Wolfgang Straub | Rolf H. Weber | Florent Thouvenin (Hg.)
Schulthess Juristische Medien AG, Zürich 2014, V + 176 Seiten, CHF 64.–, ISBN 978-3-7255-7024-9
«Big Data» bezeichnet nicht nur grosse Mengen von Daten, sondern beinhaltet auch neue technische Methoden, wie solche – oft unstrukturierten – Datenmengen analysiert werden können, sodass sich ein Mehrwert daraus gewinnen lässt. Anhand der Suchanfragen bei Google konnte beispielsweise die Ausbreitung von Grippeepidemien vorausberechnet werden – offenbar viel rascher und präziser, als dies mit traditionellen Erhebungen bei Ärzten der Fall war.
Big Data ist in seiner Vielgestaltigkeit schwer fassbar. Je nachdem, ob man z.B. personalisierte Marketingmethoden oder die Entwicklung neuer Medikamente im Blick hat, gelangt man zu ganz unterschiedlichen Betrachtungsweisen. In beiden Fällen können ähnliche Algorithmen eingesetzt werden, die Interessenlage der Datenbearbeiter ist aber unterschiedlich. In den einen Konstellationen haben sie ein Interesse, aus anonymen Daten Personendaten oder Persönlichkeitsprofile abzuleiten, in anderen Konstellationen sollen hingegen aus Personendaten nicht mehr personenbezogene Informationen generiert werden.
Der vorliegende Band ist aus einer Tagung heraus entstanden, welche im Oktober 2013 stattgefunden hat. Ein Jahr später hat das Thema nichts von seiner Aktualität eingebüsst und die Schlussfolgerung von Rolf H. Weber, dass die rechtliche Diskussion zu den Folgen der immer umfassenderen Big Data Analytics erst in den Kinderschuhen stecke, hat wohl immer noch Gültigkeit. Die Beiträge sind aber wichtige Schritte zu einem besseren rechtlichen Verständnis der Thematik.
Die Autoren nähern sich mit ganz unterschiedlichen fachlichen Hintergründen und Perspektiven dem Thema an. Dieser Ansatz führt zwar teilweise zu Überschneidungen, ist aber zugleich eine Stärke des Buches. Diese Form des interdisziplinären Nachdenkens ermöglicht auch, Fragen und Lösungsansätze zu formulieren, ohne gleich einem Anspruch auf Vollständigkeit, Kohärenz und Allgemeingültigkeit genügen zu müssen.
Der einleitende Beitrag von Andreas Wespi bietet eine konzise Einführung in die technischen Hintergründe und einen Ausblick auf die Weiterentwicklung von Big Data Analytics zu Cognitive Computing. Dabei wird bereits deutlich, dass unter Gesichtspunkten des Datenschutzes und der Informationssicherheit Big Data zugleich Teil des Problems und Teil der Lösung ist: Durch die Aggregation grosser Datenmengen und ihre elektronische Analysierbarkeit entstehen neue Sicherheitsrisiken. Andererseits können Big-Data-Strategien helfen, IT-Systeme zu überwachen indem Muster typischer und atypischer – und damit potenziell gefährlicher – Nutzungen unterschieden werden.
Währenddem die datenschutzrechtliche Bedeutung von Big Data offensichtlich ist, erschliessen sich andere Rechtsfragen oft erst auf den zweiten Blick. Rolf H. Weber nimmt in seinem Beitrag eine Auslegeordnung rund um Big Data vor, die auch immaterialgüterrechtliche und wettbewerbsrechtliche Fragestellungen mit einschliesst. Zudem zeichnet er die Entwicklung unterschiedlicher Datenschutz-Konzepte nach. In Zukunft werden wahrscheinlich auch sektorspezifische Regelungen von zunehmender Bedeutung sein.
Bruno Baeriswyl geht der Frage nach, ob eine effektive Anonymisierung von Personendaten angesichts von Big Data überhaupt noch möglich ist. Hier liegt eines der Kernprobleme von Big Data. Das geltende Datenschutzgesetz geht davon aus, dass durch eine Anonymisierung der Personenbezug von Daten unwiderruflich gelöscht wird. Big Data Analytics erlaubt aber oft eine Re-Individualisierung von anonymisierten Daten. Dabei sind auch evolutive Aspekte zu berücksichtigen: Die in Unternehmen vorhandenen Datenansammlungen entwickeln sich nach und nach weiter. Durch Map-Reduce-Prozesse können jeweils bezogen auf eine bestimmte Aufgabenstellung Auswertungen generiert werden. Wenn ein Personenbezug zu einem bestimmten Zeitpunkt noch nicht hergestellt werden konnte, so ist dieser durch das Hinzukommen zusätzlicher (organisationsinterner oder öffentlich verfügbarer) Daten oder durch die Verfügbarkeit neuer Analysealgorithmen vielleicht später möglich. In jenem Zeitpunkt, in welchem der Personenbezug zwar potenziell hergestellt werden könnte, besteht mitunter aber noch gar kein Interesse daran. Eventuell erfolgt eine entsprechende Auswertung erst zu einem viel späteren Zeitpunkt. Damit stellt sich die Frage, ab wann Personendaten vorliegen, welche zu einer Anwendung des DSG auf alle weiteren Bearbeitungsvorgänge führen.
Florent Thouvenin untersucht anhand der Entstehungsgeschichte des DSG sehr sorgfältig und kritisch, inwieweit die Grundsätze der Erkennbarkeit |und der Zweckbindung der Datenbearbeitung generell und im Hinblick auf Big Data sachgerecht sind. Hier stellen sich auch zahlreiche praktische Probleme. Selbst wenn durch Big Data Analytics ein Personenbezug hergestellt werden kann, so eröffnet dieser nicht unbedingt bereits einen Kommunikationskanal (z. B. Adresse, E-Mail, Telefonnummer), durch den über die Bearbeitung informiert und gegebenenfalls eine Einwilligung eingeholt werden kann. Die Umsetzung von Berichtigungs- oder Löschungsansprüchen oder des Widerrufs einer Einwilligung zur Datenbearbeitung kann mit hohem technischem Aufwand verbunden sein (z.B. wenn verhindert werden soll, dass anhand richtiger Daten künftig erneut fehlerhafte Auswertungen zustande kommen).
Der Beitrag von Nicole Beranek-Zanon gibt einen Überblick über Fragestellungen rund um die Datensicherheit. Von zunehmender praktischer Relevanz sind insbesondere die Anforderungen an das Datenmanagement und die Auditierbarkeit von Big-Data-Infrastrukturen.
Rehana Harasgama und Aurelia Tamò befassen sich in ihrem Beitrag mit den Prinzipien von «Privacy by Design» und diskutieren, welche Bedeutung diesem bei der Einführung von Smart Metering in der Schweiz zukommen könnte.
Rolf H. Weber und Dominic N. Staiger untersuchen die Möglichkeiten der Vertragsgestaltung sowohl auf der Ebene Betroffene – Datenanalysten als auch auf der Ebene Unternehmen – IT Service Provider. Sie gehen dabei auch auf spezifische Elemente der Datensicherheit ein. Ihr Beitrag wird durch eine Checkliste für Unternehmen zum Abschluss von Cloud-Service-Verträgen für Big-Data-Anwendungen ergänzt.
Der Band wird durch einen Beitrag von Jean-Pierre König über Suchmaschinen und Social Media, eine Einführung über die Möglichkeiten personalisierter Medizin durch Big Data Analytics von Matthias Dehmer, Andreas Holzinger und Frank Emmert-Streib sowie eine Zusammenfassung der Podiumsdiskussionen durch Aurelia Tamò, abgerundet.
Das Buch ist insgesamt ein spannender Einstieg für alle, die sich für neue Fragestellungen an der Schnittstelle zwischen IT-Recht und Datenschutz interessieren.
Wolfgang Straub, Dr. iur., LL.M.,
Fürsprecher, Bern