artegic_checkliste_23_Fragen_Version_artegic_03_12_14

grevenmarcus

artegic_checkliste_23_Fragen_Version_artegic_03_12_14

INHALT02 INHALT04 Vorwort05 01 Was ist Big Data?06 02 Welche unterschiedlichen Typen von Daten gibt es?07 03 welche rechtlichen Regelungen sind einschlägig?08 04 welche Datenerhebungen bzw. –auswertungen bedürfen der Zustimmung?10 05 handelt es sich um personenbezogene Daten, wenn eine Verkettung von DatenRückschlüsse auf eine Person geben kann?12 06 gibt es eine Bindung erhobener Daten für einen bestimmten Zweck oder könnendie erhobenen Daten generell vorgehalten und ausgewertet werden?13 07 Darf man alle Daten zusammenführen? Darf ich insbesondere externe Datenhinzuziehen / abgleichen und darf ich Datensätze verschmelzen, wenn ichglaube, dass Sie von ein und demselben Kunden stammen?14 08 Darf ich Erkenntnisse aus der Analyse zur Profilierung eines Kundenprofilsnutzen?16 09 Darf man alle Formen von Datenauswertungen durchführen?18 10 wann benötige ich ein Opt-In (Einwilligung) zur Datenspeicherung und Datenanalyseund welche Punkte muss die Einwilligung für ein Opt-In zur Verwertungvon Daten enthalten?20 stefan Von Lieven ZUM THEMA BIG DATA21 11 welche Daten aus einer Vertragsbeziehung darf ich für Analysen oder die Kundenprofilierungnutzen?22 12 wie ist mit automatisierten Entscheidungen aus der Analyse umzugehen?23 13 gibt es bestimmte Regulierungen für den Umgang mit Wahrscheinlichkeitenfür ein Verhalten?24 14 spielt das Land, in dem ich die Daten speichere bzw. auswerte, eine Rolle?25 15 kann ein Kunde der Datenspeicherung widersprechen?26 16 ist eine pseudonyme/anonyme Verarbeitung von Datenmengen zur Marktforschungszweckengestattet?Checkliste: 23 Fragen zu Big Data und Recht2


27 17 muss einer Person ermöglicht werden, der Datenanalyse (Profilierung) seinerpersonenbezogenen Daten zu widersprechen?28 18 Dürfen auf Basis personenbezogener Daten Klassen für eine ZielgruppeBestimmt werden (Clustering)?29 19 kann ich die Datenerhebung und Auswertung in einer Blackbox ohne Zustimmungdurchführen?30 20 Muss ich einer Person Einsicht in die von ihr gespeicherten Daten geben?31 21 Wie schnell und umfangreich muss ich das Löschen von Daten (personenbezogenenDaten) ermöglichen bzw. wie lange dürfen diese Daten aufgehobenwerden?32 22 Welche technischen und organisatorischen MaSSnahmen muss ich treffen,um die Daten zu schützen (insbes. auch vor z.B. internen Stellen)?33 23 welche Anforderungen an Big Data ergeben sich aus dem aktuellen Stand derEuropäischen Datenschutzverordnung?34 kontaktCheckliste: 23 Fragen zu Big Data und Recht3


VORWORTBig Data ist das Thema der Stunde. In der digitalen Wirtschafthat sich Big Data zu einem wichtigen Wertschöpfungsfaktorentwickelt, den kaum ein Unternehmen nochausser Acht lassen kann. Doch die Erfassung und Verarbeitungvon großen Datenmengen unterliegt, insbesondereim kommerziellen Umfeld, einer Reihe gesetzlicher Vorschriften.Die nachfolgende Checkliste hilft dabei, rechtlicheFallstricke im Umgang mit Big Data zu vermeiden.„Big Data ist ein Thema an dem Unternehmen, insbesonderein der digitalen Wirtschaft, kaum noch vorbei kommen.Zeitgleich steigt die Sensibilität für das Thema Datenschutzin den Medien, in der Öffentlichkeit, beim Gesetzgeber undauch bei Entscheidern in Unternehmen. Unsere Erfahrungenaus der Beratungspraxis zeigen, dass der Datenschutzmittlerweile als zentrales Thema auf Ebene von Geschäftsführungund Vorstand verankert ist. Grund hierfür ist, dasszum einen die richtige Nutzung von Big Data heutzutage einwesentlicher Wettbewerbsvorteil geworden ist, zum AnderenRechtssicherheit und Datenschutz im Big Data Umfeldjedoch unerlässlich sind. Die meisten Unternehmen imMarkt verfügen prinzipiell über ein sehr gutes Verständnisvom Thema Datenschutz. Neue Entwicklungen wie BigData führen jedoch auch immer wieder zu Unsicherheit.Welche Datenerhebungen bzw. –auswertungen bedürfender Zustimmung? Gibt es eine Bindung erhobener Daten füreinen bestimmten Zweck? Wie ist mit automatisierten Entscheidungenaus der Daten-Analyse umzugehen? Diese undweitere Fragen soll die vorliegende Checkliste beantworten.”Dr. Fabian Niemann (Bird & Bird)E-Mail: Fabian.Niemann@twobirds.comCheckliste: 23 Fragen zu Big Data und Recht4


01Was ist Big Data?Die Zahl Daten-produzierender Anwendungen und Endgerätenimmt kontinuierlich zu, während gleichzeitig die Kostenfür die Speicherung und Verarbeitung großer Datenmengensinken. Dies führt dazu, dass die Menge erfasster Daten,insbesondere in Unternehmen aber auch in Behörden, in derForschung und sonstigen Stellen stetig zunimmt. DiesesPhänomen wird aktuell diskutiert unter dem SchlagwortBig Data. Laut einer Umfrage von IBM werden unter BigData von Managern solche Begriffe wie „Große Bandbreitean Informationen”, „Neue Arten von Daten Analyse”,„Echtzeitinformationen”, „Moderne Medienarten”,„Datenzustrom”, „Große Datenmengen” oder auch „Datenaus sozialen Medien” subsummiert. Die Definition der wissenschaftlichenDienste des deutschen Bundestags lautet:„Big Data bezeichnet große Datenmengen aus vielfältigenQuellen, die mit Hilfe neu entwickelter Methoden und Technologienerfasst, verteilt, gespeichert, durchsucht, analysiertund visualisiert werden können”.Big Data ist jedoch kein alleiniges Thema der Informationstechnologiemehr. Datensammlung und -verarbeitungist kein Selbstzweck. Sie ist mehr und mehr die Basis, umInformationen zu generieren, aus denen Wissen abgeleitetwerden kann, das zur Erfüllung von Unternehmenszielen imbetrieblichen Alltag beiträgt aber auch in anderen Lebensbereichenwie z.B. der Medizin oder im Auto Einzug hält undunsere Lebenswelten weiter verändern wird. Bezogen aufdie Erreichung wirtschaftlicher Ziele muss Big Data alsoin erster Linie zielgerichtet sein. Insbesondere für dasMarketing steht Big Data für Erkenntnisgewinn und eröffnetsomit neue Potentiale, welche direkt auf den Umsatzeinzahlen.Checkliste: 23 Fragen zu Big Data und Recht5


02Welche unterschiedlichen Typen von Datengibt es beispielsweise im Marketing?Daten sind nicht gleich Daten. Insbesondere im Marketing gilt es,nicht einfach nur Daten zu erfassen, sondern die richtigen Daten,die auch zweckmäßig eingesetzt werden können. Marketing-relevanteTypen von Daten sind etwa folgende:◊Nutzungs-/Reaktionsdaten in digitalen Kanälen ​(z.B. E-Mail,Social Media, Website): Öffnungen, Klicks, Conversions, Nutzungsdauer,Social Shares, besuchte Websites usw.◊Technische Daten: IP-Adresse, Browser, Endgeräte, E-Mail-Client, installierte Plug-Ins usw.◊Transaktionsdaten aus Online Shops: gekaufte Produkte,generierter Umsatz, letzter Kauf, Retouren-Quote, Kauffrequenz,Preissensibilität usw.◊Ortsbezogene Daten: Standort stationär (ermittelt durch IP-Adresse), Standort mobil (ermittelt z.B. durch GPS oder Bluetooth)usw.◊Soziodemografische Daten: Alter, Geschlecht, Wohnort,Familienstand, Beruf usw.Checkliste: 23 Fragen zu Big Data und Recht6


03Welche rechtlichen Regelungensind einschlägig?Für „Big Data“ gelten die allgemeinen Gesetze, es gibt keinespezialgesetzlichen Regelungen hierfür im deutschen Recht.Für die Speicherung und kommerzielle Verwertung von „BigData“ sind insbesondere das Urheber- und Datenschutzgesetzrelevant, daneben spielen das Telemediengesetz unddas allgemeine Zivilrecht (namentlich das Bürgerliche Gesetzbuch– BGB) eine Rolle. Diese Gesetze regeln insbesondere,wem die Daten gehören und inwieweit sie von Unternehmengenutzt werden dürfen.Das Urhebergesetz (UrhG) ist anwendbar, wenn undsoweit Audio-, Video- und Bilddateien oder auch größereTexte verarbeitet oder übermittelt werden sollen, alsoWerke, die Urheberschutz genießen. In diesen Fällen isteine Nutzung von entsprechenden „Big Data“ ggf. nurmit Zustimmung der Rechteinhaber möglich (siehe dazuFrage 4.). Einzelne Informationen/Daten (und damit eingroßer Teil von Big Data) sind jedoch vom Urheberrechtnicht erfasst und unterliegen folglich auch den urheberrechtlichenBeschränkungen nicht. Jedoch können Sammlungenvon Daten urheberrechtlich oder als Datenbankgeschützt sein. Wenn daher ganze Sammlungen oderDatenbanken (oder wesentliche Teile davon) übernommenwerden, gelten wieder die obigen urheberrechtlichenEinschränkungen.Beim Erheben, Speichern, Verarbeiten, Nutzen und Übermittelnvon Daten sind des Weiteren immer die Vorgaben desBundesdatenschutzgesetzes (BDSG) zu beachten. SeinerKonzeption nach, so viele Daten wie möglich zu sammeln undzu verwerten, steht „Big Data“ in einem natürlichen Spannungsfeldzu den bisherigen Grundsätzen des deutschenDatenschutzrechts. Dieses geht vom Prinzip der Datensparsamkeitbzw. Datenminimierung aus. Danach dürfengrundsätzlich nicht mehr als die für den jeweiligen Vorgangerforderlichen personenbezogenen Daten erhobenund verarbeitet werden und grundsätzlich sollen personenbezogeneDaten so wenig wie möglich gespeichert undgenutzt werden. Wenn möglich, sollten Daten deshalb immeranonymisiert werden. Allgemein gilt, dass das Datenschutzrechtüberaltert ist und nicht wirklich für die aktuellen technischenund technologischen Entwicklungen wie Big Dataoder Cloud Computing passt (und es steht zu befürchten,dass etwaige Anpassungen – etwa im Rahmen der geplantenEU-Datenschutzgrundverordnung – die Nutzung durchdie Wirtschaft nicht vereinfachen). Das aktuelle, geltendeRecht ist daher im Licht der technologischen und gesellschaftlichenEntwicklungen auszulegen und einen Kompromisszwischen (strengem) Datenschutz und der Realität vonBig Data Anwendungen zu finden.Darüber hinaus können auch die datenschutzrechtlichen Vorschriftendes Telemediengesetzes (TMG) relevant werden, diefür Anbieter von Waren oder Dienstleistungen mittels einerWebseite gelten.Schließlich kann auch das BGB relevant werden, insbesonderedie Regeln zum Sacheigentum. Denn Eigentumkann auch an Daten und Datenträgern bestehen. Wennbeispielsweise von der Automobil- oder Versicherungsindustrieim Bereich der Telematik auf Daten in Autos (BlackBox) zugegriffen wird, fragt sich, ob dies ein Eingriff indas Eigentum des Fahrzeugeigentümers ist und seineZustimmung erfordert.Checkliste: 23 Fragen zu Big Data und Recht7


04Welche Datenerhebungen bzw.–auswertungen bedürfen der Zustimmung?Maßgeblich sind hier Urheberrecht (soweit einschlägig),Datenschutzrecht und BGB.Nach dem UrhG ist eine urheberrechtlich relevante Nutzung(also insbesondere eine Speicherung der Daten undihre öffentliche Zurverfügungstellung) von urheberrechtlichgeschützten Werken (siehe Frage 3.) grundsätzlich nurmit Zustimmung der Inhaber der Verwertungsrechte anden Werken zulässig; ohne eine solche Zustimmung ist einerelevante Nutzung nur in sehr eingeschränktem Umfang imRahmen urheberrechtlicher Schrankenbestimmungen erlaubt,insbesondere – unter bestimmten Umständen – zumwissenschaftlichen oder privaten Gebrauch. Die gewerblicheNutzung urheberrechtlich geschützter Big Data wirddagegen regelmäßig die Zustimmung der Rechteinhabererfordern. Wichtig ist, dass Informationen/Daten an sichvom Urheberrecht nicht erfasst sind (soweit nicht wesentlicheTeile von Datenbanken oder Sammlungen übernommenwerden) und damit auch die urheberrechtlichen Beschränkungenfür diese nicht gelten.Soweit keine rein anonymen Daten genutzt werden, sondernDaten die (teilweise) auch natürlichen Personen zugeordnetwerden können (wie meist bei Big Data), ist aberin jedem Fall das Datenschutzrecht zu beachten. Das deutscheDatenschutzrecht geht von dem Grundkonzept aus,dass die Erhebung und Verwertung von Daten verbotenist. Ausnahmen von diesem Verbot stellen bestimmte gesetzlicheErlaubnisvorschriften oder die Zustimmung desBetroffenen dar (datenschutzrechtliche Rechtfertigung).Dabei unterscheiden sich die Anforderungen danach, ob essich um allgemeine personenbezogene Daten oder sogenannteStandortdaten oder Verkehrsdaten handelt.◊Die Erhebung und Auswertung allgemeiner personenbezogenerDaten, d.h. Einzelangaben über persönliche undsachliche Verhältnisse einer bestimmten oder bestimmbarennatürlichen Person (Name, Adresse, E-Mailadresse, Familienstand,Beruf, Ausweisnummer, Versicherungsnummer,Telefonnummer) bedürfen der vorherigen Einwilligung desBetroffenen, soweit nicht eine gesetzliche Erlaubnis nachdem BDSG vorliegt.••Allgemeine personenbezogene Daten sind zunächst insbesondereBestandsdaten, d.h. solche, die zur Begründung,inhaltlichen Ausgestaltung oder Änderung einesVertrags-verhältnisses zwischen dem Dienstanbieterund dem Betroffenen über die Nutzung von Telekommunikationsdienstenerforderlich sind (z.B. Name, Alter undAdresse des Betroffenen).••Allgemeine personenbezogene Daten sind ebenfalls Nutzungsdaten,die eine Inanspruchnahme von Telemedienerst ermöglichen und für deren Abrechnung erforderlichsind (Merkmale zur Identifikation des Betroffenen, Angabenüber Beginn und Ende sowie des Umfangs der jeweiligenNutzung und Angaben über die vom Betroffenen inAnspruch genommenen Telemedien).••Soweit solche Daten außerhalb des eigentlichen Vertragszweckesim Rahmen von Big Data Analysen und Anwendungengespeichert und genutzt werden, ist dafür eineCheckliste: 23 Fragen zu Big Data und Recht8


Einwilligung aller natürlichen Personen erforderlich, derenDaten betroffen sind. Das gilt nur dann nicht, wennihre Nutzung von einer gesetzlichen Erlaubnis erfasst ist.Hier kommt im Normalfall einzig die sogenannte Interessensabwägungnach § 28 Abs. 1 Nr. 2 BDSG in Betracht.Danach ist eine Nutzung zulässig, wenn berechtigte Interessendes Nutzenden an der Nutzung die des Betroffenenüberwiegen. Hier gilt ein strenger Maßstab, derim Rahmen der Nutzung für Forschung, medizinischeZwecke oder ähnliches oftmals erfüllt sein kann, bei reinkommerzieller Nutzung regelmäßig aber nicht. Wer hierauf Nummer sicher gehen will, der benötigt entwedereine Einwilligung oder muss die Daten anonymisieren.In jedem Fall ist stets eine Überprüfung des Einzelfallserforderlich; pauschale Antworten verbieten sich wiemeistens im Datenschutzrecht.◊Standortdaten, d.h. Daten, die in einem Telekommunikationsnetzoder von einem Telekommunikationsdienst erhobenoder verwendet werden und die den Standort des Endgerätseines Endnutzers eines öffentlich zugänglichen Telekommunikationsdienstesangeben, dürfen ebenfalls nur mit Zustimmungdes Betroffenen und nur in dem für die Funktion desDienstes notwendigen Umfang erhoben und verarbeitet werden.Wie auch sonst ist eine Verarbeitung dieser Daten ohneZustimmung möglich, wenn die Daten anonymisiert wurden.◊Verkehrsdaten, d.h. solche Daten, die bei der Erbringungeines Telekommunikationsdienstes erhoben, verarbeitetoder genutzt werden (der in Anspruch genommeneTelekommunikationsdienst, die Nummer oder die Kennungder beteiligten Anschlüsse (Anrufer und Angerufener),personenbezogene Berechtigungskennungen, die Kartennummer(bei Verwendung von Kundenkarten), eventuelleStandortdaten (bei Mobiltelefonen) sowie der Beginn unddas Ende der jeweiligen Verbindung (Datum und Uhrzeit)dürfen nur mit Zustimmung des Betroffenen erhoben werden.Die Verarbeitung dieser Daten zu Marketingzweckenbedarf ebenfalls der Einwilligung des betroffenen Teilnehmers.Zusätzlich müssen die Daten des Angerufenen (deranderen Seite, die in der Praxis nicht einwilligen kann)unverzüglich anonymisiert werden.Checkliste: 23 Fragen zu Big Data und Recht9


05Handelt es sich um personenbezogene Daten,wenn eine Verkettung von Daten Rückschlüsseauf eine Person geben kann?Die von einer Person erhaltenen Daten führen nicht zwangsläufigdirekt dazu, dass Rückschlüsse auf ihre Identität gezogenwerden können. Es kommt auf den Einzelfall an. Dabeiist der anzuwendende Maßstab umstritten. Insbesondere istes umstritten, ob ein an sich anonymes Datum, wie z.B. die IP-Adresse für den Inhaber einer Webseite, ein personenbezogenesDatum sein kann, wenn ein Dritter (bei IP-Adressen: derInternet Service Provider), eine Zuordnung vornehmen kann.Die deutschen und europäischen Regelungen sind insoweitnicht eindeutig. Im Wesentlichen werden in der juristischenLiteratur, von den Datenschutzbehörden und den Gerichtendrei verschiedene Ansätze vertreten.◊Die von den meisten Datenschutzbehörden gewählte Herangehensweiseist sehr vereinfachend und (zu) restriktiv.Sie gehen davon aus, dass es ausreicht, wenn aus objektiverSicht (sogenannter „objektiver Datenbegriff“) theoretischdie Möglichkeit besteht, dass mithilfe eines Datums eine konkretePerson bestimmbar ist, auch wenn dazu die nutzendePerson bzw. das nutzende Unternehmen Informationen vonDritten benötigt. Das gilt unabhängig davon, ob es wahrscheinlichist, dass eine solche Mitwirkung jemals erfolgt.Relevant ist dies beispielsweise für Big Data Anwendungen,die IP Adressen Profilen zuordnen oder diese anderweitignutzen. Nach dieser Ansicht ist eine Person neben IP-Adressenauch insbesondere aufgrund folgender Daten bestimmbar:Browser-Fingerprints, Daten eines mobilen Funkgeräts,Kfz-Daten (Fahrzeugnummer, Kennzeichen etc.), mit RFID-Chips ausgestattete Gegenstände, Pseudonyme.◊Nach der liberaleren Gegenansicht ist bei der Fragenach dem Personenbezug von Daten nur zu berücksichtigen,inwieweit die konkrete Stelle, welche Daten verarbeitet,die Möglichkeit hat, eine bestimmte Person zu ermitteln(sogenannter „subjektiver Datenbegriff“). Informationenvon außerhalb sind hiernach nicht relevant. Nach dieserAnsicht ist insbesondere die IP-Adresse kein personenbezogenesDatum (außer für den Internet Service Provider beiEinzelanschlüssen), da es sich lediglich um eine Zahlenfolgehandelt, welche auch im Zusammenhang mit der Angabe,dass zu einer bestimmten Zeit ein Zugriff auf eine bestimmteWebseite erfolgt ist, kein Rückschluss auf eine Person möglichist.◊Unserer Ansicht nach sind beide Seiten zu pauschalund einseitig. Vielmehr ist eine vermittelnde Lösunginteressengerecht. Es muss zunächst aus Sicht des jeweiligenDatenverarbeiters bestimmt werden, ob es sichum personenbezogene Daten handelt oder nicht. Dabeikönnen aber auch Daten von Dritten relevant sein, wennes naheliegend ist, dass dieser Zugriff auf diese Datenhat und mit deren Hilfe die Identität einer konkretenPerson bestimmen kann. (Nur) wenn das der Fall ist, liegtein Personenbezug vor, mit der Folge, dass die datenschutzrechtlichenAnforderungen (insbesondere oftmalsZustimmung, siehe Frage 4.) einzuhalten sind. Für „BigData“ bedeutet dies dennoch, dass im Zweifelsfall personenbezogeneDaten involviert sind, da zumeist eineMischung aus mehreren Datentypen vorliegen wird. EinPersonenbezug ist aber dann auszuschließen, wenn dieCheckliste: 23 Fragen zu Big Data und Recht10


06Gibt es eine Bindung erhobener Daten füreinen bestimmten Zweck?oder können die erhobenen Daten generell vorgehaltenund ausgewertet werden?Im Datenschutzrecht gilt der Grundsatz der Zweckbindung,d.h. Daten dürfen nur für den Zweck verarbeitetwerden, für den sie erhoben wurden. Der Betroffene istbei der Erhebung seiner Daten über die Zweckbestimmungender Erhebung, Verarbeitung und Nutzung derDaten zu informieren.Werden die Daten für die Erfüllung eigener Geschäftszwecke,d.h. im Zusammenhang mit der Abwicklung vonVerträgen oder der Pflege von Kundenkontakten, verwendet,ist eine nachträgliche Änderung des Zwecks zulässig.Die Zweckänderung ist dabei beim Vorliegen berechtigterInteressen des Verarbeitenden, eines Dritten oder derÖffentlichkeit zulässig.Dies gilt nur dann nicht, wenn es sich ausschließlich umanonyme Daten handelt.Für „Big Data“ bedeutet dies, dass im Zweifel eine neuedatenschutzrechtliche Rechtfertigung vor der Verarbeitungder Daten gefunden werden muss (vgl. Fragen 4, 9,17). Dies ergibt sich daraus, dass alle in dem Daten-Poolenthaltenen Daten möglicherweise zu einem anderenZweck erhoben wurden, als der Zweck, mit welchem nundie Weiterverarbeitung erfolgen soll.Ein generelles Vorhalten von Daten kommt jedoch auchnach den obigen Grundsätzen der Zweckveränderung nichtin Betracht. Die datenverarbeitende Stelle ist trotzdemverpflichtet, einen bestimmten Zweck für das Vorhalten vonDaten festzulegen.Checkliste: 23 Fragen zu Big Data und Recht12


07Darf man alle Daten zusammenführen?Darf ich insbesondere externe Daten hinzuziehen/abgleichen und darf ich Datensätzeverschmelzen, wenn ich glaube, dass sie von ein und demselben Kunden stammen?Daten zu Kunden entstehen an unterschiedlichen Stellenund für verschiedene Einsatzzwecke. Im Zusammenhangmit „Big Data“ ist es in der Tat ein Unterschied, ob bereitsein Daten-Pool vorhanden ist, dessen Daten ausgewertetwerden sollen, oder ein solcher erst noch erstellt werdensoll. Wenn der Daten-Pool nicht ausschließlich anonymeDaten enthält, so ist für jeden Einzelfall gesondert sowohlzu fragen, ob eine datenschutzrechtliche Rechtfertigungfür die Nutzung als auch eine datenschutzrechtliche Rechtfertigungfür eine etwaige vorgelagerte Zusammenführungvon Daten vorliegt. Dabei sind insbesondere folgendePunkte zu beachten:◊Generell gelten die Grundsätze der Zweckbindung undDatentrennung, d.h. die Daten dürfen jeweils nur für denZweck verarbeitet werden, für den sie erhoben wurden.Verschiedene Datensätze müssen dementsprechend auchgrundsätzlich unabhängig voneinander verwaltet werden.Eine Zusammenführung ist nur aufgrund einer separatendatenschutzrechtlichen Legitimation (entweder Einwilligungoder gesetzliche Rechtfertigung, siehe Frage 4.)zulässig. Die gewerbliche Nutzung – z.B. um die Daten desKaufprofils im Shop im Newsletter zu verwenden – ist dabeimeistens nur nach Einwilligung des Empfängers zulässig(siehe Frage 4.).◊Die Einwilligung muss nicht separat erfolgen, sondernkann Teil der Datennutzungserklärung im Rahmen der Newsletter-Anmeldungoder des Shop-Registrierungsprozessessein, solange die Einwilligung diesbezüglich klar und verständlichist. Wenn der Betroffene so z.B. bei der Anmeldung imShop die Datennutzungserklärung akzeptiert, berechtigt erden Anbieter auch zum Zusammenführen von Daten.◊Gleiches gilt für die Anreicherung mit externen Daten– z.B. zur Aktualisierung von postalischen Anschriften oderBonitätsdaten sowie zur Anreicherung von E-Mail-Adressenum die darüber genutzten Social Networks, sofern diese Informationennicht allgemein verfügbar sind.◊Ohne Einwilligung zulässig ist aber die Zusammenführungvon listenmäßig gespeicherten Daten mit im Internetfrei verfügbaren Informationen für Zwecke der Werbungfür eigene Angebote des Online Shop Anbieters als datenschutzrechtlichverantwortlicher Stelle.Checkliste: 23 Fragen zu Big Data und Recht13


08Darf ich Erkenntnisse aus der Analyse zurProfilierung eines Kundenprofils nutzen?Beim Erstellen von Nutzerprofilen ist grundsätzlich danachzu unterscheiden, ob es sich um personenbezogene Datenhandelt oder nicht (vgl. Frage 5) und ob der Betroffenezugestimmt hat oder nicht: Die deutschen und europäischenRegelungen sind insoweit nicht eindeutig. Im Wesentlichenwerden in der juristischen Literatur, von den Datenschutzbehördenund den Gerichten drei verschiedene Ansätzevertreten.◊Zulässig ist die Verwendung nicht-personenbezogenerDaten ohne Einwilligung des Betroffenen dann, wenn die Datenanonymisiert sind.Nach den Anforderungen des Bundesdatenschutzgesetzesliegen anonymisierte Daten vor, wenn man die entsprechendenEinzelangaben nicht mehr bzw. nur noch mit einem unverhältnismäßighohen Aufwand einem bestimmten Betroffenen zuordnenkann. Soweit Einzelangaben einem Betroffenen nicht mehrzugeordnet werden können (sog. „echte“ Anonymisierung),können diese Daten ohne Einschränkung für die Verwendungvon Webanalysen genutzt werden und insbesondere auch anDritte übermittelt werden (im Einzelnen zu den Anforderungenan Anonymisierung, siehe Frage 5.). Da ein Wiedererkennendes Betroffenen hier ausgeschlossen ist, bedarf es bei der Erstellungvon Nutzerprofilen mittels anonymisierter Daten auchkeiner Einwilligung des Betroffenen.◊Ohne Einwilligung des Betroffenen dürfen personenbezogeneDaten für die Erstellung von Nutzungsprofilen nachden Vorgaben des Telemediengesetzes nur verwendet wer-den, wenn die Daten pseudonymisiert werden. Unter Pseudonymisierenversteht man das Ersetzen des Namens und andererIdentifikationsmerkmale durch ein Kennzeichen (sog.Pseudonym), um die Bestimmung des Betroffenen entwederauszuschließen oder wesentlich zu erschweren. Dabei ist esgenerell untersagt, die pseudonymisierten Nutzungsprofilemit dem Träger des Pseudonyms zusammenzuführen.Zudem muss der Betroffene über die Profilbildung unterrichtetwerden und über sein Widerspruchsrecht („opt-out“)aufgeklärt werden. Macht der Betroffene von seinem WiderspruchsrechtGebrauch, ist die Erstellung eines solchenNutzungsprofils unzulässig.Bei der Erstellung des Profils dürfen alle Nutzungsdaten(nicht aber die Bestandsdaten) verwendet werden. Die Möglichkeitder Profilerstellung ist aber insoweit eingeschränkt,als diese nur zum Zwecke der Werbung, der Marktforschungoder zur bedarfsgerechten Gestaltung des Telemediums erfolgendarf. Die Profilerstellung für andere Zwecke ist ohneZustimmung des Betroffenen ausgeschlossen.◊Sobald verhaltensbezogene Daten jedoch personengenauerhoben werden, ist eine explizite und separate Zustimmungerforderlich. Als personenbezogene Verhaltensdatengelten alle Daten, die Nutzungsdaten mit einer konkreten E-Mail Adresse verknüpfen, z.B. Klickdaten, Conversions oderAktivitäten auf einer verlinkten Seite.Wichtig ist ebenfalls die je nach Zustimmung differenzierteCheckliste: 23 Fragen zu Big Data und Recht14


Erhebung und Verarbeitung. Für Betroffene, die nicht zugestimmthaben, dürfen Verhaltensdaten, wie z.B. der letzteKlick, nicht erfasst oder verarbeitet werden.◊Nutzungsprofile dürfen grundsätzlich unabhängig vonden o.g. Voraussetzungen erstellt werden, wenn und soweitder Betroffene wirksam (d.h. freiwillig auf Basis einerverständlichen und konkreten Einwilligungserklärung, sieheFrage 10) eingewilligt hat.◊Der Grundsatz der Datensparsamkeit und Datenvermeidungist zu beachten, d.h., dass nur so viele verhaltensbezogeneDaten gesammelt werden sollten, wie unbedingtbenötigt werden.Für „Big Data“ bedeutet das Vorgesagte insbesondere, dassdie im Pool enthaltenen Daten einzeln daraufhin zu überprüfensind, welche Art der Daten vorliegt und ob im Einzelfalleine dementsprechende datenschutzrechtliche Rechtfertigunggegeben ist. Pauschal lässt sich das nicht beantworten.Checkliste: 23 Fragen zu Big Data und Recht15


09Darf man alle Formen vonDatenauswertungen durchführen?Auf „Big Data“ finden die allgemeinen Gesetze Anwendung.Daher dürfen ohne eine entsprechende datenschutzrechtlicheRechtfertigung nicht alle Formen von Auswertungender im Daten-Pool enthaltenen Daten vorgenommen werden.Welche Form der Auswertung erlaubt ist, richtet sich nachder Art der im Daten-Pool befindlichen Daten (vgl. Frage 4).Soweit es sich – wie im Regelfall – (auch) um personenbezogeneDaten handelt, bedarf es für die Verarbeitung einerdatenschutzrechtlichen Rechtfertigung (vgl. insbesondereFragen 4, 5). Dabei sollen die nachfolgend aufgeführten Beispieleals Orientierung dienen:◊Werden mit Hilfe von Web-Analyse Tools wie GoogleAnalytics oder Piwik Verhaltensdaten wie Conversion Rate,Anzahl der Besuche auf einer Webseite, Klickrate, Klickreihenfolge,gesuchte Begriffe ausgewertet, ist dies zulässig,wenn der Betroffene zu Beginn des Vorganges, d.h. wennsich die Webseite öffnet und noch bevor etwaige Daten vonihm gespeichert werden, über die Datenerhebung und –auswertung und das ihm zustehende Widerspruchsrecht zuinformieren. Widerspricht der Betroffene der Verwendungseiner Daten bzw. dem Setzen des hierfür erforderlichenCookies, dürfen seine Daten auch nicht verwendet werden.Werden jedoch Cookies nur zu dem Zweck gesetzt, um damitdas Funktionieren des Webseitenbesuchs zu ermöglichen(z.B. Session-Cookies), muss der Betroffene hierüber nichtinformiert werden und hat hier auch kein Widerspruchsrecht.Grundsätzlich dürfen bei der Webanalyse nur solche Datenauswertungenvorgenommen werden, die der Werbung undMarktforschung sowie der bedarfsgerechten Gestaltung derWebseite dienen.◊Werden auf der eigenen Webseite sog. Social MediaPlugins eingebunden (z.B. Facebook „Gefällt mir“-Button),so werden, unabhängig davon, ob der Betroffenediesen Button betätigt oder nicht, an die sozialen MedienDaten übermittelt. Dies gilt auch für Betroffene, die geradenicht bei der Plattform eingeloggt sind oder solche,die gar nicht bei dem Dienst registriert sind. Die rechtlicheEinordnung der Buttons ist höchst umstritten. Dahier jedenfalls die IP-Adresse erhoben und auch gespeichertwird, sodass der Betroffene bei späteren Besuchenwiedererkannt wird sowie die Daten auch an die sozialenNetzwerke weitergegeben werden, ist eine Zustimmungdes Betroffenen jedenfalls dann zu empfehlen, wenn mander konservativen Ansicht (und den meisten Datenschutzbehörden,siehe Frage 5) folgt, und die IP-Adresse alspersonenbezogenes Datum behandelt. Hierzu bietet sichdie sog. Zwei-Klick-Lösung an. Mit dem ersten Klick aufdie Buttons werden diese zunächst aktiviert. Vorher findetnoch keine Datenübertragung statt. In der Aktivierungliegt die Zustimmung des Betroffenen. Mit dem zweitenKlick kann der Betroffene dann die hinter dem Button stehendeFunktion nutzen.◊Soweit es für die Inanspruchnahme eines Webangebotserforderlich ist, dass etwa eine Geolokalisierung erfolgt (z.B.bei Diensten die dem Betroffenen ortsgebundene Angebotemachen wie. z.B. „Wo ist das nächste Kino“) oder der Betroffenewieder erkannt wird, so ist dies im Rahmen derar-Checkliste: 23 Fragen zu Big Data und Recht16


tiger Dienste zulässig, wenn eine Verknüpfung der Daten mitdem Betroffenen zwingend für die Erbringung des Dienstesnotwendig ist. Dies ist beispielsweise ausgeschlossen, soweiteine Profilbildung zu Marketingzwecken erfolgen soll. Ob einzwingendes Erfordernis vorliegt, bemisst sich grundsätzlichnach dem Einzelfall (also nach der Art des Dienstes). Abgesehenvon der „Terminal Device Detection“ und der „Geolokalisierung“,welche im Einzelfall ohne Einwilligung zulässigsein können, sind Dienste wie etwa „Social Activity Detection“oder „Advanced Fingerprinting“ die sonstigen Dienstenur mit Einwilligung des Betroffenen möglich. Einer solchenEinwilligung bedarf es insbesondere, wenn Nutzerprofiledurch ein drittes Unternehmen erstellt werden. nau erhobenwerden, ist eine explizite und separate Zustimmung erforderlich.Als personenbezogene Verhaltensdaten gelten alleDaten, die Nutzungsdaten mit einer konkreten E-Mail Adresseverknüpfen, z.B. Klickdaten, Conversions oder Aktivitäten aufeiner verlinkten Seite.Wichtig ist ebenfalls die je nach Zustimmung differenzierteErhebung und Verarbeitung. Für Betroffene, die nicht zugestimmthaben, dürfen Verhaltensdaten, wie z.B. der letzteKlick, nicht erfasst oder verarbeitet werden.Checkliste: 23 Fragen zu Big Data und Recht17


10Wann benötige ich ein Opt-In (Einwilligung)zur Datenspeicherung und Datenanalyse?welche Punkte muss die Einwilligung für ein Opt-In zur Verwertungvon Daten enthalten?Grundsätzlich gilt, dass nicht immer eine Einwilligung desBetroffenen zur Erhebung und weiteren Verwendung vonDaten erforderlich ist. Die Erhebung und Verwendungkann auch im Rahmen eines gesetzlichen Erlaubnistatbestandesdatenschutzrechtlich zulässig sein (vgl. Frage 4).Entbehrlich ist sie daneben bei rein anonymer Nutzung(siehe Frage 5).Wenn eine Einwilligung des Betroffenen erforderlich ist,muss diese freiwillig und für den Betroffenen transparentsein und ausdrücklich erteilt werden.◊Die Einwilligung muss freiwillig, also ohne Zwang, erteiltwerden. Nicht freiwillig sind Einwilligungen, bei denen derBetroffene keine andere Wahl hat, die keine schweren Nachteilefür ihn bedeutet. Freiwilligkeit wird beispielsweise verneintbei Druck des Arbeitgebers auf den Arbeitnehmer sowiebei der Kopplung von Einwilligungen an den Bezug essentiellerWaren oder Dienstleistungen (insbesondere Daseinsvorsorgewie etwa Energie, Versorgung, Bankkonto), nicht aberim normalen Geschäftsleben. Nach herrschender und richtigerAnsicht kann ich als normaler Anbieter meine Leistungenvon datenschutzrechtlichen Zustimmungen abhängig machen.◊Für eine rechtskonforme Einwilligung muss ein Empfängerexplizit der Verarbeitung seiner Daten zustimmen. EineEinwilligung kann nicht Teil vorformulierter Vertragsbedingungensein oder aus einem anderen Zusammenhang herausabgeleitet werden. Soll die Einwilligung zusammen mit eineranderen Erklärung schriftlich erklärt werden, ist sie beson-ders zu kennzeichnen bzw. hervorzuheben. Die Einwilligungsollte daher am besten immer separat und aktiv erfolgen,d.h. das erforderliche Häkchen (Opt-In) darf nicht schonautomatisch gesetzt werden, so dass der Kunde es entfernenmüsste.◊Der Kunde muss über den Zweck der Datenverarbeitungaufgeklärt werden, also z.B. Erhebung von Standortdaten oderAuswertung von Click-Verhalten für kundenspezifische Sonderangebote.Werden die Daten für mehrere Zwecke erhobenoder verarbeitet, so sind die verschiedenen Zwecksetzungenzu benennen.◊Im Rahmen der Einwilligung muss der Kunde außerdemüber sein Widerrufsrecht informiert werden. DiesesWiderspruchsrecht ist bei Big Data nicht unproblematisch,da ein Widerspruch jederzeit möglich ist und die Daten desBetroffenen dann aus dem Datensatz entfernt werden, oderzumindest separiert werden müssen.Für einen rechtssicheren Nachweis der Einwilligungen istnach der deutschen Rechtsprechung im E-Mail-Umfeld nurdas sogenannte Double-Opt-In Verfahren geeignet. Es wirdargumentiert, dass nur so sichergestellt werden kann, dassauch wirklich derjenige seine Einwilligung abgibt, der überden E-Mail Account verfügt. Durch das Verfahren wird verhindert,dass ein Unbefugter den Empfänger – über ein freizugängliches Formular – beispielsweise für einen Newslettereinträgt. Jede Einwilligung des Empfängers muss präziseprotokolliert werden, damit der Versender jederzeit nach-Checkliste: 23 Fragen zu Big Data und Recht18


weisen kann, dass er eine legitime Einwilligung vorliegenhat. Für eine rechtskonforme Einwilligung per Double-Opt-In müssen im Einzelnen folgende Punkte erfüllt werden:◊Der Empfänger muss nach der Anmeldung eine Bestätigungs-E-Mailgeschickt bekommen, in der er über einen Linkerneut zur Bestätigung der Einwilligung aufgefordert wird.◊Die Bestätigungsmail darf keine kommerziellen Inhalteenthalten.◊Die Protokollierung muss Art und Umfang der Einwilligung(d.h. die konkrete Datennutzungserklärung, welcherder Empfänger zugestimmt hat) sowie Zeitpunkt der Einwilligung,IP-Adresse und erhobene Daten umfassen.Für „Big Data“ begründet eine Einwilligungserfordernis –neben dem bereits angesprochenen Widerspruchsrisiko –insbesondere die Problematik, dass der Zweck der Datenverarbeitungmöglicherweise erst später hinzutritt oderdass für alle im Daten-Pool enthaltenen Daten die Einholungeiner Einwilligung aus praktischen Gründen gar nicht mehrmöglich ist. Dennoch ist es ratsam, Einwilligungen, soweitmöglich, einzuholen.Checkliste: 23 Fragen zu Big Data und Recht19


„Erfolgreiches Marketing ist heute stark datengetrieben.Der Markt verändert sich und Kunden erwarten eine deutlichpersönlichere und relevantere Ansprache. Das gehtnur mit einer validen und substantiellen Datenbasis. Sieist notwendige Voraussetzung, um Marketingmaßnahmendigital, reaktionsschnell und zielgerichtet zu steuern undzu optimieren.Big Data ist jedoch nicht nur das Sammeln und Verstehenvon Daten. Die tatsächliche Möglichkeit des Einsatzes dieserDaten für Marketing wird zur wichtigen dritten Säule.Diese Nutzbarmachung bedeutet insbesondere die Planungund Umsetzung von datenschutzrechtlichen Aspekten. Konkretgeht es um die rechtssichere Erfassung von Zustimmungenund die datenschutzkonforme Verarbeitung vonDaten: Legal Big Data.Stefan von Lieven (CEO artegic AG)lieven@artegic.deWer die Einholung geeigneter Einwilligungen für personenbezogenes,datengestütztes Marketing verpasst, kannansonsten den eigenen Datenschatz womöglich später garnicht heben. Rechtssicherheit im Big Data Kontext wird sozu einem entscheidenden Wettbewerbsfaktor.“Checkliste: 23 Fragen zu Big Data und Recht20


11Welche Daten aus einer Vertragsbeziehungdarf ich für Analysen oder die Kundenprofilierungnutzen?Für alle Daten, die im Rahmen einer Vertragsbeziehungerlangt werden, gelten die allgemeinen Grundsätze (vgl.insbesondere die Fragen 3, 4). Allein das Bestehen einerVertragsbeziehung begründet keine datenschutzrechtliche,urheberrechtliche oder sachenrechtliche Rechtfertigung,siehe auch Frage 19.Checkliste: 23 Fragen zu Big Data und Recht21


12Wie ist mit automatisierten Entscheidungenaus der Analyse umzugehen?Im Umgang mit der automatischen Analyse von Daten geltenfür „Big Data“ die gleichen Grundsätzen, die auch bei anderenDaten gelten.Werden Daten automatisch gesammelt und ausgewertet,ohne dass eine individuelle Entscheidung der datenverarbeitendenStelle über den einzelnen Vorgang nötig ist, so z.B.beim automatischen Abgleich der Daten von Neukunden mitBestandsdaten, stellt das Gesetz besondere Anforderungenan die Verwendung der Ergebnisse.Grundsätzlich sieht das Bundesdatenschutzgesetz vor, dassEntscheidungen, die für den Betroffenen eine rechtlicheFolge nach sich ziehen oder ihn erheblich beeinträchtigen,nicht auf die automatisierte Auswertung personenbezogenerDaten gestützt werden dürfen. Dieser Grundsatz trägt demProblem Rechnung, dass die automatisierte Auswertung vonDaten auf das Erkennen gewisser Muster angelegt ist, diemöglicherweise Spezialitäten des Einzelfalles nicht erkennenkönnen. Dies ist insbesondere bei Scoring-Verfahren der Fall,bei denen aufgrund von mathematisch-statistischen Verfahrendie Kreditwürdigkeit einer Person bewertet werden soll.Ausnahmsweise dürfen automatisierte Entscheidungen jedochdann herangezogen werden, wenn◊die Entscheidung im Rahmen eines Vertrags- oder anderenRechtsverhältnisses zu treffen ist und zugunsten desBetroffenen ergeht; oder◊die Wahrung der Interessen des Betroffenen anderweitiggewährleistet ist.Bedeutsam sind die Ausnahmen insbesondere beim automatisiertenVertragsabschluss im Internet, d.h. wenn einemAngebot des Betroffenen auf Abschluss eines Vertragesstattgegeben wird.Die Wahrung berechtigter Interessen hat insbesondere dadurchzu erfolgen, dass das Verfahren zur automatisiertenEinzelentscheidung einer Vorabkontrolle unterzogen wird,wenn es z.B. darum geht, die Persönlichkeit des Betroffenenzu bewerten.Das BDSG gewährt dem Betroffenen außerdem einenAuskunftsanspruch hinsichtlich des logischen Aufbaus derautomatisierten Datenverarbeitung.Das TMG enthält darüber hinaus eine Pflicht der datenverarbeitendenStelle, den Betroffenen darüber zu unterrichten,wenn eine Datenverarbeitung mittels automatisierterVerfahren erfolgt.Checkliste: 23 Fragen zu Big Data und Recht22


13Gibt es bestimmte Regulierungen für denUmgang mit Wahrscheinlichkeitenfür ein Verhalten?Spielen bei der Verarbeitung von „Big Data“ bestimmteWahrscheinlichkeiten eine Rolle, so gelten hier keine Besonderheiten.Es sind vielmehr die allgemeinen Vorschriften desBDSG zum Umgang mit Wahrscheinlichkeiten zu beachten.Hierbei sind mehrere Szenarien zu unterscheiden.◊Erfolgt lediglich eine Analyse von anonymen Daten, z.B.zu dem Zweck, die Besucher auf einer Webseite zu zähleno.ä., sind keine speziellen datenschutzrechtlichen Anforderungenzu beachten.◊Werden die personenbezogenen Daten von Betroffenenallerdings derart ausgewertet, dass ein Wahrscheinlichkeitswertfür ein bestimmtes zukünftiges Verhalten ermittelt wird(sog. „Scoring“), so stellt das Gesetz folgende Anforderungenan ein solches Verfahren auf:••die Berechnung muss mittels eines wissenschaftlich anerkanntenmathematisch-statistischen Verfahrens erfolgen;••nur Daten, die sich zur Berechnung des Verhaltensüberhaupt eignen, dürfen verarbeitet werden; so dürfenWahrscheinlichkeiten z.B. nicht allein aufgrund derAnschriftendaten ermittelt werden oder die Hautfarbezugrunde gelegt werden;••wenn Anschriftendaten verwendet werden, muss der Betroffenevorher über die Verwendung der Daten unterrichtetwerden und die Unterrichtung ist zu dokumentieren;••die Ermittlung der Wahrscheinlichkeiten muss dazu dienen,eine Entscheidung über die Begründung, Durchführungoder Beendigung eines Vertragsverhältnisses zu treffen.Hierbei ist zu berücksichtigen, dass die Daten zur Bildungdieses Wahrscheinlichkeitswerts selbst jedoch zunächstrechtmäßig (also mit Einwilligung des Betroffenen, vgl.Frage 4) erhoben und gespeichert werden müssen.Diese Anforderungen gelten z.B. nicht bei kundenspezifischerWerbung anhand des bisherigen Kaufverhaltens(„Behavioural Advertising“).◊Es besteht auch die Möglichkeit, die Wahrscheinlichkeitenvon einem Dritten ermitteln zu lassen, beispielsweiseeiner Auskunftei (Schufa).••Werden der Auskunftei eigene Daten übermittelt, ist zu beachten,dass der Kunde der Übermittlung zustimmen muss.Checkliste: 23 Fragen zu Big Data und Recht23


14Spielt das Land, in dem ich die Datenspeichere bzw. auswerte, eine Rolle?Das Land, in welchem Daten verarbeitet werden, spielteine Rolle, datenschutzrechtlich, urheberrechtlich undsachenrechtlich.◊Sowohl im Datenschutz- als auch im Urheberrechtgilt das Territorialitätsprinzip, d.h. es gilt das Recht desLandes, in dem die relevante Handlung (Speicherung oderandere relevante Nutzung, siehe Frage 3) vorgenommenwird. Dementsprechend ist deutsches Urheberrecht undgrundsätzlich auch deutsches Datenschutzrecht (zur Ausnahmezugleich) immer zu beachten, wenn die Daten inDeutschland gespeichert oder genutzt werden.◊Daneben gilt deutsches Datenschutzrecht, wenn Datenvom Anbieter in Deutschland gesammelt oder mithilfe vontechnischen Hilfsmitteln aus Deutschland erhoben werden.◊Schließlich gilt deutsches Sachenrecht, wenn Datenaus in Deutschland befindlichen Black Boxen oder anderenim Eigentum des Betroffenen stehenden Trägern bezogenwerden.◊Eine Ausnahme vom Territorialitätsprinzip gilt im Datenschutzrecht,wenn ein im europäischen Wirtschaftsraum(EWR) ansässiges Unternehmen Daten in einem anderenEWR Staat erhebt, verarbeitet oder nutzt. In diesem Fall gilt(nur datenschutzrechtlich) das Herkunftslandprinzip. Hintergrundist die aus Sicht der (von den EWR Staaten übernommenen)EU-Datenschutzrichtlinie ausreichende Harmonisierungdes Datenschutzrechts in der EU/EWR, die es genügenlässt, wenn sich ein Anbieter an sein lokales Recht hält.Checkliste: 23 Fragen zu Big Data und Recht◊Schließlich gelten für Datenerhebungen und -verarbeitungenaußerhalb des EWR verschärfte datenschutzrechtlicheAnforderungen, wenn die Daten nicht vom Betroffenenselbst, sondern von Dritten aus dem EWR exportiert werden(z.B. bei der Zusammenführung von EWR Daten in einen US-Datenpool oder bei dem Fernzugriff auf EWR-Datenpoolsdurch Stellen außerhalb des EWR). Der Transfer zu nichtEWR Stellen von in der EWR erhobenen Daten, oder derZugriff auf diese durch nicht EWR Stellen, darf nur erfolgen,wenn die zusätzliche Anforderungen dafür gemäß derEU-Datenschutzrichtlinie erfüllt sind. Im Bereich von BigData sind hier namentlich die sogenannten EU Standardvertragsklauselsowie die sogenannten „Safe Harbor“-Regelnrelevant. Erstere sind von der EU abgesegnete, vorgefertigteVertragsklauseln, die zwischen dem in der EWR gelegenenDatenexporteur und dem nicht in der EWR gelegenen Datenimporteurabgeschlossen werden und in denen sich derImporteur im Prinzip zur Einhaltung europäischer Datenschutzstandardsbezüglich der exportierten Daten verpflichtet,inklusive – als Vertrag zugunsten Dritter – des Rechtsder Betroffenen, bei Verstößen selbst gegen den Importeurvorzugehen. Letztere ist eine Selbstverpflichtung, die – aufBasis einer bilateralen Vereinbarung zwischen USA und derEU und der Aufsicht durch die US Federal Trade Commission– es (nur) US-amerikanischen Unternehmen (mit Ausnahmeeiniger Branchen wie Telekommunikation und Banken, für diedie FTC nicht zuständig ist) ermöglicht, sich den EU-Datenschutzgrundsätzenin Bezug auf aus der EU erhaltene Datenzu unterwerfen.◊Zusätzlich ist der Betroffene zu Beginn des Datenverarbeitungsvorgangsdarüber zu unterrichten, wenn eineDatenverarbeitung außerhalb des EWR erfolgt.24


15Kann ein Kunde derDatenspeicherung widersprechen?Ungeachtet dessen, ob eine Datenspeicherung im Rahmenvon „Big Data“ erfolgt oder nicht, gelten für eine eventuelleWiderspruchsmöglichkeit des Betroffenen die nachfolgendenRegelungen:◊Erfolgt die Datenspeicherung aufgrund einer vom Betroffenenerteilten Einwilligung, muss dieser die Möglichkeithaben, der Speicherung seiner Daten zu widersprechen. Ausder Weigerung, in die Datenspeicherung einzuwilligen, darfdem Kunde auch kein Nachteil erwachsen.◊Handelt es sich um Daten, die zur Durchführung einesVertragsverhältnisses erforderlich sind (vgl. Frage 11) oderbereits anonymisiert wurden (vgl. Fragen 16, 18), bestehtkein Widerspruchsrecht des Betroffenen.Checkliste: 23 Fragen zu Big Data und Recht25


16Ist eine pseudonyme /anonymeVerarbeitung von Datenmengenzu Marktforschungszwecken gestattet?Sowohl anonymisierte als auch pseudonymisierte Datendürfen jedenfalls unter bestimmten Umständen zu Marktforschungszweckenverwendet werden. Dabei gilt:◊Die Verarbeitung anonymer Daten ist grundsätzlich ohneEinwilligung des Betroffenen möglich (vgl. Fragen 5 und 8).◊Die Verarbeitung pseudonymer Daten ist ebenfalls ohneZustimmung des Betroffenen möglich, soweit lediglich Nutzungsdatenbetroffen sind (d.h. Merkmale zur Identifikationdes Betroffenen, Angaben über Beginn und Ende sowie desUmfangs der jeweiligen Nutzung und Angaben über die vomBetroffenen in Anspruch genommenen Telemedien). Der Betroffeneist jedoch über die Datenverarbeitung zu Marktforschungszweckenzu unterrichten und über sein Widerspruchsrechtzu belehren.Im Rahmen von „Big Data“ ist daher gegebenenfalls nachder Art der Daten zu differenzieren.Checkliste: 23 Fragen zu Big Data und Recht26


17Muss einer Person ermöglicht werden,der Datenanalyse (Profilierung) seinerpersonenbezogenen Daten zu widersprechen?Die Datenanalyse darf grundsätzlich nur mit der Zustimmungdes Betroffenen oder aufgrund einer gesetzlichenErlaubnis erfolgen. Für die Beurteilung der Zulässigkeiteines Widerspruchs ist daher je nach der Rechtsgrundlagefür die Datenerhebung und -speicherung zu differenzieren:◊Ist die Datenerhebung und Speicherung nur mit einerEinwilligung des Kunden möglich, können die Daten ohnediese Einwilligung nicht verarbeitet werden.Der Betroffene ist bei der Erhebung bzw. Speicherungseiner Daten darüber aufzuklären, zu welchem Zweck dieDaten erhoben bzw. gespeichert werden. Daher ist alsZweck auch die Verarbeitung der Daten und Erstellungeines Profils zu benennen. Der Betroffene ist ebenfallsdarüber aufzuklären, dass er eine einmal erteilte Einwilligungjederzeit widerrufen kann.◊War zwar die Erhebung der Daten für die Eingehungoder Durchführung eines Vertrages mit dem Betroffenenerforderlich, wird diese Erlaubnis sich kaum auf die Analyseder Daten erstrecken, da nicht davon ausgegangenwerden kann, dass gerade die Datenanalyse auch für dieDurchführung des Vertrages erforderlich ist.◊Handelt es sich um pseudonymisierte Daten, ist überden Widerspruch im Rahmen einer Interessenabwägung zuentscheiden. Dabei ist das Interesse des Betroffenen ander Nichterfassung seiner Daten gegen das Interesse desUnternehmens abzuwägen. Hierbei kann z.B. der Zeitpunktdes Widerspruchs eine Rolle spielen oder auch die Art derDatenverwendung durch die datenverarbeitende Stelle.Siehe auch Frage 16.Checkliste: 23 Fragen zu Big Data und Recht27


18Dürfen auf Basis personenbezogenerDaten Klassen für eine Zielgruppebestimmt werden (Clustering)?Beim Clustering wird jeder Betroffene aufgrund seines Verhaltenseiner bestimmten Gruppe von Betroffenen zugeteilt.Rechtlich stellt dieser Vorgang ein Verändern von Daten dar,da durch die Zuordnung zu einer Nutzergruppe der Informationsgehaltder Daten inhaltlich umgestaltet wird.Die Anforderungen, die das Bundesdatenschutzgesetz andas Verändern von Daten stellt, stimmen mit denen überein,die für das Verarbeiten von Daten gelten. D.h., dass jedenfallseine datenschutzrechtliche Rechtfertigung, entwederin Form einer Einwilligung des Betroffenen oder eines gesetzlichenErlaubnistatbestandes vorliegen muss.Auch wenn eine datenschutzrechtliche Rechtfertigungfür das Clustering vorliegt, ist hiervon nicht notwendigerweiseauch die Nutzung der so gewonnenen Daten fürdie Kundenprofilierung oder für Direktmarketing erfasst.Hierfür ist eine eigene datenschutzrechtliche Rechtfertigungerforderlich (vgl. auch Checkliste zu E-Mail Marketing).Checkliste: 23 Fragen zu Big Data und Recht28


19Kann ich die Datenerhebung undAuswertung in einer Blackboxohne Zustimmung durchführen?Auch für die Auswertung von Daten in einer Blackbox geltendie allgemeinen Bestimmungen: sie bedarf einer datenschutzrechtlichenRechtfertigung, entweder in Form einesgesetzlichen Erlaubnistatbestandes oder der Einwilligungdes Betroffenen. Dies gilt nur dann nicht, wenn die Datenvollständig anonymisiert sind.Soll allerdings die Auswertung z.B. eines Unfalldatenschreibersaus dem Pkw erfolgen, ist eine datenschutzrechtlicheRechtfertigung erforderlich.Zusätzlich stellt sich hier das Problem der eigentumsrechtlichenZuordnung dieser Daten, die z.B. bei privaten Automobiliennaheliegend der Berechtigung als Führer, Halter oderEigentümer des Pkw folgen wird. Auch daraus ergibt sich einEinwilligungserfordernis hinsichtlich der Datenverarbeitung.Checkliste: 23 Fragen zu Big Data und Recht29


20Muss ich einer Person Einsicht in dievon ihr gespeicherten Daten geben?Hinsichtlich der Auskunftsrechte des Betroffenen ergibt sichauch in Bezug auf „Big Data“ nichts anderes als bei anderenDatenerhebungen und -verarbeitungen.Der Betroffene hat grundsätzlich ein Auskunftsrecht gegenjeden, der seine Daten erhebt, speichert, verarbeitet und anDritte übermittelt. Auf Verlangen des Betroffenen sind Auskünftedarüber zu erteilen:◊◊◊◊welche Daten zu seiner Person gespeichert sind;wo diese Daten erhoben wurden;an wen diese Daten weitergegeben werden;zu welchem Zweck sie gespeichert wurden.Die Auskunft über die Herkunft der Daten darf verweigertwerden, wenn ansonsten ein Geschäftsgeheimnis preisgegebenwerden müsste, dessen Schutz die Interessen desBetroffenen an der Preisgabe überwiegt.Die Auskunft ist auf Anfrage des Betroffenen einmal jährlichunentgeltlich zu erteilen. Für weitere Auskünfte kanndem Kunden ein Entgelt berechnet werden. Er ist darüberzu informieren.Die Einräumung dieser umfassenden Auskunftsrechte unddie damit einhergehenden praktischen und organisatorischenHürden können dadurch vermieden werden, dassnur anonymisierte Daten gespeichert und verarbeitetwerden.Checkliste: 23 Fragen zu Big Data und Recht30


21Wie schnell und umfangreich muss ich dasLöschen von Daten (personenbezogenenDaten) ermöglichen?bzw. wie lange dürfen diese Daten aufgehoben werden?Die Anforderungen, die das BDSG an die Löschung vonDaten stellt, richten sich nach dem Einzelfall. Grundsätzlichdürfen die Daten jedoch so lange aufbewahrt werden, wieeine datenschutzrechtliche Rechtfertigung besteht. DerZeitpunkt der Löschung ist an den Grundsatz der Zweckbindunggekoppelt: sobald der Zweck, für den die Daten erhobenwurden, erfüllt oder weggefallen ist, sind die Datenzu löschen. Der Zweck ergibt sich dabei zumeist aus denvertraglichen Beziehungen. Danach sind die Daten vollständigzu löschen.Für „Big Data“ bedeutet dies, dass theoretisch für alleDaten im Zweifel separat festgelegt werden muss, ob undwie lange eine datenschutzrechtliche Rechtfertigung fürderen Aufbewahrung besteht. In der Praxis wird man aberGruppierungen vornehmen müssen, da es anders nichtmachbar ist.Allerdings dürfen solche Daten, die zu Sicherungszweckengespeichert wurden, noch für einen angemessenen, meisttechnisch bedingten Zeitraum gespeichert bleiben. In diesemFall muss sichergestellt werden, dass diese Daten nur imSicherungsfall wieder rekonstruiert werden.Jedenfalls darf keine unbefristete Speicherung personenbezogenerDaten erfolgen; auch nicht mit Einwilligungdes Betroffenen.Checkliste: 23 Fragen zu Big Data und Recht31


22Welche technischen und organisatorischenMaSSnahmen muss ich treffen,um die Daten zu schützen?Insbesondere auch vor z.B. internen Stellen?Für „Big Data“ gelten auch hinsichtlich der technischen undorganisatorischen Maßnahmen die allgemeinen Regelungendes BDSG. Zum Schutz von Daten schreibt das BDSG in § 9vor, dass beim Umgang mit Daten alle erforderlichen Maßnahmenzu treffen sind, um die Anforderungen des BDSG zuerfüllen. Im Einzelnen ist sicherzustellen, dass◊Unbefugte (räumlich) keinen Zutritt zu Datenverarbeitungsanlagenerhalten;◊Unbefugte keinen Zugriff auf die Verarbeitung derDaten haben, d.h. nicht auf den Vorgang der Datenverarbeitungeinwirken können (dies kann insbesondere durchVerschlüsselung gewährleistet werden) - im Bereich „BigData“ ist die Zugriffskontrolle von besonderer Bedeutung.Die einzelnen Daten des Daten-Pools sind dergestalt aufzubewahrenoder der Zugriff zu beschränken, dass jedefür den Datenpool freigeschaltete Person auch tatsächlichnur die Daten einsehen und bearbeiten können, für die eineBerechtigung besteht;◊die Eingabe und Verarbeitung von Daten dahingehendüberprüft werden kann, ob und durch wen diese Tätigkeitenerfolgt sind;◊im Falle der Auftragsdatenverarbeitung eine ordnungsgemäßeAuswahl und Überwachung des Auftragsnehmersund dessen Tätigkeiten stattfindet;◊die Daten vor zufälliger Zerstörung (z.B. durch Blitzeinschlag,Stromausfall, Wassereinbruch o.ä.) geschützt werden;◊gewährleistet ist, dass Daten, die zu unterschiedlichenZwecken erhoben wurden, auch getrennt werdenverarbeitet werden;◊Mitarbeiter, die mit Daten anderer in Berührung kommen,auf das Datengeheimnis verpflichtet werden.◊die für die Datenverarbeitung berechtigten Personennur Zugang zu Daten haben, die von ihrer Berechtigungumfasst sind (dies kann insbesondere durch Verschlüsselunggewährleistet werden);◊die Daten auch im Falle ihrer Weitergabe vor dem ZugriffUnbefugter geschützt sind (dies kann insbesonderedurch Verschlüsselung gewährleistet werden);Checkliste: 23 Fragen zu Big Data und Recht32


23Welche Anforderungen an Big Dataergeben sich aus dem aktuellen Stand derEuropäischen Datenschutzverordnung?Derzeit ist noch nicht endgültig sicher, ob es die geplanteEuropäische Datenschutzgrundverordnung geben wird.Wird allerdings die (im Entstehen befindliche) europäischeDatenschutz-Grundverordnung in ihrer jetzigen Form (durchdas Europäische Parlament am 12.03.2014 vorgeschlagenemodifizierte Fassung des Vorschlags der EuropäischenKommission vom 25.01.2012) in Kraft treten, ergeben sichhinsichtlich „Big Data“ wichtige Änderungen, insbesondere:◊Die Datenschutz-Grundverordnung bestimmt klarer,als das derzeitige deutsche Recht, wann personenbezogeneDaten vorliegen (vgl. Fragen 4 und 5). Insbesonderebei Kennnummern, Standortdaten oder Online-Kennungensoll es sich nur dann um personenbezogene Daten handeln,wenn die datenverarbeitende Stelle nicht nachweisenkann, dass kein Personenbezug vorliegt. Hinsichtlichder IP-Adresse folgt die Regelung, dass diese immer dannein personenbezogenes Datum darstellt, wenn sie nicht fürein Unternehmen erteilt wurde.◊Werden Daten nicht selbst verarbeitet, sondern anDritte zur Verarbeitung weitergegeben (sog. „Auftragsdatenverarbeitung“),sind nach der europäischen Datenschutz-GrundverordnungAuftraggeber und Auftragnehmergemeinsam für die Einhaltung datenschutzrechtlicherAnforderungen verantwortlich. Nach bisherigem deutschenRecht haftet der Auftraggeber gegenüber dem Betroffenenallein und hat die Einhaltung des Datenschutzrechts durchden Auftragnehmer zu überwachen. Die stärkere (Mit)haftungdes Auftraggebers ist auch im Rahmen von „Big Data“,jedoch insgesamt für die Nutzung von Daten zu Werbezweckenein Problem.◊Bei Fragen der Verarbeitung von Daten zu eigenenGeschäftszwecken wird der derzeitige Vorschlag dahingehendinterpretiert, dass die Möglichkeit der nachträglichenZweckänderung der Datenerhebung (vgl. Frage 6) durchdie Verordnung eingeschränkt wird. Der aktuelle Entwurfder europäischen Datenschutz-Grundverordnung sieht vor,dass Daten nur dann zu einem anderen Zweck verarbeitetwerden dürfen als der zu dem sie erhoben wurden, wenndie Einwilligung des Betroffenen vorliegt oder eine vertraglicheGrundlage besteht.Checkliste: 23 Fragen zu Big Data und Recht33


KONTAKTartegic unterstützt Sie im erfolgreichenDialogmarketing mit E-Mail, RSS, Mobile und Social Media.Nehmen Sie unverbindlich Kontakt auf unterwww.artegic.de, Telefon +49(0)228 22 77 97 0oder per E-Mail info@artegic.deKennen Sie schon unseren Praxisnewsletter mit vielennützlichen Tipps im Online Dialogmarketing?Den monatlichen Newsletter können Sie hierkostenlos abonnieren:www.artegic.de/newsletter© 2014artegic AGZanderstraße 753177 Bonnwww.artegic.deTel: +49(0)228 22 77 97 0Fax: +49(0)228 22 77 97-900In Zusammenarbeit mit Bird&Bird:Bird & Bird LLPCarl-Theodor-Straße 640213 DüsseldorfTel: +49 (0)211 2005 6000Fax: +49 (0)211 2005 6011Hinweis: Vollständige oder teilweise Veröffentlichung und/oder Nachdruck des Werks ist nur nach schriftlicher Genehmigungund Checkliste: mit Quellenangabe 23 Fragen der artegic zu AG Big (www.artegic.de) Data und Recht gestattet.34


Checkliste: www.artegic.de23 Fragen zu Big Data und Recht35

Weitere Magazine dieses Users
Ähnliche Magazine