E-Book | | von Annette Mattgey

Big Data: Was ist rechtlich zulässig

In der digitalen Wirtschaft hat sich Big Data zu einem wichtigen Wertschöpfungsfaktor entwickelt, den kaum ein Unternehmen außer Acht lassen kann. Doch die Erfassung und Verarbeitung von großen Datenmengen unterliegt, insbesondere im kommerziellen Umfeld, einer Reihe gesetzlicher Vorschriften. Wo die Tücken liegen, erläutert ausführlich ein 35-seitiges Paper der Kanzlei Bird & Bird, das sie zusammen mit der Onlinemarketing-Agentur Artegic ausgearbeitet hat.  

Insgesamt werden 23 Fragen zu Big Data und Recht geklärt - von den Grundlagen bis hin komplexeren Problemen. "Unsere Erfahrungen aus der Beratungspraxis zeigen, dass der Datenschutz mittlerweile als zentrales Thema auf Ebene von Geschäftsführung und Vorstand verankert ist. Grund hierfür ist, dass zum einen die richtige Nutzung von Big Data heutzutage ein wesentlicher Wettbewerbsvorteil geworden ist, zum anderen Rechtssicherheit und Datenschutz im Big Data-Umfeld  unerlässlich sind.", so Fabian Niemann, Partner bei der Kanzlei Bird & Bird. "Big Data ist nicht nur das Sammeln und Verstehen von Daten. Die tatsächliche Möglichkeit des Einsatzes dieser Daten für Marketing wird zur wichtigen dritten Säule. Diese Nutzbarmachung bedeutet insbesondere die Planung und Umsetzung von datenschutzrechtlichen Aspekten. Konkret geht es um die rechtssichere Erfassung von Zustimmungen und die datenschutzkonforme Verarbeitung von Daten: Legal Big Data", sagt Stefan von Lieven, CEO von Artegic.

Zum Einstieg hier drei der behandelten Fragen in gekürzter Form:

Welche Datenerhebungen bzw. auswertungen bedürfen der Zustimmung?

Maßgeblich sind hier Urheberrecht (soweit einschlägig), Datenschutzrecht und BGB. Nach dem UrhG ist eine urheberrechtlich relevante Nutzung (also insbesondere eine Speicherung der Daten und ihre öffentliche Zurverfügungstellung) von urheberrechtlich
geschützten Werken grundsätzlich nur mit Zustimmung der Inhaber der Verwertungsrechte an den Werken zulässig; ohne eine solche Zustimmung ist eine relevante Nutzung nur in sehr eingeschränktem Umfang im Rahmen urheberrechtlicher Schrankenbestimmungen erlaubt.

Soweit keine rein anonymen Daten genutzt werden, sondern Daten die (teilweise) auch natürlichen Personen zugeordnet werden können (wie meist bei Big Data), ist aber in jedem Fall das Datenschutzrecht zu beachten. Das deutsche Datenschutzrecht geht von dem Grundkonzept aus, dass die Erhebung und Verwertung von Daten verboten ist. Ausnahmen von diesem Verbot stellen bestimmte gesetzliche Erlaubnisvorschriften oder die Zustimmung des Betroffenen dar (datenschutzrechtliche Rechtfertigung). Dabei unterscheiden sich die Anforderungen danach, ob es sich um allgemeine personenbezogene Daten oder sogenannte Standortdaten oder Verkehrsdaten handelt.

Die Erhebung und Auswertung allgemeiner personenbezogener Daten, d.h. Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Name, Adresse, E-Mailadresse, Familienstand, Beruf, Ausweisnummer, Versicherungsnummer, Telefonnummer) bedürfen der vorherigen Einwilligung des Betroffenen, soweit nicht eine gesetzliche Erlaubnis nach dem BDSG vorliegt. Soweit solche Daten außerhalb des eigentlichen Vertragszwecks gespeichert und genutzt werden, ist dafür eine Einwilligung aller natürlichen Personen erforderlich, deren Daten betroffen sind.

Darf man alle Daten zusammenführen ?

Daten zu Kunden entstehen an unterschiedlichen Stellen und für verschiedene Einsatzzwecke. Im Zusammenhang mit „Big Data“ ist es in der Tat ein Unterschied, ob bereits ein Daten-Pool vorhanden ist, dessen Daten ausgewertet werden sollen, oder ein solcher erst noch erstellt werden soll. Wenn der Daten-Pool nicht ausschließlich anonyme Daten enthält, so ist für jeden Einzelfall gesondert sowohl zu fragen, ob eine datenschutzrechtliche Rechtfertigung für die Nutzung als auch eine datenschutzrechtliche Rechtfertigung für eine etwaige vorgelagerte Zusammenführung von Daten vorliegt.

Dabei sind insbesondere folgende Punkte zu beachten: Generell gelten die Grundsätze der Zweckbindung und Datentrennung, d.h. die Daten dürfen jeweils nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Verschiedene Datensätze müssen dementsprechend auch grundsätzlich unabhängig voneinander verwaltet werden. Eine Zusammenführung ist nur aufgrund einer separaten datenschutzrechtlichen Legitimation (entweder Einwilligung oder gesetzliche Rechtfertigung) zulässig. Die gewerbliche Nutzung – z.B. um die Daten des Kaufprofils im Shop im Newsletter zu verwenden – ist dabei meistens nur nach Einwilligung des Empfängers zulässig.

Die Einwilligung muss nicht separat erfolgen, sondern kann Teil der Datennutzungserklärung im Rahmen der Newsletter-Anmeldung oder des Shop-Registrierungsprozesses sein, solange die Einwilligung diesbezüglich klar und verständlich ist. Wenn der Betroffene so z.B. bei der Anmeldung im Shop die Datennutzungserklärung akzeptiert, berechtigt er den Anbieter auch zum Zusammenführen von Daten.

Gleiches gilt für die Anreicherung mit externen Daten – z.B. zur Aktualisierung von postalischen Anschriften oder Bonitätsdaten sowie zur Anreicherung von E-Mail-Adressen um die darüber genutzten Social Networks, sofern diese Informationen nicht allgemein verfügbar sind. Ohne Einwilligung zulässig ist aber die Zusammenführung von listenmäßig gespeicherten Daten mit im Internet frei verfügbaren Informationen für Zwecke der Werbung für eigene Angebote des Online Shop-Anbieters als datenschutzrechtlich verantwortlicher Stelle.

Darf man alle Formen von Datenauswertungen durchführen?

Welche Form der Auswertung erlaubt ist, richtet sich nach der Art der im Daten-Pool befindlichen Daten. Soweit es sich – wie im Regelfall – (auch) um personenbezogene Daten handelt, bedarf es für die Verarbeitung einer datenschutzrechtlichen Rechtfertigung. Dabei sollen die nachfolgend aufgeführten Beispiele als Orientierung dienen:

Werden mit Hilfe von Web-Analyse Tools wie Google Analytics oder Piwik Verhaltensdaten wie Conversion Rate, Anzahl der Besuche auf einer Webseite, Klickrate, Klickreihenfolge, gesuchte Begriffe ausgewertet, ist dies zulässig, wenn der Betroffene zu Beginn des Vorganges, d.h. wenn sich die Webseite öffnet und noch bevor etwaige Daten von ihm gespeichert werden, über die Datenerhebung und – auswertung und das ihm zustehende Widerspruchsrecht zu informieren.

Widerspricht der Betroffene der Verwendung seiner Daten bzw. dem Setzen des hierfür erforderlichen Cookies, dürfen seine Daten auch nicht verwendet werden. Werden jedoch Cookies nur zu dem Zweck gesetzt, um damit das Funktionieren des Webseitenbesuchs zu ermöglichen (z.B. Session-Cookies), muss der Betroffene hierüber nicht informiert werden und hat hier auch kein Widerspruchsrecht.

Grundsätzlich dürfen bei der Webanalyse nur solche Datenauswertungen vorgenommen werden, die der Werbung und Marktforschung sowie der bedarfsgerechten Gestaltung der Webseite dienen.

Die Checkliste "23 Fragen zu Big Data und Recht" gibt es ab sofort zum kostenlosen Download gegen Adressangabe.

Big Data: Was ist rechtlich zulässig

Artikel bewerten

Vielen Dank, Ihre Bewertung wurde registriert!

Sie können leider nur einmal pro Seite bewerten.

Ihre Bewertung wurde geändert, vielen Dank!

Leserkommentar

Wir freuen uns über Ihre Kommentare.

* Pflichtfeld
** Pflichtfeld, wird nicht veröffentlicht