Wüssten Sie nicht gerne mehr über Ihre Geschäftspartner? Würden Sie Produkte und Dienstleistungen nicht gerne noch schneller und detaillierter auf die Bedürfnisse Ihrer Kunden zuschneiden? Eigentlich müsste die Frage lauten: „Wer möchte das nicht?“
Doch wie kann dies am besten umgesetzt werden? Oft erhalten Sie als Antwort: „Big Data!“ und Ihr Datenschutzbeauftragter wird ein wenig blass…
Dieser Artikel verschafft Ihnen einen Überblick über den Begriff Big Data und die Vorgaben aus dem Datenschutz und zeigt auf, wie Sie Risiken mindern können.
Was ist Big Data?
Unter Big Data wird im Allgemeinen eine Hochgeschwindigkeitsanalyse großer Datenmengen verstanden mit dem Ziel, diese möglichst effizient zu nutzen. Die Daten stammen in der Regel aus verschiedenen Quellen, sind meist unstrukturiert und liegen häufig in unterschiedlichen Formaten vor. Bei entsprechender Rechenleistung können Berechnungen nahezu in Echtzeit mit exakten Ergebnissen beispielsweise zu bestimmten Verhaltensweisen ausgeführt werden. Auch Muster und Zusammenhänge lassen sich dadurch rascher erkennen.
Wie geht das mit dem Datenschutz?
Bei Big Data treffen alle Beteiligten immer wieder auf die Besonderheit, dass scheinbar „harmlose“ Daten ohne Personenbezug plötzlich doch unter die Vorgaben des Datenschutzes fallen. Dieser Fall tritt immer dann auf, wenn Verkettungen letztlich Rückschlüsse auf einzelne Personen zulassen. In vielen Fällen ist dies gewollt. Problematisch ist allerdings, dass die Daten vom Betroffenen im Regelfall für bestimmte Zwecke zu Verfügung gestellt werden, beispielsweise für die Erfüllung von Verträgen oder die Teilnahme an Veranstaltungen. In den überwiegenden Fällen müsste der Zweck der einstmaligen Datenverarbeitung im Nachgang geändert werden. Eine Zweckänderung bedarf jedoch immer einer neuen Rechtsgrundlage und kann die Information des Betroffenen auslösen. Eine Einwilligung für Big Data werden die allerwenigsten Unternehmen von Ihren Kunden eingeholt haben.
Eine Zweckänderung lässt sich lediglich dann im Einklang mit dem Datenschutz vornehmen, wenn eine gesetzliche Regelung dies zulässt oder der Betroffene einwilligt. Die Anforderungen an eine gesetzlich erlaubte Zweckänderung sind jedoch sehr hoch.
Ist eine Big Data-Analyse ohne Einwilligung möglich?
Big Data Analysen können Sie dann durchführen, wenn Sie vorab eine umfassende Einwilligung des Betroffenen eingeholt haben oder wenn die verwendeten Daten vor ihrer Nutzung anonymisiert wurden. Anonymisierung bedeutet aus Sicht des Datenschutzes, dass Rückschlüsse auf Personen nicht mehr möglich sind und zwar für alle auf die Daten zugreifenden Stellen bzw. datenverarbeitenden Stellen. Dies bedeutet, dass die anonymisierende Stelle keine Möglichkeit mehr haben darf, die Daten zu rekonstruieren.
Zu unterscheiden ist hierbei von einer sogenannten Pseudonymisierung. Pseudonymisierte Daten lassen sich im Regelfall zumindest von der pseudonymisierenden Stelle wieder rekonstruieren und fallen daher in den Regelungsbereich des Bundesdatenschutzgesetzes (BDSG).
Risiken
Große Datenmengen wecken oft große Begehrlichkeiten. Es besteht häufig die Gefahr, trotz eigentlich rechtskonformer Analyse, die Daten weiter als eigentlich zulässig (und geplant) zu verarbeiten. Große Datenmengen rufen immer wieder Datendiebe hervor, welche die Daten für ihre illegalen Zwecke nutzen wollen.
Kennen Sie alle Kollegen und externe Mitarbeiter in Ihrem Unternehmen? Können Sie für jeden Kollegen garantieren, dass er oder sie nichts Unrechtmäßiges im Sinn hat. Wahrscheinlich nicht. Das ist in den überwiegenden Fällen auch nicht möglich, denn erhebliche Datenmengen können eine unwiderstehliche Versuchung sein.
Schützen Sie die Daten
Ergreifen Sie (zusätzliche) Maßnahmen zum Schutz von Analysedaten. Den besten Schutz bildet die bereits erwähnte Anonymisierung. Aber auch (verbesserte) Zugriffs-, Weitergabe-, Auftrags- oder Trennungskontrollen können ein angemessenes Schutzniveau für Ihren „Schatz“ herstellen.
Prüfen und überarbeiten Sie ggf. Ihr Datenschutzkonzept und beachten Sie insbesondere die folgenden Punkte:
- Wird der Grundsatz der Datensparsamkeit weiterhin eingehalten?
- Wird die Zweckbindung sichergestellt?
- Müssen/können die Daten anonymisiert werden?
- Müssen/können die Daten pseudonymisiert werden?
- Besteht eine ausreichende Verschlüsselung und/oder Zugriffskontrolle?
- Ist eine Auditierung des Prozesses notwendig?
- Wie lassen sich die Betroffenenrechte sicherstellen?
- Benötigen wir einen erhöhten Schutz vor externen Angreifern/Social-Engineering-Attacken?
- Benötigen wir einen erhöhten Schutz vor internen Angreifern/Data Loss Prevention (DLP)?
- Sollten wir Nutzer gegen zunehmend unvorsichtiges Verhalten sensibilisieren?
Zusammenfassung
Big Data Analysen können im Regelfall nur dann datenschutzkonform durchgeführt werden, wenn
- die Zweckänderung gesetzlich zulässig ist,
- der Betroffene in eine Zweckänderung einwilligt oder
- die Daten vor der Analyse anonymisiert werden.
Eine Zweckänderung ist regelmäßig nur dann möglich, wenn eine einschlägige Rechtsvorschrift dies zulässt oder der Betroffene in die Änderung einwilligt. Durch den erhöhten (verwertbaren) Datenbestand werden im Zweifel auch die Risiken steigen. Prüfen Sie daher Ihre Sicherheitsmaßnahmen sowie Ihr Datenschutzkonzept und überarbeiten Sie diese bei Bedarf.
Sie haben Fragen zu Big Data oder anderen Datenschutz- bzw. IT-Sicherheitsthemen? Fragen Sie uns. Wie unterstützen Sie gerne!