softwareherstellern meist als Geschäftsgeheimnis behandelt.
BIG DATA ERFORDERT BIG SECURITY
Nach dem Datenschutzgesetz müssen personenbezogene Daten durch risikoangemessene Sicherheitsmaßnahmen geschützt werden. Durch Big Data werden Daten aus zahlreichen Datenquellen in einer einzigen großen Datenbank vereint. Dies ist wesentlich riskanter, als die Daten wie bisher in unterschiedlichen Systemen zu speichern. Neben klassischem Hacking schafft Big Data neue Missbrauchsmöglichkeiten. Dies gilt insbesondere für die Nutzung von Big Data für die Automatisierung von Entscheidungen, wo die Manipulation einzelner Daten bereits zu anderen Entscheidungsergebnissen führen kann. Es ist daher nicht ausreichend, bestehende Sicherheitsmaßnahmen 1-zu-1 auf Big Data-Systeme zu übertragen. Um das datenschutzrechtliche Erfordernis risikoadäquater Sicherheitsmaßnahmen zu erfüllen, muss daher ein zusätzliches Maß an Sicherheit implementiert werden – Big Data erfordert daher auch Big Security.
BIG DATA IM KONFLIKT MIT ALLGEMEINEN GRUNDSÄTZEN DES DATENSCHUTZRECHTS
Die grundsätzliche Philosophie von Big Data gerät auch in Konflikt mit den allgemeinen Grundsätzen des Datenschutzrechts. Früher wurden nicht mehr benötigte Daten meist gelöscht, um kostbaren Speicherplatz zu sparen. Heutzutage kostet Speicherplatz praktisch nichts mehr und Daten werden häufig in der Hoffnung aufgehoben, dass sich neue Verwendungsmöglichkeiten finden. Genau diese Praxis ist jedoch mit dem datenschutzrechtlichen Grundsatz der Zweckbindung unvereinbar. Nach dem Datenschutzgesetz dürfen personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke verwendet werden. Die Aufbewahrung von Daten für unbestimmte Zwecke ist daher unzulässig. Sofern die Datenverarbeitung auf der Zustimmung der Betroffenen beruht, ist für jede Zweckänderung die Einholung einer neuen Zustimmung erforderlich. Big Data ist daher mit der datenschutzrechtlichen Zweckbindung oft unvereinbar. Unternehmen können hier nur für die Zukunft Vorkehrung treffen, indem sie die in Zustimmungserklärungen angeführten Verarbeitungszwecke mit der nötigen Weitsicht formulieren. Aus Sicht des sensibilisierten Verbrauchers empfiehlt es sich hingegen, im Big-Data-Zeitalter Zustimmungserklärungen ganz besonders genau zu lesen.
ZUKUNFT VON BIG DATA UND ENTSCHEIDUNGS-AUTOMATISISERUNG HÄNGT VON NEUER EU-DATENSCHUTZVERORDNUNG AB
Das österreichische Datenschutzgesetz gibt für Big Data einen relativ strengen Rahmen vor. Wie dieser Rechtsrahmen in Zukunft aussehen wird, hängt davon ab, welche Interessengruppen sich bei den derzeit in Brüssel laufenden Verhandlungen über die neue EU-Datenschutzverordnung durchsetzen werden. Hierbei prallt das wirtschaftliche Interesse, personenbezogene Daten als Schmiermittel der Informationsgesellschaft und damit als Ware zu behandeln, mit dem grundrechtlich geschützten Interesse der Bürger auf Datenschutz zusammen. Es ist auf einen fairen Interessensausgleich zu hoffen, der dem derzeitigen relativ hohen Datenschutzniveau entspricht.
* Dr. Lukas Feiler, SSCP, CIPP/E, ist Leiter der IP-/IT-Abteilung bei Baker & McKenzie in Wien. Er spricht auf dem (ISC)2 EMEA Security Congress vom 20. bis 21. Oktober in München zum Thema „Rechtliche Auswirkungen von Big Data und automatische Entscheidungsfindung“. Hier geht es zu weiteren Informationen.
Be the first to comment