Unternehmen möchten umfassend informiert sein, um besser und schneller im Markt agieren und reagieren zu können. Die Verwendung von öffentlich zugänglichen Daten – insbesondere von Personendaten – ist jedoch durch gesetzliche Rahmenbedingungen eingeschränkt. Unternehmen sind gut beraten, eine Balance zwischen Genauigkeit und damit auch Nützlichkeit einer Big-Data-Anwendung und der Anonymisierung zu finden, um möglichen Konflikten mit der Gesetzgebung – beispielsweise im Bereich der möglichen Re-Individualisierung – aus dem Weg zu gehen.
Eine Studie des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme (IAIS) von 2012 bringt das Innovationspotenzial von Big-Data-Anwendungen auf den Punkt: Demnach kämen Unternehmen dank Big-Data-Anwendungen zu «Vorsprung durch Wissen». Die im Auftrag der deutschen Regierung durchgeführte Untersuchung ergibt ein klares Bild: Unternehmensinterne und externe Daten rund um das Verhalten von Kunden und potenziellen Kunden zu analysieren, lohnt sich. Die meistgenannten Anwendungsfälle sind die Prognose der Werbewirksamkeit und der potenziellen Verkäufe sowie die Mikrosegmentierung, gefolgt vom Monitoring von Markenwahrnehmung, Wettbewerben, Marktpreisen und Kaufinteressenten im Web sowie die Analyse von Besucherströmen vor Ort. An dritter Stelle werden die automatische Preissetzung, die Kündigungsanalyse, die personalisierte Kundenansprache sowie die marktnahe Produktentwicklung genannt. Die Ziele des Einsatzes von Big-Data-Anwendungen sind der Aufbau strategischer Wettbewerbsvorteile, die Steigerung der Umsätze und die Einsparung der Kosten.
Aktuellere Untersuchungen wie beispielsweise die Studie «Big Data Use Cases 2015» des Business Application Research Center (BARC) bestätigen, dass die Kundenanalyse der häufigste Grund für die Planung oder Durchführung einer Big-Data-Initiative in Unternehmen ist. Obwohl die genaue Zielsetzung und die Wirksamkeit des einzelnen Anwendungsfalles von Branche zu Branche abweichen, bleibt -eines im Fokus: die möglichst genaue Analyse des Verhaltens von bestehenden und potenziellen Kunden – und damit auch die Analyse von öffentlich zugänglichen oder käuflichen Personendaten. Die Verwendung dieser Daten durch Unternehmen ist jedoch durch den Gesetzgeber zumindest indirekt eingeschränkt.
Gesetzliche Grundlagen
Das Bundesgesetz über den Datenschutz (DSG) der Schweiz «bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden». Es regelt damit den Umgang mit Personendaten. In den allgemeinen Datenschutzbestimmungen werden dabei mehrere Aspekte explizit geregelt: die Grundsätze für den Umgang, die Richtigkeit, die grenzüberschreitende Bekanntgabe, die Sicherheit und das Auskunftsrecht der Personendaten. Die Grundsätze für den Umgang mit Personendaten sehen eine verhältnismässige Bearbeitung nach Treu und Glauben vor, deren Zweckmässigkeit für die betroffene Person erkennbar ist und in bestimmten Fällen die entsprechende Einwilligung voraussetzt. Die Richtigkeit schreibt vor, dass wer auch immer Personendaten bearbeitet, sich über deren Richtigkeit zu vergewissern hat und eine allfällige Berichtigung durch die betroffene Person zu akzeptieren hat. Die grenzüberschreitende Bekanntgabe ist grundsätzlich nur unter bestimmten Bedingungen erlaubt. Die Datensicherheit schützt Personendaten gegen unbefugtes Bearbeiten, und das Auskunftsrecht schreibt vor, dass jeder Inhaber einer Datensammlung einer betroffenen Person Auskunft geben muss.
Die meisten dieser Grundsätze sind für Unternehmen, die Big-Data-Analysen in Bezug auf Kundendaten durchführen, relevant. Dies, obwohl die meisten modernen Verfahren und die Angebote spezialisierter Firmen über gute Anonymisierungsmechanismen verfügen. Bereits einfachste Kombinationen von Merkmalen lassen jedoch Rückschlüsse auf einzelne Personen zu, wie verschiedene Untersuchungen gezeigt haben. Im konkreten Einzelfall hat jedes Unternehmen zu beurteilen, ob die Menge der durch die Big-Data-Analyse ausgewerteten Daten ausreicht, um eine Person zu bestimmen. In diesem Fall unterliegt die Verarbeitung der Daten dem Gesetz, das heisst, das Unternehmen sollte die Einhaltung der gesetzlichen Vorgaben sicherstellen. Im Zweifelsfall ist der Sachverhalt mit der Rechtsabteilung oder einem spezialisierten Anwaltsbüro zu prüfen.
Das Privacy Paradoxon
Die Untersuchung «Big Data und Datenschutz» des deutschen Handelsblatt Research Institute aus dem Jahr 2013 weist auf einen interessanten Widerspruch hin, was die Bereitschaft der Kunden, persönliche Daten weiterzugeben, betrifft. So wünscht sich die Mehrheit der Befragten auf der einen Seite einen besseren Datenschutz und misstraut staatlichen Behörden und Firmen, was die Verwendung persönlicher Daten betrifft. Andererseits war im Rahmen eines Experimentes die Mehrheit der Personen bereit, persönliche Daten preiszugeben, falls sie dafür direkt oder indirekt entschädigt werden. Dieses Phänomen wird «Privacy Paradoxon» genannt. In Zahlen ausgedrückt bedeutet es, dass gemäss Umfrage nur zwölf Prozent der Kunden bereit waren, Angaben zu persönlichen Vorlieben zu machen, im Experiment waren es jedoch 98 Prozent. Dasselbe Bild ergab sich für die Herausgabe von Kontaktdaten (sieben Prozent in der Umfrage versus 88 Prozent im Experiment). Für Unternehmen bedeutet dies, dass bestehende Kunden oder auch potenzielle Kunden sehr wohl bereit sind, die Verarbeitung von Personendaten zuzulassen. Das Unternehmen muss über die Einhaltung der gesetzlichen Regelungen hinaus also dafür sorgen, dass die Kunden die Möglichkeit haben, den Nutzen der Big-Data-Analysen nachzuvollziehen und allenfalls sogar davon zu profitieren. Das bedeutet, dass die heute gängige Praxis der einmaligen Einwilligung oder auch Einverständniserklärung im Rahmen von AGBs oder die eher seltenere Praxis spezieller vertraglicher Nutzungsbeschränkungen verfeinert wird. Transparenz und aktive Informationspolitik sind gefragt, damit der Nutzer als «Datenlieferant», wie es der ehemalige Schweizer Datenschützer Hanspeter Thür formuliert hat, ein integraler Bestandteil der Wertschöpfungskette eines Unternehmens wird.
Das Datenschutzschild
Unternehmen, die Daten mit anderen Ländern und im Speziellen mit den USA austauschen – beispielsweise, wenn eine Cloud-basierte Lösung eingesetzt wird oder wenn Zweigstellen in verschiedenen Ländern tätig sind –, sind im Moment mit einer besonderen Problematik konfrontiert: dem Datenschutzschild (Privacy Shield). Dieses Abkommen ist nach dem Urteil des Europäischen Gerichtshofs der Nachfolger des Safe-Harbor-Abkommens, welches die Bekanntgabe von Personendaten an die USA regelte. Seit dem 1. August 2016 können europäische Unternehmen das Privacy Shield als Regelung zwischen der EU und den USA nutzen. Für Schweizer Unternehmen gilt dies allerdings (noch) nicht. Sie sind damit gegenüber der europäischen Konkurrenz im Nachteil. Das SECO ist jedoch gemäss eigenen Angaben dabei, ein entsprechendes Abkommen mit den USA auszuhandeln. Für Unternehmen gilt es, im Einzelfall zu prüfen, ob der momentanen Rechtsunsicherheit mit geeigneten Massnahmen entgegengewirkt werden kann.
Neben dem Datenschutz sind durch die Nutzung von Big-Data-Datensammlungen weitere rechtliche Aspekte betroffen, beispielsweise bei der Übernahme von fremden Daten über die reine Auswertung hinaus. Da könnte eine unlautere Leistungsübernahme vorliegen, die durch das Wettbewerbsrecht definiert wird. Oder es könnte der urheberrechtliche Schutz von Inhalten betroffen sein, obwohl in der Schweiz das entsprechende Datenbankrecht, wie es in der EU existiert, fehlt. Experten wie Prof. Dr. Rolf Weber, Ordinarius für Privat-, Wirtschafts- und Europarecht an der Universität Zürich, weisen darauf hin, dass durch die Verbreitung von Big-Data-Anwendungen in Zukunft weitere rechtliche Aspekte neu zu beurteilen seien, so etwa die Ausweitung der gesetzlichen Bestimmungen von Persönlichkeitsdaten auf Sachdaten, da durch Big Data immer mehr Sachdaten einen Persönlichkeitsbezug aufweisen. Ein Unternehmen ist in Zukunft gut beraten, im Zweifelsfalle beim Start einer umfangreicheren Big-Data-Initiative erfahrene Experten hinzuzuziehen, um rechtliche Komplikationen zu vermeiden.
Weitere Informationen:
www.trivadis.com
