Big Data: Neue Datenschutz-Grundverordnung ändert einiges

Neue Spielregeln

Tobias Haar

Ab Mai 2018 treten in der EU neue Datenschutzregeln in Kraft. Big-Data-Anwendungen müssen künftig hohe Hürden überwinden, um als datenschutzkonform zu gelten.

Es dürfte sich in den meisten Unternehmen herumgesprochen haben, dass mit dem Wirksamwerden der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 in der Europäischen Union ein Umbruch im Datenschutzrecht ansteht. Die DSGVO löst eine Vorgängerregelung auf EU-Ebene aus dem Jahr 1995 ab, wird EU-weit gelten und bedarf als Verordnung nicht der Umsetzung in nationales Recht. Aus diesem Grund wurde jüngst auch das Bundesdatenschutzgesetz in Deutschland mit Wirkung zum 25. Mai 2018 erheblich abgeändert [1, 2].

Ähnlich gehen derzeit andere EU-Mitgliedsstaaten vor. Ende Juli 2017 veröffentlichte Österreich ein neues Datenschutzgesetz, das ebenfalls im Mai 2018 in Kraft treten soll. Auch das Nicht-EU-Mitglied Schweiz debattiert über eine Anpassung des dortigen Datenschutzgesetzes an die DSGVO. Vermutlich werden auch die EWR-Staaten (Europäischer Wirtschaftsraum), die nicht Mitglied in der EU sind, die DSGVO einführen. Das sind derzeit Island, Liechtenstein und Norwegen. Wie sich die Rechtslage im Vereinigten Königreich langfristig entwickelt, ist angesichts der schleppenden Brexit-Verhandlungen nicht absehbar. Zunächst greift jedoch auch dort ab Mai 2018 das neue EU-Recht.

Derzeit starten überall Compliance-Projekte, um das Verarbeiten sogenannter personenbezogener Daten an die neue Rechtslage anzupassen. Die DSGVO erlegt der datenverarbeitenden Stelle neue und erweiterte Pflichten auf. Dazu zählen etwa die Datenschutz-Folgenabschätzung, umfassende Informationspflichten sowie die Einführung eines Datenschutzmanagementsystems. Hinzu kommen die nun gesetzlich verankerten Konzepte der „Privacy by Default“ (datenschutzfreundliche Voreinstellungen) und der „Privacy by Design“ (Datenschutz durch Technikgestaltung).

Beweislastumkehr: Unternehmen in der Pflicht

Brisant: Die DSGVO führt eine Beweislastumkehr zulasten des Verarbeiters personenbezogener Daten ein. Unternehmen müssen nun jederzeit den Nachweis erbringen können, dass ihre Datenverarbeitung gemäß der Verordnung erfolgt. Insbesondere dazu dient das „Verzeichnis von Verarbeitungstätigkeiten“, das als zentraler Aspekt der gesetzlich verankerten Dokumentations- und Nachweispflichten gelten kann.

In vielen Bereichen herrscht Unsicherheit, welche Konsequenzen das Ganze nach sich zieht. Das gilt beispielsweise für Regelungen in den Bereichen „Recht auf Vergessen“ und „Recht auf Datenportabilität“. Massiv erhöhte Bußgelder und Haftungsfolgen sollen bewirken, dass das Datenschutzrecht mehr Beachtung bekommt. Die DSGVO spricht von der „wirksamen, verhältnismäßigen und abschreckenden“ Wirkung dieser Maßnahmen.

Problematisch ist für viele Entscheider, dass die DSGVO rund 60 sogenannte Öffnungsklauseln enthält. Sie gestatten es den EU-Mitgliedsstaaten, in bestimmten Bereichen abweichende Regelungen zu erlassen, die nur lokal gelten. Auch künftig genügt es also nicht, allein die EU-weite DSGVO zu beachten, ein Blick in das jeweils nationale Recht bleibt einem nicht erspart.

Wenn man sich den weitreichenden Begriff der „personenbezogenen Daten“ ansieht, der als Grundlage für die Anwendung des Datenschutzrechts dient, wird schnell klar, dass Unternehmen hier immer die Frage nach der Compliance mit dem Datenschutzrecht stellen müssen. Besonders gilt dies für den unscharfen Terminus „Big Data“.

Denn dafür bietet das Datenschutzrecht keine Definition. Wikipedia erklärt dazu: „Der aus dem englischen Sprachraum stammende Begriff Big Data […] bezeichnet Datenmengen, die zu groß, zu komplex, zu schnelllebig, zu schwach strukturiert sind, um sie mit manuellen und herkömmlichen Methoden der Datenverarbeitung auszuwerten.“ Es geht also einerseits um viele Daten und andererseits um deren maschinelle Verarbeitung – beides Aspekte, die im Datenschutzrecht eine Rolle spielen.

Zunächst einmal stehen die datenschutzrechtlichen Grundsätze der Datenminimierung, der Zweckbindung und der Speicherbegrenzung einem Big-Data-Ansatz entgegen, bei dem es um das Auswerten riesiger Informationsmengen geht. Wichtig ist, zunächst zu klären, ob es sich überhaupt um „personenbezogene“ Daten handelt. Der Begriff ist bewusst sehr offen und weitreichend gehalten und umfasst „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen“. Dabei genügt es, wenn sich der Bezug indirekt ergibt.