Algorithmen – Einhaltung der DSGVO Gesetzgebung beim Umgang mit Big Data


Big Data wird häufig mittels folgender Eigenschaften, auch bekannt als 5Vs, definiert:

  1. Volume – Datenvolumen/-menge,
  2. Variety – Vielfalt an Datentypen und -quellen
  3. Velocity – Geschwindigkeit der Datenverarbeitung
  4. Validity/Veracity – Richtigkeit d.h. Datenqualität wie auch Wahrhaftigkeit und Glaubwürdigkeit der Daten
  5. Business Value – der Mehrwert für ein Unternehmen

Die  EU-Datenschutz Grundverordung (DSGVO) und damit einhergehende langfristige Auflagen, verdeutlichen, dass dessen Einhaltung wichtig bei der Nutzung von Algorithmen zur Verarbeitung von Big Data ist.

Die Europäischen Finanzaufsichtsbehörden (EBA, ESMA & EIOPA auch bekannt als ESA) haben im gemeinsamen Ausschuss am 15. März 2018 einen finalen Bericht über Big Data veröffentlicht. Hierin wurden Szenarien behandelt, in denen Big Data Algorithmen zu Diskriminierung und unangemessener Preisoptimierung, sowie Anpassungen von Marketing und bei der Preisgestaltung ähnlicher Kunden führten/missbraucht wurden.

Die wohl größte Herausforderung bei der Nutzung von Big Data und künstlicher Intelligenz  ist die Segmentierung von hochgranularen Datensätzen (Kundendaten), die u.a. zu Fehlklassifizierung führen können. Die DSGVO  schafft  die rechtliche Grundlage für Einzelpersonen, den Gebrauch ihrer Daten zu hinterfragen. Der Datenverantwortliche (Controller) wie auch der Datenverarbeiter (Prozessor) ist verpflichtet jeder Einzelperson detaillierte Informationen über ihre personenbezogene Daten und deren Verarbeitung innerhalb des Unternehmens wie auch über jeglichen Datentransfer zu Drittfirmen darzulegen. Die Einzelperson hat darüber hinaus das Recht der Verarbeitung personenbezogener Daten zu widersprechen, Löschung oder Korrekturen zu beantragen, und das Recht der Datenverarbeitung generell zu widersprechen oder diese einzuschränken (Artikel 15-22 DSGVO).

Die Verpflichtung der Informationsdarlegung und der Ergänzung von auf Einzelpersonen zurückzuführende Datensätze kann gerade für Finanzunternehmen kostspielig werden. Pseudonymisierung (Datenverschlüsselung) oder anonyme Informationen dagegen würden nicht solche Auflagen erzeugen. Unternehmen sollten daher so wenig Daten wie möglich verarbeiten, die auf Einzelpersonen zurückzuführen sind (Präambel 26, 28 DSGVO). Im Klartext heißt das, dass anonymisierte Daten (z.B. zur Verfolgung von Wachstum) nicht der  DSGVO unterliegen (z.B. Details zu vollbelasteten Hypothekendarlehen ohne relevante Informationen für einen Rückschluss auf Einzelpersonen). Investmentunternehmen und Handelsplätze müssen sicherstellen, dass solide Maßnahmen vorhanden sind, um zu verhindern, dass algorithmischer oder hochfrequenter Handel die Märkte stören.

(Aktualisiert am 12. April 2018)