DS-GVO/BDSG. David Klein
Читать онлайн книгу.
Wertschöpfung.
283
Dabei zeigt sich, dass bestimmte Zielsetzungen von besonderer Bedeutung sind: Unternehmen nutzen Big Data vor allem dazu, um kundenspezifische Informationen zu gewinnen und interne Daten zielgerichteter auszuwerten.[556] Dabei werden zahlreiche Einzeldaten kombiniert, um Rückschlüsse über Einzelpersonen und ein entsprechendes „Profiling“ zu ermöglichen, wobei Daten zumeist aus verschiedenen Quellen verknüpft werden.[557] Als Beispiel lässt sich etwa im Rahmen der Werbung die Möglichkeit nennen, dass etwa in einem Einkaufszentrum Standortdaten potenzieller Käufer verarbeitet werden, um ihnen anhand dessen individuelle Angebote zu unterbreiten.[558] Diese Prozesse beschränken sich mittlerweile nicht mehr auf einen einzigen datenschutzrechtlich „Verantwortlichen“. Vielmehr wird auch und gerade im Bereich von Big Data-Analysen die Hilfe von Dienstleistern in Anspruch genommen und das Interesse an Datensätzen von Dritten zur eigenen Verwendung wächst. Ein Anwendungsfeld von Big Data in diesem Sinne liegt insbesondere in der Nutzung von digitalen Plattformen, etwa wenn mehrere Versicherer Versicherungsdaten ihrer Kunden in einer Plattform zusammenführen, um so etwa Haftungsrisiken zu analysieren oder ihre eigenen Dienstleistungen und ihr Angebot zu optimieren.
c) „Big Data“ und die DS-GVO
284
So einig man sich letztlich über die Begriffsbestimmung und das Bedürfnis nach praktischer Anwendung ist, so weitreichend und unterschiedlich sind die datenschutzrechtlichen Herausforderungen, die mit Big Data-Verfahren einhergehen.[559] Das Datenschutzrecht wird in der Wirtschaft noch immer als Einsatzhemmnis für Big Data Projekte gesehen.[560] Im November 2015 hat der EDSB Giovanni Buttarelli die Stellungnahme „Meeting the challenges of big data – A call for transparency, user control, data protection by design and accountability“ veröffentlicht.[561] Es lässt sich aber nicht entnehmen, dass insoweit noch Restriktionen Eingang in die DS-GVO gefunden hätten.[562] Im Gegenteil: „Big Data“ kommt in der DS-GVO schlicht nicht vor.
285
Das ist umso bedauerlicher, als schon zu Beginn der juristischen Auseinandersetzung mit dem Thema die Überlegung entstand, dass das generelle Konzept von Big Data den allgemeinen Datenschutzprinzipien diametral gegenüber steht.[563] Einige Prinzipien, die eine überbordende Datensammlung und -auswertung verhindern könnten, sind zwar in der DS-GVO angelegt, aber nicht so ausgestattet, dass dadurch die wirklichen Gefahren der Transparenz des Einzelnen und dessen heimlicher Ausspähung gebannt wären, wie sie sich über Big Data Anwendungen ergeben können.[564] Vereinzelt wird dementsprechend geschlussfolgert, dass Dank Big Data die Grenzen des hergebrachten Datenschutzrechts erreicht seien.[565]
286
Die Vielgestaltigkeit der datenschutzrechtlichen Herausforderungen liegt u.a. darin begründet, dass ein Big Data-Projekt in verschiedene Phasen aufgeteilt werden kann und sich in allen diesen Phasen verschiedenste datenschutzrechtliche Fragen stellen, bspw. nach dem Personenbezug,[566] dem Vorliegen und der Wirksamkeit einer Einwilligung,[567] der Zweckbindung oder gar nach der Anwendbarkeit unterschiedlicher Regelungsbereiche wie Inhalte-, Server- oder Leistungsebene.[568] Schon anhand der konstituierenden Merkmale von Big Data „Datenmenge“, „Quellen“ und „Auswertung“ zeigt sich, dass hier erhebliche Diskrepanzen zu den allgemeinen datenschutzrechtlichen Anforderungen insbesondere der Datensparsamkeit, der Erforderlichkeit, der Transparenz oder der Zweckbindung bestehen.[569]
287
Dem stellt die DS-GVO die Prinzipien der Zweckbindung (Art. 5 Abs. 1 lit. b), Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und Datenminimierung (Art. 5 Abs. 1 lit. c) gegenüber. Gerade Letzteres dürfte Verantwortliche in Big Data-Verarbeitungssituationen vermehrt vor schwere Herausforderungen stellen: Nach Art. 25 muss der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen (wobei Big Data Projekte ein Paradebeispiel für risikoträchtige Verarbeitungen darstellen dürften) geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze „wie etwa Datenminimierung“ wirksam umzusetzen. Hier manifestiert sich nicht nur der Gedanke, dass das generelle Konzept von Big Data den allgemeinen Datenschutzprinzipien diametral gegenüber steht, sondern auch ein kardinaler Konflikt zwischen Big Data und dessen Förderung durch die Kommission i.R.d. „Single Market“ und dem Gebot des Datenschutzes durch Technikgestaltung und dabei der Einrichtung datenschutzfreundlicher Voreinstellungen sowie Datenminimierung und Pseudonymisierung.[570]
d) „Big Data“ und Zweckänderung
288
Aufgrund dieser Feststellungen wird auch nur sehr einschränkend von einer Zulässigkeit großflächiger Big Data-Projekte unter der DS-GVO ausgegangen, wobei die spezifischen Anforderungen an deren Zulässigkeit maßgeblich von der Art der Big Data Anwendung abhängt. So unterscheiden sich die Zulässigkeitsvoraussetzungen im Falle von etwa Profiling, Scoring oder im Rahmen von Smart Devices (Smart Watch, Smart Cars etc.).
289
Insgesamt wird vertreten, dass man nach der DS-GVO Big Data-Analysen, die ergebnisoffen mit dem Ziel der Mustererkennung oder der Generierung neuer (personenbezogener) Informationen und insoweit ohne konkrete oder mit sich verändernder Zweckbestimmung erfolgen – ein wesentlicher Treiber des Fortschreitens von Big Data-Technologien und ein immerwährend bedeutsamer Anwendungsbereich – nur bei stark intendierter Auslegung von Abs. 4 überhaupt als zulässig erachten können wird.[571] Bei Big Data geht es dagegen gerade darum, unterschiedliche Datenbestände, unabhängig von ihrem Erhebungsgrund und ihrem Verarbeitungszweck zusammenzuführen, zu analysieren und hieraus neue Anwendungsfälle und Geschäftsmodelle zu entwickeln. Es liegt daher in der Natur der Sache, dass in diesem Bereich der Zweck der Datenverarbeitung im Zeitpunkt der Erhebung noch nicht abschließend bestimmt oder auch nur bestimmbar ist.[572] Art. 6 Abs. 4 kann hier teilweise als „letzter Ausweg“ für Verantwortliche erscheinen.
290
Nach der EU Kommission kommen insoweit Anonymisierung, Pseudonymisierung und Verschlüsselung zentrale Bedeutung bei Big Data-Analyseverfahren zu.[573] Pauschal lässt sich deshalb feststellen, dass zur Harmonisierung von Big Data Anwendungen mit den Anforderungen der DS-GVO Instrumente wie Anonymisierung und Pseudonymisierung in den Vordergrund rücken müssen.[574] Hier bleibt für Einzelfragen die Auslegung durch die Aufsicht und deren Kontrolle durch den EuGH abzuwarten.[575]
291
Der Umsetzung dieser Prinzipien steht gleichwohl häufig der gleichzeitige zielführende Einsatz von Big Data-Technologien entgegen, die Mustererkennung, kundenspezifische Informationsgewinnung und interne Datenauswertung als primäres Ziel haben. Insgesamt wird auf die Erlaubnistatbestände der Einwilligung und gegebenenfalls noch der Wahrnehmung eines berechtigten Interesses als primäre Erlaubnistatbestände im Zusammenhang mit Big Data-Analysen zurückgegriffen werden können. Allerdings muss man sich hier dem Kriterium der „Bestimmtheit“ der Einwilligung stellen – keine leichte Aufgabe bei umfassenden und gegebenenfalls zunächst kontextlosen Weiterverarbeitungen im Big Data-Bereich. Es ist aber auch nicht ausgeschlossen, vielmehr sogar praktisch voraussichtlich von mindestens ebenso gewichtiger Bedeutung, dass Verantwortliche oftmals Art. 6 Abs. 4 in Betracht ziehen werden, um bereits im Rahmen