Ihr Kontakt
Eine unvorstellbar grosse Datenmenge die ständig weiter wächst und aus der, dank moderner Analysetools, trotzdem nützliche Informationen gezogen werden können – das versteht man unter Big Data. Will man bspw. verlässliche Prognosen erhalten, Verhaltensweisen voraussagen oder Risiken minimieren, gräbt man sich ungehemmt hinein in den Datenberg und zieht die passenden Erkenntnisse heraus. Natürlich stehen hinter solchen Vorgängen komplexe technische Abläufe. Aus rechtlicher Sicht stellen sich im Zusammenhang mit Big Data vor allem Fragen des Datenschutzes. Der folgende Bericht soll einen kurzen Überblick über die rechtlichen Problemfelder der Big Data Thematik bieten.
Big Data – eine komplexe Datenmenge
Das gängige deutsche Pendant der englischen Bezeichnung „Big Data“ ist der Begriff „grosse Datenmenge“. Die Daten werden dieser Menge aus einer Vielzahl von verschiedenen Quellen mit einer hohen Verarbeitungsgeschwindigkeit zugeführt. Vorerst ohne bestimmten Zweck werden die Daten dann gespeichert und für unbestimmte Zeit aufbewahrt bis sie für Analysezwecke mit anderen Datenmengen verknüpft und ausgewertet werden. Zur Veranschaulichung lässt sich Big Data mit folgenden vier Schlagwörtern umfassen:
- Volume: Grosse, unstrukturierte Datenmenge
- Velocity: Häufigkeit, Frequenz und Geschwindigkeit (Echtzeitanforderungen)
- Variety: Vielfalt und Komplexität
- Value: Mehrwert, der mit Datenanalysen geschaffen werden soll
Big Data könnte vielleicht treffender mit dem Begriff komplexe Datenmenge umschrieben werden. Solche komplexen Datenmengen entstehen zum Beispiel dann, wenn ein Unternehmen seine internen Kundendatenstämme mit externen Daten aus Social Media, Suchmaschinen oder anderen verfügbaren Datenbeständen zusammenführt. Schon dieses kurze Beispiel wirft bei genauerem Hinschauen verschiedene rechtliche Fragen auf. Welche Daten dürfen überhaupt verwendet werden? Wie wird zwischen personenbezogenen Daten und anonymen Daten unterschieden? Wann gelten Daten als personenbezogen und wie verhält es sich, wenn solche Daten anonymisiert werden? Darf ein Unternehmen verschiedene Datenbestände zusammenführen oder zur Verarbeitung an Dritte weitergeben? Der Fragekatalog könnte beliebig erweitert werden. Neben unternehmerischen Aspekten müssen bei der Beantwortung solcher Fragen die Bestimmungen des Datenschutzgesetztes beachtet werden.
Big Data – Personendaten und deren Anonymisierung
Vorweg erscheint es dienlich, zwischen anonymen Daten und Personendaten zu unterscheiden, denn die rechtlichen Bestimmungen, die für einen zulässigen Umgang mit Big Data zu beachten sind ergeben sich hauptsächlich aus dem Datenschutzgesetz (DSG). Dieses regelt ausschliesslich die Erhebung und Verarbeitung von Personendaten. Über anonyme Daten darf grundsätzlich frei disponiert werden. Laut Art. 3 lit. a DSG sind Personendaten Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Weisen also die im Rahmen von Big Data Projekten analysierten Daten personenbezogenen Merkmale auf, sind die Bestimmungen des DSG zu beachten.
Anonymisierung und Re-Identifikation
Weil die datenschutzrechtlichen Bestimmungen nur dann zur Anwendung gelangen, wenn Personendaten bearbeitet werden, liegt es nahe, dass man bestrebt ist, Daten zu anonymisieren. Hierfür sollen grundsätzlich die personenbezogenen Merkmale von Personendaten auf unwiderrufliche Art und Weise entfernt werden, sodass niemand mehr einen Bezug zu dieser Person herstellen kann. Gerade aber mit Big Data Projekten können einmal anonymisierte Daten im Nachhinein re-identifiziert werden, indem man beispielsweise verschiedene Datenbestände zusammenführt. Werden eine anonymisierten Alters- Adress- und Geschlechtsangabe zusammengeführt, können die Daten ohne grosse Probleme einer gewissen Person zugewiesen werden. Im Rahmen von Big Data sollte deshalb immer darauf geachtet werden, welche Daten zu welchem Zweck bearbeitet werden. Ist eine Big Data Analyse darauf ausgerichtet, personenbezogene Informationen zu generieren und erfolgt zu diesem Zweck eine Re-Identifizierung welche die Bestimmbarkeit einer Person wieder ermöglicht, führt dies zur Anwendbarkeit des Datenschutzgesetzes. Auch wenn zufälligerweise Personendaten in eine solche Analyse einfliessen, sind die Datenschutzbestimmungen zu beachten.
Grundprinzipien des Datenschutzgesetzes (DSG) im Zusammenhang mit Big Data
Immer dann, wenn bei Big Data Analysen Personendaten bearbeitet werden, ist das Datenschutzgesetz anwendbar. In diesem sind Grundprinzipien festgelegt, welche bei der Bearbeitung von Personendaten beachtet werden müssen.
In Art. 4 Abs. 2 DSG ist der Verhältnismässigkeitsgrundsatz verankert. Demnach gilt bei der Datenbearbeitung der Grundsatz der Datensparsamkeit. Im Zusammenhang mit Big Data ergeben sich hier Spannungsverhältnisse schon aus der Natur der Sache. Big Data zielt gerade darauf ab, möglichst grosse Datenmengen zu generieren und analysieren. Laut Art.4 Abs. 3 DSG muss weiter der Zweck der Datenbeschaffung und -bearbeitung erkennbar sein. Auch aus dem datenschutzrechtlichen Zweckbindungsgrundsatz ergeben sich von vornherein Spannungen, weil, wie eingangs erwähnt, im Rahmen von Big Data Projekten Daten oft ohne einen vorher erkennbaren Zweck gesammelt werden. Ein Verstoss gegen die Grundsätze der Datenbearbeitung ist nach Art. 13 DSG dann nicht widerrechtlich, wenn eine gültige Einwilligung der betroffenen Person vorliegt. Es muss für die Person klar und eindeutig und schon bei der Datenbeschaffung erkennbar sein, für welche Bearbeitung der Daten sie ihre Einwilligung ausspricht. Die Einwilligung der Person muss zudem freiwillig geäussert werden. Daten also verwendet werden. Ein weiterer Grundsatz findet sich in Art. 5 DSG im Prinzip der Datenrichtigkeit. Hiernach muss sich der Datenbearbeiter über die Richtigkeit der Daten vergewissern und unrichtige Daten berichtigen. Bei Big Data werden Algorithmen eingesetzt um die Datenmengen zu analysieren. Die aus den Analysen gezogenen Informationen sind nicht richtig oder falsch, sondern stellen lediglich Wahrscheinlichkeiten oder Interpretationen dar. Wie dies vor dem Hintergrund des Prinzips der Datenrichtigkeit zu beurteilen ist, ist nicht gänzlich klar.
Die Weitergabe von Personendaten an Dritte und eine Bearbeitung der Daten durch diese Dritten ist nach Art. 10a DSG möglich, wenn man sich vergewissert, dass die Datensicherheit gegeben ist. Anbieter von Big Data Analysen befinden sich zudem oft im Ausland, womit die Normen zur grenzüberschreitenden Bekanntgabe (Art. 6 DSG) zu beachten sind. Hiernach gilt, dass im Bestimmungsland ein gleichwertiges Datenschutzniveau herrschen muss. Schliesslich muss nach Art. 7 DSG die Datensicherheit gewährleistet sein und eine betroffene Person hat jederzeit einen Anspruch gegenüber dem Inhaber einer Datensammlung, darüber Auskunft zu erhalten, ob und wie ihre Daten bearbeitet werden (Art. 8 DSG). Auch diese zwei Grundsätze können im Zusammenhang mit Big Data Analysen zu Problemen führen.
Konsequenzen für die Praxis
Werden Daten einer Big Data Analyse zugeführt, sollte dies unter allen Umständen von vornherein kommuniziert werden. Beispielsweise kann in einer Datenschutzerklärung ein expliziter Hinweis auf Big Data angebracht werden. Werden innerhalb eines Konzerns Daten gesammelt, um diese einer Big Data Analyse zuzuführen, sollte vorgängig die Inhaberschaft der Daten genau abgeklärt werden. Denn es gibt bei der Weitergabe von Daten im Rahmen von Big Data kein Konzernprivileg und die Weitergabe von Daten bspw. einer Tochtergesellschaft an die Muttergesellschaft stellt eine Weitergabe an Dritte dar und erfordert eine explizite Einwilligung der betroffenen Person.
Ausblick
Man tut sich schwer damit, Big Data mit den heute geltenden Grundsätzen des Datenschutzgesetztes zu fassen. Die junge aber intensiv geführte rechtliche Diskussion der Big Data Thematik wiederspiegelt die grosse gesellschaftliche und wirtschaftliche Bedeutung von Big Data und lässt den Ruf nach mehr Transparenz und Rechtssicherheit lauter erklingen. Darüber, wie das Datenschutzgesetz die nicht unerheblichen Herausforderungen einer zeitgemässen Regelung von Big Data annehmen wird, lassen sich zum heutigen Zeitpunkt nur Vermutungen aufstellen. Der Anpassungsbedarf ist mit Sicherheit nicht zu unterschätzen.
Weitere Informationen:
- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB): Erläuterungen zu Big Data)
- Bundesgesetz über den Datenschutz (DSG), SR 235.1
Ansprechpartner: Lukas Bühlmann