Literaturhinweise

Maria Cristina Caldarola, Joachim Schrey

Big Data und Recht

Maria Cristina Caldarola, Joachim Schrey, Big Data und RechtEinführung in die Praxis, Verlag C.H. Beck, München 2019, 65,00 €.

Im vergangenen Jahr 2018 haben sich Berater rund um die DS-GVO und auch Teile der Literatur nicht wirklich einen guten Ruf bei den Praktikern erworben. Damit könne man ja nun wirklich im richtigen Leben nichts anfangen, so die häufige Kritik. Da werde nur das Gesetz wiedergekäut, das könne man selbst nachlesen. Zur Ehrenrettung jedenfalls eines Teils der Betroffenen muss man sagen, dass klare Ansagen, die stets und immer passen, nun einmal ausgesprochen schwierig sind, wenn es um eine Interessenabwägung im Einzelfall geht.

Der gute Vorsatz für das Jahr 2019 ist also: Mehr für den Praktiker bitte! Mit dem vorgestellten Band wird der gute Vorsatz dann auch schon einmal im ersten Schritt in die Tat umgesetzt. Der Titel ist ein wenig übertrieben, wenn "Big Data" darin erscheint. Weniger Data tut es auch, es geht im Kern darum, wie datengetriebene Geschäftsmodelle zu behandeln sind - und wenn das nicht nur in einer Firma passiert, sondern Schwestern und Mütter im Konzern beteiligt sind. Das ist nicht zwangsläufig eine Sicht auf die ganz Großen, denn auch Mittelständler schmücken sich nicht selten mit der Bezeichnung "Gruppe", wenn sie mehr als zwei GmbHs zur Verfolgung ihrer geschäftlichen Ziele einsetzen.

Wäre das hier ein Unboxing-Video, würde das Handy die Seiten VII bis XII mit einer fein ziselierten Gliederung zeigen - schon wieder so was Trockenes. Dann würden wir auf Seite XV schwenken, auf die Legende. Dort werden schöne Icons in schwarz-weiß gezeigt, nur der Betroffene - also derjenige, dessen personenbezogene Daten in Rede stehen - hat eine rote Schmuckfarbe, nämlich ein Krönchen über dem Haupt. Das Icon für gesetzliche Grundlagen ist natürlich ein Paragraphenzeichen im Kreis. Warum für den "jeweiligen Verarbeitungszweck" Hammer und Schlegel genommen wurden, erschließt sich dem bergbaugeprägten Leser nur bedingt. Wie "hübsch", käme es auf dem Off unseres Videos.

So putzig die Icons sind, so hilfreich sind sie im Zusammenhang mit der tiefgehenden Gliederung. Sie tauchen in 74 Abbildungen auf. Und siehe da, das ist mit den Pfeilen und Erläuterungen im Zusammenhang mit dem Text und jeweils hervorgehobenen "Leitsätzen" sehr sinnvoll.

Inhaltlich geht es darum, welche Daten überhaupt betroffen sind - personenbezogene, reine Maschinendaten, aber Vorsicht bei der Vermischung - und darum, welche Prüfschritte bei entsprechenden "Anwendungen" (also: Geschäftsideen) zu beachten sind. Schon bei der Beschreibung der verschiedenen Arten von Daten verlässt die Darstellung die ausgetretenen Pfade und ist plötzlich bei Datenbanken und Sammelwerken und damit im Urheberrecht. Auch der Schutz als Geschäfts- oder Betriebsgeheimnisse des § 17 UWG wird angesprochen - alles außerhalb des Personenbezugs, für Geschäftsmodelle mit Daten aber wichtig. Da geht es um das Hausrecht in Bezug auf das Sammeln von Sachdaten, ein auch für die Medienbranche immens wichtiger Gedanke - wer darf über Cookies oder über die Firmware von Endgeräten die Nutzungsdaten eines Senders ausspähen, die ich noch nicht einmal selbst habe? Das "virtuelle Hausrecht" für Online-Sachverhalte wird angesprochen, so wie der Frage nachgegangen, ob an Daten ein Eigentum begründet werden kann, wie an Sachen (Antwort: Nein).

Wer ist eine verantwortliche Stelle? Welche Anforderungen stellen sich an den Datenschutzbeauftragten? Das sind sozusagen die üblichen Fragen der DS-GVO. Dann wieder eine ganz leichte Akzentverschiebung gegenüber dem üblichen Wording aus 2018: Es geht um "Legitimationsgrundlagen" für die Verarbeitung von Daten (Erhebung, Bezug, Übermittlung, Auswertung und Kommerzialisierung). Die Einwilligung kommt in diesem Kapitel erst an vierter Stelle, davor geht es um die Legitimation im Rahmen von Vertragserfüllungen, durch Interessenabwägungen und Betriebsvereinbarung - auch interessant, wenn man Produktionsprozesse optimieren will und im Rahmen des Betriebsverfassungsgesetzes dafür Daten auswerten will. Bei den Legitimationsgrundlagen geht es am Ende dann aber jenseits der DS-GVO und ihren personenbezogenen Daten darum, unter welchen Voraussetzungen man Sachdaten fürs eigene Geschäft verwenden darf. Wann darf man Datensammlungen und Datenbanken anzapfen? Was ist mit Open Data-Projekten? Und was mit öffentlich-zugänglichen Quellen?

An verschiedenen Stellen geht es um den "Datenzyklus": Wann dürfen welche Daten zu welchem Zweck genutzt werden? Wann kann der Zwecke geändert werden? Und wann - wenn der Zweck erledigt ist und sonst nichts entgegensteht - schlägt die Pflicht zum Löschen von Daten zu? Das leitet über zu den besonders relevanten Betroffenenrechten und zur Datenschutzfolgeabschätzung und Dokumentation.

Der Ansatz des Buchs erweitert den Blick, so dass die DS-GVO nur ein Teil des Regulierungsrahmens ist, der bei datengetriebenen Geschäftsmodellen zu beachten ist. Da geht es Lizenzverträge nach dem UrhG, wenn Inhaber von Datenbanken gefragt werden müssen. Da geht es um den Eigentümer oder Betreiber eines Gerätes mit Maschinen- und Sachdaten, die man für das Geschäftsmodell benötigt - ein Nutzungsvertrag nach dem BGB ist erforderlich. Und es geht eben um die Ermächtigungsgrundlage nach der DS-GVO gegenüber dem Betroffenen. Bei, Zusammenspiel der einzelnen Bereiche kommen dann wieder die schönen Icons in Spiel, mit denen das wirklich eingängig erklärt wird.