Big Data – zwischen Urheberrecht und Datenschutzrecht
Big Data steht nicht nur für große Datenmengen, sondern auch für unstrukturierte Informationen aus den verschiedensten Bereichen. Daten werden in kürzester Zeit gesammelt, analysiert und ausgewertet. Je größer der Datenberg wird, desto größer ist auch die Gefahr des Missbrauchs und Kontrollverlustes. Big Data Anwendungen haben nicht nur großes Potential für die Wirtschaft, sondern können auch zur Lösung gesellschaftlicher Probleme beitragen. Umfangreiche Daten-Analysen treffen jedoch nur dann auf die Akzeptanz der Verbraucher, wenn der Datenschutz auf hohem Niveau gewährleistet ist. Wir haben uns mit dem Rechtsex- perten Dr. Clemens Wass über Big Data und die rechtlichen Rahmenbedingungen unterhalten – ein Experteninterview.
Big Data vs. Privatsphäre?
Im Zeitalter großer Datenberge lassen sich ziemlich präzise Vorhersagen über die Eigenschaften von Facebook-Nutzern machen. Egal, wie sehr Facebook die Daten seiner User auch schützen mag, durch die Kombination aller vorhandenen Daten können exakte Prognosen über einzelne Nutzer gemacht werden – das behaupten zumindest viele Daten-Wissenschaftler.
„Die meisten Menschen denken, aus ihren Facebook-Posts lasse sich nichts Spannendes herauslesen. Aber das stimmt nicht. Data-Wissenschaftler können mit diesen Daten sehr wohl etwas anfangen. Indem sie Verbindungen zu ihren Freunden mit berücksichtigen, lassen sich Eigenschaften wie die Intelligenz oder ihre politische Einstellung mit einer bemerkenswerten Präzision vorhersagen“, so der MIT-Professor Erik Brynjolfsson.
Der entscheidende Punkt ist es, zwei Datenquellen zusammenzuführen. Dann können anonymisierte Daten Personen zugeordnet werden. Unternehmen nutzen diese Kenntnisse bereits, indem sie Gutscheine aufs Handy zusenden und dabei Informationen über Einkäufe im Netz mit Smartphone-Daten zum Aufenthaltsort verschiedener Personen miteinander verknüpfen. Laut Aussagen des Daten-Wissenschaftlers Brynjolfsson gibt es bereits eine Reihe von Start-Up Unternehmen, die sämtliche öffentliche Informationen über Menschen sammeln und zu Profilen zusammenfassen. Die Folge ist das Verschwinden von Privatsphäre.
Bundesverbraucherministerin Ilse Aigner bezeichnete die großen Datenmengen auf dem „Safer Internet Day 2013“ als „das Gold des digitalen Zeitalters“. In diesem Zusammenhang sei es auch notwendig, klare Regeln und Grenzen für die Datennutzung zu definieren. So müsse gerade bei Big Data-Anwendungen der Datenschutz bereits im Design berücksichtigt werden und die Selbstbestimmung der Betroffenen gewahrt bleiben, indem Nutzer aktiv einwilligen müssen. Dies würde vor allem dann gelten, wenn Nutzerprofile gebildet werden, so Aigner. Eine Massenauswertung ist nur bei effektiv anonymisierten Daten gerechtfertigt. Laut Aigner reiche es hier nicht, nur Namen zu löschen, denn Bewegungsdaten könnten auch einfach ohne Namen oder Telefonnummer zugeordnet werden, wenn beispielsweise jemand bestimmte Aufenthaltsorte einer Person kennt.
BITKOM-Präsident Prof. Dieter Kempf ergänzte auf der Veranstaltung „Safer Internet Day 2013“, dass durch die fortschreitende Digitalisierung in den Bereichen Energie, Gesundheit, Verkehr, Bildung und öffentliche Verwaltung das Datenvolumen noch mehr wachsen wird:
„Der Wert digitaler Infrastrukturen liegt in der sinnvollen, kontrollierten Nutzung von Daten zum Wohl des einzelnen Menschen sowie der Gesellschaft insgesamt.“
Ilse Aigner fordert, eine EU-Datenschutz-Grundverordnung zügig voran zu bringen und europaweit durchzusetzen, um Verbraucher und Internetnutzer ausreichend schützen zu können. Das Datenschutzrecht müsse endlich auch im Informationszeitalter verankert werden – und das auf europäischer Ebene. Angesichts immer perfekterer Aufzeichnungs- und Analysetechniken sei eine breite Debatte über den Datenschutz notwendig. So sei es jetzt wichtig, den Rahmen für Datenschutz und Big Data festzulegen, bevor es zu spät sei, erklärt Aigner.
Interview mit Dr. Clemens Wass
Experten-Info:
Dr. Clemens Wass, MBL, MBA, ist ausgebildeter Wirtschaftsjurist mit langjähriger Berufserfahrung in internationalen Technologie-Unternehmen. Neben verschiedenen innovativen rechtlichen Projekten ist Dr. Wass Unternehmensberater (Schwerpunkt Innovationsmanagement, geistiges Eigentum und Datenschutz) sowie externer Lektor an der Wirtschaftsuniversität Wien am Institut für Entrepreneurship & Innovation.
eStrategy: Welche rechtlichen Rahmenbedingungen sind zu beachten, wenn mit Big Data gearbeitet wird?
Big Data ist ein neuer Begriff, den die Rechtsordnung als solchen nicht kennt. Wie bei vielen Trends wird über genaue Definitionen in Fachkreisen noch diskutiert. Wenn wir Big Data jedoch simplifiziert als eine große Anhäufung von Datenmengen betrachten und uns überlegen, was man mit Daten alles machen kann, wird schnell klar, dass weite Bereiche der Rechtsordnung betroffen sein können. Dennoch treten aus der Masse von anwendbaren Normen sicherlich das Datenschutzrecht und das Urheberrecht hervor. Die Situation ist im weitesten Sinn europaweit vergleichbar, da hier eine gewisse Harmonisierung aufgrund einschlägiger Richtlinien existiert. Selbstverständlich kommen auch etliche verwaltungsrechtliche Vorschriften oder auch das Wettbewerbsrecht hinzu. Viele Fragen sind für Juristen komplett neu, so wie das Recht häufig der Technologie zeitlich hinterherläuft. Oft wird erst die Rechtsprechung bei der Auslegung der einzelnen Gesetze in Bezug auf Big Data Gewissheit und Vertrauen schaffen. Jedoch müssen sich Unternehmen dennoch so gut wie irgendwie möglich mit den rechtlichen Aspekten der Thematik auseinandersetzen, um kein unnötiges wirtschaftliches oder rechtliches Risiko einzugehen und auch um Kunden nicht zu verärgern. Es sind bereits einige Unternehmen zu beobachten, die gerade das publikumswirksame Thema Datenschutzrecht – bei dem es schließlich um den Schutz der Privatsphäre eines jeden von uns geht – gezielt auch zur Schaffung eines USPs und zu Marketingzwecken einsetzen. Nämlich durch datenschutzkonformen Umgang, der auch klar mitgeteilt wird.
eStrategy: Dürfen Unternehmen und Entwickler einfach große Datenmengen nach Lust und Laune auswerten und verwenden?
Auch hier ist zuallererst die Frage zu stellen, um welche Daten es sich handelt. Sind es tatsächlich die eigenen Daten eines Unternehmens und sind keine personenbezogenen Daten betroffen, wird es weniger Probleme geben, als wenn die Daten von Dritten stammen und private Informationen über Menschen enthalten. Ich muss die Privatsphäre der Betroffenen achten und ich darf auch aus urheberrechtlicher Sicht nicht einfach die Datenbank eines anderen ohne Genehmigung anzapfen, selbst wenn ich dies technisch über Schnittstellen könnte. Die Versuchung ist selbstverständlich groß, alle Daten zu verwenden und auszuprobieren, was man damit machen kann. Die Datenbestände erscheinen derzeit wie eine große Kiste mit LEGO Bausteinen und Unternehmen und Entwickler probieren einfach aus, welche innovativen Anwendungen damit geschaffen werden können. Nach Lust und Laune geht es allerdings sicher nicht, auch wenn es Spaß macht und selbst wenn dabei Wert geschaffen wird. Unternehmen müssen sich im Rahmen der Gesetze bewegen. So lästig gewisse rechtliche Vorschriften auch mitunter erscheinen mögen, letztlich können wir doch froh sein, dass diese uns ein gewisses Schutzniveau bieten. Selbst in den USA, wo gerade die Google Brille vorgestellt wird, und wo Datenschutz typischerweise weniger Beachtung findet als in Europa, wird der Ruf nach rechtlicher Klarheit laut. Persönlich möchte ich nicht, dass mittels Google Brille und Gesichtserkennung sofort jeder auf der Straße beispielsweise meinen Beruf, meine Adresse, meine Telefonnummer und meinen Freundeskreis etc. kennt – von sensiblen personenbezogenen Daten, wie etwa Gesundheit, ganz abgesehen.
eStrategy: Was geschieht, wenn personenbezogene Daten betroffen sind oder wenn auf fremde Datenbanken zugegriffen wird?
Wenn personenbezogene Daten ins Spiel kommen, findet das Datenschutzrecht Anwendung. Dies kann jedoch unterschiedlich ausgestaltet sein, je nachdem wo der Betreiber seinen Sitz hat und je nachdem welches nationale Recht anwendbar ist. Grundsätzlich gilt im Datenschutzrecht: Es ist unzulässig personenbezogene Daten zu verarbeiten, außer wenn ich eine spezielle Rechtfertigung dafür habe, wie etwa eine gesetzliche oder eine vertragliche Ermächtigung. In Kundenbeziehungen ist es daher so, dass der Nutzer der Verarbeitung ausdrücklich zustimmen muss. Zudem kommt, dass der Grundsatz der Sparsamkeit im Umgang mit Daten gilt. Es dürfen die Daten wirklich nur für den Zweck verarbeitet werden, für den der Nutzer diese zur Verfügung gestellt hat. Natürlich fragt man sich bei der Taschenlampen-App, die man sich für sein Smartphone heruntergeladen hat, dann schon, warum diese auf die GPS Position zugreifen möchte. Vorteil hier ist, dass Smartphones bei der Installation von Apps zumindest teilweise darauf hinweisen, welche Daten übermittelt werden, was immerhin ein Anfang ist.
Wenn ein Unternehmen oder auch ein privater ohne Genehmigung, also ohne jegliche Lizenz, auf fremde Datenbanken zugreift, befinden wir uns typischerweise im Leistungsschutzrecht des Urheberrechts. Der Hersteller einer Datenbank, für die eine wesentliche Investition erforderlich war, hat weitreichende Rechte an seiner Datenbank. Selbstverständlich kann er den Zugang untersagen, aber auch mitunter angemessenes Entgelt bzw. Schadenersatz fordern. Unter Mitbewerbern kann auch ein Verstoß gegen das Wettbewerbsrecht vorliegen. Solche Themen sind nicht neu, selbst die Verlinkung von Inhalten kann je nach Ausgestaltung schon eine Ausbeutung der Leistung eines anderen darstellen.
eStrategy: Sie führten ja auf eigene Initiative eine Befragung mehrerer Unternehmen durch, wie diese mit Daten umgehen. Wie sind Sie vorgegangen und was waren Ihre Ergebnisse?
Ich habe im Juli 2011 51 österreichische Unternehmen und Institutionen kontaktiert, zu denen ich einen persönlichen Bezug hatte, und um Auskunft hinsichtlich der über mich gespeicherten Daten gebeten. Ich wollte wissen, woher sie die Daten haben, wozu sie die Daten verwenden, an wen sie die Daten weitergeben, ob Daten ins Ausland übermittelt werden, etc. Die Auswahl war umfassend und hat verschiedenste Branchen umfasst, wie etwa meine Banken und Versicherungen, Einzelhandelsunternehmen bei denen ich eine Vorteilskarte habe, meine früheren Arbeitgeber, IT Unternehmen, bei den ich einen Account habe, Telekommunikationsunternehmen etc. Grundlage war der datenschutzrechtliche Auskunftsanspruch, den jeder Bürger in der EU gegenüber datenverarbeitenden Unternehmen hat. Die Erkenntnisse waren durchaus spannend. Ich hatte eine Rücklaufquote von beachtlichen 95%, was natürlich aber auch daran liegen mag, dass ich Jurist bin und die Anfrage per eingeschriebenem Brief verschickt habe – aber immerhin. Die Qualität der Beantwortung war sehr unterschiedlich, auch wenn alle beteuert haben, wie wichtig ihnen das Thema ist. Während einige sehr professionell geantwortet haben, mitunter sogar unter Hinzuziehung von Datenschutz- und Datensicherheitsexperten, wussten andere noch nicht einmal, dass Nutzer ein solches Auskunftsrecht haben. Nur wenige reagierten beleidigt auf meine Anfrage, der Großteil war sehr interessiert und hat dies zum Anlass genommen, sich besser über dieses Thema zu informieren. Ein großes und bekanntes Möbelunternehmen hat sogar extra einen Experten engagiert, um Prozesse neu zu organisieren. Hier zahle ich dann auch gerne weiterhin mit meiner Kundenkarte. Durch die Anfrage sind einige falsche oder widersprüchliche Informationen aufgetaucht, die ich als Betroffener selbstverständlich korrigieren lassen kann. Interessant waren für mich auch vergangene Befunde aus meiner Krankenakte, an die ich mich schon fast nicht mehr erinnern konnte. Bezeichnend war schließlich auch, dass viele Unternehmen gar nicht wussten oder recherchieren konnten, welche Daten sie über mich haben. Gerade bei einzelnen IT Unternehmen weiß ich, dass dort mehr Daten von mir vorhanden sind, weil ich weiß, dass ich diese Daten einmal preisgegeben habe. Ich unterstelle den Unternehmen nicht, dass sie dies absichtlich bei der Beantwortung zurückgehalten haben. Ich vermute eher, dass sie einfach selbst nicht immer wissen, wo die Daten sind. Bei der Frage hinsichtlich der Übermittlung ins Ausland kamen relativ wenige Antworten, obwohl dies aufgrund von Cloud Services und Informationsverbundsystemen in Konzernen vermutlich deutlich mehr hätten sein müssen.
eStrategy: Welche Gefahren sehen Sie durch „Big Data“?
Big Data ist klarerweise auch der nächste große Schritt hin zum gläsernen Menschen und zu Utopien wie von Orwell und Huxley. In einer Hollywood Komödie rief ein ehemaliger Agent einmal bei der CIA an und wollte Geheimdienstinformationen über seinen zukünftigen Schwiegersohn. Die Auskunft wurde ihm verwehrt, aber zugleich wurde er auf eine Internetsuchmaschine verwiesen mit der Aussage: "Wir wissen auch nicht mehr als die!". Und tatsächlich: Wenn man sich gewisse Transparenzberichte großer IT Unternehmen ansieht, geht daraus klar hervor, dass die Anfragen von staatlichen Einrichtungen an Internetdienstleister stark ansteigen. Wir alle sind bereits heute wesentlich transparenter als vor der Zeit des Internet. Ängste zu schüren ist natürlich keine Lösung, aber wir dürfen das Thema Privatsphäre nicht ignorieren. Weder aus privater noch aus unternehmerischer Sicht.
eStrategy: Welche Chancen sehen Sie durch „Big Data“?
Die Analyse von großen Datenmengen bietet ungeheuere Möglichkeiten. Ich bin mir sicher, dass in beinahe jedem Lebensbereich Big Data Analysen möglich sein werden. Es gibt nur weniges, was man nicht messen kann. Und was man messen kann, kann man dank neuer Technologien immer besser analysieren. Dadurch wächst oft der Komfort, es werden neue wissenschaftliche Erkenntnisse erzielt, es wird ein höherer volkswirtschaftlicher Nutzen erzielt, was in einer Wissensgesellschaft natürlich von großer Bedeutung ist. Die Fabriken der Zukunft stehen schon heute in unseren Köpfen – oder in unseren Rechenzentren. Wenn ich nur in einen mir nahen Anwendungsbereich, die Rechtsinformatik, sehe, dann kann ich mir vorstellen, dass Big Data zu mehr Transparenz im Recht führen kann, zu besseren und faireren Entscheidungen, zu einer stärkeren direkten Demokratie, und somit letztlich zu mehr Gerechtigkeit. Dieser soll das Recht schließlich dienen. Aber auch hier ist Vorsicht angesagt, etwa beim Schutz von Minderheiten. Denn nur weil eine Million "Likes" zu einem Thema eine Datenbank befüllen, heißt dies noch lange nicht, dass dies aus einer umfassenden gesellschaftlichen Sicht auch so erwünscht ist.
eStrategy: Wie können sich Menschen am besten gegen Missbrauch ihrer Daten schützen?
Jeder Mensch muss letztlich für sich selbst entscheiden, wie er mit dem Schutz seiner Privatsphäre umgehen möchte. Je mehr Daten ich preisgebe, desto größer ist das Missbrauchsrisiko. Es kommt aber natürlich auch darauf an, wem ich die Daten gebe. Zum Glück gibt es oft noch die Wahl, obgleich wir den Komfort zunehmend gewohnt werden und nicht mehr darauf verzichten wollen. Ich kann im Supermarkt noch mit Bargeld bezahlen, dann bin ich anonym. Bei Zahlung mit meiner Bankomatkarte lassen sich schon starke Muster erkennen, etwa wo und wieviel ich bei wem einkaufe. Wenn ich dazu noch eine Kundenkarte zum Sammeln von Punkten verwende, bin ich schon ein sehr gläserner Kunde. Wenn ich im Internet neue Cloud Services nutze, verwende ich häufig ein Log-In, wodurch auch hier die Transparenz steigt. Wenn ich US-Lösungen verwende, kann dank Patriot Act auch der dortige Geheimdienst mitlesen. Für Interessierte empfiehlt es sich, Auskunft- und Richtigstellungsbegehren zu stellen. Dies ist gegenüber europäischen Datenverarbeitern verhältnismäßig unkompliziert und kann sehr aufschlussreich sein. Je nach Antwort kann ich dann entscheiden, ob ich zu einem anderen Anbieter wechsle, und dann am besten gleich auch beim alten Datenverarbeiter den Antrag auf Löschung meiner Daten stelle. Ob dies dann tatsächlich auch passiert ist eine andere Frage, denn das Problem bei datenschutzrechtlichen Verstößen ist, dass sie oft unsichtbar sind. Wenn meine Brieftasche gestohlen wird, merke ich es bald. Wenn meine Privatsphäre verletzt wird, passiert das oft nur still und heimlich.
Fazit
Laut Prof. Kempf unterstützt die IKT-Branche das Vorhaben der EU, den Datenschutz in Europa auf ein einheitliches Niveau zu bringen. Dabei müsse aber verhindert werden, dass die neuen Regelungen eine sinnvolle Nutzung von Daten zu stark einschränken oder sogar unmöglich machen. So besteht die Gefahr, dass die bereits eingegrenzten Freiräume für eine zuverlässige Datenverarbeitung weiter eingeengt werden und mit bürokratischen Informations- und Dokumentationspflichten überladen werden. Kempf verdeutlicht, dass nur ein sinnvoll eingesetzter Datenschutz Vorteile bringt. In diesem Zusammenhang sei es Aufgabe der Gesetzgeber, Anreize zu schaffen, damit Daten anonymisiert oder verschlüsselt verarbeitet werden, um Missbrauch zu verhindern.
Autor
Dominik Haller, M.A.
Der studierte Kommunikationswissenschaftler arbeitet als Online Marketing Manager bei der TechDivision GmbH – einer der führenden Magento-, TYPO3- und E-Commerce-Agenturen im deutschsprachigen Raum. Darüber hinaus ist er als leitender Redakteur des eStrategy Magazins für Hintergrundrecherchen rund um das Thema eCommerce, Online Marketing, eRecht, etc. zuständig. Neben seiner beruflichen Tätigkeit bei der TechDivision GmbH engagiert er sich auch als Lehrbeauftragter an der Universität Salzburg.
![eStrategy Magazin letzte Ausgabe](/fileadmin/_processed_/3/c/csm_eStrategy_45_Cover_df2f798ede.jpg")
