Datenschutz im Zeitalter der Digitalisierung

Keine klaren Aussgen der DS-GVO zu Big Data

29.09.2017

Die Aussage von Angela Merkel, Daten sind „die Rohstoffe des 21. Jahrhunderts“, kann die derzeitigen Entwicklungen nicht treffender beschreiben.

Obwohl es nach Expertenmeinungen, insbesondere dem deutschen Mittelstand in diesem Bereich an Innovationsbereitschaft fehle, sind die rasanten Entwicklungen deutlich zu spüren. Täglich werden wir mit Begriffen wie, Digitalisierung, Industrie 4.0, Big Data, Smart Home, Smart Factory, Bitcoin oder Blockchain – die Liste könnte beliebig weitergeführt werden – konfrontiert. 

Die vorrangigen Ziele dieser Entwicklungen (wie u.a. höhere Prozess-Effizienz) sind auf den ersten Blick legitim und haben auch nichts Verwerfliches an sich. Schließlich sollen diese Innovationen auch für jeden Einzelnen im täglichen Leben zu Erleichterungen führen.

Die Kehrseite der Medaille sind allerdings die hierfür erforderlichen Datenmengen. Neben dem sinnvollen Verwendungszweck, sind diesen neuen Möglichkeiten praktisch keine Grenzen gesetzt und wecken somit auch entsprechende Begehrlichkeiten der missbräuchlichen Datennutzung.

Welche Gefahren bringen die neuen Möglichkeiten mit sich?

Im engen Zusammenhang mit der „Digitalisierung“ steht stets der Begriff „Big Data“.

Grundsätzlich geht es hierbei um riesige Datenmengen, die u.a. bei der Verwendung von Internet, E-Mail oder elektronischen Zahlungsmethoden entstehen und zunächst gespeichert werden, um diese dann später für bestimmte Zwecke gezielt zu verarbeiten bzw. zu nutzen. Unter Einsatz komplexer Analysemethoden können dann auf Basis dieser Massendaten Erkenntnisse gewonnen werden, die dann zu bestimmten Marketingmaßnahmen oder zu vollautomatischen Entscheidungsfindungen (beispielsweise die Ablehnung von Kreditanträgen, Absagen auf Stellenbewerbungen) führen.

Die Innovationen im Rahmen von „Smart Factory“ oder Industrie 4.0, wie beispielsweise Maschinenvernetzungen über Unternehmensgrenzen hinweg oder Verfahren zur Selbst-Diagnose und –Optimierung sind vorwiegend auf eine intelligente Automatisierung von Produktionsprozessen ausgerichtet, mit dem Ziel die globale Wettbewerbsfähigkeit zu erhöhen.

Vergleichbar zu „Smart Factory“ findet man im privaten Bereich den Begriff „Smart Home“. Hierzu gehören die Möglichkeiten zur mühelosen Steuerung der Haustechnik oder ein Notfallmanagement zur Schadensbekämpfung (beispielsweise Wasserrohrbruch, Feuer oder Einbruch).

Ob im industriellen oder privaten Bereich birgt der Einsatz dieser Technologien neben Komfort und Effizienz, insbesondere durch die immanente und notwendige Vernetzung, verbunden mit der Generierung und Speicherung gewaltiger Datenmengen, jedoch auch viele Gefahren. Hierzu zählen insbesondere  Cyberkriminalität, Industriespionage oder Datenklau.

Grundvoraussetzung für das Funktionieren dieser innovativen Technologien, sei es im Rahmen von Big Data, Industrie 4.0 oder auch Smart Home, ist eine entsprechende Datenbasis mit ganz neuer Aussagekraft und somit ganz neuen Möglichkeiten der Nutzung, ob sinnvoll oder auch missbräuchlich.

Und was regelt hierzu der Gesetzgeber?

Weder im BDSG noch in der DS-GVO findet man explizite Regelungen zu Begriffen Digitalisierung, BIG Data, Smart Factory, Smart Home oder Industrie 4.0.

Von Bedeutung sind in diesem Zusammenhang deshalb die generellen Datenschutz-Grundsätze, wie der § 4 BDSG (Verbot mit Erlaubnisvorbehalt und Grundsatz zur Direkterhebung) sowie § 3a BDSG (Grundsatz zur Datenvermeidung und –sparsamkeit). Weitere relevante Gebote sind die §§ 28, 29 BDSG. Diese regeln die Datenverarbeitung für eigene und fremde Geschäftszwecke und ermöglichen Unternehmen allgemein zugängliche Daten zu verarbeiten, allerdings nur, wenn sich die Verarbeitung am Grundsatz der Datensparsamkeit und –vermeidung orientiert.

Schaut man in die DS-GVO, wird man in Art. 22 DS-GVO „Automatisierte Entscheidung im Einzelfall einschließlich Profiling“ fündig (entspricht § 6a BDSG). Nach diesen Regelungen sind Entscheidungen dann unzulässig, wenn sie ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – basieren und rechtliche Wirkungen für die betroffene Person entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

Generell ist das berechtigte Interesse des Einzelnen zu berücksichtigen. Eine Datenauswertung auch unter Berücksichtigung der oben genannten Grundsätze und Gebote ist demnach unzulässig, wenn das berechtigte Interesse des Einzelnen überwiegt.

Fazit

Leider hat der Gesetzgeber die Chancen zur umfassenden Neuregelung automatischer Analysemechanismen nicht genutzt.

Nach wie vor befinden wir uns insbesondere dann in einer unklaren Situation, wenn die Möglichkeiten der Massendatenverarbeitung zwar zur Vorbereitung von Entscheidungen genutzt werden, aber nicht zu einer automatisierten Entscheidung im Sinne des Art. 22 DS-GVO führen.

Im Endeffekt bedeutet dies, dass mit Art. 22 DS-GVO seitens des Gesetzgebers zwar versucht wurde die Verwendung von Massendatenverarbeitung einzudämmen, aber mit Fokussierung auf automatisierte Entscheidungen in der Praxis nach wie vor keine wesentliche Limitierung erreicht wurde.

Führen Sie Vearbeitungen durch, die automatische Entscheidungen beinhalten? Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Ausgestaltung der Verarbeitungen unter den Gesichtspunkten des Datenscchutzes.