Unsicherheit beim Datenschutz
Aus Angst verzichten viele Unternehmen auf Data Analytics
Dass Data AnalyticsAnalytics und Data Protection untrennbar zusammengehören, und zwar nicht nur als sinnvolle sondern auch als notwendige Ergänzung, darüber war sich die Diskussionsrunde von Beginn an einig. Bis dato sind beide Disziplinen in Unternehmen allerdings häufig noch Gegenpole. Zum einen, weil die Datenschutz-Grundverordnung (DSGVO) viel Unsicherheit erzeugt hat, sodass aufgrund von Bedenken oft gar nichts in Sachen Datenanalysen unternommen wird. Zum anderen, weil der Fokus erst auf Analytics gelegt wird und der DatenschutzDatenschutz am Ende irgendwo noch dazu kommen muss. Keine guten Voraussetzungen also, um beide Aspekte reibungslos unter einen Hut zu bekommen. Alles zu Analytics auf CIO.de Alles zu Datenschutz auf CIO.de
Aber gerade die besonders schützenswerten Kundendaten sind für eine Analyse sehr wichtig, um die eigene Klientel besser bedienen und an das Unternehmen binden zu können. Deshalb ist es essentiell, dass Datenschutz und Datenanalysen in einer gemeinsamen Datenstrategie in Einklang gebracht werden, zum Beispiel mit einer Anonymisierung von personenbezogenen Daten.
In Europa gibt es allerdings neben dem Erwägungsgrund 26 der DSGVO nur wenig Statements dazu, was Anonymität bedeutet, wie diese erreicht werden kann und ab wann man sich rechtlich auf der sicheren Seite befindet. Die Aufsichtsbehörden der einzelnen Länder legen diese Kategorie mal strikter und mal weniger strikt aus. Das Ergebnis: Anonymisierung ist ein Graubereich.
Anonym ist nicht gleich anonym
So wie man beim Datenschutz zwischen Security und Privacy unterscheiden muss, so muss man auch in Sachen Anonymität differenzieren: Bei der absoluten Anonymität gibt es absolut keine Möglichkeit, die Daten auf eine Person zurückzuführen. Bei der faktischen Anonymität herrscht das Prinzip, dass der Aufwand, um in das System auszuhebeln und doch hinter die Identität einer bestimmten Person zu kommen, größer sein muss als die Erkenntnis, die man daraus gewinnt. Natürlich müssen dafür sehr sichere technische Maßnahmen ergriffen werden. Auch die Verteilung der Datenverarbeitung auf unterschiedliche organisatorischen Einheiten erschwert beispielsweise einen Angriff.
Informationen zu Partner-Paketen der Studie "Data Analytics & Data Protection" finden Sie hier
Entscheidend aber ist, dass Unternehmen für sich selbst ein passendes Schutzniveau festlegen, welches vom eigentlichen Ziel ausgeht. Wer weiß, was er genau erreichen will, kann gezielt darauf hinarbeiten, Technik und Governance-Regeln entsprechend auslegen. Weil aber heute noch zu selten das Schutzniveau von der Geschäftsführung festgelegt wird, entstehen Unsicherheiten darüber, was man mit den Daten nun machen darf und was nicht. Klare Regelwerke, Templates und Schulungen können hier weiterhelfen. Der Schutz von Personendaten ist dabei nur eine Sache. Erfolgreich ist, wer die Klassifizierung von Schutzmechanismen in einem Gesamtkonzept in Einklang bringt und den Standard nicht nur nach innen festlegt, sondern auch nach außen kommuniziert, um das Vertrauen der Kunden zu gewinnen.
Ohne Zweck keine Compliance
Als erstes das Ziel zu definieren und danach den Handlungsrahmen, mag bei der Anwendung von Robotics noch relativ einfach sein. Da auch der Roboter Algorithmen ableitet und auf einem Berechtigungskonzept arbeitet, müssen seine Anbindung festgelegt und die Rahmenparameter für den Datenschutz definiert sein. Mit anderen Worten: Auch die Anwendung von KI muss verstanden werden und darf nicht in einer als Blackbox enden, in der Algorithmen werkeln, die keiner mehr versteht.
Wie schafft man es aber in der Arbeitsumgebung eines kreativ denkenden Data Scientists, dass dieser nicht nach jedem Use-Case nachsehen muss, ob er denn noch compliant ist? Viele Unternehmen stellen Data Scientists ein, um explorativ mit Daten zu arbeiten. Das bedeutet oft, dass Ziel und Zweck der Analyse im Vorfeld noch nicht definiert sind. Und wenn der Zweck der Datenverarbeitung nicht definiert ist, wie soll der Datenschützer dann seine Freigabe dafür geben? Zwangsläufig werden irgendwann alle Daten anonymisiert werden müssen.
Doch Vorsicht: Eine Anonymisierung macht man nicht nur einmal und schließt sie dann ab. Nein, Datenschutz und Anonymisierung sind ein begleitender Prozess. So muss nach einer Datenanalyse immer geprüft werden, ob es nicht doch Möglichkeiten gibt, Rückschlüsse auf die Daten oder den Algorithmus zu ziehen. Wichtig ist auch die Frage, wo man überhaupt analysiert: Alles in einem Data Lake zusammenwerfen ist nicht der richtige Ansatz, denn personenbezogene Daten müssen nicht nur zweckgebunden analysiert sondern auch zweckgebunden gespeichert werden. Wie geht man dann zum Beispiel mit Daten um, die nur zu Testzwecken verwendet wurden?
Mit Awareness und Verständnis zum Mehrwert
Um wirklich immer auf der sicheren Seite zu sein, ist die Kenntnis der Datenflüsse essenziell. Viele Unternehmen sind von diesem Wissen aber noch weit entfernt, stehen sie aktuell doch noch vor der Herausforderung, ihre Daten überhaupt zu finden. Kundendaten, die beispielsweise ungeschützt in der Poststelle liegen, sind kein Einzelfall. Ein Datenkatalog kann Unternehmen die notwendige Transparenz darüber vermitteln, über welche Daten sie verfügen und in welcher Qualität sie vorliegen.
Auch sollte in so einem Katalog geregelt sein, wie die verschiedenen Daten verwendet werden dürfen, denn: Die Unternehmen haben zwar aus der DSGVO gelernt, dass sie verschiedene Mechanismen implementieren müssen, die Regulatorik geht aber immer noch an der Praxis vorbei. Nach wie vor werden Kundendaten per Mail verschickt. Was fehlt sind die Awareness und die Motivation auf Seiten der Mitarbeiter.
Informationen zu Partner-Paketen der Studie "Data Analytics & Data Protection" finden Sie hier
So kann man dem angstgetriebenen Datenschutz von oben auch dadurch begegnen, indem man sich Gedanken darüber macht, welchen Nutzen der Datenschutz für denjenigen bringt, der die Daten verarbeitet. Ohne Nutzen schwindet die Motivation, sich über den Schutz von Daten Gedanken zu machen.
Darüber hinaus gilt es, ein Bewusstsein für die Domäne des anderen zu entwickeln. Ein Datenschützer, der in Schulungen immer nur sagt, was man nicht darf, gilt bei den Data Scientists schnell als Spielverderber. Von daher muss man dem Datenschützer auch den Raum und die Zeit geben, die Inhalte und Ziele von Data Analytics zu verstehen. Nur dann kann er auch eine Umgebung schaffen, in der sich der Data Scientist frei entfalten kann, damit am Ende aus seiner Arbeit tatsächlich ein Mehrwert entsteht.
Gemeinsam zur richtigen Datenstrategie
Bei der Entwicklung einer Datenstrategie sollen Unternehmen den Datenschutz durch drei Brillen betrachten:
die vom Staat vorgeschriebene Regulatorik,
die Verpflichtungen gegenüber Dritten und
die eigenen Unternehmensinteressen.
Transparenz über Datenbestände und deren Schutzanforderungen zu schaffen, funktioniert aber nur, wenn Datenschützer und Data Scientists gemeinsam nach Lösungen suchen. Noch ist den Managern nicht bewusst, dass es interdisziplinäre Teams braucht, um Data Analytics und Data Protection strategisch zu vereinen. Schließlich kann man einem Data Scientist nicht zumuten, dass er sich juristisch so tief auskennt wie jemand vom Datenschutz.
Der Druck, dass es in den Teams - auch in den höheren Ebenen - Personen mit unterschiedlichen Fachkenntnissen geben muss, muss auch von den IT Security-Abteilungen kommen. Mit der Rolle eines Chief Data Officers würde ein Unternehmen zum Beispiel ein Zeichen setzen, dass es den Datenschutz ernst nimmt und ihm damit die Durchschlagskraft verleihen, durch die er auch gelebt wird.