Datenschutz mit Datenmanagement und Data Governance umsetzen

(Zu) schnelle Digitalisierung schafft neue Probleme

Der Bedarf an zeitnah bereitgestellten Lösungen hat einige grundlegende Probleme überhasteter Digitalisierungsprojekte quasi im Zeitraffer illustriert. Eines dieser Probleme ist der primäre Fokus auf den Anwendungsfall, ohne sich vorher mit den benötigten zugrunde liegenden Daten und deren Management auseinanderzusetzen. Zentrale Fragen sind hier: Wo kommen die Daten her? Welche Qualität haben sie? Ist ihre Nutzung aus juristischer Sicht einwandfrei vertretbar?

So muss beispielsweise eine Bank, die ihr Kreditvergabeverfahren durch eine smarte App modernisieren möchte, sicherstellen, dass die Anwendung das relevante Wissen eines Kundenberaters in Form vertraulicher Daten abrufen kann – und das auch darf.

Eine weitere Herausforderung ist struktureller Natur. Der Aufbau von Datenbanken wurde über Jahrzehnte hinweg auf einzelne Applikationen ausgerichtet, die auf sie zugreifen. Um aber einen tatsächlichen Mehrwert zu generieren, müssen sich die Informationen künftig schneller und einfacher in Data Lakes exportieren lassen, um dort dank Technologien wie künstliche Intelligenz (KI) und Machine Learning als Grundlage komplett neuer Erkenntnisse zu dienen. Das geht nicht im Schnellverfahren, sondern erfordert eine weitsichtige und strategische Planung und Umsetzung.

Schwierig wird es zudem, wenn eine schnelle Operationalisierbarkeit statistischer Analysemodelle zulasten einer korrekten Datenaufbereitung und -sammlung geht. Dass Datenschutzverordnungen hier oft zu einem höheren Aufwand führen, zeigt ein viel diskutiertes Beispiel im Zusammenhang mit der Pandemie. So durften mehrere Bundesländer nicht auf Daten aus ihren Melderegistern zurückgreifen, um die Bürger über deren Impfberechtigung zu informieren. Stattdessen mussten sie die relevanten Informationen bei der Deutschen Post anfragen oder sich an andere offizielle Quellen wenden.

Solche Vorgaben sind oft lästig, wenn es schnell gehen soll. Doch der Zweck heiligt nicht die Mittel. Data Scientists, die interne und vermeintlich öffentliche externe Daten ohne Rücksicht auf die EU-Datenschutz-Grundverordnung (EU-DSGVO), AGB und Compliance-Vorgaben zusammentragen und verwenden, machen sich und ihren Arbeitgeber schnell juristisch angreifbar.

Dringlichkeit schlägt Datenschutz

Dass ein Spannungsverhältnis zwischen Datenschutz und schnell umsetzbarer Lösungen dabei nicht nur im digitalen Umfeld auftritt, zeigt ein exemplarisches Beispiel im Zusammenhang mit COVID-19: Die verpflichtende schriftliche Registrierung von Restaurantgästen auf teilweise öffentlich einsehbaren Listen war de facto eine Aussetzung des Datenschutzes im Sinne der EU-DSGVO ohne eine entsprechende Rechtsverordnung – doch für viele Gastronomiebetriebe die einzig anwendbare Lösung, um den Betrieb zügig wieder aufnehmen zu können.

Eine schnelle Umsetzbarkeit, pragmatisches Datenmanagement und das Einhalten von Datenschutzvorgaben sind also oft schwer vereinbar – und im Sinne der Wettbewerbsfähigkeit hat der Schutz personenbezogener Daten leider häufig das Nachsehen. Das wird vor allem dann problematisch, wenn datenschutzrechtlich zumindest fragwürdige Applikationen und Dienstleistungen als angenehm schneller Service deklariert werden, für den Regelungen wie die DSGVO eher lästigen Papierkram sind.

Doch viele schnell verfügbare, praktische und kostenfreie Services bezahlen die Nutzer eben nicht mit Geld, sondern mit persönlichen Daten. Wie wichtig und wertvoll diese Daten für Unternehmen sind, lässt sich anhand der viel diskutierten neuen AGBs von WhatsApp demonstrieren. Deren verstärkter Austausch mit dem Mutterkonzern Facebook beschäftigte die europäischen Behörden Anfang 2021, welche die neuen Regelungen eingehend auf Konformität mit den geltenden Datenschutzregelungen prüften. Mittlerweile musste Facebook allerdings klarstellen, dass die Regeln nicht im EU-Raum gelten.

Das Problem für viele Nutzer ist: Die Annahme solcher Geschäftsbedingungen ist Voraussetzung für die generelle Nutzung der entsprechenden Angebote und eine digitale Teilhabe. Eine Ablehnung und die damit verbundene Isolation erscheinen als Preis ungleich höher und verhindern die gewünschte schnelle Reaktionsfähigkeit. Doch für Unternehmen, die ihren Kunden seriöse digitale Dienstleistungen und Lösungen zur Verfügung stellen möchten, ist das kein gangbarer Weg.

Wege aus dem Datenschutz-Dilemma: Anonymisierung, Edge Analytics und Transparenz

Dabei gibt es für Unternehmen eine ganze Reihe an praktikablen Maßnahmen für ein verantwortungsvolles Management im Sinne des Datenschutzes. Sie beginnen mit einem einfachen Prinzip: Qualität statt Quantität. Bevor große Mengen an Daten in Data Lakes gesammelt werden, sollte man sie vorher im Sinne der vorher genannten Fragen (Qualität, Quelle, Verwendbarkeit) prüfen. Sonst stellen sich die negativen Effekte der sogenannten Data Gravity ein, wonach große Ansammlungen diffuser Daten immer mehr Daten, Software und Features anziehen und letztlich zu ineffizienten und trägen Prozessen führen.

Große Mengen an Daten sind die Grundlage für den Einsatz von künstlicher Intelligenz und Machine Learning, doch deren Logiken sollten im Sinne von Edge Analytics zu den Geräten gebracht werden, die die Informationen erheben. So lässt sich sicherstellen, dass mit Augenmaß gesammelt wird – ein Umstand, der nicht nur der Effizienz, sondern letztlich auch dem Datenschutz zugutekommt.

Eine weitere Maßnahme ist die Anonymisierung und Pseudonymisierung personenbezogener Daten. So sind Unternehmen, für die der Umgang mit sensiblen Informationen zum Kerngeschäft gehört, sogar juristisch zu einem solchen Schritt verpflichtet. Wollen beispielsweise Banken kritische Kundenprozesse im Sinne eines hybriden Bereitstellungsmodells ganz oder teilweise in die Public Cloud verlagern, darf dies laut EU-DSGVO aus Datenschutzgründen nicht mit Klardaten erfolgen.

„Unternehmen müssen ihre Kunden als mündige Teilhaber akzeptieren und sie offen und ehrlich darüber informieren, wie mit ihren persönlichen Informationen verfahren wird.“

Michael Herrmann, SAS DACH

Eine gute Hilfe bei der praxistauglichen Umsetzung solcher Herangehensweisen sind Data-Governance-Lösungen. Sie sollten aber über eine reine Auflistung allgemeiner Hinweise und Regeln hinausgehen und auch in der Lage sein, diese direkt anzuwenden.

Idealerweise prüfen sie Daten direkt auf deren Inhalte und bewerten die Ergebnisse entsprechend. Diese Bewertung wird dann – ähnlich wie bei Suchmaschinen – zur Basis eines Quellenrankings, in dessen Rahmen häufig genutzte Daten besser bewertet und entsprechend vorgeschlagen angezeigt werden.

Zusätzlich können analytische Verfahren dazu herangezogen werden, um den Inhalt bestimmter Felder automatisch als personenbezogen zu klassifizieren und ihn dann automatisch dynamisch zu maskieren. So lässt sich sicherstellen, dass ausschließlich Nutzer, die ein im Sinne der EU-DSGVO berechtigtes Interesse nachweisen, Zugriff auf diese Daten erhalten.

IT-Verantwortliche müssen im Rahmen des Datenmanagements einiges tun, um ihren Kunden gegenüber glaubhaft für verlässlichen Datenschutz einzutreten. Neben konkreten Umsetzungsmaßnahmen spielt dabei aber vor allem die Transparenz im Umgang mit den Daten eine Schlüsselrolle.

Unternehmen müssen ihre Kunden als mündige Teilhaber akzeptieren und sie offen und ehrlich darüber informieren, wie mit ihren persönlichen Informationen verfahren wird. Nur so schaffen sie eine vertrauensvolle Basis, ohne gleichzeitig im Zusammenhang mit Analytics und anderen datenbasierten Technologien über datenschutzrechtliche Fallstricke zu stolpern.

Über den Autor:
Michael Herrmann ist Senior Solutions Architect Data Management bei SAS DACH.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.