Ist Datenschutz ein Hindernis für Big Data, IoT- und KI? Für den Newsroom-Bereich der it-sa Fachmesse für Cybersicherheit beantwortet Dr. Christiane Bierekoven, Fachanwältin für IT-Recht, diese Frage und beleuchtet die speziellen Herausforderungen beim Einsatz von Big Data, IoT und KI. Auf der it-sa 2019 spricht Bierekoven am 9. Oktober im Forum 10.1 zum Thema Daten- und Geheimnisschutz.

Christiane Bierekoven berät seit über 20 Jahren Unternehmen im Bereich Datenschutz und IT-Recht. Sie veröffentlicht regelmäßig in juristischen Fachzeitungen zu Themen des IT- und Datenschutzrechtes und wirkt als Dozen¬tin bei der DeutschenAnwaltAkademie sowie der BeckAkademie. Im Interview beantwortet sie Fragen zur Umsetzung der europäischen Datenschutz-Grundverordnung und deren Auswirkung auf Cloud, KI und Big Data.

Mehr zum Thema auf unserer Microsite GIT Cyber Security:

Frau Bierekoven, seit rund einem Jahr ist die Datenschutz-Grundverordnung (DSGVO) in der EU rechtsverbindlich. Wie weit ist sie in den Unternehmen umgesetzt und wo treten noch Probleme auf?

Dr. Christiane Bierekoven: Längst noch nicht alle Unternehmen haben die DSGVO vollständig umgesetzt. Große Unternehmen sind dabei weiter, sie haben aber auch andere Compliance-Anforderungen. Kleine und mittlere Unternehmen tun sich hingegen schwerer, sie verfügen allerdings über weniger Manpower. Bei der Umsetzung stehen die meisten Unternehmen vor den gleichen Problemen. Betroffene, wie beispielsweise Kunden, haben gemäß der DSGVO ein Auskunftsrecht: Sie können abfragen, welche Daten über sie gespeichert sind und können auch die Löschung dieser Daten verlangen. Doch die Umsetzung dieses Auskunftsrechts für personenbezogene Daten ist bei vielen noch nicht auf dem Stand, auf dem es sein müsste und auch die Umsetzung eines Löschkonzepts bereitet in vielen Fällen große Schwierigkeiten. Für Unternehmen ist es oft nicht einfach, den vollständigen Überblick über alle zu einer Person erfassten Daten zu erhalten. Das ist aber Voraussetzung für das Auskunfts- und Löschrecht. Zugleich ist eine technische Umsetzung notwendig, damit das Unternehmen Auskunftsansprüche und Löschersuchen automatisiert erfüllen kann.

Mit welchen Problemen kommen Ihre Klienten zu Ihnen?

Dr. Christiane Bierekoven: Für die Verarbeitung personenbezogener Daten bei externen Dienstleistern muss eine Vereinbarung zur Auftragsdatenverarbeitung erstellt werden, dazu gibt es häufig Fragen. Große Unternehmen haben dafür oft eine eigene Abteilung eingerichtet. Häufig müssen für Webseiten oder Newsletter nach der DSGVO neue Datenschutzerklärungen erstellt werden. Bei Newslettern stellt sich zudem die Frage, ob von den Abonnenten eine neue Einwilligung einzuholen ist. Das machen Unternehmen nicht gerne, denn dann fallen schon einmal 60 bis 70 Prozent der Kunden weg, da sie aktiv auf eine Einwilligungsanforderung reagieren müssten. Aber auch Facebook-Fanpages werfen für Unternehmen Fragen auf, um diese DSGVO-konform zu gestalten und notwendige Vereinbarungen zu treffen. KMU wissen oft nicht, ob sie einen betrieblichen Datenschutzbeauftragten brauchen. Die Bundesregierung hat gerade das Gesetz geändert, wonach dies erst ab 20 Mitarbeitern notwendig ist. Doch dann bleibt noch die Frage, ob ein externer Datenschutzbeauftragter geeignet ist und wann man besser eine Stelle dafür schafft.

Die Aufsichtsbehörden klagen über Ressourcenmangel für notwendige Prüfungen...

Dr. Christiane Bierekoven: Ich würde trotzdem jedem Unternehmen raten, die DSGVO zumindest in den Kernbereichen, wie Verarbeitungsverzeichnis, Informationspflicht, Recht auf Auskunft, Auftragsdatenverarbeitung und Ähnliches, umzusetzen. Einerseits entsteht für das Unternehmen dadurch ein Wettbewerbsvorteil, andererseits weiß man nicht, ob man zu den Stichproben gehört, die die Aufsichtsbehörden auswählen. Es kann auch sein, dass dort eine Beschwerde eingeht und man deshalb geprüft wird. Es gibt also keinen Anlass, sich bei der DSGVO-Umsetzung zurückzulehnen. Man muss auch wissen, dass Behörden Vorwürfe erst einmal gründlich prüfen, damit sichergestellt ist, dass tatsächlich ein Verstoß vorliegt, bevor die Behörden gegen ein Unternehmen vorgehen. Das kann einige Zeit in Anspruch nehmen.

Wo sehen Sie Nachbesserungsbedarf bei der DSGVO und der Anpassung des Gesetzes in Deutschland?

Dr. Christiane Bierekoven: Es bedarf noch einer Klarstellung einiger Grauzonen. Das Bundesdatenschutzgesetz, BDSG, hatte präzisere Vorgaben als die DSGVO. Zum Beispiel ist beim Auskunftsrecht nicht klar, in welcher Form Auskünfte erteilt werden müssen. Auch bei den Inhalten von Datenschutzerklärungen, etwa für Cookies, gibt es noch Klärungsbedarf. Ebenso bei den Meldepflichten von Datenschutzverstößen – Unternehmen melden derzeit aus Sorge vor den hohen Bußgeldern eher zu viel, als zu wenig. Das vergrößert die Flut der Meldungen bei den Behörden erheblich.

Wie veränderte die DSGVO den betrieblichen Datenschutz? Müssen Datenschutzbeauftragte von vorne beginnen?

Dr. Christiane Bierekoven: Neu anfangen müssen sie nicht, aber sie müssen erst einmal geschult werden, denn sie haben große Aufgaben vor sich, wenn alle Vorgaben umgesetzt werden sollen. Gut aufgestellt sind diejenigen, die das BDSG bereits komplett umgesetzt hatten. Dennoch muss man an einigen Punkten umdenken, etwa bei der Auskunftspflicht oder der Festlegung von Verarbeitungszwecken, denn die erhobenen Daten dürfen ja nur für den angegebenen Zweck verwendet werden. Man muss jetzt europäisch denken. Hingegen dürften in größeren Unternehmen Schulungen nicht ausreichen; dort wird man zusätzliches Personal einstellen müssen. Denn es ist ziemlich aufwendig, die benötigten Löschkonzepte und Verarbeitungsverzeichnisse zu erstellen. Das trifft besonders für Löschkonzepte zu, denn die müssen zusätzlich technisch umgesetzt werden. Dazu bedarf es IT-Spezialisten.

Steht der neue Datenschutz dem Einsatz neuer Technologien wie Big Data oder KI im Wege?

Dr. Christiane Bierekoven: Die DSGVO steht dem nicht entgegen, erleichtert aber auch nicht den Einsatz. Wie bereits erwähnt, muss in der Information zur oder Einwilligung in die Verarbeitung personenbezogener Daten der Verarbeitungszweck genannt sein. Das erfordert, dass jeder Vorgang genau definiert wird. Big-Data-Analysen werden aber oft erst später eingeführt, die Daten dafür wurden ursprünglich zu einem anderen Zweck, beispielsweise in einem Online-Shop zur Vertragserfüllung, erhoben. Die Datenanalyse ist sodann eine Zweckänderung, darüber müsste das Unternehmen die Kunden genauestens informieren. Man müsste also den Algorithmus beschreiben - und das in verständlicher Sprache. Bei einem KI-System ist das kaum möglich. Deshalb setzt das bislang auch fast niemand um. An der verständlichen Sprache scheitern ja schon viele Datenschutzerklärungen auf Webseiten. Es ist sinnvoll, Systeme von vornherein so aufzusetzen, dass gar nicht erst Probleme auftreten, weil die auszuwertenden Daten zum Beispiel durchgehend anonymisiert werden. Die DSGVO fordert nicht umsonst Privacy by Design - das wäre eine Lösung. Doch bei Technologien wie KI sind die Anforderungen des Privacy by Design noch nicht wirklich erfüllt. Bei KI kommt erschwerend hinzu, dass vielfach hinzugekaufte Algorithmen eingesetzt werden. Dann müssen Unternehmen sich deren Funktionsweise erst erklären lassen, bevor sie darüber informieren können.

Wie sieht es beim Cloud Computing aus, was sollten Unternehmen dabei beachten?

Dr. Christiane Bierekoven: Zunächst muss man klären, wo die Daten verarbeitet werden, in Deutschland, der EU oder in Drittstaaten. Das ist nicht immer ganz einfach, denn oft wird zwar in der EU gehostet, aber Wartung und Support erfolgt aus Drittländern. Wenn aber aus Drittstaaten Zugriff auf Daten erfolgt, muss man mit den Unternehmen zusätzlich Standarddatenschutzklauseln vereinbaren. Auf jeden Fall braucht es immer eine Vereinbarung zur Auftragsdatenverarbeitung. Dazu muss man das technische Konzept des Anbieters kennen. Viele Anbieter wollen das aber gar nicht offenlegen, gerade bei den großen amerikanischen Anbietern ist das häufig schwierig. Da muss auch ich als Anwältin manchmal lange nachhaken.

Welches Recht gilt für deutsche Kunden, wenn sie beispielsweise US-amerikanische Angebote wie Azure- oder AWS-Cloud wählen?

Dr. Christiane Bierekoven: Unternehmen bevorzugen in der Regel deutsches Recht für das Vertragsverhältnis. Das muss jedoch ausgehandelt werden, was im Einzelfall schwierig, aber auch Mittelständlern schon gelungen ist. Manchmal versteckt sich in den Lizenzbedingungen dennoch amerikanisches oder sogar kalifornisches Recht, was dann mitvereinbart wird. Manche Klauseln sind in Deutschland nicht unbedingt wirksam. Aber oft betreiben die Anbieter Rechenzentren in Deutschland oder der EU. Mit den aktuellen Entwicklungen in der US-Politik sind viele deutsche Unternehmen bei Anbietern aus den USA zurückhaltender geworden. Viele trennen Daten, die für die US-Behörden interessant sein könnten, von den restlichen Daten und sichern sie an einem anderen Ort. Die Unsicherheit steigt, die Handelskonflikte führen zum Überdenken einiger Geschäftsmodelle.

Auf der Fachmesse it-sa 2019 spricht Christiane Bierekoven am 9. Oktober im Forum 10.1 erneut zum Thema Daten- und Geheimnisschutz bei KI-, IoT- und Big Data Anwendungen. Zusätzlich zu verschiedenen Vorträgen und Foren können Besucher der Messe die Stände von fast 700 Ausstellern in vier Messehallen besuchen.