Big Data und Datenschutz – passt das zusammen?

Erst kürzlich machte die Nachricht die Runde, dass es Google gelungen sei, einen Quantencomputer zu bauen. Im Vergleich zum klassischen Computer arbeitet dieser nicht auf der Basis der Gesetze der klassischen Physik, sondern auf der Basis quantenmechanischer Zustände. So besagt es zumindest Wikipedia. Für den Laien zusammengefasst lässt sich sagen, dass ein Quantencomputer deutlich leistungsstärker als ein Superrechner ist. In einem Experiment von Google erfolgte eine komplexe Berechnung von Zufallszahlen, für die heutige Rechner schätzungsweise 10.000 Jahre brauchen, in nur drei Minuten und 20 Sekunden. Das Beispiel verdeutlicht sehr schön, dass die datengetriebene Zukunft nicht mehr allzu fern ist. Data Analytics und Predictive Analytics stecken heute vielleicht noch in den Kindeschuhen, doch mit den neuen technischen Möglichkeiten werden sie sich mehr und mehr etablieren und unser Leben begleiten. Was technisch möglich ist, ist aber oft vom Gesetzgeber her nicht gewollt. Viele Unternehmen stehen vor dem Problem, dass mit dem eigenen Datenschatz vieles effizienter und kundenzentrierter ablaufen könnte, doch stolpern sie über die Frage, welche Daten sie überhaupt verwenden dürfen. Auf der Fachkonferenz Big Data und Data Analytics haben wir mit Dr. Johanna Schmidt-Bens, LL.M. – Rechtsanwältin bei der HK2 Rechtsanwälte GbR, darüber gesprochen, wie Big Data und die DSGVO überhaupt zusammenpassen. 

In Ihrem Vortrag haben Sie gesagt, dass Sie ein Fan der DSGVO sind, im Bereich von Big Data sei das Ganze aber noch ein wenig ausbaufähig. Was haben Sie damit gemeint?

Ich habe damit gemeint, dass die DSGVO und Big Data nicht so gut zusammenpassen, da die DSGVO von ihrer Struktur und von den Grundsätzen her auf Datensparsamkeit ausgerichtet ist. Big Data hingegen steht für eine große Menge von unstrukturierten Daten, die es zu verarbeiten gilt. Daher ist bereits da ein Widerspruch zwischen dem Datenschutzrecht und Big Data, den man in jedem Einzelfall prüfen muss und unter bestimmten Voraussetzungen auflösen kann. In manchen Fällen, wie beispielsweise bei der Verarbeitung von Gesundheitsdaten, ist die rechtliche Erlaubnis allerdings nur schwer möglich, sodass man die Daten dann unter Umständen nicht verarbeiten darf. Eine Möglichkeit, aus dem Anwendungsbereich der DSGVO herauszufallen, besteht in der Anonymisierung der Daten. Dabei sollte man aufpassen, dass diese technisch korrekt durchgeführt wird, sodass wirklich kein Personenbezug mehr gegeben ist und man diesen auch nicht mehr herstellen kann.

Wer mit Big Data arbeitet, wird in der Regel auch eine Datenschutzfolgenabschätzung durchführen müssen. Warum ist diese so relevant?

Die Datenschutzfolgenabschätzung ist immer dann relevant, wenn man zu dem Ergebnis kommt, dass eine Datenverarbeitung vermutlich ein hohes Risiko birgt. Die Datenschutzfolgenabschätzung wurde vom Gesetzgeber normiert, um den mit der technologischen Weiterentwicklung verbundenen Risiken zu begegnen und die Betroffenen bestmöglich zu schützen. Bei der Verarbeitung von KI-Daten mit Personenbezug dürfte die Datenschutzfolgenabschätzung in der Regel notwendig sein. Im Big-Data-Bereich ebenfalls in vielen Fällen. Um sich hier zu informieren, hilft einem zunächst die DSGVO weiter, die Beispielfälle aufzählt, in denen eine Datenschutzfolgenabschätzung durchgeführt werden muss. Zum anderen hat die Aufsichtsbehörde eine Liste veröffentlicht, die Kriterien aufzählt und zudem eine Reihe von Anwendungsfällen für die Durchführung einer Datenschutzfolgenabschätzung enthält. Das Instrument der Datenschutzfolgenabschätzung hat den Vorteil, dass man sehr strukturiert aufschreibt, was man mit den Daten macht, dass man prüft, ob es dafür eine Rechtsgrundlage gibt und welche technischen Maßnahmen zum Schutz eingesetzt werden können. Am Ende verfügt man im Unternehmen über eine Dokumentation, die nach der DSGVO dem Grunde nach sowieso vorgenommen werden muss. Schließlich besteht im Datenschutzrecht eine Rechenschaftspflicht/Dokumentationspflicht, der man nachkommen sollte.

Sie sind in Ihrem Vortrag auch darauf eingegangen, dass laut Artikel 22 EU-DSGVO ein Verbot der automatisierten Einzelentscheidungen besteht. Können Sie das noch einmal kurz erklären?

Hier hat der EU-Gesetzgeber in Anbetracht der zunehmenden, maschinellen Verarbeitung von personenbezogenen Daten eine Wertung dahingehend getroffen, dass der Mensch nicht nur Bezugspunkt der Verarbeitung ist, sondern auch weiterhin Einfluss auf die maschinelle Verarbeitung und die automatisierte Entscheidungsfindung haben soll. So sollen automatisierte Einzelentscheidungen, die nachteilige Auswirkungen auf die Betroffenen haben, grundsätzlich erst einmal verboten sein. Von diesem Verbot gibt es bestimmte gesetzliche Ausnahmen, in denen eine solche automatisierte Einzelentscheidung datenschutzrechtlich möglich ist. Dabei sollte man genau prüfen und dokumentieren, ob und wie die Voraussetzungen der Ausnahmetatbestände vorliegen. Zudem muss den Betroffenen insbesondere die Möglichkeit der manuellen Überprüfung der Entscheidung durch eine natürliche Person eingeräumt werden. Der Mensch soll jederzeit in der Lage sein, den Verarbeitungsprozess der automatisierten Entscheidung zu steuern und darüber informieren zu können. Dankeschön.