Ab Mai 2018 wird der Datenschutz in Deutschland und Europa überwiegend durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Was die DSGVO eigentlich ist (Teil 1), welche neuen Begriffe verwendet werden (Teil 2), wann eine Datenverarbeitung künftig zulässig sein wird (Teil 3) und welche Pflichten mit der DSGVO auf Unternehmen zukommen (Teil 4 und Teil 5), haben wir bereits in einer mehrteiligen Beitragsreihe erörtert. Was fehlt – und das holen wir nun nach – sind einige Worte zu den Fragen, welche Änderungen die DSGVO im Bereich „Big Data“ mit sich bringt und was das für die tägliche Arbeit der Unternehmen bedeutet.
Nachfolgend gehen wir dazu einmal kurz auf die Frage ein, was Big Data denn im vorliegenden Kontext nun eigentlich heißen soll, wie sich das Ganze unter dem BDSG „gestaltete“ (*hust – eigentlich gar nicht) und ob es die DSGVO denn nun besser macht, für all die Geschäftsmodelle, die eben auf solchen Data-Analysen basieren (Spoiler: Leider nicht so sehr).
Big Data – Was ist das überhaupt?
Alle sprechen davon, aber keiner weiß eigentlich genau, was das ist – dieses komische „Big Data“. Bekannt ist die „Definition“ von Dan Ariely, er stellt auf Facebook folgenden Vergleich an: “Big data is like teenage sex: everyone talks about it, nobody really knows how to do it, everyone thinks everyone else is doing it, so everyone claims they are doing it…”. Wenn dieser Vergleich hier auch nicht so recht weiterhelfen mag, spiegelt er doch im Wesentlichen das wider, was im Allgemeinen unter Big Data verstanden wird: Vieles. Die Bezeichnung „Big Data“ wird nämlich sehr unterschiedlich verwendet. Allgemein geht es dabei aber immer um riesige Datenmengen, die durch die Nutzung des Internets täglich entstehen. Diese Datenmengen werden von Unternehmen aus den unterschiedlichsten Quellen nahezu in Echtzeit gesammelt, gespeichert, verarbeitet und analysiert. Die aus den Analysen gewonnenen Erkenntnisse werden anschließend zur unternehmerischen Entscheidungsfindung herangezogen. Aha! Es geht also um die Analyse von Datenmassen und die Verwendung der daraus gewonnenen Erkenntnisse.
„Big Data“ unter dem Bundesdatenschutzgesetz (BDSG)
Interessant ist damit also weniger die Verwendung des Begriffs „Big Data“, als vielmehr die Zulässigkeit und Ausgestaltung der Art und Weise, wie und zu welchen Zwecken die Datenmengen verwendet werden dürfen. Im BDSG gibt es keinen speziellen Big Data-Paragraphen (schön wäre es…). Lediglich vereinzelt werden Big Data-Analyseverfahren – wie z.B. das Scoring gem. § 28b BDSG – genannt. Gibt es dann also gar keine Regelungen zu Big Data -Analysen unter dem BDSG!? – Nein, so ist es natürlich auch nicht.
Denn neben dem § 28b BDSG gelten natürlich die allgemeinen Vorschriften des BDSG im Falle der massenhaften Datenverarbeitung. Ohne spezielle Vorschriften ist es nur, nun ja, schwieriger Big Data Analysemodelle unter das BDSG zu subsumieren. Wer sich nun nicht durch die unten noch einzeln genannten Artikel zu Big Data Analysen unter dem BDSG kämpfen mag, aber auch noch nicht all zu sehr mit den Grundsätzen der Datenverarbeitung vertraut ist, dem mag die nachfolgende Kurzfassung eine Hilfe sein (alle anderen können zum nächsten Absatz springen):
Zunächst einmal greifen die (derzeit geltenden) Vorschriften des BDSG ohnehin nur dann, wenn es sich um personenbezogene Daten (Name, Adresse, Username etc.) handelt. Werden solche personenbezogene Daten verwendet, hat sich das Unternehmen als Verwender immer am sogenannten Verbot mit Erlaubnisvorbehalt zu orientieren. Das heißt, dass eine Verarbeitung jedes einzelnen Datums nur dann zulässig ist, wenn der Betroffene einwilligt oder eine gesetzliche Vorschrift diese erlaubt (§ 4 BDSG). Gesetzliche Erlaubnisvorschriften finden sich z.B. in §§ 28, 29 BDSG, wo die Datenverarbeitung zu eigenen und fremden Geschäftszwecken geregelt ist. Obwohl personenbezogene Daten grundsätzlich immer beim Betroffenen erhoben werden sollen (Grundsatz der Direkterhebung), schaffen die §§ 28, 29 für Unternehmen eine Möglichkeit, allgemein zugängliche Daten zu verarbeiten. Das sind solche Daten, die für jedermann frei zugänglich sind. Klassisches Beispiel hierfür sind die von Internet-Suchmaschinen ausgespuckten oder die bei Facebook & Co.allgemein einsehbaren, d.h. nicht durch Privateinstellungen geschützte, Daten. Auch die Verarbeitung öffentlich zugänglicher Daten unterliegt aber Beschränkungen. Das BDSG geht nämlich vom Grundsatz der Datensparsamkeit und –vermeidung (§ 3a) aus, so dass zum einen grundsätzlich so wenig personenbezogene Daten wie möglich erhoben werden dürfen und zum anderen die erhobenen Daten anonymisiert und/oder pseudonymisiert werden müssen, soweit das möglich ist. Obwohl es etwas widersprüchlich klingt, hat sich also auch die massenhafte Datenverarbeitung an diesem Grundsatz zu orientieren. Darüber hinaus dürfen Daten auch nicht zu Analysezwecken verwendet werden, wenn der Betroffene ein berechtigtes Interesse daran hat, dass die Daten nicht verwendet werden. Oder einfacher: Überwiegt das Interesse des Einzelnen, sind die Daten auch für „Big Data“ tabu. Wann das der Fall ist, ergibt sich aus einer einzelfallbezogenen Abwägung. Abschließend ergibt sich noch eine weitere Einschränkung für Unternehmensentscheidungen, die allein auf Grund eines automatisierten Verfahrens (also ohne das Mitwirken einer natürlichen Person) getroffen werden: Sie sind unzulässig, wenn sie für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen (§ 6a BDSG). Ein Computerprogramm darf also nicht selbsttätig festlegen, ob mit dem Betroffenen ein Vertrag zustande kommt oder nicht. Entscheidet dagegen eine natürliche Person unter Heranziehung eines Analysewerts, gilt – ggf. unter Berücksichtigung der Regelung zum Scoring (§ 28b BDSG) – das soeben Geschriebene.
[Wie gesagt, das war die absolute Kurzfassung. Wenn Ihnen dass zu schnell ging oder Sie einfach mehr zum „Scoring“ und dessen Anwendung als Geschäftsmodell insbesondere in der Arbeitswelt, sprich zum Thema „Big Data & HR-Analysen„, erfahren möchten, können Sie gerne einmal bei den Artikeln „Big Data, Scoring & Recht – Teil 1: Grundlagen“ und „Big Data, Scoring & Recht – Teil 2: Ein Praxisbeispiel aus dem HR-Bereich“ vorbeischauen.]
Was ändert sich durch die DSGVO für die „Big Data“-Analyse?
Die eben genannten grundlegenden Voraussetzungen der Datenverarbeitung werden sich auch mit der DSGVO nicht all zu sehr ändern. Und leider gilt das im Wesentlichen auch für die Regelung der „Big Data“-Analyseverfahren. Denn auch die neue Verordnung geht nur wenig positiv regelnd auf diesen Themenkomplex ein. Im Einzelnen:
Big Data = Profiling in der DSGVO
Wenngleich die DSGVO viele neue und alte Begriffe definiert, kennt sie den Begriff „Big Data“ unglücklicherweise ebenso wenig wie das BDSG. Im Hinblick auf Big Data-Analyseverfahren findet sich zwar der Begriff des „Profiling“, der in Art. 4 Nr. 4 DSGVO wie folgt definiert wird:
Das Profiling [ist] jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Das klingt zunächst einmal sehr gut und wie der Beginn einer Lösung. Schließlich werden hier automatisierte Verfahren zu Analyse- und Prognosezwecken, also auch das aus dem BDSG schon bekannte „Scoring“ erfasst. Aber…
… dann suchen wir nach regelnden Normen in der DSGVO und stoßen dabei – ausschließlich – auf Art. 22 der DSGVO.
Artikel 22 – Automatisierte Entscheidung im Einzelfall einschließlich Profiling
Und nun müssen wir feststellen, dass das Profiling eben ausschließlich im Zusammenhang mit automatisierten Verfahren eine (regelnde) Erwähnung findet. Dort heißt es:
„Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Hervorhebung durch die Verf.).
Damit fallen Big Data-Verfahren als „Profiling“ in den Bereich des Art. 22, der inhaltlich jedoch der Regelung des § 6a BDSG entspricht. Das heißt, dass eine ausschließlich auf einer automatisierten Verarbeitung beruhende Entscheidung unzulässig bleibt, wenn diese rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Als Beispiele nennt Erwägungsgrund 71 die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Das ist ja toll! NICHT. Denn das bedeutet, wir sind hier mit der DSGVO keinen einzigen Schritt weiter als mit dem uralten BDSG. Eher sogar noch einen Schritt zurück. Denn die DSGVO kennt noch nicht mal Regelungen für einzelne Analyseverfahren wie das Scoring und § 28b BDSG. Macht ja auch nichts. Auf personenbezogenen Daten basierende Massen-Analyseverfahren, die zur Vorbereitung von Entscheidungen dienen, werden künftig sicher nicht noch mehr zunehmen. Nein, nein. Also, dafür, ha!, braucht man nun wirklich keine Regelungen. *hust. #ironieoff.
Fallgruppe: Online Assessments
Gerade der genannten Fall der Online-Einstellungen kann Kopfzerbrechen bereiten, denkt man z.B. an Online-Assessments. Dort werden Wahrscheinlichkeitswerte zu personenbezogenen und persönlichkeitsbezogenen Aspekten erhoben und daraufhin (quasi) automatisiert Entscheidungen getroffen: Wer nicht Wert X und Y erreicht, wird vom weiteren Bewerbungsverfahren ausgeschlossen (der Profi nennt das „negative Personalvorauswahl“). Nach dem oben Geschriebenen wäre das in Zukunft bei einer sehr engen Betrachtung nicht mehr möglich. Die konservativen Datenschützer würden nämlich auch die Tatsache, dass ein Unternehmen schon aus kommunikativen Aspekten gegenüber den Bewerbern keine automatisierten Absagen versendet, mit dem Argument „dies sei ja nur ein Feigenblatt, das einem Umgehungsversuch gleichkomme“ wegwischen wollen. [- Ja, natürlich könnte diese Argumentation schon heute über das BDSG auftauchen. Ich fürchte nur, mit den expliziten Erwähnungen in der DSGVO wird sich der eine oder andere Datenschützer ebenso wie der eine oder andere Betriebsrat noch wesentlich mehr bemüßigt fühlen, genauso zu argumentieren – und das Spiel, also die Frage, wie Normen ausgelegt werden müssen, ist mit der DSGVO nun bekanntermaßen wieder offen.]
Dabei spricht aber schon ein Vergleich mit den klassischen Papier-Assessments an sich gegen eine solche Auslegung. Deren Auswertung erfolgt nämlich ebenfalls nach einem „Algorithmus“, aber nicht automatisiert. Insofern entfalten Papier- und Online-Form für den Bewerber die gleiche rechtliche Wirkung. Es wäre somit widersprüchlich, das Papier-Verfahren zuzulassen, das Online-Verfahren dagegen nicht.
Noch eindringlicher wird es, wenn man hier an eine schlichte negative Personalvorauswahl denkt, die von Schulnoten abhängig gemacht wird (zwar erkennen zunehmend Unternehmen den Unsinn, aber es ist ja noch weit verbreitet): Siebt ein Personaler alle Abiturienten mit einer fünf in Mathematik für das Traineeprogramm aus, wäre das vollkommen okay. Übernimmt dies ein Computerprogramm… wäre das – aufgrund der automatisierten Entscheidung – unzulässig. Denn Sinn und Zweck mag mir mal einer substantiiert erklären. Vor allem vor dem Hintergrund, dass Unternehmen gerade zunehmend Online-Assessments für die negative Personalvorauswahl einsetzen, um wesentlich breitere kognitive Fähigkeiten abzutesten und eben nicht mehr auf wenig aussagekräftige Schul- und Abschlussnoten setzen zu müssen.
[Wer jetzt gegen Online-Assessments und über die „Entmenschlichung“ von HR-Prozessen wettern möchte, dem sei ein Streifzug durch den Recrutainment-Blog ans Herz gelegt – ich bin mir fast ganz sicher, dass sich hernach die Meinung ändern wird.]
Vielleicht sehe ich hier auch zu schwarz – und diese Problematik wird nie thematisiert werden. Vielleicht sorgt auch das DSAnpUG-EU-BDSG (das Wortungeheuer für das deutsche Anpassungsgesetz zur DSGVO) dafür, dass hier im Ergebnis alles beim alten bleibt (Dazu demnächst auch mehr hier im Blog). Und/oder es wird alles über Artikel 22 Abs. 2 DSGVO gelöst. Dazu aber sogleich.
Weitere Anwendungsfälle
Nach dem Wortlaut des Art. 22 wird nur die ausschließlich automatisierte Verarbeitung geregelt. Es sind aber auch Fälle denkbar, in denen ein Analyse-Wert zwar automatisiert erstellt und auch zur Entscheidung herangezogen wird, die Entscheidung selbst jedoch von einer natürlichen Person – und damit gerade nicht automatisiert – getroffen wird. Ist das dann erlaubt? Wird dieser Fall überhaupt geregelt? Um diese Fragen zu beantworten, ziehen wir Erwägungsgrund 71 heran. Dieser stellt nämlich klar, dass es eines durch automatisierte Verarbeitung erstellten Wertes und einer Beeinträchtigung bedarf, die der automatisierten Entscheidung gleichkommt. Das kann z.B. der Fall sein bei der Ablehnung eines Online-Bewerbers ausschließlich (!) auf Grundlage eines Analyse-Wertes. Wird dieser jedoch nur zur Vorbereitung einer Entscheidung herangezogen, steht dem Art. 22 nicht im Wege. Zusammengefasst bedeutet das also, dass der Fall, bei dem ein Analyse-Wert automatisch erstellt und auf dieser Grundlage automatisch eine Rechtsfolge gegenüber dem Betroffenen hergestellt (Ablehnung, Kündigung etc.) wird, genauso behandelt werden muss wie der Fall, bei dem eine natürliche Person auf der Grundlage eines Big Data-Analysewertes eine Entscheidung trifft, sofern diese Entscheidung eine – der automatisierten Entscheidung vergleichbare – rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ob das der Fall ist, lässt sich dann im Rahmen einer Einzelfallabwägung herausfinden.
Wie jetzt? Keine Ausnahmen von der Regel?
Natürlich gibt es davon auch wieder Ausnahmen. Diese befinden sich in Art. 22 Abs. 2, aus dem hervorgeht, dass automatisierte Entscheidungen im Einzelfall doch zulässig sind, wenn der Betroffene einwilligt, ein Gesetz dies ausdrücklich genehmigt oder diese für den Abschluss oder die Erfüllung eines Vertrages erforderlich sind. Das gilt aber wiederum nicht (Achtung, Rückausnahme!), wenn die Entscheidungen auf sensiblen Daten (Art. 9) beruhen. Die dafür dann geltende Ausnahme – quasi die Rück- Rück-Ausnahme – erspare ich Ihnen an dieser Stelle. Besonders motivierte Leser schauen dazu einfach selbst in Art. 22 Abs. 4 DSGVO.
Also doch – Rückgriff auf die allgemeinen Datenschutz-Grundsätze in der DSGVO
Lange Rede, kurzer Sinn: So richtig geregelt sind Big Data Analysen jetzt auch nicht. Das bedeutet, dass auch unter der DSGVO das Recht mehr oder minder in Bezug auf die faktisch ja mehr und mehr stattfindenden Analysen „zurechtgedängelt“ werden muss.
Über die grundlegenden Voraussetzungen der Datenverarbeitung unter der DSGVO haben wir bereits ausführlich hier geschrieben. In aller Kürze:
Auch nach der DSGVO gilt das Verbot mit Erlaubnisvorbehalt gem. Art. 6 DSGVO. Die Datenverarbeitung darf danach nur mit einer Einwilligung oder auf Grund weiterer Erlaubnisgründe erfolgen.
Der Begriff der „Datenverarbeitung“ meint nach neuem Verständnis übrigens alles, was man mit den Daten machen kann: Sammeln, Verwerten, Auswerten, Analysieren, Übermitteln etc. Dass die Verarbeitung aber nicht grenzenlos erfolgen darf, versteht sich auch nach der künftigen Rechtslage von selbst. So werden Unternehmen auch über 2018 hinaus zur Einhaltung vieler verschiedener Grundsätze verpflichtet. Die Gebote der Datenminimierung, Zweckbindung oder Speicherbegrenzung sind nur einige davon. Sie gelten – teilweise unter anderem Namen – fort (Art. 5 DSGVO).
Doch – oh weh, oh ach, – wie schon wohl dreimal in diesem Artikel beklagt – wurde auch dieses Mal die Chance vertan, klar zu stellen, wie sich die soeben genannten Grundsätze mit der massenhaften Auswertung von Daten vertragen. Big Data und Datenminimierung schließen sich sprachlich schon aus. Wünschenswert wären daher konstruktive Lösungen zur Vereinbarkeit gewesen. Aber gut, man kann eben nicht alles haben…
Allgemein zugängliche Daten & Big Data Analysen
Der Terminus der „allgemein zugänglichen Daten“ ist im Zusammenhang mit Big Data Analysen wichtig – drum müssen wir hier noch einmal kurz darauf zurück kommen. Wie oben schon erläutert, erlaubt das BDSG jedoch auch die Verarbeitung „allgemein zugänglicher Daten“. So bilden diese Daten auch für zahlreiche Scoring- und andere Big Data-Analyseverfahren die Grundlage.
Den oben bereits erwähnten Grundsatz der Direkterhebung (beim Betroffenen) kennt die DSGVO nicht. Deshalb könnte man nun frohlocken, dass es auf die Allgemeinzugänglichkeit von Daten unter der DSGVO gar nicht ankommt, wenn dieser Grundsatz unbekannt ist. Doch nein, natürlich ist es nicht so einfach. Denn es kommt unter der DSGVO natürlich immer noch auf den Zweck an, zu dem sie verarbeitet werden. Und spielt die Frage, wo die Daten herkommen und ob allgemein zugängliche Daten vielleicht privilegierter verarbeitet werden dürfen (aus Sicht der Verarbeiter), doch eine Rolle.
Diese Klarstellung hat der Verordnungsgeber aber versäumt zu regeln. Sogar schlimmer noch. Die DSGVO kennt den Terminus der „allgemein zugänglichen Daten“ gar nicht. Und nun? Tja, nun muss man wohl Art. 9 DSGVO heranziehen, um auf eine Verarbeitungs“erlaubnis“ zu kommen. Dort wird nämlich die Verarbeitung besonders sensibler Kategorien von Daten – wie z.B. Krankendaten oder solcher zur Religionsangehörigkeit etc. – grundsätzlich untersagt. Aber wie immer, bestätigt die Ausnahme die Regel. Und huch: Im Absatz 2 lit e findet sich eine Regelung, wonach auch besonders sensible Daten verarbeitet werden dürfen, wenn es sich um von der betroffenen Person offensichtlich öffentlich gemachte Daten handelt. Wenn danach also sensible Daten verarbeitet werden dürfen, sobald sie öffentlich gemacht wurden, dann muss das doch erst recht für weniger geschützte, sprich „normale“, Daten gelten.
Im Ergebnis bedeutet das, dass auch weiterhin eine Möglichkeit zur Verarbeitung öffentlicher Daten zu Big Data-Analysezwecken bestehen wird. Damit ist aber noch nichts dazu gesagt, wie öffentlich gemachte Daten erhoben werden dürfen. Die bereits nach jetziger Rechtslage bestehenden Fragen, wie z.B. die nach der Zulässigkeit der Verarbeitung von in geschlossenen Netzwerken veröffentlichter Daten, regelt auch die DSGVO nicht. Was bleibt, ist also die Erkenntnis, dass auch die Verarbeitung von aus öffentlichen Quellen stammender Daten – obwohl nicht ausdrücklich geregelt – den allgemeinen Regelungen unterliegt.
Fazit – Es bleibt kompliziert
Der Datenschutz wird sich im Hinblick auf „Big Data“ aus deutscher Sicht kaum verändern: Es bleibt kompliziert.
Man könnte vielleicht das Folgende sagen: Big Data-Analysen bleiben also auch unter der DSGVO möglich, wenn die Daten, auf Basis derer die Analysen vorgenommen werden, rechtmäßig verarbeitet wurden und die Analyse keine automatisierte Einzelentscheidung oder sonstige erhebliche Beeinträchtigung zur (unmittelbaren) Folge hat.
Ärgerlich ist und bleibt aber, dass es der Verordnungsgeber erneut verpasst hat, Analyseverfahren umfassend zu regeln und zwar insbesondere solche, die eben nicht zu einer automatisierten Entscheidung führen, sondern eine solche nur vorbereiten. Big Data-Analyseverfahren liegt nämlich nicht zwangsläufig eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO zugrunde. Daneben fehlen Regelung zu speziellen Verfahren – wie dem Scoring – gänzlich. Und die Frage der allgemein zugänglichen Daten ist grundsätzlich aber auch insbesondere im Zusammenhang mit Big Data-Analysen nur sehr unbefriedigend geregelt.
Es wird also irgendwie alles anders und bleibt wie es ist. Ich sage nur „zurechtdängeln“.
Doch der Spannungsbogen ist ja noch nicht zu Ende – vielleicht wird mit dem DSAnpUG-EU-BDSG alles besser. Oder so. *räusper. #wohldemderGlaubenmag
In diesem Sinne,
auf bald, zur Besprechung des Wortungeheuers.
Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.
Bisher in der Reihe zur DSGVO außerdem erschienen:
Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung
Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.
Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten
Teil 8 – Der Datenschutzbeauftragte unter der DSGVO
Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I