Datenschutz-Experte Max Schrems, der durch seine Facebook-Klage weltweite Bekanntheit erlangt hat, warnt anlässlich des 10. Information-Security-Symposiums in Wien vor großzügiger Big-Data-Nutzung. [...]
Big Data war bisher schon oft ein juristischer Graubereich. „Durch das jüngste EuGH-Urteil zum Fall Google verschärft sich die Lage allerdings noch“, warnt der durch seine Facebook-Klage weltbekannte Jurist Max Schrems anlässlich des 10. Information-Security-Symposiums im Wiener Kursalon. Die Veranstalter CIS und Quality Austria hatten Schrems zu einer Key Note über Big Data als Datenschutz-Herausforderung vor mehr als 200 Fachbesuchern rund um Informationssicherheit nach ISO 27001 und Integrierte Managementsysteme eingeladen. „Datenschutz-Compliance ist eine wesentliche Anforderung der ISO 27001“, ergänzt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS.
Die immer mehr um sich greifende Praxis, Personeninformationen automatisiert aus dem Internet zu sammeln und mit den eigenen Kundendaten zu verknüpfen, generiert „gläserne Kunden“, die man dann punktgenau mit der passenden Produktwerbung beschicken kann. Bei B2B-orientierten Unternehmen sind große Datenmengen hauptsächlich im Zusammenhang mit Business Warehouses relevant, wo Daten aus verschiedenen Quellen wie ERP- und SAP-Systemen zusammenlaufen und durch komplexe Verknüpfungen eine neue Gesamtsicht auf erfasste Personen möglich wird. „Solange es sich um den eigenen Kundenstock handelt, der um bereits im Web veröffentlichte Zusatzkriterien ergänzt wird, lag bisher oft keine Datenschutzverletzung vor“, erklärt Schrems. Vorausgesetzt die vom DSG geforderte Zweckbindung sei dabei generell gegeben, weil Werbung für verwandte Produkte aus dem eigenen Haus beispielsweise im Rahmen des Zwecks einer Geschäftsbeziehung liege. Bereits rechtmäßig veröffentlichte Personendaten werden vom Gesetz bisher nicht umfasst und konnten vor diesem Hintergrund eventuell in den eigenen Datenbestand integriert und weiterverarbeitet werden.
SCHUTZWÜRDIGE DATEN
„Dieser großzügige Umgang mit Big Data wird durch das aktuelle Google-Urteil nun in ein neues Licht gerückt“, betont Schrems. Zu dem Urteil durch den Europäischen Gerichtshof im Mai kam es aufgrund der Klage eines Spaniers, dessen Grundstück vor mehr als 15 Jahren zwangsversteigert wurde. Die Pfändung wurde damals rechtmäßig in einer spanischen Zeitung sowie im Internet veröffentlicht. Der Betroffene ging nun gerichtlich dagegen vor, dass Google bei der Sucheingabe seines Namens einen Link zu diesen Seiten heute noch anzeigt und forderte die Löschung des Links zu diesem alten Artikel. Der EuGH gab ihm insofern Recht als Google künftig verpflichtet ist, jeden Verarbeitungsschritt auf schutzwürdige Daten hin zu prüfen und auf Wunsch solche Informationen zu löschen.
„Dies ist ein Präzendenzfall des EuGH, der auch Auswirkungen auf Österreich hat“, argumentiert Schrems, „denn im Streitfall wird EU-Recht stärker wiegen als das nationale Datenschutzrecht.“ Ein denkbares Beispiel für eine problematische Anwendung wäre etwa, wenn eine Bank im Rahmen ihrer Big-Data-Analysen einem Kunden aufgrund der ohne sein Einverständnis gesammelten Informationen keinen Kredit gewähren würde. Der Kunde könnte sich dann gemäß des Google-Präzedenzfalles auf die Schutzwürdigkeit dieser Informationen berufen und je nach Einzelfall gegen diese Entscheidung seiner Bank vorgehen. Noch interessanter wird das Big-Data-Thema vor dem Hintergrund der geplanten EU-Datenschutzrichtlinie, die nach ihrer Veröffentlichung das nationale Recht ersetzen soll. Demnach werden künftig Schadenersatzzahlungen in Millionenhöhe anstelle einer maximalen Verwaltungsstrafe in der Höhe von 25.000 Euro möglich – wie bisher laut österreichischem DSG. (pi/wf)
Be the first to comment