Betroffenenschutz durch Verfahren bei Big Data und KI E-Book

ISBN: 978-3-8005-1962-0

© 2025 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Mainzer Landstr. 251, 60326 Frankfurt am Main, [email protected] www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: Beltz Grafische Betriebe GmbH, 99947 Bad Langensalza

Vorwort

Die vorliegende Monographie wurde im Sommersemester 2024 von der Juristischen Fakultät der Universität Passau als Dissertation angenommen. Literatur und Rechtsprechung wurden bis Juni 2024 berücksichtigt.

Zunächst möchte ich mich bei Prof. Dr. Kai von Lewinski bedanken, der mir die Anregung zum Thema meiner Dissertation und wichtige Hinweise bei ihrer Erstellung gab. Wichtige Anregungen habe ich auch aus seinen jährlich stattfindenden Doktorandenseminaren gewonnen. Herrn Prof. Dr. Brian Valerius danke ich für die Erstellung des Zweitgutachtens.

Ein besonderer Dank gilt meinem Sohn Philipp, ohne dessen Mithilfe bei der Beschaffung von Literatur die Dissertation am Ende nicht hätte so schnell fertiggestellt werden können. Zudem hat er insbesondere zur Organisation wichtige Hinweise gegeben. Manchmal hat er durch kleine Bemerkungen seinem verzweifelten Vater unbeabsichtigt wieder Mut gegeben. Der größte Dank gehört meiner Frau für das Korrekturlesen des Manuskripts und ihre große Geduld mit mir, besonders aber dafür, dass sie mich bedingungslos unterstützt hat.

Der Autor

MinR a.D. Dr. Bertram Raum ist Rechtsanwalt. Er berät internationale und nationale Unternehmen sowie Forschungsgremien in rechtlichen Fragen des Datenschutzrechts. Er ist zudem auf die Bereiche des Sozialdatenschutzes und des Datenschutzrechts im Gesundheitswesen spezialisiert.

Inhaltsverzeichnis

Vorwort

Abkürzungsverzeichnis

A. Einleitung

B. Begriffsbestimmungen und das Phänomen »Big Data«

I. Was ist ein »Verfahren«?

II. »Big Data« ein schillernder Begriff – eine Annäherung

1. Begriffsbestimmung nach Gartner

a) Teilaspekt »Volume«

b) Teilaspekt »Variety«

c) Teilaspekt »Velocity«

d) Ergänzungen der Begriffsbestimmung durch weitere »Vs«

e) Erweiterung um den Teilaspekt »Analytics«

2. Definitionen des Begriffs »Big Data« aus Deutschland

3. Arbeitsdefinition des Begriffs »Big Data«

III. »Big Data« und »Künstliche Intelligenz« (KI)

1. Der Begriff »Künstliche Intelligenz« (KI)

2. »Big Data« bei Trainingsdaten

3. Gefahr von Diskriminierungen bei Nutzung von Trainingsdaten

4. Gefahren bei nicht-personenbezogenen Daten

IV. Abgrenzung zu »Data Warehouse« und »Data Mining«

V. Quellen für Big Data-Anwendungen

1. Verwaltungsinterne und weitere öffentlich-rechtliche Datenquellen

2. Daten aus privatrechtlichen Datenbanken und Registern

3. Daten aus »Open Data«

4. Daten aus »Social Media«

5. »Ubiquitous Computing«

VI. Ausgewählte Big Data-Anwendungen

1. »Online-Tracking«

2. »Profiling«

a) »Scoring«

b) »Social Scoring«

3. »Behavioral Targeting«

4. »Web Scraping«

a) Zugang über offene und nicht-öffentliche Schnittstellen

b) »Screen Scraping«

5. »Data Harvesting«

6. Zwischenergebnis

C. Big Data-Anwendungen einschließlich KI und gesetzliche Regelungen

I. Unionsrechtliche Regelungen zu Big Data und KI

1. »Big Data« und die Datenschutz-Grundverordnung (DSGVO)

a) Personenbezogene Daten im Sinne der DSGVO

b) »Pseudonymisierung« personenbezogener Daten und Big Data- Anwendungen

c) Verschlüsselung von Daten

d) Nicht-personenbezogene Daten und Big Data-Anwendungen

aa) »Anonymisierung« personenbezogener Daten und Big Data- Anwendungen

bb) Anwendung der DSGVO auf reine Sachdaten?

e) Zwischenergebnis

2. Rechtsakte der EU im Zusammenhang mit der Datenstrategie 2020

a) Der Data Act

b) Der Digital Markets Act – DMA

c) Der Data Governance Act (DGA)

d) Der Digital Service Act – DSA

e) Die KI-VO

f) Auswirkungen auf »Big Data«

3. Weitere rechtliche Vorgaben in Verordnungen und Richtlinien der EU

a) Der Vorschlag für eine ePrivacy-Verordnung

b) Die Free Flow of Data-VO (FFD-VO) der EU

c) Die »Open Data-Richtlinie« der EU

d) Die EU-VO über Transparenz und das Targeting politischer Werbung

II. Beispiele für nationale und internationale Big Data- Anwendungen

1. Einsatz von »Big Data«-Anwendungen in der Privatwirtschaft

a) Vorgaben zu »Big Data« aus dem allgemeinen Zivilrecht

b) Nutzung von Big Data-Anwendungen im Personalwesen (»People Analytics«)

c) Schutz vor diskriminierender Wirkung – das AGG

d) Regelungen zu »Big Data« im Finanz- und Versicherungswesen

aa) Die BaFin-Prinzipien zum Einsatz von Algorithmen in Entscheidungsprozessen

bb) »Big Data« und KI-Systeme im Bankensektor

cc) Big Data-Scoring im Bereich der Kreditauskunft

dd) »Big Data«-Anwendungen im Hochfrequenzhandel

ee) Regelungen zum »Big Data« im Versicherungssektor

ff) Fazit zur Nutzung von Big Data-Anwendungen und KI-Systemen im Finanz- und Versicherungswesen

e) Big Data-Anwendungen zur Entwicklung von Marketing- und Werbestrategien

f) Big Data-Anwendungen in weiteren Wirtschaftsbereichen

2. »Big Data« im öffentlichen Recht

a) »Big Data« im allgemeinen Verwaltungsrecht

aa) Einschränkungen des Erlasses vollständig automatisierter VA

bb) Die §§ 35a VwVfG, 31 SGB X, 155 Abs. 4 AO und Big Data

cc) Verstoß der §§ 35a VwVfG, 31a SGB X und 155 Abs. 4 AO gegen Art. 22 DSGVO?

dd) Gibt es ein »Recht auf eine menschliche Entscheidung«?

ee) Der vollständig automatisierte VA im Sonderverfahrensrecht

α) Der vollständig automatisierte VA nach § 155a Abs. 4 AO

β) Der vollständig automatisierte VA nach § 31a SGB X

ff) Zwischenfazit

b) »Big Data« in der amtlichen Statistik

c) »Big Data« im Steuerrecht

d) Big Data-Regelungen im Bereich der Sicherheitsbehörden

aa) »Data Mining« aufgrund des Antiterrordateigesetzes (ATDG) und des Rechtsextremismusdateigesetzes (REDG)

bb) »Predictive Policing« und »Predictive Profiling« im deutschen Polizeirecht

α) Nutzung der Software »PreCobs« durch deutsche Polizeibehörden

β) Nutzung ähnlicher Software-Lösungen in anderen Bundesländern

γ) Nutzung der Software »Palantir Gotham« durch deutsche Polizeibehörden

δ) Erfahrungen mit der Nutzung von Big Data-Anwendung im Polizeibereich

cc) Die »Palantir-Paragrafen« in den Polizeigesetze der Länder

α) § 25a HSOG – die Regelung von »hessenData« und § 49 HmbPolDVG

β) Datenabgleich und -analyse nach § 23 Abs. 5 und § 25 PolG NW

dd) Regelungen außerhalb der Polizeigesetze

ee) »Smart Home« als Erkenntnisquelle für die Polizeibehörden?

ff) Big Data-Anwendungen im Bereich der Strafverfolgung

gg) Regelungen im europäischen Polizeirecht

hh) »Big Data« im Bereich der Nachrichtendienste

ii) Zwischenfazit

e) Nutzung von Big Data-Anwendungen und KI in der Justiz

f) Weitere Beispiele von Big Data-Anwendungen in der öffentlichen Verwaltung

g) Zwischenergebnis

3. Big Data-Anwendungen im privaten und im öffentlichen Recht

a) Big Data-Anwendungen in Forschung und Wissenschaft

aa) Big Data-Anwendungen in der Forschung

bb) Big Data-Anwendungen im Gesundheitsdatennutzungsgesetz

b) Nutzung von »Big Data« in der medizinischen Versorgung

c) »Big Data« im Kartellrecht

aa) Kartellrechtliche Fragen aus Unternehmenssicht

bb) Kartellrechtliche Fragen aus Sicht der Kartellbehörden

4. Big Data-Anwendungen aufgrund des internationalen Reiseverkehrs

a) Abkommen über PNR-Daten zwischen der EU und Drittstaaten

aa) Die PNR-Abkommen zwischen der EU und den USA

bb) Weitere PNR-Abkommen zwischen der EU und Drittstaaten

b) Rechtliche Vorgaben zu PNR-Daten auf UN-Ebene

c) Die PNR-RL der EU vom 27.4.2016

d) Die Entscheidung des EuGH vom 21.6.2022 zum Einsatz von KI

e) Nationale Rechtsgrundlagen zur Verarbeitung von PNR-Daten

f) Zwischenergebnis

5. Selbstregulierungsansätze bei »Big Data«

a) Regelungen zu »Big Data« aufgrund eines »virtuellen Hausrechts«

b) Versuch einer Normierung durch private Regelungen

c) Vorgaben durch Ethik-Richtlinien und Ethik-Kodizes

6. Zwischenfazit

III. Zwischenbilanz

D. Beeinflussung von Big Data durch Verfahrensrecht

I. Verfahrensrecht zur Sicherung von Grundrechten

II. Verfassungsrechtliche Vorgaben

1. Vorgaben aus dem europäischen »Verfassungsrecht«

2. Vorgaben aus dem deutschen Verfassungsrecht

3. Der Grundsatz der Verhältnismäßigkeit bei Big Data-Anwendungen

III. Verfahrensgarantien im Datenschutzrecht

1. Datenschutz-Folgenabschätzungen (DSFA) für Big Data-Anwendungen

a) Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

b) Konformitätsbewertung und Risikomanagementsystem nach der KI-VO

c) Bereits existierende Folgenabschätzungsverfahren

d) Bilanz zur Datenschutz-Folgenabschätzung

2. Benennung eines internen Datenschutzbeauftragten (bDSB)

IV. Datenschutzprinzipien und »Big Data«

1. Erosion traditioneller Prinzipien des Datenschutzrechts durch Big Data?

a) Verzicht von Grundrechten aufgrund von Fatalismus und Ignoranz

b) »Post Privacy«-Bewegung versus Recht auf Datenschutz

c) Folgen des »digitalen Fatalismus« und des »Post Privacy«

d) Zwischenergebnis

2. Einwilligung bei Big Data-Anwendungen

a) Informierte Einwilligung als ethischer Standard

b) Das klassische Modell der »informierten Einwilligung« (»informed consent«)

aa) Die »informierte Einwilligung« und Big Data-Anwendungen

bb) Kritik an und Grenzen des klassischen Modells der »informierten Einwilligung«

c) Neue Modelle der Einwilligung

aa) Die Konstruktion einer »breiten Einwilligung« (»broad consent«)

bb) Das Konzept der dynamischen Einwilligung (»dynamic consent«)

cc) Das Konzept einer übergeordneten Einwilligung (»meta consent«)

dd) Entwicklung einer kontextorientierten Einwilligung (»contextual consent«)?

ee) Entwicklung einer »Kaskadeneinwilligung« (»cascading consent«)?

gg) Die »Blanko-Einwilligung« (»blanket consent«)?

hh) Der »Einwilligungsassistent«

ii) Einwilligung bei besonderen Gruppen

α) Probleme bei Einwilligungen, die Minderjährige betreffen

β) Probleme bei Einwilligungen, die vulnerable Personen betreffen

γ) Zwischenfazit

jj) »Einwilligung« trotz vorhandener gesetzlicher Verarbeitungsgrundlage

kk) Fazit

d) Recht auf Widerruf

e) Die Idee einer »Datenspende«

f) Der neue »Datenaltruismus«

g) Das »Recht auf Nichtwissen« als Aspekt der »informierten Einwilligung«

h) Ersetzung der Einwilligung durch eine gesetzliche Regelung

i) Zwischenfazit

3. Big Data-Anwendungen und die Verarbeitungsgrundsätze der DSGVO

a) Der Grundsatz der Rechtmäßigkeit (»Lawfulness«)

b) Der Grundsatz der Verarbeitung nach Treu und Glauben (»Fairness«)

c) Der Grundsatz der Transparenz (»Transparency«)

d) Der Zweckbindungsgrundsatz (»Purpose Limitation«)

aa) Der datenschutzrechtliche Grundsatz der Zweckbindung

bb) Der Grundsatz der kompatiblen Nutzung

α) Die Weiterverarbeitung der Daten für Zwecke der Wissenschaft und Forschung

β) Die Weiterverarbeitung der Daten i.S.v. Art. 6 Abs. 4 DSGVO

cc) Anwendung des Zweckbindungsgrundsatzes auf Big Data-Anwendungen

e) Der Grundsatz der Datenminimierung (»Data Minimisation«)

f) Der Grundsatz der Richtigkeit (»Accuracy«)

g) Der Grundsatz der Speicherbegrenzung (»Storage Limitation«)

h) Grundsatz der Integrität und Vertraulichkeit (»Integrity and Confidentiality«)

i) Der Grundsatz der Rechenschaftspflicht (»Accountability«)

j) Das Prinzip der datenschutzgerechten Systemgestaltung (»Privacy by Design«, »Privacy by Default«)

k) Zwischenergebnis

4. Betroffenenrechte und Big Data-Anwendungen

a) Fehlende Nutzung von Betroffenenrechten wegen Informationsasymmetrie

b) Fehlende Betroffenenrechte mangels Identifizierbarkeit

c) Informationsrechte nach Art. 12, 13 und 14 DSGVO

d) Auskunftsrecht nach Art. 15 DSGVO und Big Data

e) Berichtigungsansprüche nach Art. 16 DSGVO

f) Das »Recht auf Löschung« und das »Recht auf Vergessenwerden«

aa) Das Recht auf Löschung (Art. 17 Abs. 1 DSGVO)

bb) Das Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO)

cc) Ausnahmen vom Recht auf Löschung und »Vergessenwerden« (Art. 17 Abs. 3 DSGVO)

g) Das »Recht auf Einschränkung der Verarbeitung« nach Art. 18 DSGVO

h) Das »Recht auf Datenübertragbarkeit« nach Art. 20 Abs. 1 DSGVO

i) Das »Recht auf Widerspruch gegen die Verarbeitung« nach Art. 21 DSGVO

aa) Das allgemeine relative Widerspruchsrecht (Art. 21 Abs. 1 DSGVO)

bb) Das besondere relative Widerspruchsrecht bei Forschungs- und Statistikzwecken

cc) Zwischenergebnis

j) Durchsetzung von Betroffenenrechten auf dem Rechtsweg

5. Big Data und »Profiling«

6. Technische und organisatorische Maßnahmen« nach Art. 32 DSGVO

V. Verfahrensschutz durch Kompensation

1. Kompensation durch verfahrensrechtliche Vorschriften

2. Berücksichtigung ethischer Grundsätze bei Big Data- Anwendungen und KI-Systemen

a) »Ethik« im Recht

aa) Begriff »Ethik«

bb) Big Data, KI und angewandte Ethik

cc) Ethische Grundsätze bei Big Data-Anwendungen und KI-Systemen

α) Achtung der menschlichen Autonomie (»Respect for human autonomy«)

β) Nichtschädigung bzw. Schadensverhütung

γ) Wohltätigkeit (»Beneficence«)

δ) Gerechtigkeit und Fairness

ε) Erklärbarkeit (»Explicability«)

ζ) Lösungen bei Kollisionen der ethischen Grundsätze

b) Folgen ethischer Implikationen von Big Data-Anwendungen und KI- Systemen

c) Ethische Vorgaben durch Ethik-Richtlinien und Ethik-Kodizes

d) Sicherstellung ethischer Vorgaben durch Ethikgremien

aa) Begriffsbestimmungen und vorhandene rechtliche Regelungen

α) Ethikkommissionen

β) Ethikräte

bb) Entstehung von »Ethikkommissionen«

cc) Aufgaben und Befugnisse der Ethikkommission

dd) Kritik am derzeitigen Modell der Ethikkommission

ee) Das neue Modell einer »Ethikkommission«

ff) Rechtsnatur der Entscheidung der Ethikkommission

gg) Zwischenfazit

3. Fazit

E. Möglichkeiten rechtlicher Regulierung von Big Data

I. Erforderlichkeit der normativen Regelung

1. Allgemeine Big Data- und KI-Regelungen im internationalen Bereich

a) Big Data- und KI-Regelungen in Europa

b) Big Data und KI-Regelungen in den USA

c) Geplante KI-Regelungen in Kanada

d) KI-Regulierung in China

e) Vorgesehene KI-Regulierungen in weiteren Staaten und private Normierungen

f) KI-Resolution der Vereinten Nationen

2. Vorhandene Regelungen auf einfachgesetzlicher Basis

3. Gibt es ein Recht auf Nutzung von Big Data-Anwendungen?

4. Notwendigkeit einer rechtlichen Regelung

II. Big Data-Gesetzgebung und Gesetzesfolgenabschätzung

1. Systematische Stellung einer weiteren »Big Data«- und KI-Regulierung

2. Gesetzesfolgenabschätzung

III. Regulative Herausforderungen bei Big Data

1. Festgestellte Bereiche in denen eine rechtliche Regelung fehlt und Lösungsansätze

a) Fehlendes Vertrauen in die Nutzung von Big Data-Anwendungen

aa) Fehlende Transparenz bei Big Data-Anwendungen und KI-Systemen

bb) Spezialfall »Forschung« – Schaffung eines Forschungsdatengesetzes

cc) Problem der diskriminieren Wirkung von Big Data-Anwendungen

b) Fehlende Regelungen zur Datenerhebung

c) Fehlende Regelungen zur Nutzung bestimmter Big Data-Anwendungen

d) Fehlende Regelungen zur den Datenschutzgrundsätzen und Betroffenenrechten

e) Fehlende Regelungen zur Datensicherheit

2. Das verfassungsrechtliche Bestimmtheitsgebot für Regelungen

3. Haftungsrechtliche Regelungen

a) Der Vorschlag einer KI-Haftungsrichtlinie

b) Die neue Produkthaftungsrichtlinie

c) Deliktische Haftung

d) Vertragliche Haftung

e) Staatshaftungsrecht

f) Haftung nach Art. 82 DSGVO

g) Stellungnahme zu den Haftungsregelungen

4. Grundvoraussetzungen für eine Regulierung zu »Big Data«

IV. Zusammenfassung der Ergebnisse

F. Schlussfolgerungen und Ausblick

Literaturverzeichnis

Dokumente der Europäischen Union

Dokumente der OECD

Abkürzungsverzeichnis

45 CFR

Code of Federal Regulations Title 45. Public Welfare, abrufbar unter https://www.ecfr.gov/current/title-45/subtitle-A/subchapter-A/part-46?toc=1 (Abruf 25.8.2024)

ABIDA

Assessing Big Data – interdisziplinäres Forschungsprojekt zu den gesellschaftlichen Aspekten von Big Data

ABI. EG

Amtsblatt der Europäischen Gemeinschaften (zitiert: ABl. EG Nr. ... v. ... S. ...)

ABI. EU

Amtsblatt der Europäischen Union (zitiert: ABl. EU Nr. ... v. ... S. ...)

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

API

Application Programming Interface (Schnittstelle zur Programmierung von Anwendungen)

APuZ

Aus Politik und Zeitgeschichte (Zeitschrift)

BA

Bundesagentur für Arbeit

BaFin

Bundesanstalt für Finanzdienstleistungsaufsicht

BfDI

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

BITKOM

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien

BKrebsRG

Bundeskrebsregistergesetz vom 11.11.1994, BGBl. I, S. 3351

BMDV

Bundesministerium für Digitales und Verkehr (seit 2021)

BMVI

Bundesministerium für Verkehr und digitale Infrastruktur (2013–2021)

BQS

BQS Institut für Qualität und Patientensicherheit GmbH

BStU

Der Bundesbeauftragte für die Unterlagen der Staatssicherheit der ehemaligen Deutschen Demokratischen Republik

BT-Drs.

Bundestags-Drucksache

BVGÄndG

Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Gesetze v. 17.7.2017, BGBl. I S. 2541 (2564)

BZSt

Bundeszentralamt für Steuern

CDC

United States Centers for Disease Control and Prevention (nationale Gesundheitsbehörde der USA)

CEN

Europäische Komitee für Normung (CEN -französisch: Comité Européen de Normalisation)

CEO

Chief Executive Officer

Datenschutzkonvention

Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108) des Europarates vom 28. Januar 1981

DÄBl.

Deutsches Ärzteblatt

ders.

derselbe

DHS

Department of Homeland Security (US-amerikanisches Heimatschutzministerium)

DIW Berlin

Deutsches Institut für Wirtschaftsforschung e.V.

DLR

Deutsche Zentrum für Luft- und Raumfahrt e.V.

DMA

Digital Markets Act

DPOLBI

Deutsches Polizeiblatt (Zeitschrift)

DSA

Digital Service Act

DSFA

Datenschutz-Folgenabschätzung

DSK

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

DSM-RL

Richtlinie (EU) 2019/790 des Europäischen Parlaments und des Rates v. 17.4.2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinien 96/9/EG und 2001/29/EG (ABl. 2019 L 130 S. 92). DSM-RL nach der englischen Kurzform »Directive on Copyright in the Digital Single Market«.

DSRITB

Tagungsband der Deutschen Stiftung für Recht und Informatik

DS-RL 1995

Datenschutz-Richtlinie vom 24.10.1995, ABI. EU Nr. L 281 vom 23.11.1995 S. 31

EDHS-VO(-Vorschlag)

Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten v. 3.5.2022, Com(2022) 197 final

EDPS

European Data Protection Supervisor – Europäischer Datenschutzbeauftragter

EDSA

Europäischer Datenschutzausschuss

EEAS

European External Action Service – Europäischer Auswärtiger Dienst

EG-Kom

Kommission der Europäischen Gemeinschaften

EJHG

European Journal of Human Genetics

ePrivacy-RL

Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. EG 2002 Nr. L 201 v. 31.7.2002 S. 37

ErwGr

Erwägungsgrund

EU-Kom

Kommission der Europäischen Union

EU-Parl-GO

Geschäftsordnung des Europäischen Parlaments, abrufbar unter https://www.europarl.europa.eu/doceo/document/RULES-9-2023-11-01-TOC_DE.html (Abruf 25.8.2024)

EU-Rat

Rat der Europäischen Union

EURODAC-VO (2000)

Verordnung (EG) Nr. 2725/2000 des Rates v. 11.12.2000 über die Einrichtung von „Eurodac“ für den Vergleich von Fingerabdrücken zum Zwecke der effektiven Anwendung des Dubliner Übereinkommens, ABl. EG 2000 Nr. L 316 v. 15.12.2000 S. 1

EURODAC-VO (2013 I)

Verordnung (EU) Nr. 603/2013 des Europäischen Parlaments und des Rates vom 26.6.2013 über die Einrichtung von Eurodac für den Abgleich von Fingerabdruckdaten zum Zwecke der effektiven Anwendung der Verordnung (EU) Nr. 604/2013 zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zuständig ist und über der Gefahrenabwehr und Strafverfolgung dienende Anträge der Gefahrenabwehr- und Strafverfolgungsbehörden der Mitgliedstaaten und Europols auf den Abgleich mit Eurodac-Daten sowie zur Änderung der Verordnung (EU) Nr. 1077/2011 zur Errichtung einer Europäischen Agentur für das Betriebsmanagement von IT-Großsystemen im Raum der Freiheit, der Sicherheit und des Rechts (Neufassung), ABl. EU Nr. L 180 v. 29.6.2013 S. 1

EURODAC-VO (2013 II)

Verordnung (EU) Nr. 604/2013 des Europäischen Parlaments und des Rates v. 26.6.2013 zur Festlegung der Kriterien und Verfahren zur Bestimmung des Mitgliedstaats, der für die Prüfung eines von einem Drittstaatsangehörigen oder Staatenlosen in einem Mitgliedstaat gestellten Antrags auf internationalen Schutz zuständig ist (Neufassung), ABl. EU Nr. L 180 v. 29.6.2013 S. 31

Europol-VO

Verordnung (EU) 2016/794 des Europäischen Parlaments und des Rates v. 11.5.2016 über die Agentur der Europäischen Union für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) und zur Ersetzung und Aufhebung der Beschlüsse 2009/371/JI, 2009/934/JI, 2009/935/JI, 2009/936/JI und 2009/968/JI des Rates, ABl. EU Nr. L 135/53 v. 24.5.2016, zuletzt geändert durch Verordnung 2022/991 des Europäischen Parlaments und des Rates v. 8.6.2022, ABl. EU Nr. L 169 v. 27.6.2022 S. 1

EUV

Vertrag über die Europäische Union

FlugDaG

Gesetz über die Verarbeitung von Fluggastdaten zur Umsetzung der RL (EU) 2016/681 (Fluggastdatengesetz – FlugDaG) vom 6.6.2017, BGBl. I S. 1484

FAZ

Frankfurter Allgemeine Zeitung

FFD-VO

VO (EU) 2018/1807 des Europäischen Parlaments und des Rates über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors v. 14.11.2018, ABl.EU Nr. L 303 v. 28.11.2018 S. 59 (Free-Flow-of-Data-VO)

Fsn.

Fußnummer

GI

Gesellschaft für Informatik

GRCh

Charta der Grundrechte der Europäischen Union – Europäische Grundrechtscharta

GSZ

Zeitschrift für das Gesamte Sicherheitsrecht (Zeitschrift)

HdStR

Handbuch des Staatsrechts

HBDI

Hessischer Beauftragte für Datenschutz und Informationsfreiheit

HDSIG

Hessisches Datenschutz- und Informationsfreiheitsgesetz v. 3.5.2018 (GVBl. S. 82), zuletzt geändert durch Gesetz v. 15.11.2021 (GVBl. S. 718, 729).

HEG-KI

Hochrangigen Expertengruppe für KI (»High Level Expert Group on AI«) der EU-Kom

HmbGVBl.

Hamburgisches Gesetz- und Verordnungsblatt

HmbPolDVG

Hamburgisches Gesetz über die Datenverarbeitung der Polizei, PolDVG) v. 12.12.2019 (HmbGVBl. 2019, S. 485), geändert durch Gesetz v. 29.6.2021 (HmbGVBl. S. 514)

IBM

International Business Machines Corporation (Unternehmen)

IAB

Institut für Arbeitsmarkt- und Berufsforschung der BA

ICAO

International Civil Aviation Organization – Internationale Zivilluftfahrt-Organisation (Sonderorganisation der UNO)

idF

in der Fassung

idFdB

in der Fassung der Bekanntmachung

insbes.

insbesondere

IRB

Institutional Review Board

ISO

Internationale Organisation für Normung (engl. International Organization for Standardization)

i.S.d.

Im Sinne des

i.S.v.

im Sinne von

ITRE-Ausschuss

Ausschuss für Industrie, Forschung und Energie des EU-Parl

JIRL

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl. Nr. L 119 vom 4.5.2016 S. 89

JRE

Jahrbuch für Recht und Ethik

KI-VO

KI-Verordnung – Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates v. 13.6.2024 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz), ABl. Nr. L vom 12.7.2024

KWG

Gesetz über das Kreditwesen (Kreditwesengesetz) i.d.F.d.B. v. 9.9.1998 (BGBl. I S. 2776), zuletzt geändert durch Art. 14 des Gesetzes v. 3.6.2021 (BGBl. I S. 1568)

KZfSS

Kölner Zeitschrift für Soziologie und Sozialpsychologie

Ls.

Leitsatz

LVerfG

Landesverfassungsgericht

MDR

EU-Medizinprodukte-VO 2017/745 (Medical Device Regulation)

Mio.

Millionen

MIT

Massachusetts Institute of Technology

NIS-2-RiLi

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABl. EU Nr. L 333 v. 27.12.2022 S. 80

NHS

National Health Service – öffentlicher Gesundheitsdienst in Großbritannien

NKR

Nationaler Normenkontrollrat

PM

Pressemitteilung

PNAS

Proceedings of the National Academy of Sciences (PNAS) – online-Zeitschrift

PNR

Passenger Name Record

PNR-Abkommen Australien

Abkommen zwischen der Europäischen Union und Australien über die Verarbeitung von Fluggastdatensätzen (Passenger Name Records – PNR) aus der Europäischen Union und deren Übermittlung durch die Fluggesellschaften an die australische Zollbehörde, ABl. EU Nr. L 213 v. 8.8.2008 S. 49

PNR-Abkommen USA 2004

Abkommen zwischen der der Europäischen Gemeinschaft und den Vereinigten Staaten von Amerika und über die Verarbeitung von Fluggastdatensätzen und deren Übermittlung durch die Fluggesellschaften an das Bureau of Customs an Border Security des United States Department of Homeland Security, ABl. EU Nr. L 183/84 v. 20.5.2004

PNR-Abkommen USA 2012

Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security v. 14.12.2011, ABl. EU Nr. L 215/5 v. 11.8.2012

PNR-Daten

Fluggastdaten

PNR-RL

Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität, ABl. EU Nr. L 119 v. 4.5.2016 S. 132

PreCobs

Pre Crime Observation System

RatSWD

Rat für Sozial- und WirtschaftsDaten

RL

Richtlinie

SCHUFA

Schutzgemeinschaft für allgemeine Kreditsicherung, privatrechtliche Wirtschaftsauskunftei (SCHUFA Holding AG)

SKALA

System zur Kriminalitätsauswertung und Lageantizipation

StBA

Statistisches Bundesamt

TB

Tätigkeitsbericht

TMF

Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V.

u.a.

unter anderem

ULD

Unabhängiges Landeszentrum für Datenschutz des Landes Schleswig Holstein

UGP-RL

Richtlinie (EG) 2016/29/EG des Europäischen Parlaments und des Rates vom 11.5.2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (Richtlinie über unlautere Geschäftspraktiken), ABl. EU Nr. L 149/22 v. 11.6.2005

UStB

Umsatz-Steuerberater (Zeitschrift)

v.

vom/von

Vorbem.

Vorbemerkung(en)

WMA

World Medical Association – Weltärztebund

WLAN

Wireless Local Area Network

WP

Working Paper

z.B.

zum Beispiel

z.T.

zum Teil

zul. geänd. d.

zuletzt geändert durch

Hinsichtlich der verwendeten Abkürzungen wird im Übrigen verwiesen auf: Kirchner, Hildebert, Abkürzungsverzeichnis der Rechtssprache, 10. Auflage Berlin 2021.

A. Einleitung

In einem Videostatement zur Eröffnung der Cebit 2016 nannte Bundeskanzlerin Angela Merkel die Fülle der digitalen Daten die »Rohstoffe des 21. Jahrhunderts«.1 Tatsächlich handelt es sich bei »Big Data« um einen der Schlüsselbegriffe der aktuellen Debatte über die technologisch induzierte gesellschaftliche Veränderung.2 »Big Data« wurde zum Inbegriff eines neuen Zeitalters der Informationsanalyse erklärt3 sowie für die Rechtswissenschaft und Rechtspraxis als von herausragender Bedeutung bezeichnet.4 Einige Autoren prophezeiten, der Begriff »Big Data« würde bald durch den Begriff »Smart Data« ersetzt werden.5 Allerdings hat »Smart Data« »Big Data« nicht ersetzt, sondern ergänzt. Die Frage, ob es sich bei »Big Data« um einen Hype6 oder ein Marketing-Buzzword7 handelt, wird mittlerweile nicht mehr gestellt. Allerdings ist das Thema »Big Data« zwar nicht verschwunden,8 im Thema »Künstliche Intelligenz (KI)« jedoch weitgehend aufgegangen.

Bis vor wenigen Jahren war das Sammeln, Speichern und Auswerten von Daten schwierig und teuer und daher war »Big Data« noch nicht möglich.9 In den Archiven des Ministeriums für Staatssicherheit der ehemaligen DDR (Stasi) finden sich jedoch mehr als 100 km Archivgut.10 Allerdings werden Jahrzehnte nach dem Ende der DDR über jeden Einzelnen mehr Daten gesammelt und gespeichert als je zuvor.11 Bei der im Zuge der Fahndung nach den RAF-Terroristen vom BKA entwickelten »Rasterfahndung« wurden bereits größere Datenmengen zu einem bestimmten Zweck ausgewertet.12 Erhoben und gespeichert wurden Daten schon früher emsig und in großen Mengen. Die Auswertung dieser riesigen und zum größten Teil unstrukturiert13 vorliegenden Daten war jedoch nahezu unmöglich. Zudem wurden Daten meist nur zu einem bestimmten, bei ihrer Erhebung und Speicherung bekannten Zweck gesammelt.14 Dies hat sich in den letzten Jahren grundlegend geändert. Das gilt sowohl für die Datenmengen als auch für die Möglichkeit, diese auszuwerten. Bereits 2013 ergab eine Studie, dass 90 % der vorhandenen weltweiten Daten erst in den zwei Jahren davor entstanden war. Andere Studien gehen davon aus, dass der Datenbestand jährlich um ca. 40 % wächst.15 Nicht nur die Datenmenge wächst an, diese liegt zudem digital und damit erheblich besser auswertbar vor.16 Durch »cloud computing«17und der dadurch gegebenen Speicherkapazität ist es möglich, enorm große Mengen an Daten zu erheben, zu speichern und auszuwerten.18

Obwohl der Begriff »Big Data« (noch) nicht umfassend benutzt wurde, wurden die technisch-konzeptionellen Grundlagen von »Big Data« weitgehend im ersten Jahrzehnt des 21. Jahrhunderts geschaffen.19 »Big Data« entwickelte sich aus bestehenden Instrumenten im Wesentlichen der amtlichen Statistik sowie soziodemografischen und ökonomischen Auswertungen, die in »Data Warehouses« strukturiert und auswertbar gemacht wurden.20 Den Durchbruch schaffte der Begriff »Big Data« im Jahr 2012, sodass Steve Lohr feststellte: »In diesem Jahr hat Big Data den Durchbruch geschafft – als Idee, als Wort und [...] als Marketinginstrument. Big Data hat die Nische der Technologieexperten verlassen und den Mainstream erreicht«.21 Das Auswerten riesiger, zum Teil unstrukturiert vorhandener Daten wurde durch Big Data-Anwendungen mit wirtschaftlich akzeptablen Methoden möglich. Bei der Erhebung und Speicherung der Daten steht der Zweck ihrer Auswertung oft noch nicht fest, was den datenschutzrechtlichen Grundsätzen der Datensparsamkeit und der Zweckbindung widerspricht. Verkaufsträchtig wird »Big Data« als »Revolution, die unser Leben verändern wird« bezeichnet.22 »Big Data« stehe am Anfang einer grundlegenden Umwälzung.23 Dabei ist »Big Data« keine Erfindung des 21. Jahrhunderts. Als erstes großes (modernes) Datenverarbeitungsprojekt wird auf die Entwicklung einer Lochkartenlesemaschine durch die Fa. IBM hingewiesen, mit deren Hilfe man die Auszahlung staatlicher Zuwendungen aufgrund des Social Security Acts von 1937 verfolgte.24 Weitere große Datenverarbeitungsprogramme folgten nicht nur in den USA, sondern in fast allen entwickelten Staaten. Roger Mougalas prägte im Jahr 2005 den Begriff »Big Data«, um eine große Anzahl von Datensätzen zu beschreiben, die mit herkömmlichen Datenverarbeitungsprogrammen nahezu unmöglich zu verarbeiten war.25

Wenn also nicht ganz neu, ist »Big Data« ein Phänomen26, das seit einigen Jahren in der Öffentlichkeit von Politik, Wirtschaft, Wissenschaft etc. diskutiert wird und mit dem sich große wirtschaftliche Hoffnungen verbinden.27 Es verändert nicht nur die IT-Industrie, sondern betrifft weite Teile der Weltwirtschaft und das übrige gesellschaftliche Leben. Selbst Kritiker sprachen vom Beginn des »anbrechenden Big-Data-Zeitalters«.28

Den größten Nutzen verspricht man sich von »Big Data« in der Wirtschaft. 88 % der Unternehmensdaten würden brachliegen und nicht ausgewertet.29 McKinsey schätzte 2018 weltweit ein Wertschöpfungspotenzial durch die Verarbeitung mithilfe von Big Data-Anwendungen und der Nutzung von »Künstlicher Intelligenz« (KI) in Höhe von 3,6 bis 5,8 Billionen US$ jährlich.30 Wer über die Daten seiner Kunden verfügt, hat nicht nur einen Informationsvorsprung vor seinen Mitkonkurrenten, sondern einen erheblichen Wettbewerbsvorteil. Besondere Vorteile durch Big Data-Anwendungen erhofft man sich im nicht-kommerziellen Bereich, insbesondere in der Medizin. Der Begriff »Systemmedizin« beschreibt eine Vision einer Medizin, die alle relevanten Daten eines Patienten und das für seine Situation relevante Wissen aus Forschung und Routineversorgung für Therapie- und Präventionsentscheidungen zur Verfügung stellt.31 Sie soll zielgerichtete Präventions- und Therapiemaßnahmen durch die bioinformatische Verarbeitung und Modellierung großer Datenmengen aus verschiedenen Quellen (z.B. klinische, epidemiologische oder Omics-Daten32) ermöglichen. Als eines der ersten Beispiele diente die Vorhersage von Grippeepidemien durch das Programm »Google Flu Trends (GFT)«.33 Verbunden war dies mit der Hoffnung, durch die Nutzung von Big Data-Anwendungen Epidemien und Pandemien vorauszusagen und zu verhindern.34 Nicht nur die Corona-Pandemie im Jahr 2020 zeigte, dass diese Hoffnung viel zu optimistisch war. Mittlerweile gibt es durch KI unterstützte Verfahren, die auf einer neuronalen Netzwerkanalyse basieren, die gerade im Bereich der Vorhersage von Pandemieverläufen deutlich besser funktionieren.35 Nach einer PM von BITKOM vom 13.3.2018 wuchs in Deutschland der Markt für Big Data-Anwendungen verglichen mit den Werten für 2016 in 2017 und 2018 jeweils zweistellig.36

Mit der Nutzung von Big Data-Anwendungen kann in das nach Art. 7 und 8 GRCh und Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistete Recht auf informationelle Selbstbestimmung eingegriffen werden. Der Einsatz von KI intensiviert die für das informationelle Selbstbestimmungsrecht relevante Gefahr, dass aus personenbezogenen Informationen »weitere Informationen erzeugt und so Schlüsse gezogen werden, die sowohl die grundrechtlich geschützten Geheimhaltungsinteressen des Betroffenen beeinträchtigen als auch Eingriffe in seine Verhaltensfreiheit mit sich bringen können«.37 Ohne ausreichende Schutzvorkehrungen – oder wie es in der DSGVO heißt: »Garantien für die Rechte und Freiheiten der betroffenen Personen« – kann die Nutzung von Big Data-Anwendungen dazu führen, dass Vorurteile und Verzerrungen sich verfestigen und diskriminierende Wirkung entfalten.38 Es kann zu Benachteiligungen wegen des Geschlechts, der Abstammung oder anderer in Art. 3 Abs. 3 GG oder Art. 9 Abs. 1 DSGVO genannter Merkmale kommen. Vor der Gefahr, Big Data-Anwendungen könnten zu diskriminierenden Ergebnissen führen, wurde bereits früh gewarnt.39 Nicht zu vernachlässigen ist, dass personenbezogene Daten ein monetär wertvolles Gut darstellen.40 Das gilt gerade im Zusammenhang mit Big Data-Anwendungen, große auswertbare Datensätze befinden sich nicht nur bei Behörden und großen Unternehmen, sondern zunehmend ebenfalls bei kleineren Unternehmen und im privaten Bereich. Aufgrund der umfangreichen Nutzung mithilfe von »Big Data« stellt sich daher die Frage der Grenzen dieser Nutzung, etwa ob sich aus verfahrensrechtlichen Grundsätzen eine Begrenzung der »unbegrenzten Möglichkeit« von »Big Data« ergibt. Wie bei nahezu jeder neuen Technik, die in das Leben fast aller Menschen eingreift, gilt es für das Recht einen Balanceakt zu schaffen: einerseits muss die Technologie gefördert werden, um neue Chancen zu nutzen, andererseits müssen Regeln zumindest versuchen, die Risiken der neuen Technologie zu begrenzen.41

1

Zitiert nach https://ap-verlag.de/bundeskanzlerin-merkel-daten-sind-die-rohstoffe-des-21-jahrhunderts/19662/ (Abruf 18.8.2024 – der Original-Podcast ist nicht mehr abrufbar); zuletzt

Richter

, MMR 2023, 163;

Spiecker gen. Döhmann

, K&R 2017, Beil. 1, 4 Nr. 1 und

Ulbricht

/

Huch

/

Gens

(2015), S. 1;

Zech

, CR 2015, 137 (138 und 139); ebenso die EU-Kommissarin

Meglena Kurnewa

in einer Rede am 31.3.2009 (SPEECH 09/156 – »Per

sonal data ist the new oil oft he internet and the new currency oft he digital world

«),

Schüller

in König/Schröder/Wiegand, S. 111,

Müller

, DuD 2019, 159 (160); zuletzt

Söbbing

, ITRB 2022, 206, die vom »Öl der Zukunft«, vom »Öl des 21. Jahrhunderts« sprechen, sowie

Hasselbalch

/

Tranberg

in Otto/Gräf, S. 186 (188 – »

Treibstoff der Zukunft

«) oder vom »

Rohstoff des 21. Jahrhunderts

« (

Geppert

, DSRITB 2017, 733;

Paal

/

Hennemann

, NJW 2017, 1697. Kritisch

Hoffmann-Riem

in Hoffmann-Riem, S. 11 (16ff.);

Ringeling

, CRi 2015, 7.

von Lewinski

spricht von einer abgedroschenen Phrase,

von Lewinski

in Stiftung Datenschutz (Bd. 3), S. 209 und

Funk

, CR 2023, 421 von einem Gemeinplatz.

Kelber

geht davon aus, dass »

Nicht Daten [...] der Rohstoff des 21. Jahrhunderts

(sind)

, sondern Vertrauen

«,

Kelber

, DuD 2020, 226.

2

Deutscher Ethikrat, Big Data und Gesundheit, S. 47.

3

Martini

, DVBl. 2014, 1481.

4

Döpke

in Hoeren/Kolany-Raiser, S. 18.

5

Vgl.

Paal

/

Hennemann

, NJW 2017, 1697 Fsn. 1 zu Unrecht unter Berufung auf

Roßnagel

, NJW 2017, 10.

6

Das Präsidiumsmitglied der BITKOM

Michael Kleinmeier

erklärte auf der Cebit 2013, dass es sich bei Big Data nicht um einen Hype, sondern um einen wichtigen neuen Wirtschaftsfaktor handele, zitiert nach

Schmidt-Wehrmann

, VW 6/2013, 64; ebenso

Heckmann

, JRE 23 (2015), 17 (19); a.A.

Wehmeier

/

Baumann

in Langkafel, S. 141, 142: »

digitales Hype-Thema

«; ebenso

Weichert

in ULD Schleswig-Holstein (2013), Big Data und Datenschutz, S. 5 und

Martini

, DVBl. 2014, 1481.

7

Vgl.

Behrndt

/

Wagner

, JRE 23 (2015), S. 129 (130);

Heise

in Maireder/Ausserhofer/Schumann/Taddicken, S. 29 (40); Spindler/Seidel, NJW 2018, 2153.

Lohr

, The Age of Big Data (2012) weist darauf hin, dass »

Big Data

« ursprünglich als »

marketing term

« angesehen wurde.

8

Erst im Jahr 2024 ist unter dem Titel »

Big Data

« ein 700 Seiten starkes »

Big Data

«-Buch erschienen, vgl.

Borges

/

Keil

(Hrsg.), Big Data, 1. Aufl. 2024; siehe auch den Titel des Beitrages von

Hornung

/

Schaller

/

Selzer

/

Stummer

, Privatheit in Big-Data-Verarbeitungssystemen, K&R 2024, 187ff.

9

Mayer-Schönberger

, Die politische Meinung 2017, S. 31 (32).

10

Der tatsächliche Umfang der Sammelleidenschaft der Stasi ist unbekannt. Der BStU beziffert den Umfang der von ihm verwalteten Akten mit 111 Kilometer Akten und mehr als 1,4 Millionen Fotos,

Walther

, DuD 2016, 598. In seinem 1. TB ging der damalige BStU

Joachim Gauck

von etwa 178 km Akten aus, nachdem das Bundesarchiv vorher ca. 202 km Akten geschätzt hatte. Hinzu kommen noch ca. 17.200 Säcke mit zerrissenem Akteninhalt, die weitere 25 km Akten ergeben, BT-Drs. 12/5100 S. 5.

11

Mayer-Schönberger

/

Cukier

S. 189.

13

Schüller

in König/Schröder/Wiegand, S. 111, die darauf hinweist, dass 90 % der Daten unstrukturiert vorliegen; ähnlich

Otte

/

Wippermann

/

Schade

/

Otte

, S. 15.

14

Mayer-Schönberger

, Die politische Meinung 2017, S. 31 (32).

15

Zitiert nach

Thouvenin

in Boehme-Neßler/Rehbinder, S. 27 (28) Fsn. 1.

16

Die Stasi hatte diese Möglichkeiten glücklicherweise bis zu ihrer Auflösung im Jahr 1990 (noch) nicht. Es existieren jedoch weiterhin Länder mit vergleichbaren Unrechtssystemen mit ähnlichen Sicherheitsbehörden, die diese technischen Möglichkeiten zur Überwachung ihrer Bevölkerung nutzen.

17

Eine Definition von »

cloud computing

« findet sich in Art. 6 Nr. 30 NIS-2-RiLi und in dessen ErwGr 33.

18

Leistner

/

Antoine

/

Sagstetter

, Big Data, S. 200.

19

Geiselberger

/

Moorstedt

in Geiselberger/Moorstedt, S. 13, sprechen von der »

Latenzphase des Phänomens

«.

20

Weichert

, ZD 2013, 251 (252).

21

Lohr

, How Big Data became so big (2012): »

THIS has been the crossover year for Big Data – as a concept, as a term and, yes, as a marketing tool. Big Data has sprung from the confines of technology circles into the mainstream

«; vgl.

Geiselberger

/

Moorstedt

in Geiselberger/Moorstedt, S. 14.

22

So der Titel von

Mayer-Schönberger

/

Cukier

, Big Data – Die Revolution, die unser Leben verändern wird, Erstauflage 2013; ebenso

Mayer-Schönberger

, Bundesgesundheitsblatt 2015, S. 788; Siehe

Roßnagel

/

Geminn

/

Jandt

/

Richter

(2016), S. 21; die Aussage von MIT Sloan’s Professor

Erik Brynjolfsson

: »

This ‘Big Data’ revolution is occurring mainly because technology enables firms to gather extremely detailed information from, and propagate knowledge to, their consumers, suppliers, alliance partners, and competitors

«; in IEDP-Editorial, The Big Data Revolution. Vgl.

Richards

/

King

(2014), S. 393 und

Kayyali

/

Knott

/

Van Kuiken

(2013) S. 1;

King

, zitiert nach

Behrndt

/

Wagner

, JRE 23 (2015), S. 129 (130). Kritisch hierzu bereits

Lazer

/

Kennedy

/

King

/

Vespignani

, Science 2014 S. 1203; zuletzt

Selke

et al., ABIDA-Gutachten Ethische Standards, S. 18 m.w. Nachw.

23

Mayer-Schönberger

/

Cukier

S. 14.

24

van Rijmenam

, A Short History of Big Data.

25

Press

(2013), A Very Short History Of Big Data;

van Rijmenam

, Short History of Big Data; Hornung/Herfurth in König/Schröder/Wiegand, S. 149 (151);

Kring

in Plodereder/Grunske/Schneider/Ull S. 551 (552).

26

Vgl.

Butarelli

in Otto/Gräf, S. 216 (217);

Dorschel, W.

in Dorschel, J., S. 2ff. passim, spricht konsequent vom »

Phänomen Big Data

«; ebenso Hoeren/Sieber/Holznagel MultimediaR-Hdb/

Kolany-Raiser

Teil 15.1 Rn. 1;

Hornung

/

Herfurth

in König/Schröder/Wiegand, S. 149 (150); Rouvroy (2016) S. 4; Wolf, Big Data und innere Sicherheit, S. 21. Ebenso bereits

Diebold

(2012), S. 1 und boyd/Crawford (2012), S. 662ff. Letztere sprechen von einem kulturellen, technologischen und wissenschaftlichen Phänomen.

Favaretto

/

De Clercq

/

Elger

, J Big Data 2019, S. 1 beschreiben es als »

sehr komplexes und umfangreiches Phänomen, das seit seinem Auftauchen in den frühen 2010er Jahren wechselnde Bedeutungen hat

«;

Schefzig

, K&R 2014, 772 und S. 774 bezeichnet »

Big Data

« als ein Phänomen, das sich fortwährend entwickelt und daher nicht abschließend beschrieben werden kann.

27

Siehe

Wachter

in König/Schröder/Wiegand, S. 17 (18).

28

boyd

/

Crawford

(2012), S. 662 (664) (»

How we handle the emergence of an era of Big Data is critical.

«).

29

Schüller

in König/Schröder/Wiegand, S. 111.

30

McKinsey

(2018), S. 17 (PDF-Version). Das entspricht in etwa dem Bruttoinlandsprodukt Deutschlands,

Knorre

in Knorre/Müller-Peters/Wagner S. 5.

31

Winkler

, Frankfurter Forum 2017, Heft 16, S. 23.

32

Unter »

Omics-Daten

« versteht man Daten, die aus Teilgebieten der Medizin oder Biologie stammen, die sich mit der Analyse von Gesamtheiten ähnlicher Einzelelemente beschäftigen, z.B. Genomik (engl. genomics), Glykomik (engl. glykomics), Metabolomik (engl. metabolomics oder metabonomics), Proteomik (engl. proteomics) etc., vgl.

Summa

in Sturma/Lanzerath, S. 74.

33

Die von 50 Mio. von US-Bürgern eingegeben Suchanfragen nach Medikamenten gegen Grippeviren, z.B. TamiFlu, verglichen Mitarbeiter der Fa. Google mit den Zahlen zu den Grippeepidemien des Centers for Desease Control ans Prevention (CDC) aus 2003 bis 2008, um eine Korrelation zwischen diesen Datenbeständen herzustellen und den Verlauf einer Grippeepidemie zu verfolgen, siehe

Buchner

/

Schnebbe

in Sturma/Lanzerath, S. 49 (51f.);

Mayer-Schönberger

/

Cukier

S. 7f.;

Reichert

, Politikum 2016 (Heft 1), 20 (S. 25). Zu diesem Zeitpunkt waren die Schwächen des Programms bereits bekannt, näher hierzu

Raum

in Stiftung Datenschutz (Bd. 2), S. 137. 2010 war nach dem Erdbeben auf Haiti durch Big Data-Anwendungen die aktuelle Ausbreitung der Cholera fast in Echtzeit verfügbar war,

Geppert

, DSRITB 2017, 733. Kritisch zu Google Flu zuletzt SVR Gesundheitswesen, Gutachten 2023, BT-Drs. 20/5500 S. 549 Rn. 1065.

34

Vgl.

Mayer-Schönberger

/

Cukier

S. 9: »

Klar ist, dass bei der nächsten Pandemie die Menschheit über ein Instrument verfügt, um im Falle einer Pandemie die Ausbreitung vorauszusagen und damit zu verhindern.

«

35

Vgl. SVR Gesundheitswesen, Gutachten 2023, BT-Drs. 20/5500 S. 553 Tz. 1065.

36

BITKOM, PM v. 13.3.2018, https://www.bitkom.org/Presse/Presseinformation/Marktfuer-Big-Data-waechst-in-Deutschland-zweistellig.html (Abruf 27.8.2024).

38

Nach

Favaretto

/

De Clercq

/

Elger

, J Big Data 2019, S. 2 gehört das Risiko einer möglichen Diskriminierung zu einer der besorgniserregendsten, aber noch zu wenig erforschten Aspekten der Big-Data-Technologien. Vgl.

Sesing

/

Tschech

, MMR 2022, 24 und

Steege

, MMR 2019, 715ff.

39

Vgl. Podesta-Bericht S. 3 und 6ff.; mittlerweile gibt es eine Reihe von Veröffentlichungen im nationalen und internationalen Bereich, die sich mit dem Thema Diskriminierung durch algorithmenbasierte Diskriminierung durch Einsatz von Big Data-Anwendungen und KI befassen; s. nur die Aufzählung bei

Hornung

, AöR 147 (2022), 1 (20 – Fsn. 72) und Aufzählung bei

Wischmeyer

, AöR 143 (2018), 1 (26 – Fsn. 102).

40

Vgl.

Lindenberg

, WRP 2021, 302 (303 Rn. 3) m.w. Nachw.

Lindenberg

bezeichnet sie als »

Währung des Internets

«; vgl. hierzu auch

Paal

/

Hennemann

, ABIDA-Gutachten Big Data as an Asset, S. 17ff.

41

Ähnlich

Boehme-Neßler

/

Rehbinder

in Boehme-Neßler/Rehbinder, S. 7, die dies absoluter sehen. Aber mehr als ein Versuch, Risiken zu begrenzen, können rechtliche Normen nicht sein.

B. Begriffsbestimmungen und das Phänomen»Big Data«

Bevor sich mit dem häufig als »schillernd« bezeichneten Begriff »Big Data« befasst werden soll, ist zu klären, was im Kontext dieser Untersuchung unter »Verfahren« zu verstehen ist. Anschließend wird der Begriff »Big Data« von anderen verwandten Begriffen wie »Künstliche Intelligenz«., »Data Mining« oder »Data Warehouse« abgegrenzt.

I. Was ist ein »Verfahren«?

Die Definition des Begriffs »Verfahren« in § 9 VwVfG begrenzt diesen Begriff auf das »Verwaltungsverfahren« und definiert diesen so, dass das »Verwaltungsverfahren« eine Tätigkeit ist, die darauf abzielt, die Behörde einen Verwaltungsakt oder einen öffentlich-rechtlichen Vertrag abschließt. Diese Begriffsbestimmung ist zu eng und trifft den Kern des Schutzes von Grundrechten durch Verfahren bei Big Data-Anwendungen nicht. Diese werden weder durch Verwaltungsakt genehmigt, noch sind sie Gegenstand eines öffentlich-rechtlichen Vertrages. Ähnliches gilt für den etwas weiteren Verwaltungsverfahrensbegriff des Art. 84 GG, der auch andere Handlungsformen, Formen behördlicher Willensbildung, Prüfung und Vorbereitung von Entscheidungen sowie Mitwirkungs- und Kontrollvorgänge umfasst.42 Man kann beiden Begriffserklärungen entnehmen, dass es beim »Verwaltungsverfahren« auf eine Tätigkeit zum Erzeugen eines Ergebnisses d.h. einer Verwaltungsentscheidung ankommt. Bezogen auf Grundrechtsschutz werden Verfahren definiert als »Systeme von Regeln und/oder Prinzipien zur Erzeugung eines Ergebnisses. [...] Der weite Verfahrensbegriff läßt zugleich deutlich werden, worauf es der Verfahrensidee im Bereich der Grundrechte ankommt. Die Verfahrens- und Organisationsnormen sollen so beschaffen sein, daß das Ergebnis mit hinreichender Wahrscheinlichkeit und in hinreichendem Maße grundrechtsgemäß ist«.43

Diesem weiten Verfahrensbegriff wird gefolgt und unter »Verfahren« ein System von Regeln und/oder Prinzipien zur Erzeugung eines Ergebnisses verstanden, die die Nutzung von Big Data-Anwendungen so einschränken, dass diese in Einklang mit den Grundrechten aus der Grundrechtecharta (GRCh) und dem Grundgesetz (GG) sind. Ein wesentlicher Maßstab ist die Datenschutz-Grundverordnung (DSGVO). Zwar gewähren die Grundrechte des Grundgesetzes grundsätzlich nur ein Abwehrrecht gegenüber dem Staat, jedoch gewährleisten die Grundrechte aus der GRCh auch einen umfassenden Schutz gegenüber Privaten.44 Zudem gilt die DSGVO sowohl für öffentliche (staatliche) als auch für privatrechtliche Stellen.

43

Alexy

, Theorie der Grundrechte, S. 431; ihm folgend

Bonin

S. 42 und S. 44.

44

Kühling

/

Seidel

in Kingreen/Kühling, S. 161;

Jarass

weit darauf hin, dass Privatpersonen von Art. 7 und 8 GRCh »

nicht (unmittelbar) erfasst

« werden, aber für diese große Bedeutung hätten, da Privatrechtsnormen, die gegen Art. 7 verstoßen, seien (ebenso

Jarass

, Art. 51 GRCh Rn. 40) und »

die privatrechtlichen Vorschriften im Licht des Grundrechts, also grundrechtskonform auszulegen und anzuwenden

« seien,

Jarass

, Art. 8 GRCh Rn. 3.

II. »Big Data« ein schillernder Begriff – eine Annäherung

Die Anzahl der Publikationen, die den Begriff »Big Data« in ihren Titel aufgenommen haben, ist heute kaum mehr zählbar. Dabei ist weiterhin unklar, was unter dem Begriff zu verstehen ist. Er wird als »schillernd« beschrieben,45, was bezeichnend ist. Obwohl das Thema »Big Data« bereits seit einigen Jahren in der globalisierten Welt diskutiert wird, bleibt der Gegenstand dieser Untersuchung diffus. Was »Big Data« ist, bleibt bereits deshalb schwierig zu fassen, weil es keine allgemein akzeptierte Definition dieses Begriffs gibt.46 Es ist ein »opaker Begriff«, ein Terminus, der unsichtbar bleibt47 – gleichzeitig ein Begriff, von dem es Begriffsbestimmungen im Überfluss gibt.48 Seine Anwendung schwankt zwischen der Verwendung als informationstechnologisches Konzept und als Marketing-Buzzword.49 Bei vielen als Big Data-Anwendungen bezeichneten Verfahren stellt sich heraus, dass es sich um »klassische« Auswertungen, wenn auch von großen und sehr großen Datenmengen handelt. Zu Recht wird bei »Big Data« auf die begriffliche Unschärfe hingewiesen.50 Zudem ist die Abgrenzung zu anderen bekannten ähnlichen Phänomenen wie beispielsweise Data Warehouse, Data Mining., Business Intelligence oder Künstlicher Intelligenz (Artificial Intelligence) unscharf. Umso wichtiger ist, den Begriff für diese Untersuchung zu bestimmen.

Im heutigen Sinn wurde der Begriff »Big Data« – soweit ersichtlich – zum ersten Mal von Diebold im August 2000 in einem Papier zum 8. World Congress of the Econometric Society in Seattle benutzt.51 Er vermutet, dass der Begriff bei einem Mittagessen von Analysten der Fa. Silicon Graphics Inc. (SGI) Mitte der 1990’er Jahre entstand. Ursprünglich waren mit dem Begriff »Big Data« Datensätze bezeichnet worden, zu deren Verarbeitung man sog. Supercomputer benötigte.52

Bereits der entscheidende Teil des Begriffs, nämlich »Data«, ist nicht eindeutig bestimmt.53 Im informationstheoretischen Sinn handelt es sich um ein Zeichen oder Symbol für Mitteilungen, das formalisierbar und (beliebig) reproduzierbar sowie mithilfe dafür geeigneter technischer Medien leicht transportierbar ist.54 Einem »Datum« kommt als solchem kein Sinngehalt zu, es kann jedoch Träger von Informationen sein und zwar von »codierter Information«. Sinn wird dem »Datum« zugeschrieben, wenn dieser in einen Vorgang der Informationsmitteilung durch einen Absender und der Informationserzeugung durch den Empfänger eingeht, also Gegenstand von Kommunikation als Verständigungshandeln wird.55 »Datum« im Sinne des Datenschutzrechts ist ein »personenbezogenes Datum«, d.h. eine Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht.56 Soweit im Folgenden mit dem Wort »Datum« im datenschutzrechtlichen Sinn gemeint ist, wird dies durch »personenbezogen« gekennzeichnet, sonst handelt es sich um den informationstheoretischen Begriff »Datum«. Auf die Unterscheidung zwischen »Datum« und »Information«, wie sie zwischen DSGVO und dem Data Act bestehen, kann hier nicht eingegangen werden.57 An dieser Stelle kann der Begriff »Daten« nicht näher eingegrenzt werden. Auf die immense Diversität von Erscheinungsformen unter einem Begriffsdach »Daten« ist an anderer Stelle ausreichend eingegangen worden.58 Dort wurde darauf hingewiesen, dass »Daten« nicht notwendigerweise lediglich »Informationen« sind.59 Vielmehr bedarf es hierzu noch die Kenntnis von Kontext und Semantik (Bedeutung). In dieser Arbeit ist mit dem Begriff »Datum« immer die Kenntnis von Kontext und Semantik gemeint.

45

Härting

, CR 2014, 528; Kring (2019) S 57.

46

Hoeren/Sieber/Holznagel MultimediaR-Hdb/

Kolany-Raiser

Teil 15.1 Rn. 1;

Mayer-Schönberger

/

Cukier

S. 13.

47

Vgl.

Selke

et al., ABIDA-Gutachten Ethische Standards, S. 15 unter Hinweis auf den Deutschen Ethikrat, in dessen Gutachten »

Big Data und Gesundheit

« sich jedoch kein Hinweis findet. Vgl.

Behrndt

/

Wagner

, JRE 23 (2015), S. 129 (131);

boyd

/

Crawford

(2012), S. 662 (663): »

Big Data is, in many ways, a poor term

« und Casanovas/de Koker/Mendelson/Watts (2017), S. 1: »

’Big Data’ is a concept used to label key advances, opportunities and risks in data science. Despite its take-up in major policy documents, the term lacks precise content

«;

Wiegerling

in Kolany-Raiser/Heil/Orwat/Hoeren, S. 3. Ähnlich

Weichert

in Geiselberger/Moorstedt, S. 131 (133), nach dem es sich nicht um einen in rechtlicher Hinsicht klaren Sachverhalt, sondern um eine Sammelbezeichnung für umfangreiche Datenbestände handelt, die im Rahmen einer Zweitverwertung ausgewertet werden.

Jon Kleinberg

: »T

he term itself is vague, but it is getting at something that is real, [...] Big Data is a tagline for a process that has the potential to transform everything

«, zitiert nach

Lohr

, How Big Data became so big (2012).

48

Vgl.

Casanovas

/

de Koker

/

Mendelson

/

Watts

(2017), S. 2.

49

Favaretto

/De

Clercq

/

Elger

, J Big Data 2019, S. 1;

Wiegerling

in Kolany-Raiser/Heil/Orwat/Hoeren, S. 2.

50

Mayer-Schönberger

/

Cukier

S. 22, die jedoch einschränkend darauf hinweisen, dass sie die Exaktheit nicht vollständig aufgeben würden, »

sondern nur unsere Versessenheit darauf

«. Ausführlich zur Unschärfe von Big Data, S. 45ff. Siehe

Martini

, DVBl. 2014, 1481 (1482).

51

Diebold

(2012) S. 2 Fsn. 9 (S. 3) weist darauf hin, dass »

Big Data

« zwar im akademischen Bereich bereits früher, jedoch nicht im heutigen Sinn genutzt wurde. Ebenso

Behrndt

/

Wagner

, JRE 23 (2015), S. 129 (131).

53

»

Erster Mythos: Es gibt eine eindeutige Definition von Daten

«,

Hoeren

, MMR 2023, 33 (34).

54

Bisweilen erfolgt bei der Definition eine unzulässige Verkürzung auf elektronisch vorhandene Daten, so etwa

Zech

, GRUR 2015, 1151 (1153), der »

Daten [...] als maschinenlesbar codierte Information definiert

«.

55

So

Hoffmann-Riem

in Hoffmann-Riem, S. 11 (16).

57

Hierzu

Richter

, MMR 2023, 163 (164) und

Hennemann

/

Steinrötter

, NJW 2022, 1481 (1482 Rn. 5).

58

Vgl. Datenethikkommission S. 43 und

Martini

/

Kolain

/

Neumann

/

Rehorst

/

Wagner

, MMR-Beil. 2021, 3f.

59

Auch

Boehme-Neßler

unterscheidet zwischen »

vereinzelten, nackten Daten

«, die zu »

interessante(n) Informationen und wichtige(m) Wissen zu destillieren

« sind,

Boehme-Neßler

, UFITA 2015, 19 (23). Zur Unterscheidung zwischen »

Daten

« und »

Informationen

«, vgl.

von Schönfeld

S. 27ff.

1. Begriffsbestimmung nach Gartner

Es bedarf zumindest einer Arbeitsdefinition des Begriffs »Big Data«, um den Gegenstand der Untersuchung klarzustellen. Dabei wird meistens zur Beschreibung des Begriffs auf das zum ersten Mal bei Gartners60 beschriebene Modell der »drei V« zurückgegriffen:

– Volume (Volumen)

– Variety (Vielfalt).

– Velocity (Geschwindigkeit)

Das Modell der »drei V« geht ursprünglich auf den Analysten Doug Laney61 aus dem Jahr 2001 zurück, in dem dieser die Herausforderungen des (damaligen) Datenmanagements in diesen drei Dimensionen beschrieb.62

a)Teilaspekt »Volume«

Der Teilaspekt »Volume« beschreibt die Größe des Datenbestandes, um dessen Auswertung es bei Big Data-Anwendungen geht. Es geht nicht um die absolute Größe in Form einer bestimmten Byte-Zahl. Bei »Big« in »Big Data« handelt sich vielmehr um eine relative Größe, die sich je nach konkreter Anwendung verändert.63 Wann etwas groß im Sinne von »Big Data« ist, lässt sich nicht näher konkretisieren. Heutzutage belächeln wir die Datenmengen, die man vor wenigen Jahrzehnten für Entscheidungen herangezogen hat, aber das, was wir heute als große Datenmengen bezeichnen, wird man in wenigen Jahren ebenfalls belächeln.64 Eine Datenmenge wird daher als »Big« verstanden, wenn sie zu umfangreich und zu heterogen ist, um sie mit derzeit gebräuchlichen Technologien auszuwerten.65

Das BVerfG sieht die »Besonderheit des Eingriffspotenzials von Maßnahmen der elektronischen Datenverarbeitung [...] in der Menge der verarbeitbaren Daten, die auf konventionellem Wege nicht bewältigt werden könnte«.66 Zum Teil wird vertreten, dass die Ergebnisse umso besser werden, je größer die Datenmenge ist.67 Es ist ein starker Anreiz, möglichst viele Daten für lange Zeit zu speichern und mit anderen Daten zusammenzuführen.68 Zu Recht wird bezweifelt, ob die schiere Größe der Datenmenge tatsächlich zu besseren Ergebnissen führt.69 Hinzu kommt, dass in »manchen Fällen [...] kleiner einfach besser« ist.70 Gerade im Personalbereich findet die Software für »Big Data« ebenfalls bei kleineren Datenmengen Anwendung.71 Der alleinige Fokus auf das absolute Mehr an Daten wird dem Phänomen »Big Data« nicht gerecht:72 Es kommt weniger auf die absolute Zahl der Daten als auf ihre relative Größe an.73 Charakteristisch für »Big Data« ist, dass relativ zu der zu untersuchenden Frage deutlich mehr Daten gesammelt und ausgewertet werden.74 Es ist aber festzuhalten, dass das namensgebende Merkmal – auch wenn das »Big« nicht alles ist75 – für den Begriffsinhalt von »Big Data« wesentlich ist.

b)Teilaspekt »Variety«

Ein wesentlicher Aspekt ist die Fähigkeit, Daten aus unterschiedlichen Quellen zu analysieren, zu aggregieren und Querverbindungen herzustellen.76 Bisher wurden bei konventionellen Auswertungen77 bereits große Datenmengen verarbeitet, die jedoch strukturiert in Datenbanken vorlagen oder noch vorliegen, wie es z.B. bei der amtlichen Statistik – in der Regel – der Fall ist. Die oft als Beispiel für Big Data-Anwendungen angeführte Forschungsstudie »Nationale Kohorte (NaKo)«78 hält die für die epidemiologische Forschung erhobenen und aufbereiteten Daten strukturiert vor und erfüllt daher gerade nicht die Voraussetzungen für »Big Data«. »Big Data« zeichnet sich dadurch aus, dass Daten aus unterschiedlichen Quellen herangezogen werden können.79 Diese können sowohl strukturierte, semistrukturierte als auch unstrukturierte Datenquellen sein. »Strukturierte Datenquellen« weisen eine häufig gleichartige Struktur auf, d.h. die Daten sind in einer bestimmten Art und Weise angeordnet und können so verknüpft werden, um sie möglichst effizient zu verwalten und Erkenntnisse hieraus zu generieren. Strukturierte Daten, bei denen Buchstaben und Zahlen in Tabellen oder in Datenbanken gespeichert werden, lassen sich maschinell leicht und schnell durchsuchen und durch »klassische«, d.h. seit längerem bekannten Verfahren auswerten, um Aussagen zu Kausalitäten zu gewinnen. Bei »semistrukturierten Datenquellen« liegen die Daten selbst nicht strukturiert vor, beinhalten aber Strukturinformationen, sodass sie hierüber ebenfalls konventionell auswertbar sind.80 »Unstrukturierte Datenquellen« sind dagegen zunächst nicht auswertbar, da sie nicht tabellarisch, sondern in einem fortlaufenden Text oder als Audio- oder Video-Datei vorliegen. Sie entstehen z.B. bei der Benutzung von Smartphones oder der normalen Nutzung des Internets und sind über bestimmte anzugebende oder automatisiert mitgelieferte Daten (z.B. IP-Nummer beim Surfen im Internet) einer individuellen Person zuordenbar. Es handelt sich daher um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO. Big Data-Anwendungen durchsuchen die strukturierten, semistrukturierten und/oder unstrukturierten Datenquellen daher, um Zusammenhänge zwischen den Variablen, also Korrelationen, zu gewinnen.81Laney führte daher als weiteres Kriterium den Aspekt »Variety« (Vielfalt) – manchmal »Variability« genannt82 – ein. Es bezeichnet die Heterogenität der Daten, die sich aus unterschiedlichen Quellen speisen und in verschiedenen Formen vorliegen. Bei Big Data geht es gerade um die Fähigkeit, Daten aus unterschiedlichen Quellen zu analysieren, zu aggregieren und Querverbindungen herzustellen.83 Die Daten können daher in Text-, Bild-, Video- oder Audioform vorliegen und miteinander verknüpft werden. Gleich ob strukturierte, semi-strukturierte und/oder unstrukturierte Daten herangezogen werden, sind diese Verfahren niemals objektiv. Auch das objektiv gemessene Datum ist das Ergebnis eines Selektionsprozesses: Derjenige, der ein objektiv gemessenes Datum für eine Auswertung heranzieht, hat zunächst dieses Datum als relevant bewertet und es deshalb gemessen oder für die Auswertung herangezogen, während andere Daten entweder überhaupt nicht gemessen wurden, oder diese wurden zwar gemessen, aber zur Auswertung (bewusst) nicht herangezogen.84

c)Teilaspekt »Velocity«

Als weiteres Kriterium zieht Laney den Aspekt »Velocity« (Geschwindigkeit) heran, mit dem er Analysegeschwindigkeit meint.85

Erst mit einer Datenanalyse in Echtzeit86 kann »Big Data« sein für das Verwaltungs- und Wirtschaftsleben volles Potenzial entfalten.87 Neuere Daten, die schneller zur Verfügung stehen, haben eine höhere Aussagekraft.88 Das Programm Hadoop89, einem Verteilsystem von Datenspeichern, ermöglicht es, große Datenmengen auf Gruppen oder Cluster von Rechnern zu verteilen und später erneut schnell auf sie zuzugreifen. Anschließend erfolgt mit dem System Map Reduce Framework die mathematische Analyse, sodass riesige Datenmengen nahezu in Echtzeit ausgewertet werden können. Durch eine »divide-and-conquer-Strategie« kann dies auf mehreren Rechenknoten gleichzeitig und unabhängig voneinander geschehen.90 Der Einsatz fortgeschrittener Speichertechniken sorgt dafür, dass die Verarbeitung in Echtzeit mit großen Datenmengen durchgeführt werden können.91 Zwei Megatrends generieren Daten in immer höherer Geschwindigkeit: die zunehmende mobile Internetnutzung und das Internet of Things (IOT),92 das weitere und neue datenschutzrechtliche Probleme hervorruft und komplexe ethische Fragen aufwirft.93

d)Ergänzungen der Begriffsbestimmung durch weitere »Vs«

Die drei »V« aus dem Versuch einer Begriffsbestimmung werden zwar als sinnvoll, aber unvollständig betrachtet,94 sodass sie um weitere »Vs«95 ergänzt werden:

– »Veracity« (Verlässlichkeit oder Wahrhaftigkeit)

– »Value« (Wertschöpfung, Mehrwert)

Diese Merkmale sind nicht unumstritten und tatsächlich handelt es sich nicht um notwendige Wesensmerkmale vom Big Data-Anwendungen.

Der Teilaspekt »Veracity« (Verlässlichkeit oder Wahrhaftigkeit) bezieht sich auf die Richtigkeit und Messgenauigkeit der in die Analyse einbezogenen Daten. Danach lassen sich praxistaugliche Ergebnisse nur erzielen, wenn der Big Data-Anwendung qualitativ hochwertige Daten zugrunde liegen.96Daten können veralten und deshalb nicht mehr der Realität entsprechen. Es kann sich auch um von vornherein unrichtige Angaben handeln. Daher wird das Kriterium »Datenqualität« vermisst. Die Qualität der zugrunde gelegten Daten sei zu berücksichtigen, da sie hinsichtlich der Aussagekraft einer Big Data-Analyse einen erheblichen Faktor darstellen könne.97 Erstaunlich ist, dass Ungenauigkeiten bei den Daten bisweilen als Vorteil von »Big Data« angesehen werden.98

Unter »Value« (Wertschöpfung, Mehrwert) wird der (potenzielle) Informationsgewinn verstanden, der sich aus der Big Data-Anwendung ergeben soll und bezeichnet die Relevanz der Daten, andere sprechen vom Mehrwert der Daten.99

Die Kritik an der Unvollkommenheit der Beschreibung durch die ursprünglichen »drei V« ist zwar richtig. Abgesehen davon, dass es schwerfällt, zwischen den Teilaspekten »Veracity« und »Datenqualität« zu differenzieren, tragen diese beiden Teilaspekte zur Begriffsbestimmung nichts Wesentliches bei, da, selbst wenn große Datenmengen mindere Qualität haben, sie jedoch mit Big Data-Programmen ausgewertet werden können. Die Qualität der Daten spielt beim datenschutzrechtlichen Grundsatz der Richtigkeit (»Accuracy«) der Daten eine wesentliche Rolle, sodass die Argumente dort und nicht bei der Begriffsbestimmung zu betrachten sind.

Auch die Aufnahme des Teilaspekts »Value« ist nicht zielführend. Dass aus Big Data-Anwendungen ein Mehrwert erwachsen soll, ist zwar richtig. Bisweilen stellt sich jedoch als Ergebnis der Nutzung von Big Data-Anwendungen heraus, dass der Mehrwert gering oder nicht vorhanden ist.100 Dies ändert nichts daran, dass die Ergebnisse mit Big Data-Anwendungen gefunden wurden. Eine solche liegt auch vor, wenn der gewünschte Erfolg (»Mehrwert«) nicht generiert oder die Verlässlichkeit oder Zuverlässigkeit der Daten nicht gewährleistet ist.101 Bei Nutzung von Big Data-Anwendungen ist der Aspekt »Value« daher allenfalls eine Hoffnung. Für eine Begriffsbestimmung hilft eine Hoffnung nicht weiter. Zudem wird dieses Merkmal oft auf die Erzeugung wirtschaftlichen Nutzens verkürzt.102

e)Erweiterung um den Teilaspekt »Analytics«

Einige Autoren103 erweitern die Begriffsmerkmale mithilfe des Teilaspekts »Analytics«. Bei »Analytics« oder »Auswertung