Daten herausgeben darf. Hierbei wird man sich der Faustformel bedienen können: Je schwerwiegender die Gefahr oder die zu verfolgende Strafe, desto geringer das Interesse des Betroffenen an einem Ausschluss der Verarbeitung.
(2) Zivilrechtliche Ansprüche (§ 24 Abs. 1 Nr. 2 BDSG)
278
Nach Abs. 1 Nr. 2 können Daten zweckändernd zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche verarbeitet werden, sofern dies für die Zweckerreichung erforderlich ist. Sofern man nicht der Ansicht ist, dass die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche bereits vom ursprünglichen Verarbeitungszweck erfasst ist, weil dies als notwendiges Annex zur Datenverarbeitung anzusehen ist (zum Beispiel im Rahmen eines Vertragsschlusses, bei dem die Parteien in Streit geraten sind), ist der vorliegende Erlaubnistatbestand eine notwendige Vorschrift, um Datenverarbeitungen im Nachgang zu zweckgebundenen Verarbeitungsvorgängen für die Geltendmachung zivilrechtlicher Ansprüche zu rechtfertigen.
cc) Norminhalt des § 24 Abs. 2 BDSG
279
Hierzu kann auf die Kommentierung zu § 23 Abs. 2 BDSG n.F. verwiesen werden.[542]
e) § 49 BDSG n.F.
280
§ 49 BDSG regelt eine „Verarbeitung zu anderen Zwecken“ und bestimmt, dass es sich bei dem anderen Zweck um einen solchen des § 45 BDSG handeln muss (Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten sowie gegebenenfalls Vollstreckung von Strafen, Maßnahmen, Erziehungsmaßregeln oder Zuchtmitteln und von Geldbußen). Auch ein anderer Zweck kommt in Betracht, sofern dies in einer Rechtsvorschrift explizit vorgesehen ist (§ 49 S. 2 BDSG). Zur zweckfremden Verarbeitung muss der Verantwortliche befugt sein, Daten zu diesem Zweck zu verarbeiten, und die Verarbeitung zu diesem Zweck erforderlich und verhältnismäßig sein. § 49 BDSG befindet sich in Teil 3, den „Bestimmungen für Verarbeitungen zu Zwecken gem. Art. 1 Abs. 1 RL (EU) 2016/680“[543] und ist daher nur im Rahmen der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen Zusammenarbeit anwendbar.
a) Definition von „Big Data“
281
Es gibt keine trennscharfe Definition des Begriffs „Big Data“.[544] Nach einer weitgehend anerkannten Begriffsbestimmung bezeichnet Big Data die Analyse großer Datenmengen aus vielfältigen Quellen in hoher Geschwindigkeit mit dem Ziel, wirtschaftlichen Nutzen zu erzeugen.[545] Demnach liegen stets vier Merkmale vor: Eine gigantische Datenmenge aus unterschiedlichsten Quellen, die in enormer Geschwindigkeit einer zuverlässigen Auswertung zugeführt werden.[546]
b) Praktischer Bedarf nach Big Data-Anwendungen
282
Praktisch zeigt sich ein immenses Bedürfnis, Big Data-Verfahren anzuwenden. Dies liegt nicht nur daran, dass verschiedenste Anwendungsfelder den Einsatz von Big Data nicht nur erlauben, sondern künftig überaus empfehlenswert machen.[547]Big Data-Analysen ermöglichen es, auf fundamentaler Ebene weitreichende und äußerst nützliche Informationen zu generieren, bspw. zur proaktiven Problemerkennung (z.B. Krankheiten,[548] genetische Prädispositionen, Falldatenbanken[549]), für Prognosen (z.B. Wetter,[550] Konjunktur oder Katastrophenwarnsysteme[551]), zur Auswertung und Optimierung (Informationsangebote, Entscheidungsfindung, intelligente Verkehrssysteme oder Stromnetze[552] aber auch Smart bzw. Connected Cars[553]) sowie in Bezug auf demographische Aspekte (z.B. zur Entwicklung neuer Geschäftsmodelle, der Schaffung neuer Arbeitsplätze und generell wirtschaftlichen Wachstums[554]). Die Menschheit hatte bis zum Jahr 2013 etwa 2,8 Zettabyte (eine Billion Gigabyte) an digitalen Daten hervorgebracht, jährlich wird von einer Steigerungsrate von 50 % ausgegangen.[555] Es besteht daher eine Vielzahl von Anwendungsfeldern mit erheblichem Potential für die gesellschaftliche wie auch unternehmerische Wertschöpfung.
283
Dabei zeigt sich, dass bestimmte Zielsetzungen von besonderer Bedeutung sind: Unternehmen nutzen Big Data vor allem dazu, um kundenspezifische Informationen zu gewinnen und interne Daten zielgerichteter auszuwerten.[556] Dabei werden zahlreiche Einzeldaten kombiniert, um Rückschlüsse über Einzelpersonen und ein entsprechendes „Profiling“ zu ermöglichen, wobei Daten zumeist aus verschiedenen Quellen verknüpft werden.[557] Als Beispiel lässt sich etwa im Rahmen der Werbung die Möglichkeit nennen, dass etwa in einem Einkaufszentrum Standortdaten potenzieller Käufer verarbeitet werden, um ihnen anhand dessen individuelle Angebote zu unterbreiten.[558] Diese Prozesse beschränken sich mittlerweile nicht mehr auf einen einzigen datenschutzrechtlich „Verantwortlichen“. Vielmehr wird auch und gerade im Bereich von Big Data-Analysen die Hilfe von Dienstleistern in Anspruch genommen und das Interesse an Datensätzen von Dritten zur eigenen Verwendung wächst. Ein Anwendungsfeld von Big Data in diesem Sinne liegt insbesondere in der Nutzung von digitalen Plattformen, etwa wenn mehrere Versicherer Versicherungsdaten ihrer Kunden in einer Plattform zusammenführen, um so etwa Haftungsrisiken zu analysieren oder ihre eigenen Dienstleistungen und ihr Angebot zu optimieren.
c) „Big Data“ und die DS-GVO
284
So einig man sich letztlich über die Begriffsbestimmung und das Bedürfnis nach praktischer Anwendung ist, so weitreichend und unterschiedlich sind die datenschutzrechtlichen Herausforderungen, die mit Big Data-Verfahren einhergehen.[559] Das Datenschutzrecht wird in der Wirtschaft noch immer als Einsatzhemmnis für Big Data Projekte gesehen.[560] Im November 2015 hat der EDSB Giovanni Buttarelli die Stellungnahme „Meeting the challenges of big data – A call for transparency, user control, data protection by design and accountability“ veröffentlicht.[561] Es lässt sich aber nicht entnehmen, dass insoweit noch Restriktionen Eingang in die DS-GVO gefunden hätten.[562] Im Gegenteil: „Big Data“ kommt in der DS-GVO schlicht nicht vor.
285
Das ist umso bedauerlicher, als schon zu Beginn der juristischen Auseinandersetzung mit dem Thema die Überlegung entstand, dass das generelle Konzept von Big Data den allgemeinen Datenschutzprinzipien diametral gegenüber steht.[563] Einige Prinzipien, die eine überbordende Datensammlung und -auswertung verhindern könnten, sind zwar in der DS-GVO angelegt, aber nicht so ausgestattet, dass dadurch die wirklichen Gefahren der Transparenz des Einzelnen und dessen heimlicher Ausspähung gebannt wären, wie sie sich über Big Data Anwendungen ergeben können.[564] Vereinzelt wird dementsprechend geschlussfolgert, dass Dank Big Data die Grenzen des hergebrachten Datenschutzrechts erreicht seien.[565]
286
Die Vielgestaltigkeit der datenschutzrechtlichen Herausforderungen liegt u.a. darin begründet, dass ein Big Data-Projekt in verschiedene Phasen aufgeteilt werden kann und sich in allen diesen Phasen verschiedenste datenschutzrechtliche Fragen stellen, bspw. nach dem Personenbezug,[566] dem Vorliegen und der Wirksamkeit einer Einwilligung,[567] der Zweckbindung oder gar nach der Anwendbarkeit unterschiedlicher Regelungsbereiche wie Inhalte-, Server- oder Leistungsebene.[568] Schon anhand der konstituierenden Merkmale von Big Data „Datenmenge“, „Quellen“ und
