Warum Data-Science-Projekte langfristig von der DSGVO profitieren werden

von | 6. März 2018 | Grundlagen

Welches Unternehmen beziehungsweise welche Organisation erhebt, sammelt und speichert heute keine Daten? Die neue Datenschutz-Grundverordnung (DSGVO) sorgt bei vielen Unternehmen daher für Verunsicherung. Betrifft die neue Datenschutz-Grundverordnung tatsächlich alle Unternehmen oder nur Einzelne?

Während sich vor allem kleine und mittlere Unternehmen vor den angekündigten Folgen fürchten, halten wir von der Alexander Thamm GmbH das Inkrafttreten der DSGVO prinzipiell für eine gute Nachricht: Denn jedes Unternehmen ist dadurch angehalten, sich bewusst mit seinem Datenverhalten zu beschäftigen. Das ist in erster Linie eine Chance, um den Umgang mit Daten abzusichern und neue Anwendungsmöglichkeiten zu erschließen.

In diesem Blogbeitrag beschäftigen wir uns mit den drei derzeit zentralen Fragen: Was ist die DSGVO genau? Welche Konsequenzen ergeben sich daraus für Data-Science-Projekte? Und inwiefern sind beispielsweise auch Maschinendaten oder anonymisierte Daten von der neuen Regelung betroffen?

Link-Tipp: Sie interessieren sich für Data-Science-Projekte? Dann schauen Sie sich doch einmal unsere Data Science Schulung an.

Die neue EU-Datenschutz-Grundverordnung

Genau genommen ist die neue EU-Datenschutzgrundverordnung DSGVO bereits vor fast zwei Jahren in Kraft getreten. Am 25.05.2018 endet die zweijährige Übergangsfrist, nach der die DSGVO auch zur Anwendung kommt. Die neue Grundverordnung beschäftigt sich in erster Linie mit den Grundrechten und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf den Schutz personenbezogener Daten (Art. 1 DSGVO).

Das hat zur Folge, dass Unternehmen und öffentliche Verwaltungen, die innerhalb der EU aktiv sind und Daten von Europäern verarbeiten, künftig Anpassungen vornehmen müssen. Die wichtigsten, konkreten Konsequenzen, die aus der DSGVO folgen, sind:

  • Personenbezogene Daten müssen vor Beschädigung oder Verlust geschützt
  • Daten müssen überwacht und Datenlecks müssen innerhalb von 72 Stunden gemeldet werden
  • Jeder EU-Bürger hat das Recht, eine Kopie der Daten zu erhalten, die über ihn gespeichert sind. Daten müssen daher schnell auffindbar sein und weitergegeben werden können (Datenportabilität).
  • Daten minimieren: Es dürfen nur die Daten behalten werden, die für den vorab bestimmten Zweck relevant sind – alle anderen müssen regelmäßig gelöscht werden.

Die DSGVO sieht drastische Bußgelder vor, weshalb sie von vielen Unternehmen gefürchtet wird. Diese sollen in jedem Falle „wirksam, verhältnismäßig und abschreckend“ sein (vgl. Art. 83 DSGVO). Je nach Einordnung der Verstöße  gegen die DSGVO sind Bußgelder für Unternehmen bis zu 20 Mio. Euro (bzw. 4 % des globalen Umsatzes) möglich.

Die DSGVO und Data-Science-Projekte mit personenbezogenen Daten

Für Data-Science-Projekte, die mit personenbezogenen Daten arbeiten, bedeutet die DSGVO, dass künftig Algorithmen teilweise offengelegt werden müssen. Dies zumindest insofern, als dass den Auskunftsrechten der Bürger nachgekommen werden muss. Das bedeutet, dass explizit nicht der Quelltext von Algorithmen offengelegt werden muss, sondern die einzelnen Faktoren, die beispielsweise bei der Vergabe eines Bankkredits miteinfließen und auf das Ergebnis einen Einfluss haben. Diese müssen auch zu einem späteren Zeitpunkt nachvollziehbar bleiben. Das gilt auch für alle Anwendungsgebiete, bei denen es um Profiling, Scoring und Screening geht. Auch die für diesen Zweck angelegte Data Lakes, müssen die neuen Anforderungen erfüllen.

Eine Besonderheit ist die Regelung für die Zusammenführung von Daten aus verschiedenen Quellen. Dieser Vorgang wird aus datenschutzrechtlicher Perspektive als eine neue Datenerhebung bewertet. Die Kombination von Daten kann zu neuen Informationen führen oder den Aussagegehalt eines Datensatzes über eine Person signifikant verändern. Darum stellt dieser Vorgang in Zukunft eine erlaubnisbedürftige Kategorie bei der Verarbeitung personenbezogener Daten dar. Sollen einmal erhobene Daten für einen anderen Analysezweck verwendet werden, muss ein Unternehmen explizit die Erlaubnis der betreffenden Personen einholen. Aus dem gleichen Grund ist eine zweck­freie Er­hebung beziehungsweise Haltung von personenbezogenen Daten auf Vorrat grundsätzlich nicht zulässig.

Die Folgen der DSGVO für Data-Science-Projekte mit Maschinendaten

Anonymisierte Daten sind von der DSGVO zunächst nicht betroffen, sondern explizit nur personenbezogene Daten. Gleichzeitig taucht hier ein Graubereich innerhalb der neuen Verordnung auf, da diese bestimmte Begriffe wie „Big Data“, „Data Intelligence“, „Advanced Analytics“, „Data Mining“ oder „Text Mining“ nicht kennt. In den Begriffsbestimmungen der Verordnung werden Verfahren zur Analyse und Prognose unter dem etwas unscharfen Begriff „Profiling“ zusammengefasst. Die jeweilige Praxis bei der Erhebung und Verarbeitung von Daten muss darum individuell betrachtet und bewertet werden.

Maschinendaten, die beispielsweise im Rahmen der Industrie 4.0 oder dem Internet of Things erhoben werden, sind zunächst nicht von der DSGVO betroffen. Allerdings gibt es hier Grenzfälle wie beispielsweise bei der Aufzeichnung von Standortdaten. Diese lassen sich durch die Verknüpfung mit Kennnummern, die die Geräteführer identifizieren, in Daten über natürliche Personen zurückführen. Maschinendaten, die auf diese Weise einen Personenbezug haben, fallen unter die Bestimmungen der DSGVO.

Bei Maschinendaten gibt es noch weitere Grenzfälle: Maschinendaten können beispielsweise auch dafür genutzt werden, um zu belegen, wie mit personenbezogenen Daten umgegangen wurde. Welche Daten wurden wie und wann genutzt oder gelöscht? Insofern sind Maschinendaten auch ein wichtiges Werkzeug, um die Anforderungen der DSGVO zu erfüllen.

Zudem können die aus Maschinendaten gewonnenen Erkenntnisse auch dabei helfen, Sicherheitsverletzungen schnell aufzuspüren, diese zu untersuchen und ihren Umfang abzuschätzen. Unternehmen können durch die Auswertung von Maschinendaten nicht zuletzt ihrer Meldepflicht bei einem Datenleck rechtzeitig nachkommen.

DSGVO als Compliance-Risiko und Data-Governance-Aufgabe

Die neuen Anforderungen der DSGVO bringen erhöhte Compliance-Risiken mit sich. Um den neuen Anforderungen gerecht werden zu können, bedarf es einiger Vorbereitungen und Anpassungen. Das Ziel muss dabei sein, Daten schnell aufbereiten und effizient nutzen zu können. Sollte ein Schaden eintreten, sind Unternehmen dazu verpflichtet nachzuweisen, dass sie in keinerlei Hinsicht für die Verursachung verantwortlich sind.

Dies kann beispielsweise durch eine Dokumentation aller sicherheitsrelevanten Aktionen geschehen. Maschinendaten liefern auch in diesem Fall die Informationen dafür. Sie können gegenüber Behörden als Nachweis dienen, dass angemessene Sicherheitsvorkehrungen getroffen und zur Minimierung des Risikos eingesetzt wurden.

Alle Unternehmen, die in der ein oder anderen Form personenbezogene Daten erheben und verarbeiten, müssen sich in Zukunft zwangsläufig intensiv mit den Themen Data Governance und Data Custodianship auseinandersetzen, um die Verantwortlichkeiten im Unternehmen klar zu verteilen.

Akuter Handlungsbedarf, aber kein Grund zur Panik

Durch die neue DSGVO sehen sich nahezu alle Unternehmen und Organisationen dazu gezwungen, sich damit auseinanderzusetzen, welche kundenbezogenen Daten sie haben und sich zu fragen, wofür sie diese nutzen. Der Umgang mit personenbezogenen Daten muss in Zukunft entsprechend dokumentiert werden.

Einer aktuellen Bitkom-Studie zufolge gibt es hier noch enormen Handlungsbedarf. Erst 13 Prozent der Unternehmen haben angefangen, sich mit den neuen Anforderungen durch die DSGVO zu kümmern oder geben an, diesen Prozess bereits abgeschlossen zu haben.

Die Bitkom-Studie besagt zudem, dass immerhin jedes dritte Unternehmen personenbezogene Daten dazu einsetzt, die eigenen Prozesse zu verbessern. Bei 42 Prozent der Unternehmen basiert sogar das gesamte Geschäftsmodell auf personenbezogenen Daten.

Das Ziel dieser Unternehmen muss sein, den gestiegenen Anforderungen durch die DSGVO so schnell und so nachhaltig wie möglich gerecht zu werden. Gerade darum stellt die DSGVO eine große Chance für Unternehmen und Verwaltungen dar, weil sie sich intensiv mit ihren Daten auseinandersetzen müssen. Eine ideale Gelegenheit, um Sicherheit beim Umgang mit Daten zu gewinnen und ihre Data Journey zu starten.

Autor:innen

Michaela Tiedemann

Michaela Tiedemann ist seit den jungen Startup Tagen der Alexander Thamm GmbH mit im Team. Sie hat die Entwicklung vom schnelllebigen, spontanen Startup hin zum erfolgreichen Unternehmen aktiv mitgestaltet. Mit der Gründung einer eigenen Familie begann für Michaela Tiedemann dann parallel dazu ein ganz neues Kapitel. Den Job an den Nagel zu hängen, kam für die frisch gebackene Mutter aber nicht in Frage. Stattdessen entwickelte sie eine Strategie, wie sie ihre Stelle als Chief Marketing Officer mit ihrer Rolle als Mutter in Einklang bringen kann.

0 Kommentare