Rechtsfragen
Antworten für den Datenschutz bei Data Analytics
Dr. Söntje Julia Hilberg, LL.M. ist bei Deloitte Legal auf IT- und Datenschutzrecht spezialisiert. In ihrer Position als Head of IT Law hat sie umfassende Erfahrung in der Beratung nationaler und internationaler Unternehmen sowie der öffentlichen Hand in sämtlichen Rechtsfragen des IT- und Datenschutzrechts, insbesondere im Rahmen interdisziplinärer Projekte zur Konzeption und Umsetzung von IT-Strategien.
- Jede Verarbeitung personenbezogener Daten unterliegt den datenschutzrechtlichen Grundprinzipien: Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Richtigkeit, Speicherbegrenzung, sowie Integrität
- Auch wenn die genauen Anforderungen an die DSGVO nach derzeitiger Rechtslage noch offen sind und bis Mai 2018 konkretisiert werden, lässt sich die mögliche Zertifizierung bereits heute vorbereiten.
Wenn sich Unternehmen Data Analytics zuwenden, kommen an einer Auseinandersetzung mit den rechtlichen Rahmenbedingungen nicht vorbei. Denn das Wertschöpfungspotenzial von Data Analytics kann nur unter Berücksichtigung der rechtlichen Regeln voll ausgenutzt werden.
Insbesondere das Datenschutzrecht ist bei dem Thema Data Analytics relevant. Die Vernachlässigung der datenschutzrechtlichen Anforderungen kann zukünftig neben hohen Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes und zivilrechtlichen Ansprüchen der geschädigten Personen auch erhebliche Reputationsschäden für ein Unternehmen zur Folge haben. Dies macht klar: DatenschutzDatenschutz ist deshalb Chefsache. Unternehmensleitungen können es sich nicht mehr leisten, das Thema Datenschutz als reines "Nice to have" zu behandeln. Alles zu Datenschutz auf CIO.de
Welche Chancen bietet Datenschutz?
Doch Datenschutz sollte nicht nur als gesetzliche Anforderung, sondern unternehmerische Herausforderung betrachtet werden. Denn mit den Restriktionen kommen auch die Chancen:
Unternehmen, die ihre Daten rechtskonform auf Grundlage einer proaktiven, nachhaltigen und langfristigen Datenschutzstrategie nutzen, erzielen messbare Wettbewerbsvorteile gegenüber Konkurrenten. Die Datennutzung nach Wildwest-Manie hingegen führt - neben den gesetzlichen Sanktionen - zu spürbaren Nachteilen gegenüber der Konkurrenz. Denn aktuelle Entwicklungen und Vorfälle zeigen, dass Datenschutz und Datensicherheit sowohl aus Sicht der Verbraucher, als auch auf Seiten der Wirtschaft und Politik einen zunehmend höheren Stellenwert erlangen. Zugang zu Daten erhält derjenige, dem der Nutzer vertraut.
In Anbetracht des erheblichen wirtschaftlichen Wertes von Daten (the oil of the future) gilt deshalb: Je größer das Vertrauen, desto größer der Zugang zu Daten. Je größer der Zugang zu Daten, desto größer das Potential für Data Analytics und datengetriebene Geschäftsmodelle.
Wie lässt sich Datenschutz bei Data Analytics handhaben?
Wenn Datenschutz also der Schlüssel für den Erfolg von Data Analytics ist, gelten einige grundlegende Punkte in der Planung und der Umsetzung.
Step 1: Vorab-Check - Welche Daten werden benötigt?
Bei Data-Analytics-Anwendungen ist es hilfreich in einem ersten Schritt zu evaluieren, welche Daten benötigt werden. So ist es insbesondere beim Aufbau von Data-Analytics-Anwendungen und in Testsystemen häufig nicht notwendig, mit Realdaten und Klardaten zu arbeiten. Es genügt die Verwendung anonymisierter oder fiktiver Daten.
Anonymisierung bedeutet, dass eine Zuordnung der Informationen zu einer Person nicht mehr oder nur mit einem erheblichen und unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft möglich ist. Anonymisierungsmaßnahmen sind Verunschärfung, Aggregation, funktionale und personale Trennung von operativer Nutzung und Analytics, Löschung von direkten und indirekten Identifikationsmerkmalen und von Kennzeichen, die eine Zuordnung ermöglichen.
Die Verwendung vollständig anonymisierter oder fiktiver Daten im Rahmen der Data-Analytics-Anwendungen hat den Vorteil, dass die strengen Anforderungen des Datenschutzrechts nicht gelten.
Step 2: Wie weiter ? - Richtungsweisende Entscheidungen treffen
Kommt man im ersten Schritt zu dem Ergebnis, dass bei den Data-Analytics-Anwendungen personenbezogene Daten benötigt werden, sind die Anforderungen des Datenschutzrechts zu beachten. Jede Verarbeitung personenbezogener Daten unterliegt den datenschutzrechtlichen Grundprinzipien: Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Richtigkeit, Speicherbegrenzung, sowie Integrität.
Datenschutzrelevante Entscheidungen treffen
Damit zusammenhängend sind einige datenschutzrelevante Entscheidungen zu treffen:
Erfolgt die Datenverarbeitung in-house oder durch Dienstleister?
Werden Dienstleister zur Durchführung der Analytics Prozesse herangezogen, liegt häufig eine Auftragsverarbeitung vor. Hier müssen vertragliche Vereinbarungen mit dem Dienstleister getroffen werden, die die Einhaltung der Grundprinzipien des Datenschutzrechts bei der Datenverarbeitung gewährleisten.
Werden die Daten in Drittländer übermittelt?
Werden die Daten zu Analysezwecken in Drittländer übermittelt, so muss der Verantwortliche sicherstellen und nachweisen, dass dort ein angemessenes Datenschutzniveau herrscht und dass Betroffene ihre Rechte wahrnehmen können. Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, wie z.B. für Länder wie Kanada, Schweiz, Israel, Neuseeland, Uruguay und U.S. Unternehmen, die am EU-U.S. Privacy Shield teilnehmen, kann ein solcher Nachweis durch Binding Corporate Rules, EU-Standard-Klauseln, genehmigte Vertragsvereinbarungen oder Zertifizierungen erfolgen.
Wie können die Anforderungen von Privacy by Design umgesetzt werden?
Privacy by Design ist ein Prinzip, das die Grundsätze der Datenminimierung, Datenintegrität und Transparenz mit Hilfe eines neuen proaktiven und technologie-fokussierten Ansatzes angeht. Ausgehend von der Annahme, dass der Mensch ein wesentliches Einfallstor für Datenschutzvorfälle ist, sind bereits auf technischer Ebene wesentliche Grundsteine für den Datenschutz zu legen: Datenschutzmaßnahmen sollen technisch voreingestellt sein (Privacy by Default), Datenschutz und IT-Sicherheit sollen bereits von Anfang an in die technischen Systeme integriert sein.
Wie wird die Einhaltung der datenschutzrechtlichen Vorschriften nachgewiesen?
Wichtig: Der Verantwortliche, also derjenige, über die Zwecke und Mittel der Datenverarbeitung entscheidet, ist nicht nur verantwortlich für die Einhaltung der Anforderungen der Datenschutzgrundverordnung (DSGVO). Er muss ihre Einhaltung auch nachweisen können (Accountability).
Hierfür ist eine Vielzahl von Maßnahmen denkbar: Eine ausreichenden Dokumentation der Datenverarbeitung und der Schutzmaßnahmen, z.B. in Form eines Verzeichnisses der Verarbeitungstätigkeiten, ein regelmäßiger Tätigkeitsbericht des Datenschutzbeauftragten, sowie regelmäßige Audits können den Nachweis vereinfachen. Darüber hinaus sieht die DSGVO ausdrücklich die Möglichkeiten vor, sich an branchenspezifischen Verhaltensregeln zu halten oder den Nachweis mit Hilfe von Zertifizierungen zu erbringen.
Welche längerfristigen Maßnahmen sind sinnvoll?
Insbesondere die Zertifizierung ist zukünftig eine hervorragende Möglichkeit für Unternehmen, Risiken im Bereich Datenschutz und Datensicherheit praktisch zu handhaben und zu minimieren.
Auch wenn die genauen Anforderungen nach derzeitiger Rechtslage noch offen sind und bis Mai 2018 konkretisiert werden, lässt sich die mögliche Zertifizierung bereits heute vorbereiten. Denn es ist zu erwarten, dass sich die DSGVO Datenschutzstandards insbesondere im technischen Bereich an existierenden Standards wie ISO 27001 oder BSI Grundschutz orientieren werden. Unternehmen, die bereits heute diese Standards implementiert haben oder bis Mai 2018 implementieren, dürften deshalb auf die Zertifizierung gemäß DSGVO gut vorbereitet sein und sich damit die Chance sichern, "einer der ersten im Markt" zu sein.
Fazit
Die DSGVO kann die Basis für nachhaltige und erfolgreiche Data-Analytics-Anwendungen sein, wenn sie als Chance erkannt wird. Dies gilt jedoch nur dann, wenn einige grundlegende Punkte in der Planung und Umsetzung beachtet werden. Mit Blick auf die Zukunft im Datenschutz können Unternehmen schon heute sinnvolle Maßnahmen ergreifen.
Man sollte den Datenschutz nicht als Feind, sondern als Freund betrachten, der viel Aufmerksamkeit benötigt.