Aus dem Unterricht des CAS Digital Risk Managment mit Dr. Martin Eckert berichtet Eva Handschin.

Big Data im Kontext der EU-Datenschutz Grundverordnung

Unternehmensanwendungen, mobile Apps, Sensoren, über das Internet vernetzte Geräte sowie vieles mehr erzeugen jeden Tag eine Flut an Daten. Damit steht ein immer grösserer Fundus an Informationen zu Verfügung, dessen Volumen sich im Jahr 2025 laut den Analysten von IDC (International Data Corporation) auf rund 163 Millionen Zettabyte belaufen soll.

163 Millionen Zettabyte entsprechen in etwa 40 Billionen DVDs, die aufeinander gestapelt über hundert Millionen Mal zum Mond und zurück reichen würden!

Welchen Einfluss auf die Datenverarbeitung hat die neue DSGVO, die seit dem 25. Mai 2018 in der EU in Kraft ist?  Dr. Martin Eckert, Legal Partner bei MME, hat uns aus der Sicht eines Rechtsanwalts erläutert, was im Zusammenhang mit der DSGVO zum Thema Big Data berücksichtigt werden muss.

Big Date zum anschauen: https://youtu.be/uH813u7_b0s

Das gängige deutsche Pendant der englischen Bezeichnung „Big Data“ ist der Begriff „grosse Datenmenge“. Vorerst ohne bestimmten Zweck werden Daten gespeichert und für unbestimmte Zeit aufbewahrt, bis sie für Analysezwecke mit anderen Datenmengen verknüpft und ausgewertet werden.

In den folgenden drei Schritten ist das wesentliche zum Thema Big Data im regulatorichen Umfeld zusammengefasst und wird durch interessante Whitepaper von Bitkom.org ergänzt.

  1. Big Date trifft auf DSGVO
  2. Die Wichtigkeit der Datenschutz Folgeabschätzung
  3. Entwicklung einer Big-Data Strategie

1. Big Data trifft auf DSGVO

Wir leben im Zeitalter von Big Data. In vielen Bereichen werden erhebliche Datenmengen in digitalisierter Form produziert. Fragen wie “Wem gehören diese Daten” und “Wer darf diese Daten und Informationen wie und zu welchen Zwecken aus- und verwerten ?”, stellen sich heute jedem Unternehmen und jeder Privatperson. Wirtschaftsexperten sind sich einig und klassifiziert Daten als vierten Produktionsfaktor (neben Kapital, Arbeitskraft und Rohstoffen), einen neuen und schnell wachsenden Markt mit spezifischen Werten. «Data is the new oil». Technische Fortschritte wie Cloud Computing tragen dazu bei, dass immer grössere Datenmengen verarbeitet und gespeichert werden können.

Der Umgang mit Big Data hat für Unternehmen mit grossen Datenbeständen (Versicherungen, Banken, Versandhandel, Logistik, Telekommunikation, Healthcare, Social Media) top Priorität. Big Date bedeutet aber auch, dass die Menge an Daten erfasst und sortiert, gespeichert und für die Nutzung effizient verarbeitet werden muss.

Big Data ist ein Querschnittsthema, das fast alle Unternehmensbereiche tangiert (IT, F&E, Produktentwicklung, Marketing, HR, Legal & Compliance). Unkoordiniertes Handeln ist nicht effizient und schafft Risiken (Reputation, Datenschutzverletzung, Abbruch von Projekten).

Bei genauerem Hinschauen wirft eine grosse Datenmenge verschiedene rechtliche Fragen auf: Wie wird zwischen personenbezogenen Daten und anonymen Daten unterschieden? Wann gelten Daten als personenbezogen und wie verhält es sich, wenn solche Daten anonymisiert werden? Darf ein Unternehmen verschiedene Datenbestände zusammenführen oder zur Verarbeitung an Dritte weitergeben? Der Fragenkatalog könnte beliebig erweitert werden. Neben unternehmerischen Aspekten müssen bei der Beantwortung solcher Fragen die Bestimmungen des Datenschutzgesetztes beachtet werden.

Eine echte Herausforderung und rechtliches Neuland

Riesige und auch unstrukturierte Datenbestände können immer raffinierter ausgewertet und in Echtzeit analysiert werden. Innovative Unternehmen sehen Big Data als Chance, um die eigene Wettbewerbsfähigkeit zu verbessern. Aber: Wie steht es mit dem Datenschutz? Als Faustregel für die heutige Rechstlage gilt, dass nur anonyme Personendaten ausgewertet werden dürfen. Bei personenbezogenen Daten braucht es eine Einwilligung der Betroffenen. Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben worden sind (Zweckbindung; principle of purpose limitation). Big Data ist rechtliches Neuland. Es ist zu beurteilen, wie für rechtswirksame Einwilligungen gesorgt werden kann. Die aktuelle Gesetzgebung stammt aus einer Zeit vor Big Data. Dementsprechend ist die Rechtslage nicht gefestigt.

Das White-Paper Was muss ich wissen zur EU-Datenschutz Grundverordnung von www.bitkom.org ist eine wertvolle Zusammenfassung zu Fragestellungen bei der Anwendung der DSGVO:  https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/161109-EU-DS-GVO-FAQ-03.pdf

Datenschutz Grundverordung (DSGVO)?

Die DSGVO löst die EU-Datenschutz-Richtlinie aus dem Jahr 1995 ab. Sie verfolgt das Ziel, Grundrechte und Grundfreiheiten natürlicher Personen, insbes. deren Recht auf den Schutz personenbezogener Daten (Art. 1 DS-GVO) und nimmt dabei Bezug auf Artikel 8 der Charta der Grundrechte der Europäischen Union (ErwG 1 DS-GVO). Sie ist also operationalisierter Grundrechts­schutz des in Artikel 8 der Charta garantierten Datenschutzgrundrechts.

Als Verordnung ist sie ein Instrument der Vollharmonisierung europäischen Rechts, d.h. sie gilt unmittelbar in allen Mit­gliedsstaaten und löst bisheriges nationales Recht ab (in Deutschland das Bundesdaten­schutzgesetz). Das Datenschutzrecht – so auch die DSGVO – setzt einen Personenbezug der zu verarbeitenden Daten voraus. Dort, wo Big Data-Anwendungen Daten ohne jeden Personenbezug (anonyme Daten) analysieren, findet das Datenschutzrecht keine Anwendung.

Rechtliche Ausgangslage zum Schweizerisches Datenschutzgesetz (DSG)

  • Revision ist im Gange (zurzeit parlamentarische Beratung des Entwurfs)
  • Stärkung der Rechte der betroffenen Personen
  • Erweiterte Pflichten für Datenbearbeiter
  • Ziel: Angleichung Schutzniveau an DSGVO
  • Konsequenz: Revision orientiert sich an EU Vorschriften

Vorgehen bei Big Data: Welche Fragen müssen Sie sich bei Big Data Projekten vorab stellen:

  1. Werden überhaupt Personendaten bearbeitet?
  2. Welche Kategorien von Personendaten werden bearbeitet?
  3. Sind Dritte in der Bearbeitung von Personendaten involviert?
  4. Besteht ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen?

2. Die Wichtigkeit der Datenschutz Folgeabschätzung (DSFA)

Gut zu wissen:

  • Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden ist weitgehend offen
  • Erste Modelle orientieren sich an den Prüfungsschemas von ISO-Normen oder dem Standard-Datenschutzmodell
  • ISO/IEC FDIS 29134:2017 : Geschäftsprozessmodell für eine vollständige Datenschutz-Folgenabschätzung
  • Der europäische Gesetzgeber sieht insbesondere neue Technologien als Auslöser der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung

Weitere Infos zur Datenschutz Folgeabschätzung von www.bitkom.org: https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Risk-Assessment-online.pdf

Ein Bericht für eine Datenschutz-Folgenabschätzung muss gemäß Artikel 35 Absatz 7 mindestens die folgenden Angaben enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der
    Verarbeitung, gegebenenfalls einschliesslich der von dem Verantwortlichen verfolgten berechtigten Interessen
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäss
    Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemassnahmen, einschliesslich Garantien,
    Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten
    sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird

Sofern eine Konsultation der Aufsichtsbehörde notwendig ist, muss ein DSFA-Bericht um die folgenden Angaben ergänzt werden (Artikel 36 Absatz 3):

  • gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter,
    insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen
  • die Zwecke und die Mittel der beabsichtigten Verarbeitung
  • die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäss dieser Verordnung vorgesehenen Massnahmen und Garantien
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Datenschutz-Folgenabschätzung gemäss Artikel 35 und
  • alle sonstigen von der Aufsichtsbehörde angeforderten Informationen

3. Entwicklung einer Big Data-Strategie

Um das Thema Big Data in den Griff zu bekommen, braucht jedes Unternehmen eine Big Data-Strategie. Eine Big Data-Strategie wird mit dem Top-Down-Ansatz etwickelt. Oberstes Organ ist immer (wo existent) der Verwaltungsrat, dann folgt die Geschäftsleitung und das Management.

Die Big Data-Strategie muss in sich konsistent erarbeitet werden, damit das Unternehmen bereit für die Chancen und Risiken von Big Data ist und muss eher heute als morgen mit hoher Priorität erfolgen. Dabei entscheidet jedes Unternehmen für sich, welcher Ansatz in das eigene Unternehmen passt: «innovativ-progressiv» – Chancen wichtiger als Risiken (minimaler Datenschutz), «konservativ-kundenorientiert» nach dem Motto: Ihre Daten sind uns heilig, oder «pragmtisch» Case-by-case-Analyse.

Fazit

Datenschutz geht uns alle an. Es lohnt sich auch für Schweizer Unternehmen, die nicht im EU Raum aktiv sind, notwendige Prozessanpassungen und -erweiterungen in die Weg zu leiten, da sich das neue Schweizer DSG mit grosser Wahrscheinlichkeit stark an die Vorgaben der EU anlehnen wird. Und die Datenflut nimmt immer mehr zu, das lässt sich nicht mehr aufhalten. Mit KI, Mutli-Cloud-Architekturen, Blog-Chain kommen noch weitere Variablen ins Spiel, die den richtigen Umgang mit der Datenflut stark beeinflussen werden. Darauf sollten wir uns jetzt schon vorbereiten!