Das Recht und die Rechts­si­cher­heit spie­len ei­ne zen­tra­le Rol­le beim The­ma Big Da­ta. Hier sind zahl­rei­che Fra­gen noch un­ge­klärt. Der Ge­setz­ge­ber soll­te nicht ver­su­chen, sie al­le von vorn­her­ein zu re­geln, son­dern sich mit sei­nen Ein­grif­fen auf das be­schrän­ken, was not­wen­dig ist, um ei­ner­seits Rechts­si­cher­heit zu schaf­fen, an­de­rer­seits aber Raum für die tech­no­lo­gi­sche Ent­wick­lung und für ver­trag­li­che Aus­ge­stal­tun­gen zu las­sen.

Der Zu­kunfts­rat emp­fiehlt

Da­ten­schutz maß­voll mo­der­ni­sie­ren
Im Be­reich des Da­ten­schut­zes müs­sen in ers­ter Li­nie die An­o­ny­mi­sie­rung und Pseud­ony­mi­sie­rung er­leich­tert wer­den, al­so die Auf­he­bung oder Lo­cke­rung des Per­so­nen­be­zugs der Da­ten. Im Üb­ri­gen ist im Da­ten­schutz­recht vor al­lem ge­nau zu be­ob­ach­ten, in­wie­weit das gel­ten­de Recht ge­eig­net ist, mit den neu­en Sach­ver­hal­ten um­zu­ge­hen und wo von den han­deln­den Per­so­nen über­haupt wel­ches Schutz­ni­veau ge­wollt ist. Oft­mals wird sich ei­ne Lö­sung auf prag­ma­ti­schem Weg fin­den las­sen, zum Bei­spiel bei der Ein­wil­li­gung in künf­ti­ge Big-Da­ta-An­wen­dun­gen, oder über ei­ne an­ge­mes­se­ne Be­weis­last­ver­tei­lung, wenn es um die mög­li­cher­wei­se dis­kri­mi­nie­ren­de Wir­kung ei­nes Big-Da­ta-Ver­fah­rens geht.

Ei­ne mög­lichst weit­ge­hen­de Har­mo­ni­sie­rung des Da­ten­schutz­rechts ist ge­ra­de we­gen des grenz­über­schrei­ten­den Cha­rak­ters von Big Da­ta wün­schens­wert, darf aber nicht zu ei­ner un­an­ge­mes­se­nen Ab­sen­kung des Schut­zes von Per­sön­lich­keits­rech­ten und Pri­vat­sphä­re füh­ren.

Da­ten­ver­wer­tung vor­ran­gig ver­trag­lich ge­stal­ten
Im Hin­blick auf die Aus­ge­stal­tung der wirt­schaft­li­chen Nut­zung von Da­ten liegt die Lö­sung vor­ran­gig in ver­trag­li­chen Ge­stal­tun­gen. Ein neu­es „Da­ten­ei­gen­tum“, ana­log zum Ei­gen­tum an Sa­chen, muss der Ge­setz­ge­ber da­für nicht schaf­fen. Ge­klärt wer­den müs­sen da­ge­gen Fra­gen des geis­ti­gen Ei­gen­tums, zum Bei­spiel bei der Ab­gren­zung von mensch­li­chen und ma­schi­nel­len „Schöp­fun­gen“ oder beim Schutz von Da­ten­ban­ken.

Da­ten­si­cher­heit in den Mit­tel­punkt stel­len
Im Be­reich der Da­ten­si­cher­heit muss der Ge­setz­ge­ber han­deln, al­ler­dings im en­gen Zu­sam­men­spiel mit Wirt­schaft und Wis­sen­schaft, um rasch pra­xis­ge­rech­te Lö­sun­gen zu er­rei­chen. Ge­klärt wer­den muss, wel­ches (IT-)Si­cher­heits­ni­veau vor­ge­ge­ben wer­den soll, um ei­ner­seits Ri­si­ken an­ge­mes­sen zu be­gren­zen, an­de­rer­seits aber In­no­va­tio­nen nicht im Keim zu er­sti­cken. Eng da­mit zu­sam­men hän­gen der Haf­tungs­maß­stab, an dem sich dann das Un­ter­neh­men ori­en­tie­ren muss, und die Fol­gen mög­li­cher Pflicht­ver­stö­ße. Nicht in ers­ter Li­nie der Ge­setz­ge­ber, son­dern die Pra­xis ist ge­for­dert, wenn es um die Er­ar­bei­tung von Si­cher­heits­stan­dards für Big Da­ta geht. Leit­ge­dan­ke soll­te da­bei im­mer Se­cu­ri­ty by de­sign sein, al­so ei­ne Be­rück­sich­ti­gung der Si­cher­heits­fra­gen be­reits wäh­rend in der Ent­wick­lungs­pha­se.

Für ein leis­tungs­star­kes Si­cher­heits­kon­zept sind po­si­ti­ve An­rei­ze zu set­zen. Ein IT-Si­cher­heits­sie­gel mit frei­wil­li­ger Zer­ti­fi­zie­rung kann hier der rich­ti­ge Weg sein.