Rechtskonforme Gestaltung von Big Data Projekten 28. Januar 2015 MÜNCHEN - 1 Dr. Carsten Ulbricht
Ihr Referent: RA Dr. Carsten Ulbricht Bartsch Rechtsanwälte IT-Recht, Gewerblicher Rechtsschutz und Datenschutz Spezialisierung auf Internet, Mobile und Social Media Blog Web 2.0, Social Media & Recht www.rechtzweinull.de www.twitter.com/intertainment 2
1. TEIL Big Data 3 3
4 4
@ bicyclist Habe meine Tausenderscheine jetzt nach Erscheinungsjahr sortiert und in vier Billi Regale eingelagert. #twitternfuerdieschufa @ Inkariam gerade Tarantino überredet mein Leben zu verfilmen. Hat mich einige Kraft und zwei Villen in Südafrika gekostet. #twitternfürdieschufa SCHUFA plant Sammlung von Daten aus Sozialen Medien @ JustElex Die Bank hat angerufen, mein Konto ist voll. Ich soll bitte ein neues aufmachen.. # Piraten#Twitternfürdieschufa#schufa www.kurzlink.de/schufa @ Rakkox Der Breughel sieht echt blöd aus über der Couch. Ich glaube, ich hole den Vermeer wieder aus dem Keller. #twitternfürdieschufa 5 5
Beispiele: Inhalts- und Kundendaten, Verhaltensdaten, TK- Verkehrsdaten, TK-Standortdaten, Weblogs, RFID- und Sensordaten, Fahrzeug-, Flugbewegungsdaten, Wetterdaten, Finanztransaktionsdaten, statistische Verkaufsdaten etc. 6
Grundsätzliche Differenzierung Datenschutzrecht 4 Abs.1, 28 BDSG; 12, 13 TMG Datengewinnung, speicherung und -einsatz Bestandskunden über das Internet Datenkauf aus allgemein zugänglichen Quellen Wettbewerbsrecht 4, 7 UWG Art der Ansprache mündlich Post E-Mail Telefon / Mobile Fax SMS 7
2. TEIL Datenschutz 8 8
A. Datenschutzrechtliche Grundlagen Bundesdatenschutzgesetz (BDSG) regelt Erhebung, Speicherung und Nutzung ( Datenverwendung ) von personenbezogenen Daten Datenverwendung zulässig, wenn gesetzlich erlaubt oder mit Einwilligung ( 4 Abs.1 BDSG) Verbot mit Erlaubnisvorbehalt 9 9
A. Datenschutzrechtliche Grundlagen 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 10
A. Datenschutzrechtliche Grundlagen Personenbezogene Daten Definition in 3 Abs. 1 BDSG Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einfallstor für Datenschutz sehr weit zu verstehen alle Informationen zu der Person umfasst ABER: nur für lebende Personen; nicht für juristische Personen 11
B. Mögliche Gestaltungen Anonymisierung Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Mögliche Anonymisierungsprozesse: Löschen oder Verändern einer ausreichenden Zahl von markanten Merkmalen Auflösen von Aggregationen 12
B. Mögliche Gestaltungen Pseudonymisierung Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Mögliche Pseudonymisierungsprozesse (Sicheres) Hashing Getrennte Datenhaltung 13
B. Mögliche Gestaltungen Erstellung pseudonymer Nutzungsprofile 15 Abs. 3 TMG Hinweis auf Widerspruchsmöglichkeit, wenn Webseitenbetreiber Nutzungsprofile unter Pseudonymen erstellt Fakultativ: Hinweis auf bestehendes Auskunftsrecht des Nutzers ( 13 Abs.7 TMG) Hinweis auf Datenlöschung nach Beendigung des Nutzungsvorgangs ( 13 Abs.4 Nr.2 TMG) Hinweis auf bestellten betrieblichen Datenschutzbeauftragten + Kontakt 14
C. Gesetzliche Legitimationstatbestände 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 15
C. Gesetzliche Legitimationstatbestände BDSG konform? BDSG konform? BDSG konform? BDSG konform? BDSG konform? Datenerhebung Datenspeicherung Datenverarbeitung Auswertung Weitergabe 16
C. Gesetzliche Legitimationstatbestände Zentralnorm 28 Abs.1 Nr.1 und 2 BDSG 28 Abs.1 Nr.1 BDSG: Datenumgang ist erforderlich für Begründung, Durchführung, Beendigung eines Schuldverhältnisses 28 Abs. 1 Nr.2 BDSG Datenumgang ist zulässig, soweit zur Wahrung berechtigter Interessen erforderlich und keine entgegenstehenden schutzwürdigen Interessen 17
C. Gesetzliche Legitimationstatbestände 28 Abs.1 Nr.3 BDSG Erheben, Speichern, Verändern oder Übermitteln von öffentlich zugänglichen Daten zulässig, soweit schutzwürdige Interessen des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle nicht offensichtlich überwiegen 18
D. Einwilligung 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 19
D. Einwilligung Art Angaben über Umfang Einwilligung Zweck Zweckvielfalt Umfassende Datafizierung VS. Zweckbindung Datensparsamkeit 20
Übersicht: Auftragsdatenverarbeitung www.diempartner.com Unternehmen Datenverarbeitende Stelle = Auftraggeber Datenweitergabe = Auftragnehmer 010101001010101001010101010010101010010101010010101001001010010101001010010 101001010010101010010100101010100101010100101010101010010101010010101010010 101001010101001000100111110001010010101010010100101010010100101001010100101 Vertrag über ADV nach 11 BDSG ZWINGEND!!! Auftragsdate nverarbeitung 0101010 0101010 1001010 1010100 1010101 0010101 0100101 0100100 1010010 1010010 1001010 0000010 1010010 1010100 1010100 1001010 Datenweitergabe Hölderlinplatz 5 D-70193 Stuttgart Tel. +49 711 228545-0 Fax +49 711 2265570 Unterauftragnehmer (z.b. Cloudbetreiber) 21
3. TEIL Zusammenfassung und Ausblick 22 22
Zusammenfassung Für Big Data Anbieter: Gewährleistung von Datenschutz und sicherheit Angemessenes Datenschutzniveau (Server in Europa) Transparente und ausgewogene Vertragsgestaltung, Dateneigentum und Nutzungsrechte regeln Auftragsdatenverarbeitungsvertrag anbieten 23
Zusammenfassung Für (Unternehmens-)kunden: Datenschutzkonformität Anbieterauswahl (Europa) Absicherung über Vertragsgestaltung vor allem im Hinblick auf Datenschutz, sicherheit und Dateneigentum Auftragsdatenverarbeitungsvertrag 24
Datenverarbeitung zulässig Gestaltungsmöglichkeiten Anonymisierung Keine datenschutzrechtliche Relevanz Pseudonymisierung Gesetzlicher Erlaubnistatbestand Datenschutzerklärung + Opt-Out Interessenabwägung Umfassende Information Permission (Opt-In) Zweckbindung Datensparsamkeit 25
Checkliste Anwendbares Recht identifizieren Welche Daten sollen verwendet werden? Wer verarbeitet diese Daten? Wie werden die Daten verarbeitet (Zusammenführung)? Weitergabe an Dritte? Welcher Verwendungszweck? Legitimationstatbestände prüfen Datenschutzerklärung gestalten Einwilligung einholen Datensicherheit Auftragsdatenverarbeitungsvertrag mit Dritten Vertragsgestaltung Datenbankhersteller und -nutzer 26
Zusammenfassung Fortschreitende Digitalisierung Daten sind Wirtschaftsgut Schwelle zu dramatischen Veränderungen der Organisation, Innovation und Wertschöpfung Datenschutz Vertragsgestaltung Risikoabwägung 27
Weiterführende Links Übersicht Social Media & Recht (www.kurzlink.de/socialweb) Big Data & Recht Herausforderungen für den Datenschutz und die Causa O2 (www.kurzlink.de/bigdata) Social CRM & Recht Rechtliche Rahmenbedingungen bei der Kundenakquise und-pflege in und über Soziale Netzwerke (www.kurzlink.de/socialcrm) Social Media Monitoring & Datenschutz Was Unternehmen beim Durchsuchen des Social Web beachten sollten (www.kurzlink.de/monitoring) Rechtliche Big Data & Recht Wem gehören eigentlich Daten oder wie Google nun gegen SEO-Tools vorgeht (http://kurzlink.de/bigdata2) 28
Literatur 29 www.kurzlink.de/smbuch
Bartsch Rechtsanwälte Dr. Carsten Ulbricht M.C.L. Rechtsanwalt /intertainment Stafflenbergstraße 24 70184 Stuttgart Telefon: +49 (0)711 23 84 953 Fax: +49 (0) 711 23 84 9531 E-Mail: cu@bartsch-rechtsanwaelte.de Blog: www.rechtzweinull.de 30