EU-DSGVO und Big Data

Die gute Nachricht zuerst: Auch mit der EU-DSGVO muss auf neue Technologien nicht verzichtet werden. Big Data, Industrie 4.0 und KI müssen aber von vornherein international-datenschutzrechtlich bis ins Detail durchgeplant werden.

Zu berücksichtigen sind insbesondere die neuen Verpflichtungen zu „Privacy by Design/Default“ und der verpflichtenden Datenschutz-Folgeabschätzung (DFA). Denn bei den datenschutzrelevanten Handlungen, auf die die EU-DSGVO Anwendung findet, handelt es sich fast immer um die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten.

Damit unterliegt die gesamte Datenverarbeitungs-Wertschöpfungskette den Datenschutzgesetzen, von der Generierung/Erhebung bis zur Löschung. Dies wurde mit der neuen Verordnung konkretisiert und verschärft – insbesondere die Rechte auf Vergessenwerden, Datenberichtigung, Löschung, Sperrung und Datenportabilität sowie die Verpflichtung zur Notifizierung von Datenschutzverletzungen.

Die Dokumentationspflichten werden deutlich erweitert und künftig auf den Auftragsverarbeiter erstreckt. Durch die EU-DSGVO kommt es zudem zu einer Erweiterung der Anwendbarkeit von EU-Datenschutzvorschriften auf die Auftragsverarbeiter und deren Auftraggeber in Drittstaaten.

Neu ist auch, dass Auftragsverarbeiter künftig für Datenschutzverletzungen bei ihrer Auftrags-Datenverarbeitung in die (Mit-)Haftung genommen werden können. Die EU-DSGVO wirkt sich auf alle Unternehmen aus, die geschäftlich von der EU aus tätig sind bzw. Geschäftsbeziehungen in die EU unterhalten oder ihre Daten in EU-Mitgliedsstaaten sammeln, verarbeiten und speichern (lassen), das heißt auch Unternehmen oder Organisationen mit Sitz außerhalb der EU.

Für das Design von Big Data, KI und Digitalisierungsprozessen ist auf weitere bestimmende Prinzipien des EU-Datenschutzrechts Rücksicht zu nehmen, namentlich das grundsätzliche Verbot der Datenverarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt, den Zweckbindungsgrundsatz und die Notwendigkeit einer Rechtfertigung (Gesetz, Einwilligung).

Dies bedeutet, dass eine Verwendung einmal vorhandener Daten zu anderen Zwecken oder die Zusammenführung von Daten mit Daten aus anderen Quellen oder jede Zweckänderung einer neuen, zusätzlichen Rechtfertigung bedarf.

Dies führt bei diesen Prozessen häufig zu Problemen, da Daten aus ihrem ursprünglichen Zweckzusammenhang gerissen, zusammengeführt, umstrukturiert und analysiert und damit neuen Nutzungen zugeführt werden müssen.

Eine individuelle Einwilligung erscheint hier nicht praktikabel. Die Einwilligung wäre nur dann wirksam, wenn sie auf einer hinreichend informierten Grundlage erklärt wurde und den Bestimmungen des AGB-Rechts, insbesondere dem Transparenzgebot, genügen würde.

Als Manko kommt die jederzeitige Widerruflichkeit der Einwilligung hinzu. Soweit gesetzliche Rechtfertigungstatbestände zur Verfügung stehen, sollten diese genutzt werden. Alternativ bedürfte es eines Vertragsmanagements, das gewährleistet, dass die jeweilige Datenverarbeitung für die Anbahnung und Erfüllung eines Vertrages mit dem oder den Betroffenen erforderlich ist, sodass eine entsprechende Gestaltung der Vertragsbeziehungen zweites Mittel der Wahl ist. Erst wenn und soweit gesetzliche Rechtfertigungsbestände nicht eingreifen, sollte auf das Instrument der Einwilligung zurückgegriffen werden.

Ein weiterer wichtiger Punkt ist, dass die Daten auch sicher verarbeitet werden. Dazu wird ein angemessenes Datenschutzkonzept benötigt, das auch die Datensicherung mit einschließt. Dabei sollte die Backup-Lösung für die Anwendungen zertifiziert sein, wie dies bei SEP gerade für SAP-Anwendungen der Fall ist. Dadurch wird gewährleistet, dass der Original-Hersteller-Support nicht verloren geht.

Man sieht also: Die neue Verordnung soll gerade persönliche Daten stärker schützen, was natürlich mit einer strikteren strategischen Ausrichtung für die Datenverarbeitung einhergeht. Auch wenn es augenscheinlich komplizierter wird, bedeutet es auf der anderen Seite, dass die Verarbeitung auch von personenbezogenen Daten weiter möglich ist. Nur eben bedachter, als dies meist bisher erfolgte.