Der entscheidende Punkt ist es, zwei Datenquellen zusammenzuführen. Dann können anonymisierte Daten Personen zugeordnet werden. Unternehmen nutzen diese Kenntnisse bereits, indem sie Gutscheine aufs Handy zusenden und dabei Informationen über Einkäufe im Netz mit Smartphone-Daten zum Aufenthaltsort verschiedener Personen miteinander verknüpfen. Laut Aussagen des Daten-Wissenschaftlers Brynjolfsson gibt es bereits eine Reihe von Start-Up Unternehmen, die sämtliche öffentliche Informationen über Menschen sammeln und zu Profilen zusammenfassen. Die Folge ist das Verschwinden von Privatsphäre. 

Bundesverbraucherministerin Ilse Aigner bezeichnete die großen Datenmengen auf dem „Safer Internet Day 2013“ als „das Gold des digitalen Zeitalters“. In diesem Zusammenhang sei es auch notwendig, klare Regeln und Grenzen für die Datennutzung zu definieren. So müsse gerade bei Big Data-Anwendungen der Datenschutz bereits im Design berücksichtigt werden und die Selbstbestimmung der Betroffenen gewahrt bleiben, indem Nutzer aktiv einwilligen müssen. Dies würde vor allem dann gelten, wenn Nutzerprofile gebildet werden, so Aigner. Eine Massenauswertung ist nur bei effektiv anonymisierten Daten gerechtfertigt. Laut Aigner reiche es hier nicht, nur Namen zu löschen, denn Bewegungsdaten könnten auch einfach ohne Namen oder Telefonnummer zugeordnet werden, wenn beispielsweise jemand bestimmte Aufenthaltsorte einer Person kennt. 

BITKOM-Präsident Prof. Dieter Kempf ergänzte auf der Veranstaltung „Safer Internet Day 2013“, dass durch die fortschreitende Digitalisierung in den Bereichen Energie, Gesundheit, Verkehr, Bildung und öffentliche Verwaltung das Datenvolumen noch mehr wachsen wird:

„Der Wert digitaler Infrastrukturen liegt in der sinnvollen, kontrollierten Nutzung von Daten zum Wohl des einzelnen Menschen sowie der Gesellschaft insgesamt.“

Ilse Aigner fordert, eine EU-Datenschutz-Grundverordnung zügig voran zu bringen und europaweit durchzusetzen, um Verbraucher und Internetnutzer ausreichend schützen zu können. Das Datenschutzrecht müsse endlich auch im Informationszeitalter verankert werden – und das auf europäischer Ebene. Angesichts immer perfekterer Aufzeichnungs- und Analysetechniken sei eine breite Debatte über den Datenschutz notwendig. So sei es jetzt wichtig, den Rahmen für Datenschutz und Big Data festzulegen, bevor es zu spät sei, erklärt Aigner.

eStrategy: Was geschieht, wenn personenbezogene Daten betroffen sind oder wenn auf fremde Datenbanken zugegriffen wird? 

Wenn personenbezogene Daten ins Spiel kommen, findet das Datenschutzrecht Anwendung. Dies kann jedoch unterschiedlich ausgestaltet sein, je nachdem wo der Betreiber seinen Sitz hat und je nachdem welches nationale Recht anwendbar ist. Grundsätzlich gilt im Datenschutzrecht: Es ist unzulässig personenbezogene Daten zu verarbeiten, außer wenn ich eine spezielle Rechtfertigung dafür habe, wie etwa eine gesetzliche oder eine vertragliche Ermächtigung. In Kundenbeziehungen ist es daher so, dass der Nutzer der Verarbeitung ausdrücklich zustimmen muss. Zudem kommt, dass der Grundsatz der Sparsamkeit im Umgang mit Daten gilt. Es dürfen die Daten wirklich nur für den Zweck verarbeitet werden, für den der Nutzer diese zur Verfügung gestellt hat. Natürlich fragt man sich bei der Taschenlampen-App, die man sich für sein Smartphone heruntergeladen hat, dann schon, warum diese auf die GPS Position zugreifen möchte. Vorteil hier ist, dass Smartphones bei der Installation von Apps zumindest teilweise darauf hinweisen, welche Daten übermittelt werden, was immerhin ein Anfang ist.

Wenn ein Unternehmen oder auch ein privater ohne Genehmigung, also ohne jegliche Lizenz, auf fremde Datenbanken zugreift, befinden wir uns typischerweise im Leistungsschutzrecht des Urheberrechts. Der Hersteller einer Datenbank, für die eine wesentliche Investition erforderlich war, hat weitreichende Rechte an seiner Datenbank. Selbstverständlich kann er den Zugang untersagen, aber auch mitunter angemessenes Entgelt bzw. Schadenersatz fordern. Unter Mitbewerbern kann auch ein Verstoß gegen das Wettbewerbsrecht vorliegen. Solche Themen sind nicht neu, selbst die Verlinkung von Inhalten kann je nach Ausgestaltung schon eine Ausbeutung der Leistung eines anderen darstellen.

eStrategy: Sie führten ja auf eigene Initiative eine Befragung mehrerer Unternehmen durch, wie diese mit Daten umgehen. Wie sind Sie vorgegangen und was waren Ihre Ergebnisse? 

Ich habe im Juli 2011 51 österreichische Unternehmen und Institutionen kontaktiert, zu denen ich einen persönlichen Bezug hatte, und um Auskunft hinsichtlich der über mich gespeicherten Daten gebeten. Ich wollte wissen, woher sie die Daten haben, wozu sie die Daten verwenden, an wen sie die Daten weitergeben, ob Daten ins Ausland übermittelt werden, etc. Die Auswahl war umfassend und hat verschiedenste Branchen umfasst, wie etwa meine Banken und Versicherungen, Einzelhandelsunternehmen bei denen ich eine Vorteilskarte habe, meine früheren Arbeitgeber, IT Unternehmen, bei den ich einen Account habe, Telekommunikationsunternehmen etc. Grundlage war der datenschutzrechtliche Auskunftsanspruch, den jeder Bürger in der EU gegenüber datenverarbeitenden Unternehmen hat. Die Erkenntnisse waren durchaus spannend. Ich hatte eine Rücklaufquote von beachtlichen 95%, was natürlich aber auch daran liegen mag, dass ich Jurist bin und die Anfrage per eingeschriebenem Brief verschickt habe – aber immerhin. Die Qualität der Beantwortung war sehr unterschiedlich, auch wenn alle beteuert haben, wie wichtig ihnen das Thema ist. Während einige sehr professionell geantwortet haben, mitunter sogar unter Hinzuziehung von Datenschutz- und Datensicherheitsexperten, wussten andere noch nicht einmal, dass Nutzer ein solches Auskunftsrecht haben. Nur wenige reagierten beleidigt auf meine Anfrage, der Großteil war sehr interessiert und hat dies zum Anlass genommen, sich besser über dieses Thema zu informieren. Ein großes und bekanntes Möbelunternehmen hat sogar extra einen Experten engagiert, um Prozesse neu zu organisieren. Hier zahle ich dann auch gerne weiterhin mit meiner Kundenkarte. Durch die Anfrage sind einige falsche oder widersprüchliche Informationen aufgetaucht, die ich als Betroffener selbstverständlich korrigieren lassen kann. Interessant waren für mich auch vergangene Befunde aus meiner Krankenakte, an die ich mich schon fast nicht mehr erinnern konnte. Bezeichnend war schließlich auch, dass viele Unternehmen gar nicht wussten oder recherchieren konnten, welche Daten sie über mich haben. Gerade bei einzelnen IT Unternehmen weiß ich, dass dort mehr Daten von mir vorhanden sind, weil ich weiß, dass ich diese Daten einmal preisgegeben habe. Ich unterstelle den Unternehmen nicht, dass sie dies absichtlich bei der Beantwortung zurückgehalten haben. Ich vermute eher, dass sie einfach selbst nicht immer wissen, wo die Daten sind. Bei der Frage hinsichtlich der Übermittlung ins Ausland kamen relativ wenige Antworten, obwohl dies aufgrund von Cloud Services und Informationsverbundsystemen in Konzernen vermutlich deutlich mehr hätten sein müssen.

eStrategy: Welche Gefahren sehen Sie durch „Big Data“? 

Big Data ist klarerweise auch der nächste große Schritt hin zum gläsernen Menschen und zu Utopien wie von Orwell und Huxley. In einer Hollywood Komödie rief ein ehemaliger Agent einmal bei der CIA an und wollte Geheimdienstinformationen über seinen zukünftigen Schwiegersohn. Die Auskunft wurde ihm verwehrt, aber zugleich wurde er auf eine Internetsuchmaschine verwiesen mit der Aussage: "Wir wissen auch nicht mehr als die!". Und tatsächlich: Wenn man sich gewisse Transparenzberichte großer IT Unternehmen ansieht, geht daraus klar hervor, dass die Anfragen von staatlichen Einrichtungen an Internetdienstleister stark ansteigen. Wir alle sind bereits heute wesentlich transparenter als vor der Zeit des Internet. Ängste zu schüren ist natürlich keine Lösung, aber wir dürfen das Thema Privatsphäre nicht ignorieren. Weder aus privater noch aus unternehmerischer Sicht.

eStrategy: Welche Chancen sehen Sie durch „Big Data“? 

Die Analyse von großen Datenmengen bietet ungeheuere Möglichkeiten. Ich bin mir sicher, dass in beinahe jedem Lebensbereich Big Data Analysen möglich sein werden. Es gibt nur weniges, was man nicht messen kann. Und was man messen kann, kann man dank neuer Technologien immer besser analysieren. Dadurch wächst oft der Komfort, es werden neue wissenschaftliche Erkenntnisse erzielt, es wird ein höherer volkswirtschaftlicher Nutzen erzielt, was in einer Wissensgesellschaft natürlich von großer Bedeutung ist. Die Fabriken der Zukunft stehen schon heute in unseren Köpfen – oder in unseren Rechenzentren. Wenn ich nur in einen mir nahen Anwendungsbereich, die Rechtsinformatik, sehe, dann kann ich mir vorstellen, dass Big Data zu mehr Transparenz im Recht führen kann, zu besseren und faireren Entscheidungen, zu einer stärkeren direkten Demokratie, und somit letztlich zu mehr Gerechtigkeit. Dieser soll das Recht schließlich dienen. Aber auch hier ist Vorsicht angesagt, etwa beim Schutz von Minderheiten. Denn nur weil eine Million "Likes" zu einem Thema eine Datenbank befüllen, heißt dies noch lange nicht, dass dies aus einer umfassenden gesellschaftlichen Sicht auch so erwünscht ist.

eStrategy: Wie können sich Menschen am besten gegen Missbrauch ihrer Daten schützen? 

Jeder Mensch muss letztlich für sich selbst entscheiden, wie er mit dem Schutz seiner Privatsphäre umgehen möchte. Je mehr Daten ich preisgebe, desto größer ist das Missbrauchsrisiko. Es kommt aber natürlich auch darauf an, wem ich die Daten gebe. Zum Glück gibt es oft noch die Wahl, obgleich wir den Komfort zunehmend gewohnt werden und nicht mehr darauf verzichten wollen. Ich kann im Supermarkt noch mit Bargeld bezahlen, dann bin ich anonym. Bei Zahlung mit meiner Bankomatkarte lassen sich schon starke Muster erkennen, etwa wo und wieviel ich bei wem einkaufe. Wenn ich dazu noch eine Kundenkarte zum Sammeln von Punkten verwende, bin ich schon ein sehr gläserner Kunde. Wenn ich im Internet neue Cloud Services nutze, verwende ich häufig ein Log-In, wodurch auch hier die Transparenz steigt. Wenn ich US-Lösungen verwende, kann dank Patriot Act auch der dortige Geheimdienst mitlesen. Für Interessierte empfiehlt es sich, Auskunft- und Richtigstellungsbegehren zu stellen. Dies ist gegenüber europäischen Datenverarbeitern verhältnismäßig unkompliziert und kann sehr aufschlussreich sein. Je nach Antwort kann ich dann entscheiden, ob ich zu einem anderen Anbieter wechsle, und dann am besten gleich auch beim alten Datenverarbeiter den Antrag auf Löschung meiner Daten stelle. Ob dies dann tatsächlich auch passiert ist eine andere Frage, denn das Problem bei datenschutzrechtlichen Verstößen ist, dass sie oft unsichtbar sind. Wenn meine Brieftasche gestohlen wird, merke ich es bald. Wenn meine Privatsphäre verletzt wird, passiert das oft nur still und heimlich.