Big Data und Datenschutz

Allein die technischen und unternehmensinternen Grundlagen schaffen zu wollen, um das Potenzial von Big Data zu erschließen, wäre zu kurz gegriffen. Ebenso entscheidend für das Ziel „Big Data für alle“ ist es, die zu berücksichtigt, von denen die Daten stammen oder die von den Ergebnissen der Analysen betroffen sind.

Bei einer Untersuchung gesundheitsrelevanter Anwendungsbereiche kam der Deutsche Ethikrat zu dem Schluss: Den Herausforderungen von Big Data kann mit den Handlungsformen und Schutzmechanismen des traditionellen Datenschutzrechts nur unzureichend begegnet werden. Deshalb empfiehlt der Ethikrat ein Big-Data-Konzept, das sich an Datensouveränität orientiert. Damit gemeint ist die größtmögliche Selbstbestimmung darüber, was mit den eigenen Daten geschieht.

Ähnliche Forderungen erhebt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff: „Im Zeitalter von Big Data und dem Internet der Dinge führt die sich immer weiter verbreitende Digitalisierung unseres Alltags dazu, dass wir mehr und mehr digitale Spuren hinterlassen. Wenn in Zukunft beispielsweise das Surfverhalten einer Person mit den Informationen ihres Smartcars, des Fitnesstrackers und den Bestellungen des vernetzten Kühlschranks kombiniert werden könnten, besteht die Möglichkeit, ein aussagekräftiges Bild der Lebensumstände dieser Person zu zeichnen. Umso wichtiger sind rechtliche Rahmenbedingungen, die nicht nur die Entwicklung innovativer Dienste und Geschäftsmodelle ermöglichen, sondern auch einen robusten Schutz der Privatsphäre garantieren.“

Für Big-Data-Analysen von Gesundheitsdaten – einem Musterfall für besonders sensible Daten – fordern die Aufsichtsbehörden für Datenschutz in Deutschland deshalb:

Verknüpfungen zwischen Datenbeständen, die Gesundheitsdaten enthalten, dürfen nur auf der Grundlage spezieller rechtlicher Regelungen zugelassen werden.

Die Re-Identifizierung und unerlaubte Zusammenführung von Daten, das Anlegen von Datenprofilen zu einer Person sowie der Handel mit Gesundheitsdaten sind zu verbieten und unter Strafe zu stellen.

Es muss gesetzlich festgelegt werden, dass mit anonymisierten oder hinreichend pseudonymisierten Daten gearbeitet wird, in welchen Zusammenhängen ausnahmsweise auf die Einwilligung als Legitimation für eine Verarbeitung von Gesundheitsdaten in Big Data-Anwendungen zurückgegriffen werden darf und unter welchen Voraussetzungen eine wirksame Einwilligung gegeben werden kann.

Bei Big-Data-Projekten sind Transparenzvorgaben etwa hinsichtlich der Analysemethoden, der Verarbeitungszwecke und der genutzten Datenbestände zu machen.

Es sollte gesetzlich vorgesehen werden, dass für jedes Big-Data-Projekt im Gesundheitswesen das Votum der zuständigen Datenschutzaufsichtsbehörde eingeholt wird.

Unternehmen sollten ihr Datenschutzkonzept für sensible Big-Data-Analysen entsprechend entwickeln und technisch-organisatorische Maßnahmen ergreifen, um es umzusetzen. Dazu gehören Funktionen wie Verschlüsselung, Anonymisierung und Pseudonymisierung sowie die getrennte Speicherung von Daten, die es ermöglichen könnten, Pseudonyme realen Personen zuzuordnen.

Die Technik dafür ist jedenfalls vorhanden. Marit Hansen, Leiterin des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein, konstatiert: „Es gibt bereits heute gute, innovative Lösungen mit eingebautem Datenschutz – Stichwort ,Data Protection by Design & by Default‘. Wir müssen sie aber auch nutzen.“

Dazu gehört auch die Schulung und Sensibilisierung zu den möglichen Risiken von Big Data. Im Sinne von „Big Data für alle“ ist der Teilnehmerkreis einer solchen Schulung entsprechend groß zu wählen, da in Zukunft dank der Selfservice-Funktionen viele Mitarbeiterinnen und Mitarbeiter bei entsprechender Berechtigung BigData-Analysen durchführen werden.