Читать книгу DS-GVO/BDSG - David Klein - Страница 426

284

So einig man sich letztlich über die Begriffsbestimmung und das Bedürfnis nach praktischer Anwendung ist, so weitreichend und unterschiedlich sind die datenschutzrechtlichen Herausforderungen, die mit Big Data-Verfahren einhergehen.[559] Das Datenschutzrecht wird in der Wirtschaft noch immer als Einsatzhemmnis für Big Data Projekte gesehen.[560] Im November 2015 hat der EDSB Giovanni Buttarelli die Stellungnahme „Meeting the challenges of big data – A call for transparency, user control, data protection by design and accountability“ veröffentlicht.[561] Es lässt sich aber nicht entnehmen, dass insoweit noch Restriktionen Eingang in die DS-GVO gefunden hätten.[562] Im Gegenteil: „Big Data“ kommt in der DS-GVO schlicht nicht vor.

285

Das ist umso bedauerlicher, als schon zu Beginn der juristischen Auseinandersetzung mit dem Thema die Überlegung entstand, dass das generelle Konzept von Big Data den allgemeinen Datenschutzprinzipien diametral gegenüber steht.[563] Einige Prinzipien, die eine überbordende Datensammlung und -auswertung verhindern könnten, sind zwar in der DS-GVO angelegt, aber nicht so ausgestattet, dass dadurch die wirklichen Gefahren der Transparenz des Einzelnen und dessen heimlicher Ausspähung gebannt wären, wie sie sich über Big Data Anwendungen ergeben können.[564] Vereinzelt wird dementsprechend geschlussfolgert, dass Dank Big Data die Grenzen des hergebrachten Datenschutzrechts erreicht seien.[565]

286

Die Vielgestaltigkeit der datenschutzrechtlichen Herausforderungen liegt u.a. darin begründet, dass ein Big Data-Projekt in verschiedene Phasen aufgeteilt werden kann und sich in allen diesen Phasen verschiedenste datenschutzrechtliche Fragen stellen, bspw. nach dem Personenbezug,[566] dem Vorliegen und der Wirksamkeit einer Einwilligung,[567] der Zweckbindung oder gar nach der Anwendbarkeit unterschiedlicher Regelungsbereiche wie Inhalte-, Server- oder Leistungsebene.[568] Schon anhand der konstituierenden Merkmale von Big Data „Datenmenge“, „Quellen“ und „Auswertung“ zeigt sich, dass hier erhebliche Diskrepanzen zu den allgemeinen datenschutzrechtlichen Anforderungen insbesondere der Datensparsamkeit, der Erforderlichkeit, der Transparenz oder der Zweckbindung bestehen.[569]

287

Dem stellt die DS-GVO die Prinzipien der Zweckbindung (Art. 5 Abs. 1 lit. b), Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und Datenminimierung (Art. 5 Abs. 1 lit. c) gegenüber. Gerade Letzteres dürfte Verantwortliche in Big Data-Verarbeitungssituationen vermehrt vor schwere Herausforderungen stellen: Nach Art. 25 muss der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen (wobei Big Data Projekte ein Paradebeispiel für risikoträchtige Verarbeitungen darstellen dürften) geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze „wie etwa Datenminimierung“ wirksam umzusetzen. Hier manifestiert sich nicht nur der Gedanke, dass das generelle Konzept von Big Data den allgemeinen Datenschutzprinzipien diametral gegenüber steht, sondern auch ein kardinaler Konflikt zwischen Big Data und dessen Förderung durch die Kommission i.R.d. „Single Market“ und dem Gebot des Datenschutzes durch Technikgestaltung und dabei der Einrichtung datenschutzfreundlicher Voreinstellungen sowie Datenminimierung und Pseudonymisierung.[570]