Leseprobe
Inhaltsverzeichnis
Abbildungsverzeichnis
1. Einleitung
1.1. Problemstellung
1.2. Ziele und Gang der Arbeit
2. Begriffserläuterungen Big Data und EU-Datenschutz-Grundverordnung
2.1. Definition Big Data
2.2. Definition der neuen EU-Datenschutz-Grundverordnung
3. Anforderungen an Big Data unter der EU-Datenschutz-Grundverordnung
3.1. Privacy by Design und Privacy by Default
3.2. Verarbeitung von personenbezogenen Daten
3.3. Informationspflicht und Auskunftsrecht
4. Fazit
Literaturverzeichnis
Abbildungsverzeichnis
Abbildung 1: Symbolvorschläge des EU-Parlaments
1. Einleitung
1.1. Problemstellung
Seit mehreren Jahren hat der Begriff Big Data stark an Bedeutung und Aufmerksamkeitgewonnen. Bereits im Jahr 2013 belegte er den fünften Platz bei der Wahl zum Wort desJahres durch die Gesellschaft für deutsche Sprache.1 Auch im letzten Jahr sorgte derBegriff für Aufmerksamkeit, denn laut eines Artikels aus dem Schweizer Tagesanzeigersoll Donald Trump die US-Wahl 2016 mit Hilfe von Big Data gewonnen haben. Es wirdberichtet, dass das Unternehmen Cambridge Analytica anhand von Big Data jedem po-tentiellen Wähler eine auf seine Persönlichkeit angepasste Wahlwerbung angezeigt ha-ben soll.2 Dieser Vorfall verdeutlicht, dass es inzwischen kaum möglich ist, sich demThema Big Data zu entziehen. Egal ob im Beruf oder im Privaten, bewusst oder unbe-wusst, jeder von uns ist Nutzer und Erzeuger von Big Data.3 In den USA wird Big Datagrundsätzlich vermehrt positiv wahrgenommen, währenddessen in Deutschland eher dieRisiken und die Befürchtung der Überwachung im Vordergrund stehen.4 Damit die per-sonenbezogenen Daten der EU-Bürger, unter anderem bei der Verarbeitung von BigData, geschützt werden, hat das Europäische Parlament und der Rat der EuropäischenUnion im Jahr 2016 die neue EU-Datenschutz-Grundverordnung veröffentlicht, welcheim Mai 2018 in Kraft tritt.5 Nach Schätzungen der Europäischen Kommission steigt derWert der personenbezogenen Daten der europäischen Bürger bis zum Jahr 2020 auf 1Billion Euro, was es unumgänglich macht, diese durch eine neue Verordnung zu schüt-zen.6
1.2. Ziele und Gang der Arbeit
Die vorliegende Arbeit soll ein grundlegendes Verständnis für Big Data und die neueEU-Datenschutz-Grundverordnung schaffen. Weiterhin soll sie auch verdeutlichen,welche Voraussetzungen zur Nutzung von Big Data erfüllt sein müssen, damit die An- forderungen der EU-Datenschutz-Grundverordnung eingehalten werden. Dazu erfolgtzum Einstieg nach den einleitenden Worten, welche die Einleitung sowie Ziel und Gangder Arbeit umfassten, im zweiten Kapitel zunächst eine Definition der Begriffe Big Da-ta und EU-Datenschutz-Grundverordnung, um dem Leser ein Grundverständnis für dieThematik zu vermitteln. Im dritten Kapitel wird anschließend eine Analyse der Anfor-derungen an Big Data unter Berücksichtigung der EU-Datenschutz-Grundverordnungdurchgeführt. Zuerst wird dabei auf die Anforderungen an Privacy by Design und Pri-vacy by Default eingegangen, worunter der Datenschutz durch technische Gestaltungund datenschutztechnische Voreinstellungen verstanden werden. Danach folgen dieAnforderungen an die Verarbeitung von personenbezogenen Daten und abschließendwerden die Themen Informationspflicht und Auskunftspflicht behandelt. Die Arbeitwird beendet mit einem Fazit, welches die Ergebnisse zusammenfasst und einen Aus-blick auf weiterführende Themen nennt.
2. Begriffserläuterungen Big Data und EU-Datenschutz-Grundverordnung
2.1. Definition Big Data
Im Folgenden werden die zwei Begriffe Big Data und EU-Datenschutz-Grundverordnung genauer beschrieben, da diese einen Hauptbestandteil der Arbeit dar-stellen. Alle Nutzer von technischen Produkten, Services und Kommunikationsmedienerzeugen Daten, welche wiederum von Unternehmen weiterverarbeitet werden, um wei-tere Produkte, Services oder Innovationen zu erschaffen. Durch den Gebrauch dieserentstehen durch die Nutzer zusätzliche neue Daten. Diese großen Datenbestände bildendie Grundlage von Big Data.7 Bitkom, der im Jahr 1999 gegründete DigitalverbandDeutschlands, stellt bei der Definition von Big Data heraus, dass diese Daten in unbe-kanntem Ausmaß anfallen und sich schnell verändern können. Weiterhin stehen dieseMengen von Daten in unterschiedlichen Strukturen zur Verfügung und das Ziel ist es,aus diesen Informationen wirtschaftlich sinnvolle Erkenntnisse zu gewinnen.8 In derLiteratur wird das Grundgerüst von Big Data oftmals durch die drei Eigenschaften, Vo-lume, Velocity und Variety beschrieben. Weiter ergänzt werden diese zusätzlich durch die Eigenschaft Veracity. Die erste Eigenschaft Volume steht für die große und immerweiterwachsende Datenmenge, welche für Big-Data-Analysen zur Verfügung steht.Durch diese ist es möglich, datengetriebene Hypothesen über viele Lebensbereichehinweg zu erstellen. Die zweite Eigenschaft Velocity beschreibt die Geschwindigkeit, inder die Daten verarbeitet und analysiert werden können. Allerdings kommen ebensoschnell weitere Daten hinzu, sodass die gewonnenen Erkenntnisse schnell wieder veral-tet sind. Hinter der dritten Eigenschaft Variety verbirgt sich die Vielfältigkeit von Da-ten. Die Datenmenge steht nicht strukturiert zur Verfügung und es steht eine Vielzahlvon Inhalten aus unterschiedlichen Quellen und in verschiedenen Formaten, wie zumBeispiel Text-, Video- und Audiodateien bereit. Diese müssen strukturiert werden, da-mit eine Big-Data-Analyse durchgeführt werden kann.9 Als vierte Eigenschaft wirdVeracity aufgeführt. Diese beschreibt die Richtigkeit, Vollständigkeit und Verlässlich-keit der Datenmenge. Denn Big Data bezieht auch Daten mit ein, welche in unterschied-lichen Qualitäten vorliegen. Mit speziellen Algorithmen kann diese Datenqualität be-wertet werden.10 Durch die schnelle Verfügbarkeit und Analyse der Daten wird es mög-lich, Sachverhalte anders zu bewerten. Wenn bisher klassische Modelle zum Einsatzkamen, kann nun auch eine datengetriebene Hypothese erstellt werden.11 Gerade in Fäl-len, bei denen keine absolute Gewissheit, sondern eine hohe Wahrscheinlichkeit ausrei-chend ist, bieten Big-Data-Analysen und ihre Prognosen eine hilfreiche Grundlage zurEntscheidung.12 Somit lassen sich Big-Data-Analysen in vielen Bereichen einsetzen. Siedienen zur Steigerung der Effizienz von Unternehmen, zur Täteranalyse im Sicherheits-bereich, zum Einsatz von gezieltem Marketing und können außerdem für individuellepolitische Kampagnen bei Wahlen genutzt werden.13
Zusammenfassend bezeichnet Big Data also den Einsatz großer Datenmengen aus vielfältigen Quellen mit einer hohen Verarbeitungsgeschwindigkeit zur Erzeugung eines wirtschaftlichen Nutzens.
2.2. Definition der neuen EU-Datenschutz-Grundverordnung
Aufgrund der technischen Entwicklungen in den letzten 20 Jahren haben sich die An-forderungen an den Datenschutz seit der Einführung der alten Datenschutzrichtlinie95/46/EG aus dem Jahr 1995 verändert. Deshalb haben das Europäische Parlament undder Rat der Europäischen Union im Jahr 2016 die neue EU-Datenschutz-Grundverordnung veröffentlicht, welche am 25. Mai 2018 für alle Mitgliedsstaaten derEU in Kraft tritt und die alte Datenschutzrichtlinie aufhebt.14 Die Verordnung bestehtaus elf Kapiteln, welche insgesamt 99 Artikel beinhalten. Die ersten 50 Artikel beziehensich auf materielle Fragen zum Datenschutz und die übrigen 49 Artikel auf organisatori-sche und formelle Themen.15 Den elf Kapiteln vorangestellt sind 173 Erwägungsgründe,welche zum Erlass dieser Verordnung geführt haben und weitere Erklärungen bieten.Insgesamt verfolgt das Europäische Parlament und der Rat der Europäischen Uniondamit zwei Zielsetzungen. Zum einen sollen die aktuellen europäischen Richtlinienharmonisiert und an die technologischen Entwicklungen angepasst werden.16 Zum ande-ren sollen die personenbezogenen Daten von natürlichen Personen bei der Verarbeitunggeschützt und die freie Übermittlung dieser geschützten Daten sichergestellt werden.17 Als personenbezogene Daten bezeichnet die EU-Datenschutz-Grundverordnung Infor-mationen, welche sich einer identifizierten oder identifizierbaren Person zuordnen las-sen. Zu diesen Informationen zählen unter anderem die Standortdaten, der Name, eineOnline-Kennung oder Merkmale zur kulturellen oder sozialen Identität.18 Losgelöst da-von in welchem Land die Verarbeitung der personenbezogenen Daten stattfindet, greiftdie Verordnung, wenn die Verarbeitung aufgrund eines Verantwortlichen innerhalb derEuropäischen Union erfolgt. Auch wenn die personenbezogenen Daten von Bürgern dereuropäischen Union sind und von einem Verantwortlichen außerhalb der Union verar- beitet werden, findet diese Verordnung Anwendung.19 Im Vergleich zur Richtlinie von1995, bei der die EU-Staaten die Rechtsgrundsätze unterschiedlich in ihr nationalesRecht umsetzen konnten, ist die EU-Datenschutz-Grundverordnung einheitlich und füralle Staaten verbindlich.20 Die Europäische Kommission vermutet, dass die Unterneh-men durch die Einführung dieser einheitlichen Rechtsgrundlage jährlich bis zu 2,3 Mrd.€ einsparen können. Diese Kosteneinsparungen ergeben sich dadurch, dass bei einerländerübergreifenden Datenverarbeitung die Gesellschaften in den jeweiligen Länderneinheitlich aufgestellt werden können und nicht an die jeweiligen nationalen Gesetzeangepasst werden müssen.21 Trotz dem Ziel der Harmonisierung bietet sie den Mitglied-staaten dennoch weiter die Möglichkeit einige Vorschriften spezifischer zu gestalten.22 Allerdings drohen bei einem Verstoß gegen diese Verordnung dem Verantwortlich einBußgeld in Höhe von bis zu 20 Mio. € oder von bis zu 4 Prozent des im vorherigen Jahrerzielten weltweiten Jahresumsatzes.23 Deshalb sind die Verantwortlichen nach Artikel 30 der Verordnung auch verpflichtet, alle ihre Verarbeitungstätigkeiten zu dokumentieren. Diese Dokumentation muss schriftlich oder in elektronische Form erfolgen und ist der Aufsichtsbehörde bei Verlangen zur Verfügung zu stellen.24
Namentlich wird der Begriff Big Data in der EU-Datenschutz-Grundverordnung nichtdirekt aufgeführt oder beschrieben. Die Big-Data-Analysen verstecken sich allerdingshinter dem Begriff Profiling. Dieser bezeichnet alle automatisierten Verarbeitungen vonpersonenbezogenen Daten, die genutzt werden, um unter anderem die Arbeitsleistung,wirtschaftliche Lage, persönliche Vorlieben und Verhalten der Personen zu analysierenoder vorherzusagen.25 Detailliertere Regularien zu Profiling werden in Artikel 22 der Verordnung aufgeführt. Dort heißt es, dass Entscheidungen, die eine rechtliche Auswir-kung haben oder welche Personen ähnlich beeinträchtigen, wie zum Beispiel eine auto-matische Ablehnung eines Online-Kreditantrages oder Einstellungsverfahren, nicht aus-schließlich auf der Grundlage einer automatisierten Verarbeitung getroffen werden dür-fen.26 Lediglich wenn eine automatisierte Entscheidung für den Abschluss oder die Er-füllung des Vertrages notwendig ist oder die betroffene Person zustimmt, darf dies au-tomatisiert durchgeführt werden.27 In diesen Fällen muss der Verantwortliche allerdingsMaßnahmen zum Schutz der Rechte und Freiheiten der betroffen Person ergreifen,wozu mindestens das Eingreifen einer Person zählt.28 In den folgenden Kapiteln wirdauf die Anforderungen von Privacy by Design, Privacy by Default, personenbezogeneDaten, Informationspflicht und Auskunftspflicht der EU-Datenschutz-Grundverordnungeingegangen, welche Vorgaben für den Umgang mit Big Data enthalten.
3. Anforderungen an Big Data unter der EU-Datenschutz-Grundverordnung
3.1. Privacy by Design und Privacy by Default
Die EU-Datenschutz-Grundverordnung führt in Artikel 25 die Aspekte Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf, welche in diesem Kapitel genauer beschrieben werden. In einem Factsheet aus dem Jahr 2015 weist die Europäische Kommission diesen zwei Aspekten eine zentrale Rolle für die weitere Nutzung von Big Data zu.29
Datenschutz durch Technikgestaltung ist gleichbedeutend mit Privacy by Design. Dem-nach soll bereits bei der Entwicklung von neuen Techniken zur Datenverarbeitung da-rauf geachtet werden, dass Maßnahmen zum Datenschutz, wie Techniken zur Pseudo-nymisierung und Begrenzung der Datenverarbeitung auf ein Minimum, eingehaltenwerden.30 Auch die EU-Datenschutz-Grundverordnung nimmt diesen Punkt auf, damit die personenbezogenen Daten zum Zeitpunkt der Festlegung der Mittel und zur Verar-beitung durch technische und organisatorische Maßnahmen geschützt werden. Dabeiführt die Verordnung explizit die Pseudonymisierung auf, um der Datenminimierunggerecht zu werden und Garantien zum Schutz der personenbezogenen Daten aufzuneh-men.31 Der Begriff Pseudonymisierung wird in der Verordnung folgendermaßen erklärt.Pseudonymisierung bedeutet, dass personenbezogene Daten ohne das Hinzuziehen vonzusätzlichen Informationen nicht mehr einer bestimmten Person zugeordnet werdenkönnen. Diese zusätzlichen Daten sind dabei gesondert aufzubewahren, damit keinedirekte Verbindung existiert, welche Rückschlüsse ermöglichen würde. Weiterhin müs-sen technische und organisatorische Maßnahmen vorliegen, welche verhindern, dasseine direkte Zuordnung möglich wäre.32
Die datenschutzfreundlichen Voreinstellungen werden beschrieben mit der BezeichnungPrivacy by Default. Darunter wird die Anforderung verstanden, dass gleichzeitig mit derersten Nutzung eines IT-Systems die voreingestellten Einstellungen benutzerfreundlicheDatenschutzbestimmungen erfüllen, und nicht erst dann, wenn der Nutzer diese Einstel-lung selbst vornimmt oder ändert. Sichergestellt werden kann dies oftmals schon bei derEntwicklung.33 Diese Anforderungen werden auch in Artikel 25 der EU-Datenschutz-Grundverordnung aufgeführt. Durch voreingestellte technische oder organisatorischeMaßnahmen soll sichergestellt werden, dass von vornherein nur die notwendigen perso-nenbezogenen Daten verarbeitet werden.34 Erst wenn der Nutzer selbst seine Einstellun-gen der Privatsphäre ändert, soll der Zugriff zu weiteren Daten gewährt werden.35
In den 90er Jahren entwickelte Ann Cavoukian das Konzept Privacy by Design mit den folgenden sieben Prinzipien, in denen auch Privacy by Default enthalten ist:36
1. Proaktiv, nicht reaktiv; als Vorbeugung, nicht als Abhilfe. Das Konzept soll proaktiv sein und Datenschutzprobleme sollen antizipiert werden, bevor diese sich negativ auswirken.
2. Datenschutz als Standardeinstellung. Der Nutzer soll bereits den maximalen Datenschutz voreingestellt haben und lediglich das Minimum an benötigten Daten wird verarbeitet.
3. Datenschutz ist in das Design eingebettet. Der Datenschutz soll eine Kernfunktion des IT-Systems sein, welche bereitswährend der Entwicklungsphase und nicht erst danach integriert wird.
4. Volle Funktionalität. Die Datenschutzmaßnahmen sollen die volle Funktionalität nicht begrenzen.
5. Durchgängige Sicherheit - Schutz über den gesamten Lebenszyklus. Während des kompletten Lebenszyklus soll der Datenschutz durchgängig sichergestellt werden. Sofern die Daten nicht mehr benötigt werden, sollen diese gelöscht werden.
6. Sichtbarkeit und Transparenz. Alle involvierten Prozesse sollen gleichermaßen sichtbar und transparent sein für Nutzer und Anbieter.
7. Privatsphäre der Nutzer respektieren. Die Interessen der Nutzer sollen an erster Stelle stehen.
Die europäische Kommission zielt auch darauf ab, die weitere Nutzung von Big-Data-Analysen durch die Verordnung zu fördern. In dem Factsheet gibt sie an, dass die Ver-ordnung „die Anonymisierung (Löschen unnötiger personenbezogener Daten), diePseudonymisierung (Ersetzen personenbezogener Daten durch Zeichenkombinationen)und die Verschlüsselung (Codieren von Nachrichten, sodass sie nur von Berechtigtengelesen werden können)“ fördert, damit diese Daten zur Verarbeitung genutzt werdenkönnen.37
[...]
1 Vgl. GfdS, Wort, 2013, o.S.
2 Vgl. Grassegger, H., Krogerus, M., Facebook, 2016, o.S; Reinbold, F., Schnack, T., Trump, 2016, o.S.
3 Vgl. Klein, D., Tran-Gia, P., Hartmann, M., Big Data, 2013, S. 319 f.; Bachmann, R., Kemper, G., Gerzer, T., Big Data, 2014, S.21 f.
4 Vgl. Bitkom, Praxiseinsatz, 2012, S.43.
5 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 99 Abs. 2 DSGVO; Bundesverband Digitale Wirtschaft e.V., Praxisleitfaden, 2017, S. 8. f.
6 Vgl. Europäische Kommission, Datenschutzreform, 2015, o.S.
7 Vgl. Nieendick, M., Jansen, J., Kalinowski, T., Big Data, 2013, S. 245 f; Bachmann, R., Kemper, G., Gerzer, T., Big Data, 2014, S. 23; Freiknecht, J., Big Data, 2014, S. 10.
8 Vgl. Bitkom, Bitkom, o.J., o. S; Bitkom, Praxiseinsatz, 2012, S. 19.
9 Vgl. Bachmann, R., Kemper, G., Gerzer, T., Big Data, 2014, S.23 ff; Freiknecht, J., Big Data, 2014, S. 10 ff; Richter, P., Datenschutz-Grundverordnung, 2016, S. 581; Gadatsch, A., Landrock, H., Big Data,2017, S. 3.
10 Vgl. Freiknecht, J., Big Data, 2014, S. 13 f; Meier, A., Kaufmann, M., Datenbanken, 2016, S.13.
11 Vgl. Wrobel, S., Voss, H., Köhler, J., Beyer, U., Auer, S., Big Data, 2015 S. 371.
12 Vgl. Roßnagel, A., Geminn, C., Jandt, S., Richter, P., Datenschutz, 2016, S. 23.
13 Vgl. Roßnagel, A., Geminn, C., Jandt, S., Richter, P., Datenschutz, 2016, S. 24.
14 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 99 DSGVO;Bundesverband Digitale Wirtschaft e.V., Praxisleitfaden, 2017, S. 8. f; Nitsch, K., Informatikrecht, 2017, S. 405 f.
15 Vgl. Roßnagel, A., Geminn, C., Jandt, S., Richter, P., Datenschutz, 2016, S. 156.
16 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Erwägungsgrund 3 DSGVO; Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Erwägungsgrund 9 DSGVO; Bundesverband Digitale Wirtschaft e.V., Praxisleitfaden, 2017, S. 9.
17 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 1 Abs. 1-3 DSGVO; Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Erwägungsgrund 1-4 DSGVO; Bundesverband Digitale Wirtschaft e.V., Praxisleitfaden, 2017, S. 9.
18 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 4 Abs. 1DSGVO.
19 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 3 DSGVO.
20 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 6 Abs. 2 DSGVO; Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Erwägungsgrund 3 DSGVO; Bundesverband Digitale Wirtschaft e.V., Praxisleitfaden, 2017, S. 9.
21 Vgl. Europäische Kommission, Datenschutzreform, 2015, o.S.
22 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 6 Abs. 2 DSGVO; Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Erwägungsgrund 3 DSGVO; Bundesverband Digitale Wirtschaft e.V., Praxisleitfaden, 2017, S. 9.
23 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 83 Abs. 5DSGVO.
24 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 5 Abs. 2DSGVO; Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 30 Abs. 1-4 DSGVO; Duda, D., Dokumentationspflichten, 2017, S. 9.
25 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 4 Abs. 4 DSGVO; Richter, P., Datenschutz-Grundverordnung, 2016, S. 585.
26 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 22 Abs. 1 DSGVO; Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Erwägungsgrund 71 DSGVO; Richter, P., Datenschutz-Grundverordnung, 2016, S. 585.
27 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 22 Abs. 2DSGVO.
28 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 22 Abs. 3 DSGVO; Roßnagel, A., Geminn, C., Jandt, S., Richter, P., Datenschutz, 2016, S. 168.
29 Vgl. Europäische Kommission, Datenschutzreform, 2015, o.S.
30 Vgl. Kipker, D., Datenschutz, 2015, S. 410; Richter, A., Fries, S., Datenschutz, 2017, S.34.
31 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 25 Abs. 1DSGVO.
32 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 4 Abs. 5DSGVO.
33 Vgl. Kipker, D., Datenschutz, 2015, S. 410.
34 Vgl. Das europäische Parlament und der Rat der europäischen Union, DSGVO, 2016, Art. 25 Abs 2DSGVO.
35 Vgl. Hornung, G., Sozial Media, 2015, S. 114.
36 Vgl. Cavoukin, A., Prinzipien, 2009, S. 2; Hagendorff, T., Informationskontrolle, 2017, S. 157.
37 Europäische Kommission, Datenschutzreform, 2015, o.S.