Big Data für Kundendaten Möglichkeiten und Grenzen der Nutzung aus Sicht des Datenschutzes Hamburg/Bremen, März 2014 Dr. Ralf Kollmann © FIDES IT Consultants Agenda • • • • Was ist Big Data? • Motivation • Technische Voraussetzungen Auswertung von Big Data • Konventionelle Auswertung • Data Mining • Anwendungsfälle für Big Data-Anwendungen Big Data und der Datenschutz • Was ist Datenschutz? • Wesentliche Prinzipien des Datenschutzes • Sind Datenschutz und Big Data vereinbar? • Privacy-Preserving Data Mining • Verhaltensorientierte Werbung mit Nutzungsprofilen Fazit © FIDES IT Consultants 2 Big Data A lot of times, people don’t know what they want until you show it to them. Steve Jobs, 2007 © FIDES IT Consultants 3 Big Data A lot of times, people don’t know what they want until you show it to them. Steve Jobs, 2007 If I had asked people what they wanted, the had answered, faster horses. Henry Ford, 1915 © FIDES IT Consultants 4 Was ist Big Data? • Große Datenmengen • strukturierte Daten – bspw. Datenbanken • textbasierte Daten – bspw. E-Mail, Webseiten, Office-Dokumente • Oft aus unterschiedlichen Quellen / Datenpools stammend und nachträglich zusammengeführt • Verfahren zur Auswertung der Daten (bspw. Data-Mining und Text-Mining) • Änderung des ursprünglichen Verarbeitungszwecks – "Erweiterung des Horizonts" Ziel: Geschäftsmodelle datengetrieben analysieren und gestalten © FIDES IT Consultants 5 Was ist Big Data? Motivation • Mit dem kontinuierlich steigenden Umfang auswertbarer Daten steigt die Bedeutung der Daten für die Wirtschaftlichkeit und Wettbewerbsfähigkeit von Unternehmen. • Daten werden bereits als vierter Produktionsfaktor neben Arbeitskraft, Kapital und Rohstoffen bezeichnet. • Markttrends entwickeln sich so schnell, dass kleine Unternehmen an Marktführern vorbeiziehen können. Big Data hat das Potential zur "disruptiven Technologie" © FIDES IT Consultants 6 Auswertung von Big Data Konventionelle Auswertung • Datenstrukturen und Muster sind bekannt • Definition von Fragen • Definition der zur Beantwortung erforderlichen Daten • Präzise (und kontinuierliche) Beantwortung der Fragen • Keine neuen Erkenntnisse über die gestellten Fragen hinaus Data Mining • Datenstrukturen und Muster sind nicht oder nur teilweise bekannt • Ergebnisoffene, computergestützte Suche nach neuen Zusammenhängen • Aufdecken unbekannter Zusammenhänge möglich ("Auf diese Idee wäre ich nie gekommen") • Um die relevanten Erkenntnisse aufzudecken, müssen • Algorithmen individuell eingestellt werden • Erkenntnisse individuell interpretiert werden © FIDES IT Consultants 7 Was ist Big Data? Technische Voraussetzungen • • IT-Infrastruktur • Datenvolumen / Kapazität • Datendurchsatz / Bandbreite • Skalierbarkeit Auswertung (Big Data Analytics) • Entdeckungsorientierter Ansatz • BI-Systeme • OLAP • Datenanalyse-orientierter Ansatz • Effiziente Algorithmen zur Auswertung großer Datenmengen • Dedizierte Analyse-Software • Data Mining: Exploration und Identifikation relevanter Daten ("Nadel im Heuhaufen") © FIDES IT Consultants 8 Auswertung von Big Data Anwendungsfälle für Big Data-Anwendungen • Anhand von bisherigen Käufen und dem Surfverhalten ermitteln bspw. Online-Händler Empfehlungen für zukünftige Käufe ("Das könnte Sie auch interessieren"). • Google: Kategorisierung von Interessen anhand des Surfverhaltens (Selbsttest: "ads preferences") • Aufgrund einer Auswertung des Surf- und Telefonierverhaltens empfehlen Mobilfunkprovider neue Tarife für ihre Kunden. • Eine potentiell missbräuchliche Nutzung von Kreditkarten wird anhand des Nutzungsverhaltens der Kunden im Abgleich mit dem bisherigen Verhalten aus einer Vielzahl von Faktoren ermittelt (bspw. Zeit und Ort der Nutzung, Artikel, Geschäft). • In Smartphone-Apps werden Informationen zu Zeit, Ort, bisherigen Bewegungsmustern vieler Nutzer, "Check-Ins", "Likes", Kaufverhalten, demografische Daten und ggf. auch Informationen zu Verkehr und Wetter verbunden, um Rückschlüsse zu möglichen Interessen (Ermittlung von Werbezielgruppen) und zukünftigem Verhalten (potentiell interessante Geschäfte auf dem Weg) zu ermitteln. © FIDES IT Consultants 9 Big Data und der Datenschutz Was ist Datenschutz? • Datenschutz dient dazu, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). • Datenschutz dient dem Schutz persönlicher Daten vor Missbrauch und Verlust und der Gewährleistung der informationellen Selbstbestimmung. • Ungeachtet der fachlichen Definition werden aus Gründen betriebswirtschaftlicher Effizienz oft auch Geschäfts- oder Betriebsgeheimnisse (§ 17 Abs. 1 UWG) einbezogen. © FIDES IT Consultants 10 Big Data und der Datenschutz Wesentliche Prinzipien des Datenschutzes • Verbot mit Erlaubnisvorbehalt Die Verarbeitung personenbezogener Daten ist gesetzlich verboten, sofern nicht eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung gesetzlich zulässig ist (§ 4 Abs. 1 BDSG). • Rechtsgrundlagen der Zulässigkeit 1. Einwilligung 2. "Andere Rechtsvorschriften" • bspw. Tarifvereinbarung, Betriebsvereinbarung • Gesetze (bspw. TMG, TKG, HGB, AO) 3. BDSG, insbesondere: • Vertrag • "berechtigtes Interesse" • öffentlich verfügbare Daten • Werbung (im Einzelfall zu betrachten) © FIDES IT Consultants 11 Big Data und der Datenschutz Wesentliche Prinzipien des Datenschutzes • Transparenz Das Recht auf informationelle Selbstbestimmung ist zu wahren. Im BDSG wird dies insbesondere durch Benachrichtigungspflichten (§ 4 Abs. 3, § 28 Abs. 4 S. 2, § 33 BDSG) und Auskunftsrechte (§ 34 BDSG) umgesetzt. Transparenzpflichten ergeben sich darüber hinaus bspw. aus § 13 TMG. • Zweckbindung Die Verarbeitung personenbezogener Daten darf grundsätzlich nur zu dem dokumentierten Zweck erfolgen (der Zweck, zu dem die Daten überlassen wurden). Eine nachträgliche Änderung des Zwecks ist nur unter engen gesetzlichen Voraussetzungen zulässig (bspw. § 28 Abs. 2 BDSG). • Risiken • Imageschaden ("Schlagzeile in der Zeitung") • Bußgelder • Unzulässigkeit der Verfahren – Aktivität der Aufsichtsbehörden © FIDES IT Consultants 12 Sind Datenschutz und Big Data vereinbar? • Bei Verarbeitung von Big Data-Modellen mit personenbezogenen Daten sind datenschutzrechtliche Vorschriften, insbesondere das Bundesdatenschutzgesetz (BDSG), einzuhalten. • Das BDSG gilt nur für die Verwendung personenbezogener Daten. • Ist ein Ausschluss von Daten mit Personenbezug aus den Big Data-Modellen möglich, sind die Vorschriften des BDSG nicht mehr einschlägig. • Der aus der Auswertung von Big Data erwachsende Informationsgewinn und die damit verbundenen unternehmerischen Chancen können bei einem Verzicht auf die Nutzung personenbezogener Daten mit deutlich geringerem Aufwand realisiert werden. Ist der erwünschte Informationsgewinn bei Ausschluss der personenbezogenen Daten noch erzielbar? © FIDES IT Consultants 13 Sind Datenschutz und Big Data vereinbar? Folgende Möglichkeiten eines datenschutzkonformen Einsatzes von Big Data bestehen: • Auswertung von Daten im Rahmen des Vertrags, bspw. Erkennung von Unregelmäßigkeiten im Kaufverhalten des Nutzers oder bei der Nutzung von Kreditkarten (Erkennung von Missbrauch zum Schutz des Nutzers, im Rahmen des geschlossenen Vertrags) • Einwilligungsbasierte Auswertung, bspw. Auswertung des Kaufverhaltens und Zusendung von Coupons basierend darauf • Privacy-Preserving Data Mining © FIDES IT Consultants 14 Privacy-Preserving Data Mining • Auswertungen, die auf anonymen, anonymisierten oder pseudonymisierten Daten beruhen und für die keine oder handhabbare Restriktionen aus dem Datenschutz bestehen. Beispiel • Die folgenden Fragen sollen anhand von Datenauswertungen beantwortet werden: • Welche Artikel werden oft zusammen gekauft? • Ermittlung der geografischen Verteilung der Kunden ("Nennen Sie mir Ihre Postleitzahl?") • In diesen Fällen scheint eine Verarbeitung mit Personenbezug erforderlich (bspw. Zuordnung der Postleitzahl und gekaufter Artikel zur Kreditkartennummer oder einer Kundenkarte). • Der Personenbezug ist oft durch entsprechende Gestaltung vermeidbar, bspw.: • anonyme Speicherung der Postleitzahl • pseudonymisierte Speicherung des Kaufverhaltens, mit • Trennung von den tatsächlichen Kaufdaten Wichtig ist eine saubere Definition und Abgrenzung der Verwendungszwecke. © FIDES IT Consultants 15 Verhaltensorientierte Werbung mit Nutzungsprofilen • Erstellung von Nutzungsprofilen basierend auf dem Surfverhalten, bspw. unter Verwendung von Cookies • Zielgerichtete Werbung wird möglich – die Wirksamkeit ist besser als bei wahllos gestreuter Werbung • Steigerung der Reichweite • Steigerung der Akzeptanz der Werbung durch Ausrichtung an persönlichen Interessen • Maßvoller Einsatz • Vermeidung von Aufdringlichkeit und daraus resultierender Minderung der Werbewirksamkeit • Vermeidung des Gefühls, überwacht zu werden © FIDES IT Consultants 16 Verhaltensorientierte Werbung mit Nutzungsprofilen • Die Erstellung von Nutzungsprofilen ist grundsätzlich nur mit Einwilligung des Nutzers zulässig (§ 12 TMG). • Anonymisierte und insbesondere pseudonymisierte Nutzungsprofile dürfen zu Werbezwecken erstellt werden, • wenn der Nutzer nicht widersprochen hat und • auf den Widerspruch hingewiesen wurde. • Die Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden (§ 15 III TMG). • Bisweilen werden die Umstände der Zulässigkeit diskutiert. • Die geplante EU-DSGV wird voraussichtlich Auswirkungen auf die Erstellung pseudonymisierter Nutzungsprofile haben. Eine datenschutzkonforme Gestaltung ist generell möglich, wenn eine saubere technische und organisatorische Konzeption sichergestellt ist. © FIDES IT Consultants 17 Fazit • Insbesondere in Branchen mit starkem Kundenbezug (bspw. Handel, Online-Geschäfte) stellt Big Data zukünftig einen wesentlichen Wettbewerbsfaktor da. • Für eine effiziente Nutzung wichtig: • Denken Sie an eine nachhaltige technische Planung • Saubere Konzeption der Daten und Auswertungen • Bestehende Daten analysieren • Ziele der Datenauswertung festlegen • Auswertungen und Vorgehen konzipieren • Frühzeitige Berücksichtigung des Datenschutzes • Vermeidung von nachträglichem Mehraufwand zur Einhaltung durch zu späte Tätigkeit • Vermeidung von Imageschaden, Bußgeldern und Unzulässigkeit der Verfahren © FIDES IT Consultants 18 Ihre Fragen FIDES IT Consultants GmbH Dr. Ralf Kollmann Birkenstraße 37 28195 Bremen [email protected] Tel. 0421 3013 408 Fax 0421 3013 449 www.fides-it-consultants.de © FIDES IT Consultants 19