Chancen und Risiken

In unserer heutigen Kommunikationsgesellschaft mit den sich ständig weiterentwickelnden Informationstechnologien wächst das Datenaufkommen kontinuierlich an. Die Firma Cisco geht in ihrem VNI Global IP Traffic Forecast davon aus, dass sich das jährliche Datenvolumen global bis 2017 auf 1,4 Zettabytes erhöhen wird. Diese Menge entspricht dem Datenvolumen von ungefähr 362 Milliarden DVDs.

Wirtschaftliche Bedeutung von Daten
Mit zunehmender Datenmenge steigt auch die Bedeutung von Technologien zur sinnvollen Datenbearbeitung, da die Menge an Daten für sich alleine noch kaum Nutzen bringt. Ein solches Bearbeitungsverfahren ist das sogenannte «Data-Mining». Diese Verbindung aus den Begriffen «Daten» und «Bergbau» beziehungsweise «Abbau» ist ein Oberbegriff für verschiedene Verfahren, mit welchen aus grossen Datenbeständen neue Wissenszusammenhänge gewonnen werden können. Das Gewinnen von Erkenntnissen aus Big Data stellt eine Datenbearbeitung dar, die unter gewissen Umständen den Erfordernissen und Vorgaben der Datenschutzgesetzgebung zu gehorchen hat.
Daten werden seit geraumer Zeit als das Erdöl der Zukunft bezeichnet. Diese Analogie wird vielfach mit dem Erfolg von Unternehmen wie Facebook oder Google in Verbindung gebracht. Genau genommen sind es jedoch nicht die enormen Datenberge an sich, welche von Bedeutung sind. Wesentlich ist vielmehr der Nutzen, der aus ihnen gezogen werden kann. Der wirtschaftliche Erfolg vieler Unternehmen wird deshalb in der Zukunft stark davon beeinflusst werden, ob und wie gezielt sie Datenmengen analysieren und nutzen, um Informationen daraus zu generieren und diese dann zu verwerten.

Was versteht man unter Big Data?
Als Big Data werden besonders grosse Datensammlungen bezeichnet, die sich mit herkömmlichen Standard-Datenbanken und Datenmanagement-Tools nicht oder nur unzureichend verarbeiten lassen. Zum Anlegen von Big Data werden möglichst viele Daten gesammelt, die aus möglichst zahlreichen Quellen bezogen werden. Dabei werden Daten im Volumen von bis zu mehreren Exabytes angelegt und gesammelt. Die Informationen stammen aus allen vorstellbaren Quellen: Telekommunikation (Mobiltelefone, Internet, GPSDaten), Zugriffsstatistiken von Websites, Daten zum Verbrauch von Strom und Wasser, Konsumdaten, Nutzerverhalten von Dienstleistungsempfängern, Standortdaten, Werbedaten, demografische Daten usw. Immer mehr Daten werden auch aus dem Internet bezogen. Es wird meist wahllos gesammelt, dem Grundsatz folgend, dass es zu viele Daten nicht gibt. Alle Methoden der Anlegung von Big Data haben keinen direkten Personenbezug, da die Informationen entweder aus einem bestehenden Umfeld herausgelöst oder anonymisiert wurden.
Was den effektiven Wert von Big Data betrifft, so muss dieser nach der Anlegung noch erschlossen werden. Ein grosser Datenbestand allein nützt nichts, sondern verursacht lediglich Kosten für Speicherung, Unterhalt und Infrastruktur. Angemerkt sei aber, dass der Wert von «Small Data» – also den Daten einer einzelnen Person – im Vergleich zu den gesammelten Big Data unterproportional niedrig bis wertlos ist.

Anwendungsmöglichkeiten von Big Data
Bei der Anlegung von Big Data werden neue Horizonte zur Art und Weise von Datenbearbeitung geöffnet, da durch den riesigen Datenberg in einem Ausmass neue Erkenntnisse gewonnen werden können, welches bisher mit dem Sammeln von vergleichsweise kleinen Datenmengen unmöglich war. Je grösser dabei die Menge und je vielfältiger die Quellen der gespeicherten Daten sind, desto grösser ist die Chance, wertvolle und neue Erkenntnisse zu gewinnen.
Dem Data-Mining kommt in dieser Phase ein hoher Stellenwert zu. Mithilfe von «Advanced Analytics Technologies » werden die grossen Datenbestände analysiert, um möglichst viel verwertbare Erkenntnisse zu gewinnen. Die Methoden sind aufgrund der Komplexität der Verarbeitungsprozesse enorm kostspielig und stehen somit in der Regel privaten Einzelpersonen nicht zur Verfügung.
Auf staatlicher Seite hingegen wird den Sicherheitsbehörden immer umfangreicherer Zugriff auf stets umfassendere staatliche Datensammlungen gewährt. Viele Staaten erhoffen sich, durch das Anlegen von Big Data und deren Analyse militärischen Schlägen oder Terrorakten zuvorzukommen, das Verhalten der eigenen Bürger besser abschätzen oder die Kriminalität besser bekämpfen zu können.

Daten sind das Erdöl der Zukunft.

Auf privater Ebene erarbeiten immer mehr Firmen Business-Modelle, um aus Big Data Profit zu generieren. So werden dem Konsumenten beispielsweise «kostenlose» Dienstleistungen angeboten im Austausch gegen die Abgabe persönlicher Daten. Dabei werden oft Datenschutzvereinbarungen mit den Konsumenten geschlossen, die weitreichende Einverständniserklärungen hinsichtlich der Erhebung, Speicherung und Nutzung von Daten enthalten.
Solchermassen gesammeltes Big Data wird anschliessend ausgewertet und verkauft. Die Unternehmen hoffen, aufgrund der gewonnenen Erkenntnisse ein vollständigeres Bild von den Bedürfnissen der Kunden zu erhalten, welches dann im Rahmen ihres Geschäftsfeldes nutzbar ist. Versicherungen beispielsweise versuchen, durch die neuen Möglichkeiten von Big Data das Versicherungsrisiko besser abzuschätzen und den Versicherten somit rentablere und passendere Produkte anbieten zu können.

Big Data und Datenschutzrecht
Anwendbarkeit des Datenschutzrechts
Für die Frage, ob Big Data und dessen Verwendung datenschutzrelevant ist, muss zunächst bestimmt werden, ob das Datenschutzrecht überhaupt Anwendung findet. Das Bundesgesetz über den Datenschutz (DSG) bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über welche Daten bearbeitet werden. Aus diesem Grund gilt das DSG lediglich dann, wenn Personendaten von der Bearbeitung betroffen sind. Folglich ist das Datenschutzrecht für die Bearbeitung von Big Data dann relevant, wenn Personendaten enthalten sind.
Unter Personendaten versteht das DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Auf die Art, die Form oder den Inhalt der Angaben kommt es nicht an. Somit sind nicht nur Informationen betreffend den Namen, das Alter oder die Adresse relevant, sondern auch jede andere Angabe, welche einen Bezug zu einer Person besitzt oder herstellt (z. B. Metadaten). Ein solcher Bezug fehlt jedoch dann, wenn etwa die Bestimmbarkeit fehlt und damit die Identifizierung eines unzumutbaren Aufwands bedarf.
Obwohl Big Data im Allgemeinen als Masse von anonymen Daten angesehen wird, kann nicht ausgeschlossen werden, dass bei bestimmten Teilen gleichwohl ein Personenbezug gegeben ist oder hergestellt werden kann. Zudem ist hervorzuheben, dass mit dem immer grösseren Umfang an zur Verfügung stehenden anonymen Daten aus unterschiedlichen Quellen das «Risiko» der Deanonymisierung steigt, da fortgeschrittene Analyseverfahren immer besser in der Lage sein werden, auch anonyme Daten erfolgbringend zu kombinieren.

Gewährleistung der Einhaltung datenschutzrechtlicher Anforderungen
Sofern davon ausgegangen werden kann, dass durch die fortgeschrittene Analyse und Auswertung von Big Data Personendaten «entstehen», sind die datenschutzrechtlichen Konsequenzen aufzuzeigen. Aus Art. 12 DSG ergibt sich, dass die Persönlichkeit der betroffenen Person, über welche Daten bearbeitet1 werden, nicht widerrechtlich verletzt werden darf. Dies bedeutet, dass bei der Datenbearbeitung die datenschutzrechtlichen Bearbeitungsgrundsätze (Art. 4 DSG) einzuhalten sind. Wenn aber die betroffene Person die Daten allgemein zugänglich gemacht hat und eine Bearbeitung nicht ausdrücklich untersagt, dürfen sie bearbeitet werden.
Falls die betreffenden Personendaten nicht allgemein zugänglich gemacht worden sind, dann erscheint zweifelhaft, ob bei der Bearbeitung von Big Data die vorgeschriebenen Grundsätze des DSG eingehalten werden. Zu nennen ist etwa der Grundsatz der Zweckbindung (Art. 4 Abs. 3 DSG), welcher verlangt, dass die Daten nur zu demjenigen Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dem gegenüber steht die Grundidee von Big Data, wonach Informationen ohne konkreten Zweck (z. B. auf Vorrat) gesammelt und zum Teil allein für zukünftige, noch nicht definierte Fragen und Auswertungen verwendet werden sollen, was diesem gesetzlichen Datenbearbeitungsgrundsatz in deutlicher Weise widerspricht.
Ein weiterer Bearbeitungsgrundsatz verlangt, dass es für die betroffene Person erkennbar sein muss, wenn Daten über sie beschafft werden und zu welchem Zweck (Art. 4 Abs. 4 DSG). Besonders bei Daten, die im Rahmen der Data-Mining-Auswertungen «beschafft » werden, dürfte es wohl an der Einhaltung dieses Grundsatzes mangeln. Werden jedoch die Grundsätze des Datenschutzgesetzes (insbesondere Art. 4 DSG) nicht eingehalten, so liegt eine widerrechtliche Verletzung der Persönlichkeit der Person, über welche Daten bearbeitet werden, vor. Verletzt die Bearbeitung von Big Data demnach die Persönlichkeitsrechte einer Person, ist die Bearbeitung nicht zulässig.

Konsequenzen fur die datenschutzkonforme Ausgestaltung von Big Data
Trotz Unsicherheiten betreffend Zulässigkeit der Bearbeitung von Big Data sind Gestaltungsmöglichkeiten ersichtlich, welche die Vereinbarung der Zielsetzung des Datenschutzrechts mit den Interessen der Bearbeitung von Big Data erlauben.

• Minimierung des Risikos von rechtswidrigen Persönlichkeitsverletzungen durch Beschaffung und Verwendung von Daten, die von der betroffenen Person öffentlich zugänglich gemacht wurden. Ausschluss der Anwendbarkeit des Datenschutzgesetzes durch Beschaffung und Verwendung von nicht personenbezogenen Daten respektive Anonymisierung gespeicherter Personendaten, indem der Personenbezug durch dauerhaftes Löschen der Identifikationsmerkmale und/ oder Aggregierung derselben verunmöglicht wird.
• Gewährleisten der Nichtanwendbarkeit des Datenschutzgesetzes durch Nutzung von Auswertungs-/Analysemethoden und -medien, die das Risiko einer Deanonymisierung der gespeicherten Daten ausschliessen oder zumindest stark vermindern.

Fazit
Auch wenn theoretische Möglichkeiten für eine datenschutzkonforme Konzeption von Big Data bereits heute zur Verfügung stehen, so erscheinen dessen zugrunde liegende Ideen nicht konvergent mit dem Schutzzweck der Datenschutzgesetzgebung. Vor diesem Hintergrund sind die Inhaber und Bearbeiter von Big Data gut beraten, sich mit den datenschutzrechtlichen Anforderungen bereits zu Beginn entsprechender Projekte auseinanderzusetzen.
Es sollte insbesondere definiert und klar kommuniziert werden, welche Daten zu welchen Zwecken verwendet und mit welchen technischen Mitteln analysiert werden sollen, um datenschutzrechtliche Konflikte zu minimieren. Im Rahmen der rechtlichen Auseinandersetzung sollten dabei alle Prozessschritte in Big- Data-Projekten von der Beschaffung bis zur Weitergabe einer separaten Analyse für jeden Einzelfall unterzogen werden.

Susanne Hofmann-Hafner
 

Weitere Informationen
PwC
Susanne Hofmann-Hafner
Leiterin Legal Compliance
Birchstrasse 160
CH-8050 Zürich
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Tel. +41 (0)58 792 17 12
www.pwc.ch