Big Data und Datenschutz

Sehr viele Fragestellungen hinsichtlich Datenschutz und Privatsphäre sind derzeit noch ungelöst bzw. gegenwärtig relevant. Gerade bei Big Data ist in der EU – größtenteils wegen der Datenschutz-Grundverordnung – die Datenschutzthematik ein besonders interessantes Themenfeld und natürlich auch im Blickfeld der Öffentlichkeit.

Ganz spezifisch ragt der Umgang mit der Privatsphäre im Bereich von Massendaten (sog. Big Data) hervor, um wertvolle Daten gegen missbräuchliche Verwendung von Computer-Systemen zu schützen.

Der Wert unserer Daten

Oft erst auf den zweiten Blick ist ersichtlich, dass Daten (z.B.: Beziehungs- und Verhaltensdaten, Maschinendaten, Kunden- bzw. Kundinnendaten, Positions- bzw. Bewegungsdaten, Sensordaten, uvm.) einen Wert haben.

Der Wert dieser Daten hängt vordergründig davon ab, wie sie gewonnen bzw. aufgezeichnet werden, von deren Einzigartigkeit bzw. oft auch von der Menge, wie Daten verwendet bzw. interpretiert werden und natürlich auch von wem die Daten verarbeitet werden, um etwa analytische Fragestellungen adäquat zu beantworten und etwa Muster zu erkennen. Um nun die Eigenschaften von Big Data bestmöglich zu nützen und Muster abzuleiten ist jedoch eine hohe Datenqualität erforderlich.

Mindestanforderungen an die Datenqualität bzw. Löschung

Generell empfiehlt es sich für die Unternehmen, die Datenqualität zu verbessern oder diese zumindest konstant beizubehalten und korrekte Daten zu verarbeiten. Das bedeutet unrichtige, unvollständige oder nicht mehr aktuelle Daten entweder zu bereinigen, oder diese zu löschen – da ein grundsätzlicher Rechtsanspruch für Endnutzer bzw. Endnutzerinnen darauf besteht (cf. Art. 16 bzw. Art. 17 Verordnung (EU) 2016/679) – sind zentrale Forderungen.

Big Data im Spannungsfeld des Datenschutzes und der EU-DSGVO (Verordnung (EU) 2016/679)

Neben großartigen technologischen Entwicklungen sind ferner sowohl Datenschutz als auch Datensicherheit bedeutungsvolle Faktoren im Big-Data-Bereich. Denn sobald personenbezogene Daten Gegenstand von Analysen sind, befinden wir uns in einem rechtlichen Spannungsfeld aus dem Bereich der Rahmenbedingungen der EU-Datenschutz-Grundverordnung. Diese regelt den Schutz personenbezogener Daten. Hier stellt sich vorwiegend die Frage der zweckgebundenen Verarbeitung sowie nach den erstellten Kategorien und etwa den Empfängerinnen bzw. den Empfängern oder auch hinsichtlich der geplanten Dauer der Verarbeitung aber auch zur Speicherung personenbezogener Daten. Besonders relevant ist das natürlich für den Fall, dass im Vorfeld oft gar nicht bekannt ist – etwa weil neue, nie berücksichtigte Erkenntnisse aus den Daten ableitbar sind – für welchen späteren Zweck die Daten erhoben werden. Zu alledem ist meist gar nicht ersichtlich wo überhaupt Daten geschöpft werden und an welchen Orten diese verarbeitet werden.

Die Regeln der Datenschutzgrundverordnung gelten – auch bei Big Data – für personenbezogene Daten. Das sind Informationen (z.B.: Adresse, Geburtsdatum, Name oder IP-Adressen), die sich auf eine oder mehrere Personen beziehen, die identifizierbar sind. Auch ist es ausreichend, wenn in einer Quelle nur ein geringer Teil der Daten personenbezogen ist um in den Erfassungsbereich dieser Verordnung zu fallen.

Ungeachtet dessen dürfen personenbezogene Daten vor dem Hintergrund einer konkreten Zweckbindung, einer präzisen Einwilligung bzw. im Unternehmensinteresse etc. – Gegenstand von Analysen sein. Darauf aufbauend setzt sich allerdings eine weitere Forderung durch: Nämlich, dass umfangreiche rechtliche Bestimmungen und ethische Rahmenparameter zu beachten sind. Dadurch treten auch ethisch-moralische Fragestellungen sowohl bei Privatpersonen als auch bei Unternehmen, die Massendaten verarbeiten bzw. erzeugen in den Vordergrund, um etwa datenschutzrechtliche Probleme zu vermeiden und notwendige Mindeststandards zu setzen.

Alternativ können Unternehmen Big-Data-Technologien auch in der Form nicht personalisierter Analysen (z.B.: Anonymisierung oder Pseudonymisierung) verwenden.

Bedenken Sie den Datenschutz bei der Service-Auswahl

Verlassen Sie sich nicht auf das Nutzenversprechen der Unternehmen. In erster Linie ist es hilfreich, ausschließlich wert-stiftende Services zu nützen (potentielle Anwendungsszenarien finden sie hier), da die generierten Daten von den Anbietern in der Regel genützt werden um die Gelegenheit zu nützen, Profile von Kundinnen bzw. Kunden zu erstellen. Diese Profile enthalten Verhaltensmuster, also oft was diese Kundinnen bzw. Kunden bevorzugen, was diese nicht bevorzugen und welche Gewohnheiten diese haben.

Insbesondere bei vermeintlich kostenlosen Anbietern ist zumindest Vorsicht hilfreich und ein kritischer Zugang, da bei solchen Services überwiegend mit Ihren erzeugten Daten bzw. den darauf aufbauend erstellten Profilen „bezahlt“ (z.B.: mittels zielgerichteter Werbung) wird.

Wählen Sie vorrangig Unternehmen für Services (z.B.: Film-Streaming, Kreditkartenanbieter, Musik-Streaming, Suchmaschine) die Sie nützen möchten, für welche Datenschutz und Ihre Privatsphäre nachweislich von hoher Bedeutung sind und verwenden Sie Services nur dann, wenn diese wirklich notwendig sind.

Datensparsamkeit als Lösung

Big Data ist für viele Organisationen und Unternehmen ein großer Gewinn, weil dadurch verbesserte Abläufe und neue Geschäftsmodelle verwirklichbar sind und etwa die Kundenbindung verbessert werden kann. Auch – und gerade im Big-Data-Umfeld - sind rechtliche Bestimmungen zum Datenschutz zu berücksichtigen. Trotzdem sollten Sie auch dabei genau schauen.

Als potentieller Ausweg ist die sparsame Erzeugung von Daten einerseits durch die Unternehmen aber vorwiegend durch die Endanwenderinnen bzw. Endanwender ganz besonders wichtig. Denn Daten, die nicht vorhanden sind, können nicht gestohlen werden. Auch ist der Missbrauch von Daten, die schlichtweg nicht existieren - weil diese nie entstanden sind - unmöglich.

Big Data hat im Gegenstück allerdings den Zugriff auf vertrauliche – bzw. sensible – Informationen und Erkenntnisse über neue Zusammenhänge verbessert. Dieser Zugriff kann wegen der umfangreichen Datenverarbeitung die Privatsphäre von Personen direkt gefährden und unter Umständen auch gegen Datenschutzgesetze verstoßen. Dies kann sogar zum weitreichenden Datenmissbrauch, zu Diskriminierung oder etwa zu unfairer Analyse führen.

Ausweg Anonymisierung

Wenn möglich, versuchen Sie Ihre Daten zu anonymisieren – auch wenn es schwer fällt. Darüber hinaus ist jedoch auch zu berücksichtigen, dass anonyme Daten vom Anwendungsbereich der DSGVO nicht betroffen sind. Insbesondere in Österreich ist der Datenschutz ein sehr wichtiges Thema.

Weitere Informationen zum Datenschutz finden Sie unter:

Fazit

Methodische Datensparsamkeit und die Auswahl zuverlässiger bzw. vertrauenswürdiger Dienstleister sind zentrale Mittel um die Erzeugung bzw. die Verbreitung von großen Datenmengen mit einem persönlichen Bezug auf ein sinnvolles Maß einzuschränken und sich selbst zu schützen. Wenn Sie trotz aller Vorkehrungsmaßnahmen das Gefühl haben, Ihre Daten sind nicht sicher, dann informieren Sie sich bitte rechtzeitig über die Möglichkeit bzw. die notwendigen Schritte von Auskunftsbegehren nach Art. 15 der „VERORDNUNG (EU) 2016/679“. Darüber hinaus bietet die DSGVO einen Fokus auf technische Sicherheitsmaßnahmen, Widerspruchsmöglichkeiten und Regelungen um Transparenz zu schaffen. Dadurch haben die Unternehmen die Möglichkeit, die Betroffenenrechte einzuhalten und Ihre Daten zu schützen.

Letzte Aktualisierung: 1. August 2019

Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria