Ein Beitrag von Marius Gödtel
Die EU-DSGVO wird das Datenmanagement in unserer Wirtschaft verändern. Unternehmen, die Daten von EU-Verbrauchern speichern beziehungsweise verarbeiten, müssen zukünftig sehr sorgfältig und konsequent sein, wenn es um den Schutz dieser Daten geht. Im Zusammenhang mit dem Thema Business Intelligence und Business Analytics möchten wir Ihnen hier einen Überblick über die neue Datenschutz-Grundverordnung geben. Wir skizzieren dazu wesentliche Anforderungen und Lösungswege – anhand des Beispiels personenbezogener Daten.
Die Rechte der Kunden
Daten als „Unternehmenswert“ oder „Produktionsfaktor“ kennen wir bereits aus vielen Business Analytics-Projekten. Doch im Rahmen der verabschiedeten EU-DSGVO wird das Recht der Kunden auf Schutz ihrer Daten nun zusätzlich gestärkt. So haben die Kunden das „Recht auf Vergessen“ und dürfen zukünftig jederzeit erfahren, wie, wann, wo und vor allem zu welchem Zweck ihre Daten verarbeitet werden. Des Weiteren können Kunden die Verarbeitung ihrer Daten einschränken, eine Datenübertragung veranlassen und einen Widerspruch gegen die Verarbeitung einlegen.
Diese Rechte stellen Business Analytics-Systeme vor die Herausforderung, diesen Anforderungen gerecht zu werden, ohne ihren analytischen Wert zu gefährden. Durch die Umkehrung der Verantwortlichkeiten muss künftig jeder Datenverarbeitende den Nachweis über die Einhaltung des Datenschutzes erbringen. Hierzu ist ein „Verfahrensverzeichnis“ zu führen. In diesem sind Attribute wie beispielsweise Kontaktdaten, Verarbeitungszweck, Löschfristen und dergleichen zu speichern. Das Verfahrensverzeichnis muss einen vollständigen Überblick über die gesamte Datenverarbeitung liefern und es muss aktuell gehalten werden.
Maßnahmen zur Wahrung der Datensicherheit
Im Rahmen der EU-DSGVO sind folgende Maßnahmen zur Wahrung der Datensicherheit zu treffen.
- Risikoanalyse und -bewertung sowie entsprechende Schutzmaßnahmen
- Gewährleistungsprozesse zur Datensicherheit
- Rechtzeitige Benachrichtigung von Betroffenen
- Verschlüsselungsverfahren
- Authentifizierungs- und Autorisierungsverfahren
Bestehende Business Analytics-Systeme, kurz BA-Systeme genannt, verarbeiten oftmals personenbezogene Daten (PD), etwa im Rahmen eines Profiling. Dazu können beispielsweise Faktoren gehören wie: Arbeitsleistung, wirtschaftliche Aspekte, Interessen, geografische Daten, Bewegungsmuster, Gesundheit und andere. Daraus resultieren für die betroffenen Personen Rechte wie das Widerspruchsrecht oder die Einschränkung automatisierter Entscheidungen und die Datenschutzfolgeabschätzung. Zur Wahrung dieser Rechte müssen in BA-Systemen beispielsweise folgende Maßnahmen getroffen werden:
- Identifikation aller BA-Anwendungen (auch Individual- oder Self Service-Anwendungen)
- Prüfung der rechtmäßigen Verarbeitung
- Pseudonymisierung: Verschlüsselung von Daten über die Encrypt Option
- Anonymisierung: Löschen von identifizierenden Merkmalen und Aggregationen
- Löschkonzept: Wirksames Löschen in allen Ebenen eines BA-Systems
Um die wesentlichen Anforderungen der EU-DSGVO umzusetzen, müssen personenbezogene Daten zunächst erkannt und identifiziert werden. Anschließend sind die physikalischen Datenelemente den entsprechenden Fachanwendungen zuzuordnen und im Verfahrensverzeichnis zu vermerken. In der Folge müssen Zugriffe abgesichert werden und – um der Nachweis- und Auskunftspflicht Rechenschaft zu tragen – lückenlos auditiert sein.