Big Data und Datenschutz – ein unlösbarer Konflikt? | Bonner Gespräche 2016 | bpb.de

Was haben das Beichtgeheimnis, ärztliche Schweigepflicht und Datenschutz gemeinsam? Laut Peter Schaar ist es die Frage: "Wie wird mit persönlichen Daten umgegangen?" Das Beichtgeheimnis und die ärztliche Schweigepflicht seien klassische Vertraulichkeitsbeziehungen, sagte der Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz. "Hier geht es darum, dass man sich sicher sein kann, dass Informationen nur zu diesem und zu keinem anderen Zweck verwendet werden", so Schaar. Dies sei heute jedoch nicht immer der Fall.

Neue Technologie, neue Anforderungen

Durch den Interner Link: Übergang von der Small-Data- zur Big-Data-Verarbeitung ist es auch zu neuen Anforderungen an den Datenschutz gekommen, sagte Schaar, der von 2003 bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit war. Zur Zeit der Small Data sei es noch darum gegangen, Daten zu erheben und zu analysieren, um Aufgaben zu lösen. Das sei nun anders: "Bei Big Data geht es darum, Datenbefunde zu analysieren, egal woher sie kommen." Mit dieser neuen Herangehensweise würden Daten zum Rohstoff und erhielten einen gewissen Wert – mit Konsequenzen für den Datenschutz. Die Datenschutzregeln der 70er Jahre seien entsprechend aufgabenorientiert gewesen – angepasst an den Umgang mit Small Data. "Dieser Konnex zwischen Aufgaben und der Datenverwendung wurde aufgelöst", meinte Schaar. Dies ist aus verschiedenen Gründen problematisch, die sich aus der Verarbeitung von Big Data ergeben: "Gerade in Zeiten der Digitalisierung sind eine Vielzahl an Daten auf Personen bezogen, die es analog nicht waren." Zum Beispiel können das Daten sein, die über Sensoren des Autos aufgenommen und zum Teil bereits in einer Art Black Box gespeichert werden; oder Daten, die bei der Handynutzung entstehen. Es seien noch nicht die richtigen rechtlichen Mittel gefunden worden, um diesen Prozess der ungezügelten Datenerfassung einzugrenzen.

Fragen an den Gesetzgeber

"Datenverarbeitung personenbezogener Daten ist nach juristischem Verständnis nur zulässig, wenn es eine Rechtsgrundlage gibt oder wenn die Person eingewilligt hat. Die Rechtsgrundlage ist die Erforderlichkeit oder Zweckbindung. Das ist jedoch noch Small-Data-Verständnis", sagte Schaar. Bei der Freiwilligkeit der Einwilligung spiele außerdem eine Rolle, welche echten Alternativen vorhanden seien. Kaufe man sich einen Kühlschrank mit Internetverbindung, dann seien auch Alternativen ohne Internetverbindung vorhanden. Auf anderen Gebieten sei das jedoch nicht der Fall – beispielsweise bei den Sozialen Netzwerken: "Wenn eine Plattform eine Monopolstellung innehat, ist die Einwilligung in die Verwendung der eigenen Daten zwar formal freiwillig, sie ist es aber eigentlich nicht", sagte Schaar. Schließlich macht die Nutzung eines Netzwerks, in dem Freunde und Bekannte nicht vernetzt sind, nicht viel Sinn. Für den Gesetzgeber ergeben sich daraus zwei Fragen: "1. Gibt es Mechanismen, die Freiwilligkeit wiederherstellen? 2. Wie können die Daten bei der Nutzung geschützt werden?"

In Sachen Soziale Medien fordert Schaar daher eine Interoperabilität von Diensten. Dies würde es ermöglichen, sich zu vernetzen, ohne auf einen bestimmten Dienst angewiesen zu sein. Laut Schaar ist das eine regulatorische Frage, bei der die EU-Datenschutzgrundverordnung als Antwort allein nicht ausreicht: "Der Werkzeugsatz des Datenschutzes sollte ergänzt werden", meinte Schaar hierzu. Zum einen sollten diese Werkzeuge "Benefits", Nutzen also, enthalten. Und: "Dazu gehört die individuelle Ermächtigung der Personen, sich gegen die Sammlung und Verwendung ihrer Daten zu schützen." Auf technischer Seite stelle sich wiederum die Frage: "Warum müssen Daten immer so genau sein, wie sie sein können?", beispielsweise bei der Erfassung des Standorts. Eine Möglichkeit wäre die Schaffung von Unschärfen in Datensätzen, die die Arbeit am Datensatz nicht gefährden, aber dafür den Nutzer schützen würden.