Neues Licht auf Big Data durch Google-Urteil
Das Sammeln und Auswerten großer Datenmengen zum gezielten Einsatz im Marketing – kurz: Big Data – war nach dem österreichischen Datenschutzgesetz bisher weitgehend unproblematisch. „Durch das jüngste EuGH-Urteil zum Fall Google ändert sich die Lage allerdings“, warnte der durch seine Facebook-Klage weltbekannte Jurist Max Schrems anlässlich des 10. Information-Security-Symposiums im Wiener Kursalon.
Die Veranstalter CIS und Quality Austria hatten Schrems zu einer Key Note über Big Data als Datenschutz-Herausforderung vor mehr als 200 Fachbesuchern rund um Informationssicherheit nach ISO 27001 und Integrierte Managementsysteme eingeladen. „Datenschutz-Compliance ist eine wesentliche Anforderung der internationalen Norm ISO 27001“, erklärt Erich Scheiber, Geschäftsführer der Zertifizierungsorganisation CIS.Die immer mehr um sich greifende Praxis, Personeninformationen automatisiert aus dem Internet zu sammeln und mit den eigenen Kundendaten im Unternehmen zu verknüpfen generiert „gläserne Kunden“, die man dann punktgenau mit der passenden Produktwerbung beschicken kann. Bei B2B-orientierten Unternehmen sind große Datenmengen hauptsächlich im Zusammenhang mit Business Warehouses relevant, wo Daten aus verschiedenen Quellen wie ERP- und SAP-Systemen zusammenlaufen und durch komplexe Verknüpfungen eine neue Gesamtsicht auf erfasste Personen möglich wird. „Solange es sich um den eigenen Kundenstock handelt, der um bereits im Web veröffentlichte Zusatzkriterien ergänzt wird, lag bisher vordergründig keine Datenschutzverletzung vor“, erklärt Max Schrems in einem vertiefenden Interview nach der Veranstaltung.
Die vom DSG geforderte Zweckbindung sei dabei generell gegeben, da Werbung für verwandte Produkte aus dem eigenen Haus durchaus im Rahmen des Zwecks einer Geschäftsbeziehung liege. Ebenso galt es bisher nicht als rechtswidrig, bereits veröffentlichte Personendaten in den eigenen Datenbestand zu integrieren und weiter zu verarbeiten.
„Dieser großzügige Umgang mit Big Data wird durch das aktuelle Google-Urteil nun in ein neues Licht gerückt“, betont Schrems. Zu dem Google-Urteil durch den Europäischen Gerichtshof im Mai kam es aufgrund der Klage eines Spaniers, dessen Grundstück vor mehr als 15 Jahren zwangsversteigert wurde. Die Pfändung wurde damals in einer spanischen Zeitung sowie im Internet veröffentlicht.
Der Betroffene ging nun gerichtlich dagegen vor, dass Google bei der Sucheingabe seines Namens einen Link zu diesen Seiten heute noch anzeigt und forderte die Löschung des alten Artikels. Der EuGh gab ihm insofern Recht als Google künftig verpflichtet ist, jeden Verarbeitungsschritt auf schutzwürdige Daten hin zu prüfen und auf Wunsch solche Informationen zu löschen.
„Dies ist ein Präzendenzfall des EuGh, der auch Auswirkungen auf Österreich hat“, argumentiert Schrems, „denn im Streitfall wird EU-Recht stärker wiegen als das nationale Datenschutzrecht.“ Ein denkbares Beispiel für eine problematische Anwendung wäre etwa, wenn eine Bank im Rahmen ihrer Big-Data-Analysen einem Kunden aufgrund der ohne sein Einverständnis gesammelten Informationen keinen Kredit gewähren würde. Der Kunde könnte sich dann gemäß des Google-Präzedenzfalles auf die Schutzwürdigkeit dieser Informationen berufen und gegen diese Entscheidung seiner Bank vorgehen.
Noch interessanter wird das Big-Data-Thema vor dem Hintergrund der geplanten EU-Datenschutzrichtlinie, die nach ihrer Veröffentlichung das nationale Recht ersetzen soll. Demnach werden künftig Schadenersatzzahlungen in Millionenhöhe möglich, anstelle einer maximalen Verwaltungsstrafe in der Höhe von 25.000 Euro – wie bisher laut österreichischem DSG.