Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Datenschutz bei Big Data
Der Begriff Big Data steht für das Sammeln und Verarbeiten sehr großer, komplexer und sich schnell ändernder Datenmengen, die aus unterschiedlichsten öffentlichen und nicht-öffentlichen Quellen stammen können.
Wurde der Begriff in der Öffentlichkeit anfangs eher als „diffus und schwammig“ wahrgenommen, so hat sich das Meinungsbild hierzu mit steigendem Bekanntheitsgrad in einer eher ablehnenden Haltung konkretisiert.
Nicht ganz zu Unrecht, wenn man bedenkt, welche weiteren Bedeutungen dem Begriff Big Data heute in der Presse und Literatur zugemessen werden. Da ist z. B. von „zunehmender Überwachung“ die Rede, von „Verletzung der Persönlichkeitsrechte“ oder auch von wachsender „Intransparenz der Datenerhebung und –verarbeitung“.
Gepaart mit der Annahme einer sich alle 2 Jahre verdoppelnden Datenmenge und der Vorstellung von schier unendlichen Verknüpfungs- und Auswertungsmöglichkeiten kommt die Befürchtung auf, dass Big Data zunehmend mit den Prinzipien der Verhältnismäßigkeit, der Zweckbindung und der Datensparsamkeit kollidiert. Neue Nahrung erhält diese Befürchtung durch politische Äußerungen auf dem 9. Nationalen IT-Gipfel 2015 in Berlin. Demnach wird von Europa in Bezug auf datenschutzrechtliche Prinzipien wie Zweckbindung und Datensparsamkeit ein „neues Verständnis“ gefordert, um der Verwendung von Big Data „durch einen falschen rechtlichen Rahmen“ nicht selbst im Weg zu stehen.
Die technische und rechtliche Entwicklung zeigt: Es wird künftig nicht einfacher werden, sich konfliktfrei im Spannungsfeld zwischen den Interessen des Unternehmens und dem gesetzlich verbrieften Recht jedes Individuums auf informationelle Selbstbestimmung zu bewegen. Die nachfolgenden Empfehlungen zielen daher konkret darauf, Big Data datenschutzkonform zu gestalten.
Dreh- und Angelpunkt hierfür ist ein Datenschutzkonzept, welches die innerbetrieblichen technischen und organisatorischen Datenschutz- und Sicherheitsmaßnahmen beschreibt und als Grundlage für den präventiven Schutz personenbezogener Daten dient. In Anlehnung an Art. 33 und 34 des Entwurfs der EU-Datenschutzgrundverordnung besteht voraussichtlich künftig die Pflicht einer Datenschutz-Folgenabschätzung. Neben den Daten und Verarbeitungsvorgängen sind dann auch die Risiken zu dokumentieren, die sich z. B. im Zusammenhang mit Big Data-Analysen für die Rechte und Freiheiten der Betroffenen ergeben können.
Sorgfältig ausgeführt sollten dann z. B. Risikobetrachtungen hinsichtlich der wirtschaftlichen, persönlichen, geographischen oder gesundheitlichen Aspekte der betreffenden Personen oder Personengruppen beschrieben sein. Durch die frühzeitige Einbindung des betrieblichen Datenschutzbeauftragten sowie ggf. der zuständigen Aufsichtsbehörde wird die Basis für Transparenz, Akzeptanz und Genehmigung des Verfahrens geschaffen.
Als eine legitime Zulässigkeitsvoraussetzung für Big Data-Analysen ist in einem zweiten Schritt die Einwilligung der Betroffenen zu berücksichtigen. Diese muss gem. § 4a BDSG auf freier Entscheidung des Betroffenen erfolgen, was unter anderem eine unmissverständliche Transparenz über den Zweck der Erhebung, Verarbeitung und Nutzung voraussetzt. Die Chancen für eine möglichst hohe Anzahl persönlicher Einwilligungen zur Freigabe von Daten für Big Data-Analysen steigen selbstredend mit der Qualität von Anonymisierungs‑, Pseudonymisierungs- oder Aggregationsvorgängen, um möglichst jeglichen rückwirkenden Bezug der Daten zu den Personen wirkungsvoll und nachhaltig zu unterbinden.
§ 3a BDSG gibt die Marschrichtung vor. Im Sinne der Datenvermeidung und Datensparsamkeit sind personenbezogene Einzelangaben zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und der Aufwand in einem verhältnismäßigen betriebswirtschaftlichen Aufwand zum Schutzzweck steht. So gesehen gilt es als hinreichend, wenn durch Anonymisierungsmaßnahmen wie z. B. das Löschen personenbezogener und personenbeziehbarer Angaben wie Namen, IP-Adressen etc. eine nachträgliche De-Anonymisierung unwirtschaftlich, also nur mit einem unverhältnismäßig großen Aufwand möglich und somit unrealistisch ist.
Alternativ zur Anonymisierung kann die sogenannte Pseudonymisierung in Betracht gezogen werden. An Stelle des Löschens personenbezogener Daten tritt hier das Ersetzen der betreffenden Angabe durch generierte Zufallswerte. Zufallsgesteuerte Kombinationen von Regeln zur Anonymisierung und Pseudonymisierung verringern zusätzlich die Möglichkeiten einer nachträglichen De-Anonymisierung. Darüber hinaus hilft das Ersetzen und Zusammenfassen von Einzelangaben durch allgemeine Gruppenangaben (Aggregation), die Datenschutzkonformität zu erhöhen.
§ 9 BDSG sieht neben den technischen auch organisatorische Maßnahmen vor, um den Anforderungen des Datenschutzes gerecht zu werden. Sinnvoll ist im Zusammenhang mit Big Data, die zweckfremde Erhebung, Verarbeitung und Nutzung von Zusatzwissen über Personen (sogenannte „weiche Faktoren“) unternehmensweit zu verbieten. Das betrifft „Robinson-Listen“ jeglicher Art, die z. B. neben den betriebsinternen Customer-Relationship-Management-Systemen (CRM) geführt werden könnten.
Fazit:
Wird im Sinne von „tue Gutes und sprich darüber“ auch noch in eine transparente und werbewirksame Außen-Kommunikation investiert, dürfte der Weg ein Stück freier sein für die Teilnahme an der Förderung des „Öls des 21. Jahrhunderts“ gemäß Stefan Gross-Selbeck, dem ehemaligen CEO von XING.
Bild: © Thomas Riegler / pixelio.de

Dipl.-Betriebswirt (FH), Dipl.-Wirtschaftsinformatiker (FH), zertifizierter Datenschutz- und IT-Security Auditor (TÜV), 5 Jahre Projektleiter für attributive Qualitätssicherungssysteme mit statistischer Prozesskontrolle in der Automobil-Industrie, seit 1995 bei DATEV eG, zunächst zuständig für Produktmarketing und Service MS-Office-Produkte und Dokumentenorganisation im Geschäftsfeld Eigenorganisation, seit 2000 tätig für Vorstands-Korrespondenz, Qualitätsmanagement und Reporting in der Stabsstelle „Service Quality Management“ beim Bereichsvorstand Service und Vertrieb der DATEV eG, seit 2002 dort als Fachberater und Bereichsbeauftragter zuständig für den Datenschutz.

Neueste Kommentare