Ist Datenschutz ein Hindernis für Big Data, IoT- und KI?

Antwort von Dr. Chistiane Bierekoven, „Fachanwältin für IT-Recht, Ebner Stolz Köln, GfA Davit“. Ein Jahr nach der Europäischen Datenschutz-Grundverordnung sind bei den meisten Unternehmen noch nicht alle Punkte umgesetzt. Die promovierte Fachanwältin für IT-Recht, Christiane Bierekoven, benennt die gravierendsten Probleme und beleuchtet die speziellen Herausforderungen beim Einsatz von Big Data, IoT und KI.

• Unternehmen müssen genau dokumentieren und darüber informieren, wie sie personenbezogene Daten verwenden. Besonders schwierig gestaltet sich die Dokumentation und Information für Big Data und KI-Anwendungen. Eine durchgehende Anonymisierung ist vorzugswürdig, um eine datenschutzkonforme Auswertung der Daten sicherzustellen.
• Technische Lösungen, wie Privacy-by-Design und -Default erhalten eine immer stärkere Bedeutung, wenn es um die datenschutzkonforme Nutzung von Daten bei Big Data Auswertungen, IoT-Plattformen und KI geht.

Christiane Bierekoven berät seit über 20 Jahren Unternehmen im Bereich Datenschutz und IT-Recht. Die promovierte Fachanwältin für IT-Recht hat einst sogar auf dem Apple II programmiert. Von daher weiß sie, wie Software funktioniert und kennt sich auch mit Cloud-Technologien aus. Sie veröffentlicht regelmäßig in juristischen Fachzeitungen und Fachbüchern zu Themen des IT- und Datenschutzrechtes und wirkt als Dozentin bei der DeutschenAnwaltAkademie sowie der BeckAkademie. Im Interview beantwortet sie Fragen zur Umsetzung der europäischen Datenschutz-Grundverordnung und deren Auswirkung auf Cloud, KI und Big Data.

 

Frau Bierekoven, seit rund einem Jahr ist die Datenschutz-Grundverordnung (DSGVO) in der EU rechtsverbindlich. Wie weit ist sie in den Unternehmen umgesetzt und wo treten noch Probleme auf?

Längst noch nicht alle Unternehmen haben die DSGVO vollständig umgesetzt. Große Unternehmen sind dabei weiter, sie haben aber auch andere Compliance-Anforderungen. Kleine und mittlere Unternehmen tun sich hingegen schwerer, sie verfügen allerdings über weniger Manpower.

Bei der Umsetzung stehen die meisten Unternehmen vor den gleichen Problemen. Betroffene, wie beispielsweise Kunden, haben gemäß der DSGVO ein Auskunftsrecht: Sie können abfragen, welche Daten über sie gespeichert sind und können auch die Löschung dieser Daten verlangen. Doch die Umsetzung dieses Auskunftsrechts für personenbezogene Daten ist bei vielen noch nicht auf dem Stand, auf dem es sein müsste und auch die Umsetzung eines Löschkonzepts bereitet in vielen Fällen große Schwierigkeiten. Für Unternehmen ist es oft nicht einfach, den vollständigen Überblick über alle zu einer Person erfassten Daten zu erhalten. Das ist aber Voraussetzung für das Auskunfts- und Löschrecht. Zugleich ist eine technische Umsetzung notwendig, damit das Unternehmen Auskunftsansprüche und Löschersuchen automatisiert erfüllen kann. 

 

Mit welchen Problemen kommen Ihre Klienten zu Ihnen?

Für die Verarbeitung personenbezogener Daten bei externen Dienstleistern muss eine Vereinbarung zur Auftragsdatenverarbeitung erstellt vereinbart werden, dazu gibt es häufig Fragen. Große Unternehmen haben dafür oft eine eigene Abteilung eingerichtet. Häufig müssen für Webseiten oder Newsletter nach der DSGVO neue Datenschutzerklärungen erstellt werden. Bei Newslettern stellt sich zudem die Frage, ob von den Abonnenten eine neue Einwilligung einzuholen ist. Das machen Unternehmen nicht gerne, denn dann brechen schon mal 60 bis 70 Prozent der Kunden weg, da sie aktiv auf eine Einwilligungsanforderung reagieren müssten. Aber auch Facebook-Fanpages werfen für Unternehmen Fragen auf, um diese DSGVO-konform zu gestalten und notwendige Vereinbarungen zu treffen.

KMU wissen oft nicht, ob sie einen betrieblichen Datenschutzbeauftragten brauchen. Die Bundesregierung hat gerade das Gesetz geändert, wonach das erst ab 20 Mitarbeitern notwendig ist. Doch dann bleibt noch die Frage, ob ein externer Datenschutzbeauftragter geeignet ist und wann man besser eine Stelle dafür schafft. 

 

Die Aufsichtsbehörden klagen über Ressourcenmangel für notwendige Prüfungen.

Ich würde trotzdem jedem Unternehmen raten, die DSGVO zumindest in den Kernbereichen, wie Verarbeitungsverzeichnis, Informationspflicht, Recht auf Auskunft, Auftragsdatenverarbeitung und Ähnliches, umzusetzen. Einerseits entsteht für das Unternehmen dadurch ein Wettbewerbsvorteil, andererseits weiß man nicht, ob man zu den Stichproben gehört, die die Aufsichtsbehörden auswählen. Es kann auch sein, dass dort eine Beschwerde eingeht und man deshalb geprüft wird. Es gibt also keinen Anlass, sich bei der DSGVO-Umsetzung zurückzulehnen. Man muss auch wissen, dass Behörden Vorwürfe erst einmal gründlich prüfen, damit sichergestellt ist, dass tatsächlich ein Verstoß vorliegt, bevor die Behörden gegen ein Unternehmen vorgehen. Das kann einige Zeit in Anspruch nehmen.

 

Wo sehen Sie Nachbesserungsbedarf bei der DSGVO und der Anpassung des Gesetzes in Deutschland?

Es bedarf noch einer Klarstellung einiger Grauzonen. Das Bundesdatenschutzgesetz (BDSG) hatte präzisere Vorgaben, als die DSGVO. Zum Beispiel ist beim Auskunftsrecht nicht klar, in welcher Form Auskünfte erteilt werden müssen. Auch bei den Inhalten von Datenschutzerklärungen, etwa für Cookies, gibt es noch Klärungsbedarf. Ebenso bei den Meldepflichten von Datenschutzverstößen – Unternehmen melden derzeit aus Sorge vor den hohen Bußgeldern eher zu viel, als zu wenig. Das vergrößert die Flut der Meldungen bei den Behörden ganz erheblich.

 

Wie veränderte die DSGVO den betrieblichen Datenschutz? Müssen Datenschutzbeauftragte von vorne beginnen?

Neu anfangen müssen sie nicht, aber sie müssen erst mal geschult werden, denn sie haben große Aufgaben vor sich, wenn alle Vorgaben umgesetzt werden sollen. Gut aufgestellt sind diejenigen, die das BDSG bereits komplett umgesetzt hatten. Dennoch muss man an einigen Punkten umdenken, etwa bei der Auskunftspflicht oder der Festlegung von Verarbeitungszwecken, denn die erhobenen Daten dürfen ja nur für den angegebenen Zweck verwendet werden. Man muss jetzt europäisch denken.

Hingegen dürften in größeren Unternehmen Schulungen nicht ausreichen. Dort wird man zusätzliches Personal einstellen müssen. Denn es ist ziemlich aufwendig, die benötigten Löschkonzepte und Verarbeitungsverzeichnisse zu erstellen. Das trifft besonders für Löschkonzepte zu, denn die müssen zusätzlich technisch umgesetzt werden. Dazu bedarf es IT-Spezialisten.

 

Steht der neue Datenschutz dem Einsatz neuer Technologien wie Big Data oder KI im Wege?

Die DSGVO steht dem nicht entgegen, erleichtert aber auch nicht den Einsatz. Wie erwähnt, muss in der Information zur oder Einwilligung in die Verarbeitung personenbezogener Daten der Verarbeitungszweck genannt sein. Das erfordert, dass jeder Vorgang genau definiert wird. Big-Data-Analysen werden aber oft erst später eingeführt, die Daten dafür wurden ursprünglich zu einem anderen Zweck, beispielsweise in einem Online-Shop zur Vertragserfüllung erhoben. Die Datenanalyse ist sodann eine Zweckänderung, darüber müsste das Unternehmen die Kunden genauestens informieren: Wie werden die Daten verarbeitet, was wird mit den Daten gemacht, man müsste also den Algorithmus beschreiben und das in verständlicher Sprache. Bei einem KI-System ist das aber kaum möglich. Deshalb macht das bislang auch fast keiner. An der verständlichen Sprache scheitern ja schon viele Datenschutzerklärungen auf Webseiten. Es ist sinnvoll, Systeme von vornherein so aufzusetzen, dass gar nicht erst Probleme auftreten, weil die auszuwertenden Daten zum Beispiel durchgehend anonymisiert werden. Die DSGVO fordert nicht umsonst Privacy by Design, das wäre eine Lösung. Doch bei Technologien wie KI sind die Anforderungen des Privacy by Design noch nicht wirklich erfüllt. Bei KI kommt erschwerend hinzu, dass vielfach hinzugekaufte Algorithmen eingesetzt werden. Dann müssen Unternehmen sich deren Funktionsweise erst erklären lassen, bevor sie über hierüber informieren können.

 

Wie sieht es beim Cloud Computing aus, was sollten Unternehmen dabei beachten?

Zunächst muss man klären, wo die Daten verarbeitet werden, in Deutschland, der EU oder in Drittstaaten. Das ist nicht immer ganz einfach, denn oft wird zwar in der EU gehostet, aber Wartung und Support erfolgt aus Drittländern. Wenn aber aus Drittstaaten Zugriff auf Daten erfolgt, muss man mit den Unternehmen zusätzlich Standarddatenschutzklauseln vereinbaren. Auf jeden Fall braucht es immer eine Vereinbarung zur Auftragsdatenverarbeitung. Dazu muss man das technische Konzept des Anbieters kennen. Viele Anbieter wollen das aber gar nicht offen legen, gerade bei den großen amerikanischen Anbietern ist das häufig schwierig. Da muss auch ich als Anwältin manchmal lange nachhaken. 

 

Welches Recht gilt für deutsche Kunden, wenn sie beispielsweise US-amerikanische Angebote wie Azure- oder AWS-Cloud wählen?

Unternehmen bevorzugen in der Regel deutsches Recht für das Vertragsverhältnis. Das muss jedoch ausgehandelt werden, was im Einzelfall schwierig, aber auch Mittelständlern schon gelungen ist. Manchmal versteckt sich in den Lizenzbedingungen dennoch amerikanisches oder sogar kalifornisches Recht, was dann mitvereinbart wird. Manche Klauseln sind in Deutschland nicht unbedingt wirksam. Aber oft betreiben die Anbieter Rechenzentren in Deutschland oder der EU. Mit den aktuellen Entwicklungen in der US-Politik sind viele deutsche Unternehmen bei Anbietern aus den USA zurückhaltender geworden. Viele trennen Daten, die für die US-Behörden interessant sein könnten, von den restlichen Daten und sichern sie woanders. Die Unsicherheit steigt, die Handelskonflikte führen zum Überdenken einiger Geschäftsmodelle.

Autor: Uwe Sievers