Big Data ist in aller Munde. Anfänglich vor allem in der Internet- und Werbewirtschaft (und der Forschung) diskutiert, ist das Thema der Nutzung von Big Data mittlerweile in fast allen größeren Unternehmen angekommen - natürlich auch im Finanzdienstleistungssektor. Den erwarteten oder zumindest erhofften Vorteilen von Big Data stehen rechtliche, insbesondere datenschutzrechtliche Bedenken gegenüber. Mit diesem Beitrag sollen die juristischen Implikationen der Nutzung von Big Data in der Finanzdienstleistungsindustrie angesprochen werden.
"Big Data" ist kein gesetzlich oder durch allgemeine Normen definierter Begriff. Umfragen in der Wirtschaft zeigen, dass ein einheitliches Begriffsverständnis fehlt. Um unsere Ausführungen in den richtigen Kontext zu setzen, legen wir daher zunächst fest, was wir unter Big Data verstehen.
Big-Data-Definitionen greifen zu kurz
Laut einer Umfrage von IBM werden unter Big Data von Managern solche Begriffe wie "Große Bandbreite an Informationen", "Neue Arten von Daten-Analyse", "Echtzeitinformationen", "Moderne Medienarten", "Datenzustrom", "Große Datenmengen" oder auch "Daten aus sozialen Medien" subsumiert.1) Die Definition der Wissenschaftlichen Dienste des deutschen Bundestags lautet: "Big Data bezeichnet ein Bündel neu entwickelter Methoden und Technologien, die die Erfassung, Speicherung und Analyse eines großen und beliebig erweiterbaren Volumens unterschiedlich strukturierter Daten ermöglicht".2) In der Wahrnehmung der Wirtschaft, aber auch in der Definition des Deutschen Bundestages kommt ein wichtiger Aspekt zu kurz: Die neuen Technologien dienen vor allem auch der Gewinnung neuer Informationen, also neuer Daten aus der Zusammenführung und Analyse der vielfältigen Datenquellen. Im Bereich der Finanzwirtschaft eröffnen die neuen Technologien so nicht nur die Möglichkeit, Kundenbedürfnisse besser zu erfassen, sondern auch die Risikomodelle erheblich zu verfeinern, sei es im Hinblick auf das Risiko der einzelnen Kundenbeziehung oder auch des Institutes insgesamt.
Aus juristischer Sicht sind vor allen Dingen zwei der vorstehend erwähnten Elemente hervorzuheben:
- Sammeln und Zusammenführung von Daten aus einer Vielzahl von Datenquellen und
- daraus Gewinnung von Erkenntnissen, also neuer Daten.
Big Data vereinfacht die Datenverarbeitung
Wirklich neu dürfte in der Finanzdienstleistungsindustrie vor allen Dingen die Zusammenführung der Daten aus verschiedensten Erkenntnisquellen im Bereich der Kundenbeziehungen sein. Neben dem typischen, nicht branchenspezifischen Nutzen dieser Daten zu Werbezwecken und allgemeinen Produktverbesserungen lässt sich dadurch das Geschäftsgebaren des Kunden gleich ob Privat- oder Geschäftskunde, gerade mittels statistischer Methoden besser vorhersagen, was im Finanzdienstleistungssektor für die Risikobewertung einzelner Kunden besonders relevant ist. Dasselbe gilt für die Ermittlung von Ausfallwahrscheinlichkeiten oder ungewöhnlichen Geschäftsvorfällen.
Weniger neu ist dagegen die Auswertung der verschiedensten Datenquellen im Bereich der Risikobewertung des Instituts insgesamt und der volks- und betriebswirtschaftlichen Analysen. Insoweit vereinfachen die neuen Technologien in erster Linie die Datenverarbeitung. Auch rechtlich (und hier vor allem datenschutzrechtlich) ist die Nutzung von Big Data dieser Kategorie weniger problematisch als in den im vorherigen Absatz geschilderten Fällen, weshalb im Folgenden der Schwerpunkt auf diesen Fällen liegt.
Kernfrage Nutzungsrechte
Für den Nutzer von Big Data stellt sich vor allen Dingen eine zentrale Frage: Darf ich die betreffenden Daten nutzen? Diese Frage hat zwei Dimensionen:
- Zum einen betrifft sie das Verhältnis zu demjenigen, der die Daten generiert hat und für den sie einen wirtschaftlichen Wert darstellen.
- Zum anderen betrifft sie das Verhältnis zu der Person oder dem Unternehmen, über die oder das die Daten Auskunft geben.
Verhältnis zum Inhaber der Ursprungsdaten
Solange der Nutzer von Big Data nur auf Daten zugreift, die er selbst oder andere Unternehmen aus seiner Unternehmensgruppe erzeugt haben, gibt es, abgesehen davon, dass gegebenenfalls gruppeninterne Vereinbarungen abzuschließen sind, keine Restriktionen. Wenn die Daten jedoch ein Dritter generiert hat, benötigt der Nutzer regelmäßig eine Erlaubnis oder eine andere Rechtfertigung für die Nutzung, insbesondere wenn die Daten zugunsten des Dritten geschützt sind.
Schranken durch das Urhebergesetz
Sofern die Daten aus Audio-, Video- oder Bilddateien oder auch zusammenhängenden Texten bestehen, besteht in den allermeisten Fällen Schutz zugunsten des Dritten nach dem Urheberrecht. Das Urheberrecht weist dem Urheber oder, bei Übertragung der Rechte, dem Rechteinhaber das Recht zu, jedem Dritten die urheberrechtlich relevante Nutzung (dazu gehört insbesondere Speichern und Kopieren) des urheberrechtsfähigen Werkes ohne seine Zustimmung zu verbieten, soweit nicht sogenannte urheberrechtliche Schrankenbestimmungen die Nutzung erlauben.
Derartige Schranken können im Bereich von Big Data durchaus relevant werden, aber nicht zu kommerziellen Zwecken, sondern beispielsweise für nicht kommerzielle Forschung. Der Nutzer von Big Data im Finanzdienstleistungssektor muss daher davon ausgehen, dass er die Zustimmung des oder der Dritten benötigt, wenn er solche Werkarten (Audio, Video, Bilder, zusammenhängende Texte) kopiert oder speichert. Das gilt übrigens prinzipiell auch bei öffentlich zugänglichen Daten.
Die Zustimmung kann sich bei solchen Daten aus den Nutzungsbedingungen ergeben, mit denen der Urheber oder Rechtsinhaber die Nutzung der von ihm zur Verfügung gestellten Daten verknüpft hat. Wenn die Nutzungsbedingungen die beabsichtigte Nutzung nicht gestatten, kann der Nutzer auch öffentlich zugängliche Daten nicht ohne Weiteres in seine Big- Data-Verarbeitung integrieren.
Auch Sammlung von Daten oder Datenbanken, in denen einzelne Daten nach bestimmten Kriterien strukturiert zusammengefasst sind, sind nach dem Urhebergesetz gegen systematisches Kopieren geschützt. Auch dort ist also eine Zustimmung erforderlich.
Einzelne Informationen/Daten - und damit ein großer Teil von Big Data, im Bereich der Finanzdienstleistungsindustrie der größte Teil - sind dagegen nicht durch das Urheberrecht geschützt. Der Inhaber der Daten kann ferner die Nutzung der Daten in diesen Fällen nicht aus seiner Stellung als "Eigentümer" der Daten verbieten. An einzelnen Informationen/Daten bestehen nach herrschender Meinung keine Eigentumsrechte. Daher ist hier eine Nutzung ohne Zustimmung möglich, wenn die Daten öffentlich frei verfügbar sind, beispielsweise ungeschützt ins Internet gestellt werden.
Der größte Teil der Daten in der Finanzindustrie ist nicht geschützt
Das bedeutet jedoch nicht, dass alle Einzeldaten grundsätzlich ohne Zustimmung des Inhabers der Daten genutzt werden können. Denn Eigentums- und Besitzrechte können an dem Medium bestehen, auf dem die Informationen verkörpert sind. Sofern die Einzeldaten auf Systemen gespeichert sind, wie beispielsweise einem Smartphone, einem Computersystem oder in der Blackbox eines Fahrzeuges, bedarf der Zugriff auf das System der Zustimmung des Eigentümers und des Besitzers des Systems.
Im Ergebnis können damit im Finanzdienstleistungssektor Big Data ohne Zustimmung des Inhabers der Daten genutzt werden, wenn diese weder nach dem Urhebergesetz geschützt sind noch sich auf Trägern im Eigentum oder Besitz des Inhabers befinden, zu denen dieser den Zugriff nicht ausdrücklich erlaubt hat.
Für die aus den Ursprungsdaten gewonnenen Erkenntnisse, also für die neu erschaffenen Daten gelten die obigen Einschränkungen nicht. Auch infiziert eine etwaige urheber- oder eigentumswidrige Nutzung der Ursprungsdaten die daraus gewonnen Erkenntnisse nicht im Sinne des Urheber- oder Eigentumsrechts. Jedoch kann dies im Verhältnis zum Datensubjekt anders sein, vor allem aus datenschutzrechtlicher Sicht.
Verhältnis zum Datensubjekt: Wenig Probleme bei juristischen Personen
Auf das Verhältnis zum Datensubjekt kommt es an, wenn das Datum entweder über ein Unternehmen oder eine Person Auskunft gibt. Anonyme Daten kann der Nutzer dagegen völlig frei auswerten; problematisch ist insoweit allenfalls die Feststellung, ob das Datum tatsächlich keinen Rückschluss auf ein Unternehmen oder eine Person zulässt, also wirklich anonym im Rechtssinne ist.
Sind die Daten dagegen nicht anonym, gibt es Beschränkungen. Es stellen sich insbesondere datenschutzrechtliche Fragen. Der Datenschutz wird allgemein als das größte rechtliche Problem von Big Data angesehen.
Sofern eine juristische Person Gegenstand der Daten ist, bestehen für die Nutzung der Daten im Zusammenhang mit Big Data nur wenige gesetzliche Beschränkungen nach deutschem Recht. Grenzen ergeben sich insoweit nur aus den allgemeinen Gesetzen. So dürfen die Daten nicht genutzt werden, um das betroffene Unternehmen zu diskreditieren oder in seiner Teilnahme am Wettbewerb unlauter zu behindern.
Daneben können sich Beschränkungen aus dem Vertrag ergeben. Bei Kundendaten ist das Bankgeheimnis zu beachten, das vielfach de facto dazu führt, dass vertraglich ähnlich strenge Maßstäbe anzuwenden sind, wie sie bei natürlichen Personen gesetzlich nach dem Datenschutzrecht gelten. Das Anlegen vergleichbarer Maßstäbe für die Nutzung von Kundendaten im Rahmen von Big Data macht zudem regelmäßig auch deshalb Sinn, da eine Trennung in der Praxis vielfach nicht möglich sein dürfte.
Datenschutz für natürliche Personen
Sofern natürliche Personen (dazu zählen Privatpersonen und Einzelhandelskaufleute) Gegenstand der Daten sind, sind die datenschutzrechtlichen Regelungen zu beachten. Das deutsche Datenschutzrecht geht von dem strengen Grundkonzept aus, dass die Erhebung und Verwertung von personenbezogenen Daten verboten ist, soweit sie nicht im Einzelfall konkret erlaubt sind, entweder durch Einwilligung oder einen gesetzlichen Ausnahmetatbestand. Dieses sogenannte Verbot mit Erlaubnisvorbehalt führt bei neuen Technologien und Geschäftsmodellen regelmäßig zu Problemen, da die betroffene neue Nutzung vom Gesetzgeber naturgemäß bei den Erlaubnistatbeständen nicht bedacht wurde. So auch bei Big Data.
Teilweise wird gesagt, dass eine datenschutzkonforme Nutzung von Big Data gar nicht möglich ist.3) Dies geht aber zu weit. Notwendig ist vielmehr - wie stets im Recht - eine moderne Gesetzesauslegung, die technische und gesellschaftliche Entwicklungen einbezieht. Zunächst ist festzulegen, welche Daten durch das Datenschutzrecht geschützt sind. Dies sind nur personenbezogene Daten. Personenbezogene Daten sind alle Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, wie zum Beispiel Name, Adresse, E-Mail-Adresse, Familienstand, Beruf, Ausweisnummer, Versicherungsnummer, Telefonnummer.
Keine Verarbeitung personenbezogener Daten
Insoweit ist insbesondere zu beachten, dass die bloße Bestimmbarkeit der natürlichen Person ausreicht und dass die deutschen Datenschutzbehörden hier einen sehr weiten Ansatz verfolgen. Nach ihnen genügt es sogar, wenn der Personenbezug nur mithilfe von Dritten hergestellt werden kann. Klassisches Beispiel ist die IP-Adresse, bei der die IP-Adresse speichernde Webseiten-Betreiber einen Personenbezug nur mithilfe des die Adresse vergebenden Internetproviders herstellen kann.
Die Ansicht der Datenschutzbehörden ist umstritten. Die Frage, ob Kenntnisse Dritter relevant sind, wurde vor Kurzem vom Bundesgerichtshof dem europäischen Gerichtshof zur Entscheidung vorgelegt.4) Die gesetzlichen Erlaubnisse rechtfertigen die Verarbeitung personenbezogener Daten im Rahmen von Big Data mit Ausnahme allgemein zugänglicher Daten (zu denen Kundendaten im Finanzdienstleistungsbereich im Zweifel nicht gehören) in den meisten Fällen nicht.
Die Erlaubnis, personenbezogene Daten zum Zwecke der Vertragserfüllung zu verarbeiten, ist in aller Regel nicht einschlägig. Ein Vertrag, zu dessen Erfüllung die Nutzung von Big Data erforderlich ist, ist kaum vorstellbar.
In Betracht kommt deshalb bei nicht öffentlich zugänglichen Daten im Normalfall allenfalls eine Rechtfertigung der Datennutzung aufgrund der berechtigten Interessen des Nutzers (§ 28 Abs. 1 Nr. 2 BDSG). Nach dieser Vorschrift ist im Wege der Interessenabwägung festzustellen, ob der beabsichtigten Nutzung der Daten überwiegende Interessen des Datensubjekts entgegenstehen. Basierend auf dem Grundsatz, dass ein Datensubjekt grundsätzlich selbst über die Verwendung seiner Daten bestimmt, gilt ein relativ strenger Maßstab. Wer hier auf Nummer sicher gehen will, der lässt sich daher - jedenfalls im Bereich kommerzieller Nutzung - entweder eine Einwilligung geben oder anonymisiert die Daten.
Lediglich bei allgemein verfügbaren Daten herrscht ein großer Grad an Freiheit. Denn diese Daten dürfen nur dann nicht genutzt werden, wenn ein schutzwürdiges Interesse des Datensubjekts die Interessen des Nutzers offensichtlich überwiegt (§ 28 Abs. 1 Nr. 3 BDSG). Der Nutzer sollte die Frage, ob Daten allgemein zugänglich sind, allerdings nicht vorschnell beantworten. So sind Daten aus sozialen Netzwerken nur dann allgemein zugänglich, wenn sie für jedermann einsehbar sind, eine Anmeldung also nicht erforderlich ist.
Nutzung kundenspezifischer Erkenntnisse nur mit Einwilligung
Eine Einwilligung erfordert eine freiwillige, informierte und bewusste Erklärung des Datensubjekts. Im Bereich der Onlinemedien reicht ein Opt-in; ansonsten ist eine schriftliche Erklärung erforderlich. Die Erklärung ist informiert, wenn das Datensubjekt zuvor über die Art der erhobenen Daten, die möglichen Empfänger und die Zwecke der Datenverarbeitung in allgemein verständlicher Form aufgeklärt wurde.
Wurden die Ursprungsdaten datenschutzwidrig gesammelt, erstreckt sich die Rechtswidrigkeit auch auf die Erkenntnisse, es sei denn, diese sind komplett anonym.
Im Bereich der kundenspezifischen Erkenntnisse, wie beispielsweise Risikoeinschätzung oder Verhaltensprognose, liegt aber keine Anonymität vor. Die rechtmäßige Nutzung solcher Erkenntnisse, etwa bei Kreditvergaben, sollte daher auf Basis einer Einwilligung erfordern. Die bestehenden Vertragsbedingungen der Finanzdienstleister sind auf Big-Data-Nutzungen (noch) nicht oder allenfalls begrenzt angelegt. Big Data ist daher auch als eine Herausforderung an die Überarbeitung der Banken-AGB zu sehen.
Keine grundlegenden Änderungen durch Datenschutz-Grundverordnung
Ändert sich die Rechtslage mit der geplanten Datenschutz-Grundverordnung der EU?
Während feststeht, dass die EU das Datenschutzrecht modernisieren will, steht noch nicht mit Sicherheit fest, wann und in welcher Form dies geschehen wird. Der Entwurf einer Datenschutz-Grundverordnung der EU-Kommission von Anfang 2012 war Gegenstand vielfältiger Beratungen und ist in einer durch den Innen- und Justizausschuss des EU-Parlaments stark modifizierten Form5) Anfang 2014 vom EU-Parlament beschlossen worden. Seitdem findet eine dreiseitige Abstimmung zwischen der EU-Kommission, dem EU-Parlament und den Mitgliedsstaaten statt.
Die für die Nutzung von Big Data relevanten Änderungen finden sich insbesondere im Bereich der Fragestellung, wann überhaupt personenbezogene Daten vorliegen und wie gegebenenfalls eine Zweckänderung möglich ist. Nach den derzeitigen Entwürfen und Diskussionen sind aber keine grundlegenden Veränderungen zu erwarten, insbesondere keine Erleichterungen. Es scheint, als würde die Chance vertan, einen klareren Rechtsrahmen für Big Data zu schaffen.
Big Data nicht vorschnell gänzlich ablehnen
Das Thema der Nutzung von Big Data ist zwar nicht mehr ganz neu, steckt aber dennoch sowohl bei den meisten Unternehmen als auch bei der rechtlichen, insbesondere der datenschutzrechtlichen Bewertung noch in den Kinderschuhen.
Die Finanzdienstleistungsbranche sollte jedoch daraus keine extremen Konsequenzen ziehen, also weder aus rechtlichen Bedenken Big Data in allen Fällen oder auch nur im Bereich personenbezogener Daten grundsätzlich ablehnen noch die rechtlichen Probleme ignorieren. Vielmehr sollte man den Möglichkeiten von Big Data offen gegenüberstehen, aber jedes Unternehmen muss individuell für jede Big-Data-Nutzung, die es plant, auch die rechtliche Themen im Auge haben, und zwar rechtzeitig, bevor (kostspielige) Weichen gestellt werden.
Fußnoten
1) IBM in Zusammenarbeit mit der Saïd Business School an der Universität Oxford: Analytics: Big Data in der Praxis, http:// www-935.ibm.com/services/de/gbs/thoughtleadership/ GBE03519-DEDE-00.pdf, zuletzt abgerufen am 2. Februar 2015.
2) Deutscher Bundestag, Wissenschaftliche Dienste: Aktueller Begriff, Big Data, http://www.bundestag.de/blob/194790/ c44371b1c740987a7f6fa74c06f518c8/big_data-data.pdf, zuletzt abgerufen am 2. Februar 2015.
3) Z.B. Roßnagel, ZD 2013, 562, 564 "Konzept von Big Data [steht] den Datenschutzprinzipien diametral gegenüber".
4) BGH, Beschluss vom 28.10.2014, Az.: VI ZR 135/13.
5) Europäisches Parlament, Plenarsitzungsdokument A7-0402/2013, Entwurf einer legislativen Entschließung des Europäischen Parlaments, http://www.europarl.europa.eu/ sides/getDoc.do?pubRef=-//EP//NONSGML+REPORT+A7-2013-0402+0+DOC+PDF+V0//DE, zuletzt abgerufen am 2. Februar 2015.
Dr. Fabian Niemann und Jörg-Alexander Paul, Rechtsanwälte und Partner, Bird & Bird LLP, Frankfurt am Main