15.08.2013
0

4 „Big Data“ – Big Compliance?

Von Claus Hambach, LL.M. und Axel Knabe, Hambach & Hambach Rechtsanwälte

(Datenschutz-)Compliance am Scheideweg

Big Data, das neueste „buzzword“ des Internetzeitalters beschreibt, was doch alle seit den Anfängen des web 2.0 schon ahnen konnten. Die Macht der Informationen ist groß, die wirtschaftlichen Möglichkeiten der Erhebung, Verknüpfung und Analyse schier unbegrenzter Datenmengen sind entsprechend verlockend. Doch für Unternehmen folgen aus den damit verbundenen Chancen auch notwendige Neubewertungen bei der Compliance. Was zuvor im Gewand der informationellen Selbstbestimmung daherkam, mag morgen durch das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme neue Impulse erfahren. Big Data besitzt ohne Frage großes Potential, doch es wird Unternehmen auch dazu zwingen, ihre Compliance-Programme einer grundsätzlichen Neubewertung zu unterziehen.

Mit jeder informationstechnologischen (Weiter-)Entwicklung entsteht üblicherweise auch neuer bzw. zusätzlicher rechtlicher Klärungsbedarf. Zum einen müssen Unternehmer wissen, wie und in welchem Umfang veränderte Rahmenbedingungen auch rechtliche Bewertungsperspektiven beeinflussen und daher zusätzliche oder geänderte Compliance-Lasten erzeugen können. Zum anderen müssen Verbraucher sich ihrer Rechte vergewissern und Art und Umfang ihrer Rechteausübung vor dem Hintergrund der sich einstellenden Veränderungen abschätzen können.

„Big Data“ ist der neue Trend, der in vielerlei Hinsicht derlei rechtliche Neubewertungen erforderlich machen dürfte. Dem Prinzip nach beschreibt „Big Data“ zunächst nur das, was die Entwicklung des web 2.0 in den letzten 10 bis 12 Jahren ohnehin zunehmend gekennzeichnet hat: Die Erhebung, Speicherung, Verwendung, Verknüpfung und multifunktionale Nutzung von immer größeren Datenmengen, die laut eines aktuellen Spiegel-Berichts im Jahr 2012 weltweit 2, 8 Milliarden Terrabyte umfassten.1 Der Verband der deutschen Internetwirtschaft e.V. (ECO) hält diesen Trend sogar für einen der fünf Hauptgründe für den anhaltenden Internetboom in Deutschland. Denn die bei der Internetnutzung entstehenden Datenmengen könnten verwendet werden, um völlig neue Dienstleistungen zu entwickeln2.

Die fortschreitende Migration zu mobilen Endgeräten3 lässt diesen Trend gerade auch für den Bereich der Apps weiter an Bedeutung gewinnen. Am 16. Mai 2013 wurde allein im App Store von Apple die 50 Milliardste App heruntergeladen4. Dies lässt erkennen, welches wirtschaftliche Potential sich dahinter verbirgt.

Stabile rechtliche Rahmenbedingungen für die Nutzung dieses enormen Potentials fehlen allerdings noch. Das gilt insbesondere, aber nicht nur, für Fragen des Datenschutzes und der IT-Sicherheit. Jüngste Gerichtsentscheidungen zeichnen ein klares Bild dieser offensichtlichen Lücke:

Im April dieses Jahres begründete das LG Berlin, warum es mehrere Klauseln von Apple in deren Datenschutzerklärung für rechtswidrig hielt.5 Gerügt wurden u.a. unzulässige Pauschaleinwilligungen bezüglich der Nutzung personenbezogener Daten und die fehlende Differenzierung zwischen unterschiedlichen Datenbeständen bei der Erhebung und Nutzung derselben. Diesen Monat folgte das LG Frankfurt und entschied, dass eine Vielzahl der AGBs des Samsung App Stores als rechtswidrig anzusehen sind.6 So waren beispielsweise für ein Schalten von Werbung nicht die aus § 4a BDSG, 12 f. TMG, / Abs. 2 UWG folgenden Einwilligungsanforderungen erfüllt und eine Zustimmungsfiktion bei Änderung der Geschäftsbedingungen wurde als Verstoß gegen § 308 Nr. 5 BGB gewertet.

Die Details der einzelnen Entscheidungen lassen einen erheblichen Prüfungsbedarf für Compliance im Bereich der IT-Sicherheit und des Datenschutzes aber auch des sonstigen Verbraucherrechts erkennen. Noch interessanter erscheint allerdings zum Teil, wozu die Entscheidungen schweigen. So geht z.B. das LG Frankfurt in seinem Urteil gegen Samsung zwar davon aus, dass eine Einwilligung des Kunden zur automatischen Installation von Updates gegen § 308 Nr. 4 BGB verstoße, denn diese seien jedenfalls in der vorliegenden Form unzumutbar. Dies unter anderem deshalb, da hierdurch nicht allein technische Anpassungen vorgenommen werden könnten, sondern vielmehr komplette inhaltliche Modifikationen der fraglichen Software.

Was das Gericht jedoch in diesem Zusammenhang nicht anspricht, ist das vom Bundesverfassungsgericht vor nicht allzu langer Zeit entwickelte Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG).7 Inwieweit und in welcher Form dieses „neue“ Grundrecht auch Einflüsse und Auswirkungen auf das Privatrecht haben wird, ist bislang nahezu ungeklärt. Dass aber gerade die Integritätserwartung des Nutzers an die eigenen informationstechnischen Systeme – mobile Endgeräte eingeschlossen – u. a. für das Datenschutz- und IT-Sicherheitsrecht und die hiervon betroffenen Unternehmen Bedeutung erlangen wird, scheint sehr wahrscheinlich.8

Ist doch aber heute, in den Zeiten von „Big Data“, web 2.0 und cloud computing nichts mehr zwingend auf einen Staat beschränkt, so stellt sich zugleich die Frage, was für App-Unternehmen Teil ihres zu beachtenden Compliance-Programmes ist und was nicht:

  • Sind derlei zunächst vielleicht „entfernt“ erscheinende Einflüsse wie Maßstäbe des deutschen Verfassungsrechts für die eigene Compliance überhaupt von Bedeutung?
  • Findet europäisches Datenschutzrecht überhaupt Anwendung?
  • Selbst wenn, findet deutsches Datenschutzrecht Anwendung und inwiefern ist es unter Umständen mit Blick auf die Datenschutzrichtlinie9 dem europäischen Standard in jeder Hinsicht vergleichbar?

Diese schwierigen Fragen werden ergänzt durch eine Vielzahl in sich kniffliger Einzelprobleme, z.B. die Erhebung verschiedener Kategorien von Daten und die damit verbundenen gesetzlichen Anforderungen, Fragen zur Rechtmäßigkeit von Einwilligungen in Datenverarbeitungen, Location Based Services oder Cookies – welche Auswirkungen hat die bislang in Deutschland nicht umgesetzte „Cookie-Richtlinie“?10 – um nur einige zu nennen. Oder die Frage, ob eine Vernetzung verschiedener Apps durch einen Drittanbieter diesen zum Auftragsdatenverarbeiter werden lässt, etwas, das letztlich durch die zwischen App- und Drittanbieter vereinbarte vertragliche Ausgestaltung entschieden werden dürfte.

Ausblick:

2,8 Milliarden Terrabyte Daten im Jahr 2012 ist eine beeindruckende Zahl, noch beeindruckender, wenn man sich überlegt, dass im Jahr 2020 nach gegenwärtigen Schätzungen 40 000 000 000 Terrabyte an Daten produziert werden sollen.111 Aber mit dem „Dschungel“ an Daten, die erhoben, verarbeitet, verknüpft und im Rahmen von Algorithmen wirtschaftlich genutzt werden sollen, wird auch das Dickicht der rechtlichen Anforderungen undurchsichtiger.

Und viele reden mit in Europa: Gerichte, Datenschutzbeauftragte, der Gesetzgeber auf mitgliedstaatlicher sowie auf europäischer Ebene und nicht zuletzt auch das deutsche Bundesverfassungsgericht. Am Ende mag die derzeit geplante Datenschutz- Grundverordnung2 als unmittelbar in den Mitgliedsstaaten geltendes Recht stehen. Aber auch mit ihr wird der Wald nicht weniger Bäume haben. Datenschutz und IT-Sicherheit stehen in vielerlei Hinsicht vor einem neuen „Entwicklungsschub“, auf den sich Unternehmen für ihre eigenen Compliance-Programme frühzeitig einstellen sollten.

1 Spiegel 20/2013, 70.

2 Pressemeldung der ECO vom 25.06.2013, vgl. http://www.eco.de/2013/pressemeldungen/bis-2016-deutsche-internetwirtschaft-schafft-80-000-neue-arbeitsplaetze.html

3 Vgl. allg. zur mobilen Internetnutzung, Studie der Initiative D21, Mobile Internetnutzung –Entwicklungsschub für die digitale Gesellschaft. Abrufbar unter http://www.initiatived21.de/wp-content/uploads/2013/02/studie_mobilesinternet_d21_huawei_2013.pdf.

4 http://www.apple.com/pr/library/2013/05/16Apples-App-Store-Marks-Historic-50-Billionth-Download.html, abgerufen am 26.06.2013

5 LG Berlin Urt. v. 30.4.2013 –Az.: 15 O 92/12. Abrufbar unter http://www.vzbv.de/cps/rde/xbcr/vzbv/Urteil_des_LG_Berlin_zur_Datenschutzrichtlinie_von_Apple. pdf

6 LG Frankfurt Urt. v. 6.6.2013 –Az.: 2-24 O 246/12. Abrufbar unter http://www.vzbv.de/cps/rde/xbcr/vzbv/Samsung-LG-Frankfurt-Main-Vertraege-Apps-2013-06-06.pdf.

7 BVerfG, 1 BvR 370/07 vom 27.2.2008, Absatz-Nr. 1 –333. Abrufbar unter http://www.bverfg.de/entscheidungen/rs20080227_1bvr037007.html.

8 Vgl. dazu Roßnagel/Schnabel, NJW 2008, 3534 ff.

9 RL 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Ebenfalls relevant sein kann die RL 2002/58/EG über die Verarbeitung  personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).

10 Vgl. z.B. Moos, K&R 2012, 635 ff.

11 Spiegel 20/2013, 70.

12 Vgl. zur EU-Datenschutzreform die Informationen unter http://www.janalbrecht.eu/themen/datenschutz-und-netzpolitik/alles-wichtige-zur-datenschutzreform.html.