Donnerstag, 4. April 2019

Rezension: Big Data und Recht

Caldarola / Schrey, Big Data und Recht – Einführung für die Praxis, 1. Auflage, C.H. Beck 2019

Von Rechtsanwältin Mandy Hrube, LL.M. (Stellenbosch), Hamburg


„Big Data und Recht“ von Caldarola/Schrey betrachtet die rechtlichen Spielräume für den Umgang mit personenbezogenen Daten und nicht-personenbezogenen Daten (technische Daten und anonyme Daten), die häufig für Big Data-Analysen miteinander vermengt sind. Das Werk will dabei als Praxis-Leitfaden dienen und Hilfestellungen insbesondere bei herausfordernden Fragestellungen leisten, bspw. wenn die unterschiedlichen Datenarten von unterschiedlichen Rechtsinhabern stammen, unterschiedlichen nationalen Rechten unterliegen, diverse Rechtsgrundlagen erfordern und/oder für verschiedene Analysezwecke verwendet werden.

Das 184-seitige Werk überzeugt mit einer klaren Struktur, guten Ausdrucksweise und übersichtlichen Darstellung. Es ist in die folgenden Kapitel gegliedert: Einführung (A.), Datenarten (B.), Verantwortliche Stelle (C.), Spezifische Anforderungen und Aufgaben des Datenschutzbeauftragten im Hinblick auf Big Data-Anwendungen (D.), Legitimationsgrundlagen für die Verarbeitung von Daten (E.), Datenverarbeitung und Datenzyklus (F.), Drittstaatentransfer/Anwendbares Recht (G.), Aufbau einer Big Data-Anwendung (H.), Löschungspflichten (I.), Betroffenenrechte nach der DS-GVO (J.), Datenschutzfolgenabschätzung (K.), Systemdatenschutz beim Betrieb von Big Data-Anwendungen (L.), Schutz von Big Data-Anwendungen im Unternehmen (M.), Rechtsfolgen bei Missachtung rechtlicher Anforderungen (N.), Big Data-Anwendungen als Service (O.) und Handlungsempfehlungen (P.).

Inhaltlich zeigt das Werk praktische und anschauliche Lösungswege beim Aufbau eines Big Data-Geschäftes auf, indem einerseits auf die variablen Abhängigkeiten – Datenarten, Rechtsinhaber, anwendbares Recht, Ermächtigungs-/Rechtsgrundlagen, Zwecke – eingegangen wird und andererseits die verschiedenen Rechtsgebiete berücksichtigt werden. Dabei finden sich zahlreiche Leitsätze und grafische Darstellungen im Werk (siehe etwa Abb. 55 auf S. 98 mit einem Beispiel zur Anonymisierung oder Abb. 56 auf S. 100 zur Veranschaulichung einer Verschlüsselung/Geheimhaltung personenbezogener Daten). In der inhaltlichen Darstellung wird im Hinblick auf das Problem der dynamischen Zweckänderung bei Big Data-Anwendungen auf die Auffassung der Datenschutzaufsichtsbehörden hingewiesen, wonach bei Vorliegen einer Einwilligung, die aber aus inhaltlichen oder formalen Gründen unwirksam ist, nicht mehr auf gesetzliche Erlaubnistatbestände zurückgegriffen werden könne (S. 73). Diese Auffassung überzeugt, weil die um Einwilligung ersuchende Stelle den Eindruck erweckt hat, es komme allein auf die Entscheidung des Betroffenen und gerade nicht auf hiervon unabhängige gesetzliche Erlaubnistatbestände an. Gut gefällt auch, dass im Abschnitt zu den Löschungspflichten darauf hingewiesen wird, dass bei der Erarbeitung eines Löschkonzepts zu berücksichtigen ist, dass Daten einer Datenkategorie in unterschiedlichen Verwendungszusammenhängen auch unterschiedlichen Aufbewahrungs- und Löschfristen unterliegen können. Für eine endgültige Löschung ist daher die längste Aufbewahrungsfrist maßgeblich; davor müssen die Daten gegebenenfalls für spezifische Verwendungen, für die sie isoliert betrachtet zu einem früheren Zeitpunkt hätten gelöscht werden müssen, gesperrt werden (S. 125 f). Im Abschnitt zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff werden die einzelnen Schutzziele und jeweils dazu beispielhafte Maßnahmen übersichtlich dargestellt (S. 143 ff.). Zusammenfassend und abschließend zeigt der Leitfaden zehn Handlungsempfehlungen für ein Big Data-Geschäft auf (S. 181).

Fazit: Das Werk ist eine wertvolle, gut strukturierte Praxishilfe. Es vermittelt fundierte praxisorientierte Hilfestellungen, indem vielseitige Aspekte für Unternehmen in unterschiedlichsten Big Data-Kombinationen miteinander verbunden und rechtssichere und steuerbare Lösungsansätze aufgezeigt werden. Der Leitfaden schließt damit eine Lücke in der Rechtsliteratur nach aktuellen Werken zum Thema Big Data und ist jedem mit dieser Materie befassten Praktiker oder Interessierten sehr zu empfehlen.