Big Data: Rechtliche Perspektive

Transkript

1 ROLF H. WEBER* Big Data: Rechtliche Perspektive Inhaltsverzeichnis I. Wesenselemente von Big Data 17 II. Durch Big Data betroffene Rechtsbereiche Datenschutzrecht 19 a. Personendaten 20 b. Datensanimlung Wettbewerbsreclit Urheberrecht Patentrecht 23 III. Beteiligte im Datensehutzrecht Cloud Computing-Anbieter Daten-Analyst Kunde 25 a. Problem der Einwilligung 25 b. Vertragliche Nutzungsbeschränkungen 25 rv. Ent^vicklung neuer Datenschutz-Konzepte 26 V Ausbliek 29 I. Wesenselemente von Big Data Der BegritFBig Data steht neben Social Media, Cloud Computing und Mobile-IT als zentraler Trend in den IT-Märkten heute intensiv in der Diskussion. Die Beachtung von Big Data im rechtlichen Schrifttum ist bisher indessen marginal geblieben. Grundsätzlich bezieht sich Big Data auf den «Einsatz grosser Datenmengen aus vielfältigen Quellen mit einer hohen Verarbeitungsgeschwindigkeit zur Erzeugung wirtschaftlichen Nutzens».' Sachlich geht es um die Sammlung und Auswertung sehr grosser Datenbestände verschiedenster Herkunft in Hoch- ' Prof. Dr., Ordinarius, Privat-, Wirtsohafts- und Europarecht, Zentrum für hiformations- und Kommunikationsrecht ZIK, Universität Zürich. ' BITKOM Big Data im Praxiseinsatz - Szenarien, Beispiele, Effekte, de/publikationen/38337_73446.aspx. 17

2 ROLF H. WEBER leistuiigsdateiibanlcen.^ Unter Bezugnalime auf traditionelle Begrifle des Datenscliutzrechts tritt eine Verscltmelzung des «Data Warehousing» und «Data Mining» mit den Möglichlreiten des «Cloud Computing» ein.' «Big Data Analytics» ist möglich mit Daten unterscliiedlichster Art (z.b. Text, Bild, Video) und Qualität (z.b. strulrturierte oder unstrukturierte Daten) sowie ungeachtet der Herlainft der Daten (z.b. unternelimensintern oder -extern aus verschiedenen Quellen generiert); heranziehbar sind insbesondere auch im Internet (z.b. aus sozialen Netzwerken) frei zugängliche Daten.'* Mamhgfaltig sind weiter die Einsatzzwecke für Big-Data-Anwendungen, etwa im Kontext der Einsatzplanung von Personen, der Früherkennung bzw. Felilerkennung von Marktti'cnds oder der Competitive Intelligence.' Entwicldungshistorisch füln-en Big- Data-Anwendungen von der Transaldion über die Interaktion zur Prediktion. Die quantitative Veränderung der Datenverarbeitung durch Big Data fühi't indessen auch zu einer qualitativen Veränderung mit neuen Risiken;' Die Schafiüing einer neuen Form von ökonomischer Wertschöpfung mittels Datenauswertung und Datenzugriff im privaten Bereich und im öffentlichen Seldor hat zur Folge, dass nicht nur die übliche Erstveiwendung, sondern verstärld auch die Zweitverwendung von Daten gewisse Risiken zu verursachen vermag.'' Neue Analysemethoden von Daten setzen voraus, dass die Daten genau gesammelt, aufbewahrt und verwendet werden, selbst wemi eine viel grössere Anzahl an Datenbeständen kleinere «Messfehler» als weniger problematisch erscheinen lässt; die Datenanalysen stellen auch einen Schritt weg von der herkömmlichen Kausalitätsdislcussion dar, weil die umfassende Datenverfügbarkeit einen Zustand der «Datafication» bewirlct, der die Frage nach dem «was», nicht die Frage nach dem «warum» ' CHRISTOPH ZIEGER/NIKOLAS SMIRRA, Fallstricke bei Big Data-Anwendungen, MMR 2013, 418; IRA S. RUBINSTEIN, Big Data: The End of Privacy or a New Beginning?, International Data Privacy Law 2013, 1,4. ' BRUNO BAERISWYL, «Big Data» ohne Datenschutz-Leitplanken, digma 2013, 14. ZIEGER/SMIRRA (Fn. 2), 418; vgl. auch GEORG POLZER, Big Data - eine Einführung, digma 2013, 6-9. ' Vgl. die vielfaltigen, in BITKOM (Fn. 1) erwähnten Anwendungen; als Beispiele aus Medienberichten vgl. ANDREAS HIRSTEIN, Die digitale Vermessung der Welt, NZZ am Sonntag vom 30. Juni 2013, 50/51; MICHÈLE BINSWANGER, Die Diktatur der Daten, Tages Anzeiger vom 6. September 2013, 8; NICOLE BERANEK ZANON, Heikle Daten, Handelszeitung vom 30. Mai 2013, 63. Kritisch zum Erkenntnisgewinn durch Big Data hingegen MANFRED SCHNEIDER, Die Erkenntnis von nichts, NZZ Nr. 302 vom 30. Dezember 2013,15. ' Im Vordergrund steht insbesondere die IT-Sicherheit; dazu der Beitrag von ANDREAS WESPI in diesem Band (S. 3 ff.) sowie ANDREAS WESPI, Big Data: der nächste IT-Sicherheitstrend?, digma 2013, ' VIKTOR MAYER-SCHÖNBERGER/KENNETH CUKIER, Big Data, A Revolution, New York 2013,

3 Big Data: Rechtliche Perspektive stellt.^ Feststellen lässt sich deshalb eine Entwicklung von der Kausalität zum Konzept der Korrelation, II. Durch Big Data betroffene Rechtsbereiche In der bisherigen Diskussion hat sich die Beurteilung der i'echtlichen Perspelctive von Big Data auf die Anwendung des Datenschutzrechts bzw. die Aufrechterhaltung der individuellen Privatheitssphäre konzentriert.' In Beziehung zu diesen Debatten steht die Problematik der eleldronischen Überwachung von Individuen, welche durch Big Data erleichtert wird." Ungeachtet dieses (unbestreitbaren) Schwergewichts lässt sich aber nicht übersehen, dass Big Data auch weitere rechtliche Fragestellungen verursacht, etwa mit Bezug auf die Anwendung des Patent-, Urheber- und Lauterkeitsrechts sowie ebenso mit Blick auf die veilragsrechtlichen Herausforderungen.'^ 1. Datenschutzrecht Personen hinterlassen Datenspuren in den globalen Informationsnetzwerken; sobald digitale Daten sich einer Person zuordnen lassen, aktualisiert sich der datenschutzrechtliche Handlungsbedarf. Die Konkretisierung von Normanwendungen ist indessen komplex, weshalb fast resigniert festgestellt wird. Big Data liege im «datenschutzrechtlichen Niemandsland»' oder der Datenschutz sei bei Big Data dem Untergang geweiht' ; dramatische Begriffe wie «Sprengkörper» und «Kernschmelze» sind immerhin mit Fragezeichen" versehen. MAYER-SCHÖNBERGER/CUKIER(Fn. 7), ' MAYER-SCHÖNBERGER/CUKIER (Fn. 7), 53 und 63; zum Verhältnis von vernetzter und vorhersehbarer Gesellschaft vgl. auch RUDI KLAUSNITZER, Das Ende des Zufalls - Wie Big Data uns und unser Leben vorhersehbar macht, Salzburg 2013, 57 ff. Für einen allgemeinen Überblick vgl. ROLF H. WEBER, Big Data: Sprengkörper des Datenschutzrechts?, Weblaw Jusletter IT vom 11. Dezember 2013, Rz. 5 ff. " ALESANDRO MANTELERO/GIUSEPPE VACIAGO, The «Dark Side» of Big Data: Private and Public Interaction in Social Surveillance, CRI 6/2013, 161 ff. " Zu den vertragsrechtlichen Aspekten der Beitrag von ROLF H. WEBER/DOMINIC N. STAI GER in diesem Band (S. 151 IT). BAERISWYL (Fn. 3), 16. ANDREAS WIEBE, Datenschutz in Zeit von Web 2.0 und Big Data - dem Untergang geweiht oder auf dem Weg zum Immaterialgüterrecht?, Zeitschrift für Informationsrecht 2014, 35. " WEBER (Fn. 10), Titel und Rz

4 ROLF H. WEBER a. Personendaten Viele Daten, die in «Data Warehouses» gesammelt und ausgewertet werden, weisen keinen Personenbezug auf; weil Datenschutzgesetze weltweit am Begriff der Personendaten anknüpfen, ist die Datenschutzrelevanz von Big Data auf den ersten Blick zu verneinen. Eine konkretere Beleuchtung der Problematik zeigt aber, dass die Identifizierung einer Person umso walirscheinlicher ist, je grösser die Datenmenge tatsäclilich ist, d.h. eine sehr grosse Menge zwar anonymisierter Daten lässt gegebenenfalls deren Zuordnung zu einer bestirmnten Person zu.' Studien in den Vereinigten Staaten haben nachgewiesen, dass mit lediglich drei relativ einfachen demographischen Merkmalen (Geschlecht, Geburtsdatum und fünfstellige Postleitzahl) zwischen 61 und 87 Prozent der amerikanischen Bevölkerung eindeutig identifizierbar werden. Auch anonyme Gen-Sequenzen, die auf öffentlich zugänglichen Forschungs-Datenbanken verfügbar sind, lassen sich durch Kombination mit wenigen anderen Daten «deanonymisieren». Reicht die Menge der vorhandenen Daten aus, um eine Person olme übermässigen Aufwand zu bestinunen (vorausgesetzt ist von Art. 3 DSG nur die Bestimmbarkeit, nicht die Bestimmtheit der Person)," unterliegt der Data Controller den Bestimmungen des Dataschutzgesetzes, weil die mögliche Identifizierung einer Person ein datenschutzrechtlich relevanter Prozess ist.^" b. Datensammlung Big Data ist regelmässig als strukturierte Datensammlung ausgestaltet, der entsprechende Begriff des DSG ist mithin erfüllt.^' «Kritisch» ist somit nicht die funktionale Ausgestaltung der Big Data Analytics, sondern die Frage, ob die Datenmenge sowie die eingesetzten Datenanalysenmethoden zu einer hohen Wahrscheinlichkeit der Identifizierbarkeit einer Person führen. BAERISWYL (Fn. 3), 15. " Vgl. GÜNTER KARJOTH, Sind anonymisierte Daten anonym genug?, digma 2008, 18 ff. MELISSA GYMREK/AMY L. MCGUIRE/DAVID GOLAN/ERAN HALPERIN/YANIV ERLICH, Identifying Personal Genomes by Surname Inference, Science No. 339/6117, Januar 2013, 321 ff. " Zu den Kriterien vgl. BGE BAERISWYL (Fn. 3), 15; zum Spannungsfeld zwischen Big Data und datenschutzrechtlichen Grundsätzen aus deutscher Sicht vgl. LUKAS FEILER/SIEGFRIED FINA, Datenschutzrechtliche Schranken für Big Data, medien und recht 2013, 303 ff. " URS BELSER, in: MAURER-LAMBROU/VOGT (Flrsg.), Datenschutzgesetz, Kommentar, 2. Aufl. Basel 2006, Alt. 11 N 7 ff. 20

5 Big Data: Rechtliche Perspektive 2. Wettbewerbsrecht Wie erwähnt, spielt die Herlojnft der Daten für Big Data Analytics keine Rolle; die Verwendung fremder Daten bzw. Datenbanlcen im Rahmen von Big Data ist mithin zwar möglich, nicht aber notwendig. Aus diesem Grunde ist vorerst im Einzelfall zu prüfen, ob Big Data Analytics wirhich fremde Daten übernehmen oder diese nicht lediglich auswerten. Falls es nur zu einer Verwertung kommt, fehlt es am Kriterium der Übernalune eines fremden Arbeitsergebnisses, wie es für eine Anwendung der lauterkeitsrechtlichen Norm von Art. 5 lit. c UWG erforderlich ist. Wenn es zur Übernahme eines fremden marktreifen Arbeitsergebnisses kommt, ist zu prüfen, ob die Übernahme mittels eines teclmischen Reproduktionsverfahrens ohne angemessenen eigenen Aufwand erfolgt (Art. 5 lit. c UWG). Zwar ist es in der Praxis nicht ausgeschlossen, dass eine Ühernalime gespeicherter Daten aus fremden Datenbanken eine unlautere Leistungsübernahme darstellen könnte, doch wird eine Anwendung von Art. 5 lit. c UWG regelmässig am Kriterium «ohne angemessenen eigenen Aufwand» scheitern.^^ Big-Data-Anwendungen zeichnen sich ja gerade dadurch aus, dass grosse Mengen von Daten aus unterschiedlichsten Quellen einer spezifischen Auswertung zugeführt werden, um einen neuen Informationsgehalt zu schaffen; nur dieses «Arbeitsergebnis» stellt eine nach aussen sichtbare Leistung dar.^^ Ebenso wenig lassen sich Big-Data-Anwendungen in der Regel als eine gezielte Behinderung von Konlairrenten qualifizieren: einerseits fehlt es an bewussten technischen Zugangsbeschränlamgen, andererseits sind die Datenauswertungen auch nicht direkt gegen Mitwettbewerber gerichtet.^'' 3. Urheberrecht Den Big-Data-Anwendungen vermag an sich (auch) der urheberrechtliche Schutz einzelner Inhalte von Daten entgegen zu stehen. Urheberrechtlich geschützt sind Vgl. ROLF H. WEBER, Datenbankrecht - Regelungsbedarf in der Schweiz?, in: WEBER/ HILTY (Hrsg.), Daten- und Datenbanken, Rechtsfragen zu Schutz und Nutzung, Zürioli/ Baden-Baden 1999, 59, 73-76; RETO ARPAGAUS, in: HILTY/ARPAGAUS (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Alt. 5 N ; SIMONE BRAUCHBAR BIRKHÄUSER, in: JUNG/SPITZ (Hrsg.), Buiidesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 5 N Vgl. ARPAGAUS (Fn. 22), Art. 5 N 91 ff.; BRAUCHBAR BIRKHÄUSER (Fn. 22), Art. 5 N 29; ZIEGER/SMIRRA (Fn. 2), '' ZIEGER/ SMIRRA (Fn. 2),

6 ROLF H. WEBER Werke individuellen Charakters, d.h. persönliche geistige Schöpfungen der Literatur, Wissenschaft und Kunst, die eine «minimale» Schöpfungshöhe erreichen (Art. 2 URG).25 Rechtsprechung und Leine setzen diese Schöpfungshöhe eher tief an; wenn es sich nicht lediglich um Ideen handelt, vermag der URG-Schutz zu greifen.^ Im Kontext von Big Data geht es bei der Beurteilung der Zulässigkeit von Datenanalysen und Datenauswertungen voimehmlich um die Frage, ob die verfügbaren Online-Inlialte frei verwertbar sind oder nicht. Vervielfältigungen stellen an sich einen Eingritf in das Ausschliesslichliclilceitsrecht des Urhebers an den Daten dar. Eine Urheberrechtsverletzung lässt sich aber durch die praktisch im Vordergrund stehende Zustimmung des Berechtigten legitimieren. Die Einwilligung braucht nicht schriftlich zu erfolgen, sondern es genügt eine schlichte Einwilligung in Form eines schlüssigen Verhaltens, zum Beispiel dadurch, dass der Urheber selber die Daten im Internet zugänglich macht. In vielen Fällen ist von einer solchen Einwilligung auszugehen, was das Risiko einer URG-Verletzung herabsetzt.^' Weiter sind, selbst wenn das Zugänglichmachen eines Inhalts durch den Berechtigten nicht zwingend bedeutet, dass damit auf den urheberrechtlichen Schutz verzichtet oder konldudent eine Lizenz erteilt wird, die gesetzlichen Schutzschi'anken (z.b. Eigengebrauch) in Betracht zu ziehen, die gegebenenfalls eine urheberrechtskonforme Datenauswertung ennöglichen. Im Gegensatz zu den EU-Ländern, die gestützt auf die Datenbank-Richtlinie 97/7' im nationalen Recht ein Schutzrecht sui generis für die Inhaber von Datenbanken, die auf einer erheblichen Investition beruhen, haben schaffen müssen, fehlt es in der Schweiz weiterhin an einem spezifischen Datenbanki'echt." Zur Anwendung gelangen die allgemeinen URG-Normen, welche ein Werk (Art. 2 URG) und ein Sammelwerk (Art. 4 URG) schützen.'" In einzelnen Fällen mögen zwar die Voraussetzungen des Sammelwerkes erfüllt sein; in der Praxis dürften indessen wenige Konstellationen vorliegen, welche die Big Data Analytics massgeblich einschränken." Selbst nach der EU-Datenbank-Richtlinie ist nur die Übernahme des gesamten oder eines nach Art und Umfang wesentlichen Teils einer Datenbank auf dem Hintergrund des Investitionsschutzgedankens erfasst; die Vervielfältigung unwesentlicher Teile einer Datenbank ist nur dann ein relevanter Eingriff, sofern sie wiederholt und systematisch erfolgt. RETO M. HILTY, Urheberrecht, Bern 2011, 6 N 83 ff. HILTY(Fn. 25), 6N93. " Vgl. auch ZIEGER/SMIRRA (Fn. 2), 420. Vgl. den Überblick bei WEBER (Fn. 22), 69 ff. Eingehender dazu WEBER (Fn. 22), 61 ff. WEBER (Fn. 22), 63. " ZIEGER/ SMIRRA (Fn. 2),

7 Big Data: Rechtliche Perspektive 4. Patentrecht Auch an der Sclinittstelle von Big Data und Patenrecht können sich neue regulatorische Herausforderungen, und zwar wegen der mit Big Data einliergehenden Expansion der zur Verfügung stehenden Daten ergeben. In der Lehre wird darauf hingewiesen, dass im Extremfall wegen des durch Big Data exponentiell wachsenden Datenbestands alle Daten, auf welchen eine Patentanmeldung basiert, bereits im Marld verfügbar sind und daher gegebenenfalls nicht als Neuheit zu werten sind.^^ Dieser Logik folgend könnte das Patentregister als Recherchequelle zu bestehenden und bekannten Informationen, auf welchen eine Erfindung basiei't, an Wert verlieren, weil die für die Beurteilung relevanten Daten auf verschiedensten Big-Data-Servern weltweit lagern und damit der Pool der noch nicht verfügbaren und damit als neu zu klassifizierenden Informationen zusehends kleiner wird.^^ Dieser Betrachtungsweise lässt sich immerhin entgegenhalten, dass die Neuheit nur felilt, weiui die fragliche Eifindung in einem Element des Standes der Technik enthalten ist. In der Praxis schwächt sich dieses Szenario aufgrund verschiedener Einflussfalctoren zudem erheblich ab. Unter anderem prüfen die Patentämter nicht alle Infonnationen weltweit, sondern beschränlcen sich auf die Abfrage der Daten in ihrem eigenen Patentregister und relevanten Wissenschaftsjournalen. Weiter sind von Menschen durchgefühlte Recherchen nicht perfelct, weil relevante Informationen in den grossen Dateiunengen leicht übersehen werden können. Im Zuge der Entwicldnng von Informationstechnologien gewinnen Algoritlimen zunehmend an Bedeutung. Sie stellen einen wichtigen Teil des unternehmerischen Kmow-how dar und sind von grossem Wert. Unternehmen sind daher bestrebt, auch diese Algorithmen patentrechtlich zu schützen.^'' Im Big-Data-Geschäft findet eine ständige Anpassung der Analysealgorithmen an neue Daten statt. Nur diese Anpassungen stellen sicher, dass sie ihren eigentlichen Programmierzweck weiterhin effizient erfüllen. Ein starres Patensystem, das nur den aktuellsten Status zum Zeitpunkt der Patentanmeldung schützt, ist daher für Unternehmen und Big-Data-Anbieter lediglich von eingeschränlctem Wert. Ein möglicher Lösungsansatz wäre die Patentierbarkeit von Programmierungen, welche auf einem Grundalgorithmus basieren; dies führt jedoch zu einer Expansion der im Marlct verfügbaren Patentinformationen, auf welchen keine weitere Entwicldnng mehistattfinden kann, ohne ein schon eingetragenes Patent zu verletzen. JOREN DE WÄCHTER, Intellectual Property in an Aga of Big Data: an Exercise in Futility? CRi 1/2014, DE WÄCHTER (En. 32), Gemäss Europäischem Patentamt kann Software patentiert werden, wenn sie eine neue und nicht offensichtliche technische Lösung für ein technisches Problem bereithält; vgl. z.b. T258/03 (Hitachi/Auction Method). 23

8 ROLF H. WEBER III. Beteiligte im Datenschutzrecht Vor der Erläuterung möglicher neuer Datenschutz-Konzepte erscheint es als sinnvoll, die datenschutzrechtlichen Ralimenbedingungen mit Blick auf die Beteiligten kurz zu erläutern. 1. Cloud-Computing-Anbieter Die Cloud-Computing-Anbieter verfügen regelmässig über riesige Mengen an unstrukturierten Daten. Abgesehen vom Aspekt der DatensicherheiE^ stellt sich auch die Frage, ob der Kunde im Vertrag mit dem Anbieter auf eine ausschliessliche Verwendung der Daten zu den vertraglichen Zwecken bestanden hat. Fehlt es an einer solchen vertraglichen Bestirmnung, darf der Cloud-Computing-Anbieter die Daten weiter verwenden, sofern es sich nicht um personenbezogene Daten handelt.^ Diese Mögliclikeit der Weitergabe von Daten an Dritte ohne Beachtung datenschutzrechtlicher Rahmenbedingungen gilt nicht nur für den privaten/unternehmerischen Bereich, sondern ebenso im öffentlichen Sektor: Soweit «Open Government Data» zur Verfügung gestellt werden, ist der unbeschränkte Zugang möglich und kann ein Cloud-Computing-Anbieter auch als Datenhändler auftreten.^' 2. Daten-Analyst Der Daten-Analyst ist den materiellen Grundsätzen des Datenschutzgesetzes (z.b. Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung) unterstellt (Art. 4 und 5 DSG), wenn durch seine Analysen und Auswertungen ein beabsichtigter oder unbeabsichtigter Personenbezug hergestellt wird. Die Herstellung eines Personenbezugs bei der Auswertung von Daten lässt sich indessen durch einen gesetzlich vorgesehenen Rechtfertigungsgmnd legitimieren; im Vordergrund steht neben dem Vorliegen überwiegender öffentlicher oder privater Interessen die Einwilligung des Kunden (Art. 13 Abs. 1 DSG).^^ Ge- Zum technischen Datenschutzrecht vgl. WIEHE (Fn. 14), 49 ff. BAERISWYL (Fn. 3), 16; zu den ökonomischen und sozialen Aspekten der Datenliandels vgl. KLAUSNITZER (Fn. 9), 138 ff. " BAERISWYL (Fn. 3), 16. Vgl. im Einzelnen dazu CORRADO RAMPINI, in: MAURER-LAMBROU/VOOT (Hrsg.), Datenschutzgesetz, 2. Aufl. Basel 2006, Art. 13 N 3 ff. 24

9 Big Data: Rechtliche Perspektive rade im elelctronischen Geschäftsverkehr darf eine solche Einwilligung indessen nicht leichthin angenommen werden; in begrenzter Verschärfung der bisherigen Praxis muss verlangt werden, dass die Einwilligung Idar und unmissverständlich erfolgt.^' 3. Kunde a. Problem der Einwilligung Das gesetzgeberische Konzept der Einwilligung der betroffenen Person soll sicherstellen, dass der «Herr» der Daten selber darüber entscheiden kann, welche Daten schutzrelevant sind und welche nicht. Schon bisher im Kontext des «Data Warehousing», nun aber noch viel melm im Rahmen des Big Data Analytics stellt sich aber das Problem, dass in den heutigen Geschäftsmodellen die Kunden regelmässig in das Sammeln und Auswerten von Daten einwilligen. Die konkrete Einwilligung erfolgt meist auf der Basis von Allgemeinen Geschäftsbedingungen. Ob eine solche Einwilligung rechtsgenüglich den Kriterien der Yoraussehbarkeit der möglichen Verwendung von Daten entspricht, ist durch die Rechtsprechung noch nicht geklärt; in der Lehre werden zum Teil Zweifel angebracht.'"' Im Lichte von Sinn und Zweck der Einwilligung ist zu fordern, dass sie transparent erfolgt und dass der Kunde wissen muss, welche Datenkategoiien und welche Anzahl an Daten den Big Data Analytics zugeführt werden sollen. Von einer ausdrücldichen Einwilligung lässt sich nur sprechen, wenn der Kunde in der Lage ist, das Ausmass und den Inhalt der Datenbearbeitung abzuschätzen.'" Wenn man davon ausgeht, dass Kunden heute bei der Einwilligung kaum je zu einer angemessenen Folgenabschätzung der Datenbearbeitung in der Lage sind, wird offensichtlich, dass die Datenschutzgesetzgebung den derzeitigen Realitäten nicht entspricht. b. Vertragliche Nutzungsbeschränkungen Der Kunde hätte es grundsätzlich in der Hand, die Bearbeitung der Daten durch vertragliche Nutzungsbeschränkungen zu steuern. Notwendig wäre dafür indes- Vgl. ROLF H. WEBER, E-Commerce und Recht, 2. Aufl. Zürich 2010,456 ff. BRUNO BAERISWYL, «Soziale Netzwerke» - Taktgeber für die Reform des Datenschutzrechts, in: WEBER/THOUVENIN (Hrsg.), Neuer Regulierungsschub im Datenschutzrecht?, Zürich 2012, 93, 100 f.; WEBER (Fn. 39), 352. " BAERISWYL (Fn. 3), 16; WIEBE (Fn. 14), 37 f., 40 f. 25

10 ROLF H. WEBER sen der Abscliluss eines individuellen Vertrages, der konlrret ausgehandelte Anordnungen zur Art der Nutzung enthält, unter Verzicht auf die Verwendung von Allgemeinen Geschäftsbedingungen. Eine solche Vorgehensweise kompliziert nicht nur die Vertragsverhandlungen, sondern entspricht regelmässig auch nicht einem Bedüifnis der Kunden, die sich nicht mit Datenschutzüberlegungen auseinandersetzen wollen. IV. Entwicklung neuer Datenschutz-Konzepte Die datenschutzrechtliche Hauptproblematik von Big Data liegt darin, dass die «Datafication» zu einem Zustand führt, der es erlaubt, Daten umfassend zu indexieren und sie auffindbar («searchable») zu machen.'*^ Neue Konzepte haben einen Beitrag zur Aufgabe zu leisten, dass Big Data nicht im datenschutzrechtlichen Niemandsland verbleibt. Im Rahmen eines Einleitungsbeiti-ages lassen sich nicht alle Gedanken detailliert vertiefen, die einen Beitrag zu einem neuen Datenschutzverständnis liefern könnten. Immerhin seien einige Fragen aufgeworfen, die es verdienen, dislaitiert zu werden:''^ 1) Die hauptsächlichste datenschutzrechtliche Problematik von Big Data liegt darin, dass eine grosse Zahl von Sachdaten oft einen Persönlichkeitsbezug herzustellen vermag. Aus diesem Grunde müsste wohl vennehrt darüber nachgedacht werden, ob die Trennung zwischen Sach- und Personendaten in der bisherigen Form aufrechterhalten werden kaim oder ob es nicht durch Readjustierung der Begrilflichkeit sachgerechter wäre, den Datenbearbeitern auch bei gewissen Sachdaten spezifische Handlungspflichten zu auferlegen.'*'' 2) Datenschutzrechtliche Remedur liesse sich dadurch schaffen, dass die Rechtsprechung spezifischere Anforderungen an die Einwilligung des «Datenherrn» stellt; abgesehen vom Aspelrt der Praldikabilität ist es aber durchaus zweifelhaft, ob in der Mehrzahl der Fälle die Verschärfung des Kriteriums den Interessen des «Datenherrn» entspricht.''^ MAYER-SCHÖNBERGER/CUKIER (Fn. 7), 84. Eingehender dazu WEBER (Fn. 10), Rz. 22 ff. ''' Vgl. auch RUBINSTEIN (Fn. 2), 5. Vgl. vorne III

11 Big Data: Rechtliche Perspektive 3) Ein zukunftsgerichtetes Datenscluitzkonzept muss deshalb beim Datenkontrolleiir anlmüpfen: Selbstredend sind insbesondere die Grundrechte''^ sowie die Grundsätze der Verhältnismässigkeit, Geeignetheit und Zweckhindung einzuhalten; wie in anderen Inteniethereichen auch, ist indessen verstärkt auf «Accountability» zu setzen. Beim Datenbearbeiter ist das Verständnis zu wecken, dass Datenauswertungen, die einen Persönlichkeitsbezug zulassen, nur unter restriktiven Voraussetzungen als sachgerecht gelten können. Ein solches Konzept führt gegebenenfalls zu einer differenzierten Privatheit.'''' «Accountability» meint, transparent zu machen, wie die Datenbearbeitung und Datenauswertung erfolgt, sowie für die Einhaltung der offengelegten Grundsätze einzustehen.''^ Gegebenenfalls ist auch daran zu denlcen, dass (private) Zertifizierungsdienste die Datenschutzkonzepte von Big-Data-Anbietern prüfen und entsprechende Labels ausstellen. Was bisher zum Teil nur für kommerzielle Big- Data-Kontrolleure erörtert worden ist, gilt ebenso für Betreiber öffentlicher Datensammlungen; das im Frühsormner 2013 bekannt gewordene Ausmass der elektronischen Überwachung von Unternehmen und Einzelpersonen durch die US-amerikanische NSA hat ein erschreckendes Bild der privaten und staatlichen «Interaction in Social Surveillance» gezeigt."" 4) Datenschutzgesetze hinken den teclmologischen Entwicldungen regelmässig nach. An privatrechtlichen «Normierungen» führt deshalb kein Weg vorbei. Im Vordergrund stehen dabei die «Codes of Conduct». Zutreffend hat die Europäische Kommission im Rahmen der Revision der Datenschutz-Richtlinie 95/46 mit der Präsentation der neuen Verordnung zum Datenschutz im Januar 2012 empfohlen, beim grenzüberschreitenden Datentransfer stärker auf solche unternehmensinternen Verhaltenskodizes abzustellen, und zwar in der Form von «Binding Corporate Rules».Durch solche Anordnungen sind die Unternehmen selber verpflichtet, sicherzustellen, dass der Empfänger der Daten im Ausland das EU-Datenschutz-niveau beachtet. Ähnliche Massnahmen Hessen sich auch im Rahmen von Big Data realisieren. Verhaltenskodizes in privaten Unternehmen und in staatlichen Stellen müssen deshalb an Bedeutung gewinnen; die konki-ete Form lässt sich den gegebenen Umständen anpassen, etwa die Implementierung von Privacy Impact Assess- " Dazu FEILER/FINA (Fn. 20), 308 f; zum Persönlichkeits schütz im Besonderen vgl. WIEBE (Fn. 14), 49. MAYER-SCHÖNBERGER/CuKiER (Fn. 7), 175. Vgl. ROLF H. WEBER, Acconntability in the Internet of Things, Computer Law & Security Review 27 (2011), 133,135U37. Vgl. MANTELERO/VACIAGO (Fn. 11), 162 ff. Vgl. ROLF Fl. WEBER, Transborder data transfers: concepts, regulatory approaches and new legislative initiatives, International Data Privacy Law 2013, 1,12. 27

12 ROLF H. WEBER ments oder von Privacy Management Guidelines.^' Ungeachtet gewisser Schwächen, etwa bei der Durchsetzung und der Sanktionierung, wirld: doch oft der moralische Druck in der Branche, solche Kodizes einzuhalten.^^ 5) Big Data generieren zweifellos viele wirtschaftliche, aber auch persönliche Vorteile. Aus diesem Grunde stellt sich die Frage, ob Datenbearbeiter und die betroffenen Personen nicht im Simie einer «shearing the wealth strategy» als eine «Nutzergemeinschaft» verstanden werden könnten. Vorausgesetzt ist dafür von Seiten des Datenbearbeiters, das volle Transparenz mit Bezug auf die vorhandenen Daten geschaffen wird; hernach lässt sich von der betroffenen Person der Entscheid fällen, inwieweit eine Bereitschaft besteht, an der Nutzengemeinschaft teilzunelnnen, oder sich aus der Verarbeitung der Daten heraus zu optieren.'^ Ein solcher Ansatz wäre mit Regeln zu verbinden, die es den einzelnen Individuen ermöglichen, die «Nutzergemeinschaft» durch entsprechende Erldärung zu verlasseift'' und die auch eine Schadenersatzpflicht bei Verursachung direkter Kosten oder auch «invisible harm» vorsehen.^' 6) Aus rechtlicher Sicht sind zwar allgemeine Datenschutznormen erwünscht, doch drängen sich selftor-spezifische Regulierungen in verschiedenen Bereichen auf, und zwar deshalb, weil besondere Problemlösungen zur Diskussion stehen. Ein sehr wichtiger Bereich betrifft das Gesundheitswesen; das Vorhandensein elektronischer Daten (E-Health) und deren rasche Verfügbarkeit ist meist auch im Interesse des Patienten; gewisse Schutzvorkehren, damit Dritte nicht Zugang zu solchen Daten haben, sind jedoch zu schaffen, was wohl nur sektor-spezifisch möglich ist.^" Ebenfalls spezifische Probleme aufwerfende Bereiche, die gesondert zu betrachten sind, betreffen die Kreditinformationen im Finanzbereich^' und die immer wichtiger werdenden Transaktionen über das Internet of Things.^^ Vgl. ROLF H. WEBER, Can Data Protection be Improved through Privacy Impact Assessments?, JusIetterIT vom 12 September Vgl. ROLF H. WEBER, Regulatory Models for the Online World, Zürich 2002, " RUBINSTEIN (Fn. 2), 8. Vgl. WEBER (Fn. 10), Rz. 33 ff. Vgl. JUDITH RAUHOFER, Round and Round the Garden? Big Data, Small Government and the Balance of Power in the Information Age, in: SCHWEIGHOFER/KUMMER/HÖTZENDOR- FER (Hrsg.), Transparenz, IRIS 2014, Wien 2014, 607, 611 ff. Vgl. NICOLAS P. TERRY, Protecting Patient Privacy in the Age of Big Data, UMKC Law Review 81 (2013), I, II ff, 17 ff., 21 ff. " Vgl. ROLF H. WEBER, E-Governance in der Finanzdienstleistungsbranche, in: STREDEL- AERNI (Fli'sg.), Finanzmärkte im Banne von Big Data, Zürich 2012, 159, 170. Vgl. ROLF H. WEBER/ROMANA WEBER, Internet of Things - Legal Perspectives, Zürich 2010,47 ff. 28

13 Big Data: Rechtliche Perspektive 7) Zu verstärken ist schliesslich der Rechtschutz der betrofienen Personen, deren Privatsphäre verletzt worden ist; denken lässt sich insbesondere an einen Ausbau der Verfahrensgarantien, wenn Auskunft- und Schadenersatzansprüche von betroffenen Personen geltend gemacht werden.^' V. Ausblick Die rechtliche Diskussion zu den Problemen bei immer umfassenderen Big Data Analytics steclct noch in den Kinderschuhen; die Daten sind und bleiben die Infrastruktur der Gesellschaft. Bisher haben sich vornehmlich die Tecliniker, Ingenieure und Ökonomen mit den entsprechenden Fragen beschäftigt. Diese Situation dürfte sich in den kommenden Jahren ändern, weil die Wahrscheinlichlœit gross ist, dass mehr Betroffene aus welchen Gründen auch immer individuelle Rechte geltend zu machen interessiert sein könnten. Big Data fülrrt zu Datafikation und Datafiziei'ung mit der Folge, dass die Zweitverwendung von Daten immer melir in das Diskussionszentrum rückt. Im Vordergrund steht im rechtlichen Kontext sicher das Datenschutzrecht, das vor erheblichen Herausforderungen und auch einem nicht zu unterschätzenden Anpassungsbedarf steht. Daneben können sich aber auch urheber-, lauterkeits- und vertragsrechtliche Fragestellungen ergeben, die einer Klärung bedürfen. Die entsprechenden Konkretisierungen in der wissenschaftlichen Diskussion und in der Problemlösung des Rechtsalltags verheissen durchaus Spannung. Eingehender dazu KATE CRAWFORD/JASON SCHULTZ, Big Data and Due Process: Toward a Framework to Redress Predictive Privacy Harms, New York University Sehool of Law, Public Law & Legal Theory Research Paper Series, Working Paper No , October 2013, 14 ff., 19 IT, 24 ff. 29

14 ZÎK Publikationen aus dem Zentrum für Informations- und Kommunikationsrecht der Universität Zürich Rolf H. Weber/Florent Thouvenin (Hrsg.) Big Data und Datenschutz - Gegenseitige Herausforderungen Schulthess ^

15 Inhaltsverzeichnis Einleitung ROLF H. WEBER/FLORENT THOUVENIN Big Data: Technische Perspektive ANDREAS WESFI Big Data: Rechtliche Perspektive ROLF H. WEBER Suchmaschinen und Social Media JEAN-PIERRE KÖNIG Personalized Medicine hy Means of Complex Networks - a Big Data Challenge MATTHIAS DEHMER/ANDREAS HOLZINGER/FRANK EMMERT-STREIB Big Data zwischen Anonymisierung und Re-Individualisierung BRUNO BAERISWYL Erkennbarkeit und Zweckhindung: Grundprinzipien des Datenschutzrechts auf dem Prüfstand von Big Data FLORENT THOUVENIN Big Data und Datensicherheit NICOLE BERANEK ZANON Smart Metering und Privacy by Design im Big-Data-Zeitalter: Ein Blick in die Schweiz REHANA HARASGAMA/AURELIA FAMO Vertragsgestaltung rund um Big Data ROLF H. WEBER/DOMINIC N. STAIGER Big Data - Podiumsdiskussionen AURELIA TAMÖ V