Datenanalyse und Datenschutz

Analysen in den umfangreichen Datenbeständen der Öffentlichen Verwaltung versprechen Einsparungen und Effizienzsteigerungen. Zu Recht stellt sich die Frage welche rechtlichen Aspekte, allen voran betreffend Datenschutz, es in diesem Zusammenhang zu berücksichtigen gilt. In Jusletter IT vom 24. September 2015 widmen sich Peter Parycek, Johann Höchtl und Bettina Rinnerbauer ausführlich der Datenschutzrechtskonformität von Big Data Analysen der Verwaltung. Eine kurze Einführung in die Problemstellung und Ansätze für Lösungsmöglichkeiten:

Ausgangssituation

Von Verwaltungseinheiten werden in Erfüllung ihrer gesetzlichen Aufgaben Daten erhoben und verarbeitet.

Angetrieben von der Digitalisierung werden neue Möglichkeiten ausgelotet, um Prozesse durch innovative technologische Verfahren zu adaptieren oder gänzlich neu zu gestalten. Den Rahmen hiefür stecken neben technischen Bedingungen auch organisatorische Gegebenheiten und in besonderem Maß geltende Rechtsvorschriften ab.

Eine Heranziehung geeigneter Daten für Analysen unter Wahrung des Schutzes personenbezogener Daten in Betracht zu ziehen, führt daher zur Diskussion einer Reihe von technischen und rechtlichen Erwägungen.

Potential: Erkenntnisgewinn durch Datenanalyse

Zusätzlicher Erkenntnisgewinn durch Datenanalyse und –auswertung kann etwa in der Form von Simulationen, Prognosen oder Frühwarnsystemen bei der Fällung von Entscheidungen unterstützen, wobei Potential hier insbesondere in zeitlicher Hinsicht (schnellere Entscheidungen) sowie in einer breiteren Entscheidungsgrundlage gesehen werden kann. Auch bei der Gestaltung personalisierter Dienstleistungen können Datenanalysen einen Beitrag leisten.

Zu beachten: Schutz personenbezogener Daten

§ 1 Abs 1 DSG gewährt jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Gemäß § 4 Z 1 DSG sind personenbezogene Daten Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.

Da jede Art der Handhabung von personenbezogenen Daten (§ 4 Z 8 DSG) nur unter der Voraussetzung der Erfüllung datenschutzrechtlicher Anforderungen zulässig ist, ist die rechtliche Qualifikation der herangezogenen Daten als (nicht) personenbezogen von entscheidender Bedeutung.

„Indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezog der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann (§ 4 Z 1 DSG).

Beispiele: zulässige Verwendung personenbezogener Daten

Bei Verwendung indirekt personenbezogener Daten gelten schutzwürdige Geheimhaltungsinteressen gemäß § 8 Abs 2 DSG als nicht verletzt.

Etwa bei mangelnder Rückführbarkeit der Daten auf die/den Betroffenen, deren/dessen Daten verwendet werden (vgl. § 4 Z 3 DSG), ist die Verwendung der Daten zulässig, weil in diesem Fall kein Geheimhaltungsanspruch besteht.

Personenbezogene Daten können ferner im lebenswichtigen Interesse oder mit Zustimmung der/des Betroffenen verwendet werden. Zur Wahrung überwiegender berechtigter Interessen eines anderen kann der Anspruch auf Geheimhaltung der personenbezogenen Daten eingeschränkt werden. Behörden können nur auf Grund besonderer gesetzlicher Grundlagen, die die in § 1 Abs 2 DSG konkretisierten Anforderungen erfüllen, in das Grundrecht eingreifen. Die Verwendung personenbezogener Daten ist darüber hinaus mit Genehmigung der Datenschutzbehörde zulässig.

Zweck der Ermittlung & Weiterverwendung

Von den in § 6 DSG normierten Grundsätzen, die bei der Verwendung von Daten (gemeint: personenbezogene Daten, vgl. § 4 Z 1 DSG) einzuhalten sind, ist im Kontext der Datenanalyse insbesondere zu beachten, dass die Ermittlung der Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erfolgen darf. Die so ermittelten Daten dürfen grundsätzlich nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden (zu wissenschaftlichen oder statistischen Zwecken siehe §§ 46, 47 DSG).

Der Grundsatz der Zweckbindung steht der Idee von Big Data diametral entgegen[1].

Lösungsansatz

Ein möglicher Lösungsansatz für Datenanalysen der Verwaltung fußt auf dem von Guy Zyskind/Oz Nathan/Alex «Sandy» Pentland 2015 ausgearbeiteten Verfahren, indem Auswertungen in verschlüsselten, verteilten und bewusst redundanten Daten durchgeführt werden. Die Daten werden dabei in Anlehnung an homomorphe Kryptographie verschlüsselt, wobei Auswertungen durchgeführt werden können, ohne Zugriff auf die Daten im Klartext zu haben. Die Ergebnisse können nur durch den Datenbereitsteller entschlüsselt werden.[2]

Aus rechtlicher Perspektive ist insbesondere spannend, wie die dem Konzept von Zyskind/Nathan/Pentland folgend bearbeiteten Daten qualifiziert werden können und welche datenschutzrechtlichen Anforderungen bereits technisch durch privacy by design sichergestellt werden können. Aus technischer Sicht sind die Einsatztauglichkeit des Verfahrens sowie gänzlich neue Möglichkeiten der Lastverteilung und sichere Auslagerung von aufwändigen Auswertungen zu kostengünstigen Cloud-Anbietern von besonderem Interesse.

[1]                      Rainer Knyrim, Big Data: datenschutzrechtliche Lösungsansätze, Dako 2015/35, 60.

[2]                     Guy Zyskind / Oz Nathan / Alex «Sandy» Pentland, Enigma: Decentralized Computation Platform With Guaranteed Privacy (2015).

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s