
Dr. Johanna Schmidt-Bens
LL.M. – Rechtsanwältin, HK2 Rechtsanwälte GbR
Im Interview verrät uns Frau Dr. Johanna Schmidt-Bens, ob die EU-DSGVO und Big Data zusammenpassen, was es mit dem Artikel 22 EU-DSGVO auf sich hat und warum eine Datenschutzfolgenabschätzung so relevant ist.
In Ihrem Vortrag haben Sie gesagt, dass Sie ein Fan der DSGVO sind, im Bereich von Big Data sei das Ganze aber noch ein wenig ausbaufähig. Was haben Sie damit gemeint?
Ich habe damit gemeint, dass die DSGVO und Big Data nicht so gut zusammenpassen, da die DSGVO von ihrer Struktur und von den Grundsätzen her auf Datensparsamkeit ausgerichtet ist. Big Data hingegen steht für eine große Menge von unstrukturierten Daten, die es zu verarbeiten gilt. Daher ist bereits da ein Widerspruch zwischen dem Datenschutzrecht und Big Data, den man in jedem Einzelfall prüfen muss und unter bestimmten Voraussetzungen auflösen kann. In manchen Fällen, wie beispielsweise bei der Verarbeitung von Gesundheitsdaten, ist die rechtliche Erlaubnis allerdings nur schwer möglich, sodass man die Daten dann unter Umständen nicht verarbeiten darf. Eine Möglichkeit, aus dem Anwendungsbereich der DSGVO herauszufallen, besteht in der Anonymisierung der Daten. Dabei sollte man aufpassen, dass diese technisch korrekt durchgeführt wird, sodass wirklich kein Personenbezug mehr gegeben ist und man diesen auch nicht mehr herstellen kann.
Wer mit Big Data arbeitet, wird in der Regel auch eine Datenschutzfolgenabschätzung durchführen müssen. Warum ist diese so relevant?
Die Datenschutzfolgenabschätzung ist immer dann relevant, wenn man zu dem Ergebnis kommt, dass eine Datenverarbeitung vermutlich ein hohes Risiko birgt. Die Datenschutzfolgenabschätzung wurde vom Gesetzgeber normiert, um den mit der technologischen Weiterentwicklung verbundenen Risiken zu begegnen und die Betroffenen bestmöglich zu schützen. Bei der Verarbeitung von KI-Daten mit Personenbezug dürfte die Datenschutzfolgenabschätzung in der Regel notwendig sein. Im Big-Data-Bereich ebenfalls in vielen Fällen. Um sich hier zu informieren, hilft einem zunächst die DSGVO weiter, die Beispielfälle aufzählt, in denen eine Datenschutzfolgenabschätzung durchgeführt werden muss. Zum anderen hat die Aufsichtsbehörde eine Liste veröffentlicht, die Kriterien aufzählt und zudem eine Reihe von Anwendungsfällen für die Durchführung einer Datenschutzfolgenabschätzung enthält. Das Instrument der Datenschutzfolgenabschätzung hat den Vorteil, dass man sehr strukturiert aufschreibt, was man mit den Daten macht, dass man prüft, ob es dafür eine Rechtsgrundlage gibt und welche technischen Maßnahmen zum Schutz eingesetzt werden können. Am Ende verfügt man im Unternehmen über eine Dokumentation, die nach der DSGVO dem Grunde nach sowieso vorgenommen werden muss. Schließlich besteht im Datenschutzrecht eine Rechenschaftspflicht/Dokumentationspflicht, der man nachkommen sollte.
Sie sind in Ihrem Vortrag auch darauf eingegangen, dass laut Artikel 22 EU-DSGVO ein Verbot der automatisierten Einzelentscheidungen besteht. Können Sie das noch einmal kurz erklären?
Hier hat der EU-Gesetzgeber in Anbetracht der zunehmenden, maschinellen Verarbeitung von personenbezogenen Daten eine Wertung dahingehend getroffen, dass der Mensch nicht nur Bezugspunkt der Verarbeitung ist, sondern auch weiterhin Einfluss auf die maschinelle Verarbeitung und die automatisierte Entscheidungsfindung haben soll. So sollen automatisierte Einzelentscheidungen, die nachteilige Auswirkungen auf die Betroffenen haben, grundsätzlich erst einmal verboten sein. Von diesem Verbot gibt es bestimmte gesetzliche Ausnahmen, in denen eine solche automatisierte Einzelentscheidung datenschutzrechtlich möglich ist. Dabei sollte man genau prüfen und dokumentieren, ob und wie die Voraussetzungen der Ausnahmetatbestände vorliegen. Zudem muss den Betroffenen insbesondere die Möglichkeit der manuellen Überprüfung der Entscheidung durch eine natürliche Person eingeräumt werden. Der Mensch soll jederzeit in der Lage sein, den Verarbeitungsprozess der automatisierten Entscheidung zu steuern und darüber informieren zu können. Dankeschön.