Datensparsamkeit ist schwierig in Big Data-Zeiten. Der Beirat der Datenschutzkonvention des Europarats hat eine Reihe von Richtlinien für Dataminer vorgelegt. Derweil warnt der SAP-Finanzchef vor Risiken von EU-Datenschutzregeln.

Der Beirat der Datenschutzkonvention des Europarat legte zum Internationalen Datenschutztag „Richtlinien zum Schutz persönlicher Daten in einer Big Data-Welt“ vor. Darin fordert er Datenverarbeiter und -transporteure auf, „by design“ und by default“-Mechanismen zum Schutz gegen Grundrechtseingriffe durch Big Data-Anwendungen einzuführen. Allerdings haben die Richtlinien, die heute auch bei der Konferenz Computer Privacy and DataProtection in Brüssel vorgestellt wurden, lediglich Empfehlungscharakter.

Neun Empfehlungen hat der Beirat zur Konvention 108 in die neuen Richtlinien hinein geschrieben. Erst einmal dürfen Datensammler und -verarbeiter negative Effekte ihrer Aktiväten auf die Grundrechte nicht einfach außer Acht lassen. Wo sie negative Effekte befürchten, sollten Ethikkommissionen mögliche Risiken beurteilen helfen. Ingesamt rät der Beirat dazu, dem Vorsorgeprinzip zu folgen. Die Risiken für den einzelnen Nutzer in Big Data Anwendungen müssen von Datenverarbeitern und -transporteuren ständig überprüft werden. Sie müssen geeignete Schutzmassnahmen vorsehen und auch deren Effektivität überwachen.

Nutzer sollen selbst entscheiden

Damit Nutzer selbst entscheiden können, welche Risiken sie tragen wollen, sollen sie überdies über diese Abwägungsverfahren auch informiert werden. Der Beirat empfiehlt auch, betroffene Nutzergruppen wo möglich schon in die Evaluierung und Abwägung einzubinden. Das viel gerühmte Multi-Stakeholderprinzip lässt grüßen.

Weitere Empfehlungen betreffen abgesehen von der Bestätigung bekannter Grundsätze wie der Datensparsamkeit und Zweckgebundenheit mehr Aufmerksamkeit in Bezug auf die Re-Identifikation einmal anonymisierter Daten. So lange re-identifiziert werden kann, müssen sich die datenverarbeitenden Unternehmen strikt an den Datenschutz halten. Schließlich sollten Open-Data-Konzepte von Unternehmen und der öffentlicher Hand daraufhin abgeklopft werden, ob sie zur Erstellung von Profilen genutzt werden können. Gegen automatisierte, auf der Basis von aus Data Mining gewonnenen Profilen gefällten Entscheidungen müssen dem Nutzer Widerspruchsmöglichkeit offen stehen, so die Forderung.

Die Forderungen des Beirats sind erst einmal reine Empfehlungen. An der Modernisierung der aus dem Jahr 1981 stammenden Konvention 108 wird immer noch gearbeitet. Privacy by Design, die Transparenz der Datenverarbeitung und Schutz vor automatisierten Entscheidungen standen auch bei der Neufassung auf der Agenda. So weit wie die jetzt vorgelegten Richtlinien aber wird der Text nicht gehen. Insgesamt sind 50 Staaten der Datenschutzkonvention beigetreten. Die Cybercrime Konvention des Europarates hat aktuell 69 Mitglieder.

Bedenken aus der Wirtschaft

Derweil hat Europas größter Softwarekonzern SAP seine Kritik an den bereits beschlossenen EU-Datenschutzregeln erneuert. Mit den Vorschriften sei auch das Risiko verbunden, dass Start-ups abwandern, etwa in die USA, sagte SAP-Finanzchef Luka Mucic im Gespräch mit den Nachrichtenagenturen dpa-AFX und dpa.

Für kleinere, innovative Unternehmen könne es schwierig sein, die Anforderungen der EU-Datenschutzgrundverordnung zu ermessen und alle Geschäftsprozesse darauf auszurichten. Mit der Verordnung werden für Unternehmen zahlreiche neue Informations- und Dokumentationspflichten eingeführt. Verletzen sie die Bestimmungen, drohen ihnen empfindliche Strafen von bis zu vier Prozent des Umsatzes. Mucic warnte: "Wir haben schon das Konsumenteninternet den Amerikanern überlassen - denken Sie an die Stärke von Facebook, Google, oder Amazon."

Bei der Wandlung traditioneller Geschäftsmodelle hin zu mehr Kundennähe dürfe sich Europa nicht erneut zu starken Selbstbeschränkungen unterwerfen, sonst würden die Netzwerke und Einkaufsmarktplätze der Welt in den USA noch mächtiger und stärker.

Starke Beschränkungen ab 2018

Der Weltmarktführer für Unternehmenssoftware kritisiert die Datenschutzvorgaben aus Brüssel schon länger. Sie schränken die Möglichkeiten bei der Datenauswertung ein. "Ab 2018 darf man nach EU-Recht nicht mehr davon ausgehen, dass selbst pseudonymisierte Daten zu neuen Verwendungszwecken weiter verwendet werden dürfen, wenn nicht vorher erneut die Zustimmung dafür eingeholt wurde", sagte Luka Mucic. Soll heißen: Auch wenn ein Datensatz für Außenstehende nicht mehr einer Person zugeordnet werden kann, muss diese Person jeder weiteren Verwendung ihrer Daten neu zustimmen. Das betrifft die Kunden der Walldorfer, die ihre Daten mit Hilfe von SAP-Software auswerten. Mucic kritisierte, die Datenschutzverordnung habe die neuen Verwendungsmöglichkeiten und Geschäftsmodelle auf Basis von Big Data nicht ausreichend mit ins Kalkül gezogen.

Während der EU-Verbraucherverband Beuc die neuen Datenschutzregelungen begrüßt hat, fiel das Urteil juristischer Experten der Universität Kassel vor einigen Monaten negativer aus: Von ihnen hieß es, der neue europäische Datenschutz sei weitgehend wirkungslos. Die Verordnung soll das Datenschutzrecht in Europa vereinheitlichen, für gleiche wirtschaftliche Bedingungen sorgen sowie den Datenschutz modernisieren und die Grundrechte besser schützen. Weil sie aber zu abstrakt sei und zu viele Ausnahmen mache, werde keines der Ziele erreicht.

Die EU-Datenschutzverordnung war im vergangenen Jahr offiziell in Kraft getreten und muss bis Mai kommenden Jahres in den einzelnen Mitgliedstaaten umgesetzt werden. Sie gibt die Regeln für die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen vor. (js)