Datenschutz bei Big-Data-Projekten

Besondere Rolle bei personenbezogenen Daten

Von unserem Gastautor Ales Zeman, Dell Software

[datensicherheit.de, 29.08.2013] Bei der Entwicklung und bei der Umsetzung von Big-Data-Projekten spielt der Datenschutz insbesondere dann eine wichtige Rolle, wenn personenbezogene Daten verwendet werden sollen. Personenbezogen sind solche Angaben, die persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person betreffen. Im aktuellen BITKOM-Leitfaden zum „Management von Big-Data-Projekten“ wird ein Thema in den Mittelpunkt gerückt, das für Big Data eine besonders große Bedeutung hat – Privacy Impact Assessments. Dieser Artikel fasst die wichtigsten Erkenntnisse zusammen.
Wenn die Verarbeitung von Daten besondere Risiken für die betroffenen Personen mit sich bringt, will der EU-Gesetzgeber künftig eine Pflicht zur Datenschutz-Folgenabschätzung oder Privacy Impact Assessment schaffen. Die Datenschutz-Folgenabschätzung dient dem präventiven Schutz personenbezogener Daten, also z. B. Name, E-Mail-Adresse oder Bankdaten einer Person. Unternehmen sollen dann verpflichtet sein, eine Folgenabschätzung vorzunehmen, wenn die Verarbeitung der Daten auf Grund ihres Wesens, ihres Umfangs und ihrer Zwecke konkrete Risiken für Rechte und Freiheiten betroffener Personen birgt.

Der Entwurf der Datenschutzverordnung nennt auch konkrete Anwendungsfälle: Die systematische und umfassende Auswertung persönlicher Aspekte, beispielsweise die Analyse der wirtschaftlichen Lage, des Aufenthaltsorts, des Gesundheitszustands, der persönlichen Vorlieben, der Zuverlässigkeit und des Verhaltens einer Person, wenn dies als Grundlage für Maßnahmen mit Rechtswirkung dient oder sonst erhebliche Auswirkungen haben kann. Als zweiten Anwendungsfall sieht der Entwurf die Verarbeitung von Gesundheits- oder anderen sensitiven Daten in großem Umfang vor, wenn damit Maßnahmen mit Bezug auf einzelne Personen vorbereitet werden. Gleiches soll gelten, wenn umfangreiche Dateien mit Daten über Kinder, genetischen oder biometrischen Daten verarbeitet werden. Außerdem will der Gesetzgeber den Datenschutzbehörden gestatten, selbst eine Liste von Verarbeitungsvorgängen aufzustellen, bei denen eine Datenschutz-Folgenabschätzung stattfinden soll.

Vorgehen bei einem Privacy Impact Assessment

Was den Inhalt betrifft, so enthält der Verordnungsentwurf nur allgemeine Vorgaben für die Datenschutz-Folgenabschätzung. Sie muss eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge enthalten sowie eine Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen und der geplanten Abhilfemaßnahmen und der Vorkehrungen, um den Datenschutz sicherzustellen und die Nachweise dafür zu erbringen. Die Verordnung sieht außerdem vor, dass das verantwortliche Unternehmen die Zustimmung der betroffenen Personen zu der beabsichtigten Verarbeitung einholt. Gerade bei Big-Data-Verfahren, die eine Vielzahl von Daten verarbeiten, dürfte dies in der Praxis schwierig sein, ganz abgesehen davon, dass zunächst festzulegen sein wird, wie eine solche Meinung einzuholen ist und welchen qualitativen und quantitativen Umfang diese haben muss.

Rechtsfolgen beim Datenschutz

Die Datenschutz-Folgenabschätzung hat unterschiedliche Rechtsfolgen – die Konsultationspflicht, Vorlagepflicht und Genehmigungspflicht. Die wichtigste Rechtsfolge ist die Pflicht des Unternehmens, vor Beginn der Datenverarbeitung die zuständige Aufsichtsbehörde zu Rate zu ziehen, damit die rechtlichen Vorgaben eingehalten und bestehende Risiken gemindert werden. Diese Konsultationspflicht besteht dann, wenn sich aus Folgenabschätzung hohe konkrete Risiken für die Rechte der Betroffenen ergeben oder wenn die Datenschutzbehörde in der obengenannten Liste der Verarbeitungsvorgänge eine solche Konsultation vorsieht. Im Gesetzgebungsverfahren ist an dieser Pflicht zur Konsultation erhebliche Kritik geübt worden. Der Innenausschuss des Europaparlaments hat vorgeschlagen, dass Unternehmen auch ihren betrieblichen Datenschutzbeauftragten konsultieren können, entsprechend der bisherigen Regelung im deutschen Recht in § 4 d Abs. 5 BDSG. Während die Konsultationspflicht nur besteht, wenn hohe Risiken für die Betroffenen drohen, sollen die Unternehmen in allen Fällen verpflichtet sein, die Datenschutz-Folgenabschätzung der zuständigen Aufsichtsbehörde vorzulegen und ihr Informationen zu erteilen. In bestimmten Fällen im Zusammenhang mit dem Export von Daten aus dem Europäischen Wirtschaftsraum heraus sieht der Entwurf der Verordnung vor, dass zunächst die Genehmigung der Datenschutzbehörde eingeholt wird.

Fazit

Im Moment befindet sich der Entwurf der EU-Datenschutzverordnung noch in der Diskussionsphase, und die Regelungen zur Datenschutz-Folgenabschätzung werden sich in dem einen oder anderen Punkt sicher noch ändern. Man kann aber davon ausgehen, dass die Datenschutz-Folgenabschätzung zur Pflicht wird. Gerade im Bereich von Big-Data-Anwendungen werden solche Privacy Impact Assessments bald große Bedeutung erlangen. Bei Verstößen gegen die Pflicht, eine Folgenabschätzung durchzuführen oder fehlender Konsultation der Datenschutzbehörde drohen dann Bußgelder bis zu einer Million Euro oder 2 Prozent des Unternehmensumsatzes.

Quelle: BITKOM

© Dell

Diplominformatiker Ales Zeman ist  Manager Presales bei Dell Software in München. Zuvor war er fast zwei Jahre Team Lead Systems Consulting bei Quest Software und verfügt dort über eine mehr als 11 jährige Erfahrungen als Consultant.

Weitere Informationen zum Thema:

BITKOM
Leitfaden Management von Big-Data-Projekten