INFORMATIONEN

Die Auswirkungen der DSGVO auf die Datenwissenschaft

Die Datenschutz-Grundverordnung, die nun seit fast anderthalb Jahren in Kraft ist, ist bei den Bürgern beliebt. Bei Datenwissenschaftlern und Datenanalysten löst dieser Text jedoch nach wie vor Ängste aus, da sie darin eine Bremse für die Nutzung personenbezogener Daten sehen. Ist dies der Fall? Sind DSGVO und Datenwissenschaft unvereinbar?

Viele Datenwissenschaftler und Datenanalysten würden die Schwierigkeiten bei der Aneignung des neuen europäischen Rechtsrahmens, der durch die Datenschutz-Grundverordnung geschaffen wurde, bezeugen. Einige beklagen sogar eine Unvereinbarkeit zwischen der Allgemeinen Datenschutzverordnung und der Verarbeitung von Daten. Nach diesem Text ist es jedoch erlaubt, personenbezogene Daten zu verarbeiten, wenn die Verarbeitung die in der DSGVO festgelegten Bedingungen erfüllt.

Zu diesen Bedingungen gehört zum Beispiel die Verpflichtung, die Zustimmung der betroffenen Person zur Erhebung personenbezogener Daten einzuholen, sowie die Verpflichtung, den Zugang zu diesen Daten entsprechend den festgelegten Zielen im Voraus auf autorisierte Teams zu beschränken.

Anonymisierung der Daten, unerlässlich, aber nicht ausreichend

Die allgemeinen Datenschutzbestimmungen schreiben nicht vor, dass die erhobenen personenbezogenen Daten anonymisiert werden müssen. Dennoch bleibt die Anonymisierung eine interessante Lösung, um personenbezogene Daten unter Wahrung der Rechte und Freiheiten des Einzelnen nutzen zu können.

Kurz gesagt, personenbezogene Daten dürfen nicht zu der betroffenen Person zurückverfolgt werden können. Bevor mit der Anonymisierung begonnen wird, muss als erster Schritt zur Erfüllung der Bedingungen der Datenschutz-Grundverordnung (DSGVO) eine unternehmensinterne Prüfung der durchgeführten Verarbeitung durchgeführt werden. Die Anonymisierung der Daten ermöglicht es Datenwissenschaftlern und Datenanalysten, diese zu nutzen, ohne gegen die DSGVO zu verstoßen, da die Daten nach der Anonymisierung nicht mehr der DSGVO unterliegen.

Es gibt mehrere Techniken zur Anonymisierung von Daten: Hier ist unter anderem die Methode des „Hashing“ zu nennen, die darin besteht, mit Hilfe eines Algorithmus die Daten von Einträgen so zu verändern, dass diese einen anderen Wert als ihr Ausgang haben. Eine weitere Technik zur Anonymisierung von Daten, die sich aus der Kryptographie ergibt: Die „differentielle Vertraulichkeit“, die die Einführung von Zufallszeichen in die Daten selbst ermöglicht. Auf diese Weise können die Daten in Frage gestellt werden, ohne dass bestimmte Merkmale preisgegeben werden.

Die Pseudonymisierung von Daten, empfohlen von der DSGVO

Unabhängig davon, für welche Anonymisierungstechnik sich ein Unternehmen entscheidet, bleiben Sicherheitslücken bestehen. Die Datenschutz-Grundverordnung empfiehlt, sich für die Pseudonymisierung von Daten zu entscheiden, die in der Verordnung wie folgt definiert wird: „Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese Daten getrennt aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass diese personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. „

Konkret besteht diese Technik darin, eine Kennung (oder allgemeinere personenbezogene Daten) durch ein Pseudonym zu ersetzen. Im Gegensatz zur Anonymisierung erlaubt diese Technik eine Re-Identifizierung. Die CNIL empfiehlt, insofern wachsam zu sein, als eine Re-Identifizierung aus Teilinformationen erfolgen kann (zum Beispiel kann die Kombination aus Stadt und Geburtsdatum ausreichen).

So müssen die verarbeiteten Daten einer unglaublich strengen Sicherheits- und Datenaufbewahrungspolitik entsprechen. Bedingungen, die auf den ersten Blick leicht einzuhalten sind, die aber schnell kompliziert werden können, wenn die Organisationen zuvor keine Werkzeuge eingesetzt haben, die in der Lage sind, Zugriffsrechte zu zentralisieren und Berechtigungen zu verwalten.

Unternehmen, die in der Lage sein wollen, personenbezogene Daten vertrauensvoll zu nutzen, müssen zunächst ihre Organisation überdenken, um die geeigneten Lösungen und Maßnahmen umzusetzen. So müssen die Mitarbeiter im Umgang mit personenbezogenen Daten nach der DSGVO geschult werden.

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass die DSGVO und die Nutzung von Daten nicht unvereinbar sind, solange sich die betroffenen Organisationen die Zeit nehmen, diese Ratschläge umzusetzen. Ohne diese vorgelagerte Umstellung gehen Unternehmen, die personenbezogene Daten verarbeiten, das Risiko ein, die DSGVO nicht einzuhalten oder in ihrer Datennutzung schnell eingeschränkt zu werden.

Legal Tech und Datenschutz

Datenschutz und Rechtstechnologie sind untrennbar miteinander verbunden. Im Bereich der Rechts-IT finden Unternehmen, die den Datenschutz ernst nehmen, kreative Lösungen. Doch wie kann die Kombination

mehr »