Den Feind zum Freund machen: keine Angst vor dem Datenschutz

Den Feind zum Freund machen: keine Angst vor dem Datenschutz

0

 

Keine Angst vor dem Datenschutz | empolis.com

Haben Sie auch den Blogbeitrag von Dr. Christian Schulmeyer zum Thema DSGVO gelesen? Er kommt darin zum Schluss, dass der Datenschutz die Digitalisierung bremst und die Dynamik und Rentabilität von Unternehmen verringert. Ich glaube, viele sehen das ähnlich. Insbesondere Geschäftsführer datenverarbeitender Unternehmen, denn sie tragen das Haftungsrisiko für das Thema.

Deutsche Unternehmen müssen zum Stichtag 25. Mai 2018, der Inkraftsetzung der DSGVO, erhebliche Herausforderungen meistern. Aber ist die Lage wirklich so schlimm? Kann man nur noch resigniert auf einen Politikwechsel warten? Oder verbirgt sich in dem Thema vielleicht sogar eine Chance?

Gehen wir ein paar Jahre zurück. Der Begriff „IT-Sicherheit“ war damals eng mit dem Vorwurf verknüpft, Innovationen zu bremsen. Merken Sie was? Die allgemeine Wahrnehmung war: „Viel Aufwand, wenig Nutzen“. Dies war damals allerdings genauso falsch, wie es das heute für den Datenschutz ist.

Was hat sich geändert? Die Antwort heißt: Persönliche Betroffenheit. Fast jeder hat mittlerweile persönliche Erfahrungen sammeln können, was passieren kann, wann man elementarste IT-Sicherheitsmaßnahmen ignoriert. IT-Sicherheit ist zu einem Aspekt des persönlichen Schutzbedürfnisses geworden.

Aber jetzt mal Hand aufs Herz: Wer hat schon einmal Betroffenheit wegen der missbräuchlichen Nutzung seiner persönlichen Daten verspürt? Ja, vielleicht mal unerwünschte Werbung oder ähnliches, aber ein echter Schaden?

Wir gehen mit unseren persönlichen Daten heute so fahrlässig um, wie vor Jahren mit unseren IT-Systemen, als Firewalls und Virenscanner noch nicht selbstverständlich waren. Dabei ist das Schadenspotenzial groß. Was kann man alles mit einer gestohlenen Identität anfangen? Kaufverträge, Zugriff auf sensitive Daten, Bonitätsbewertungen, persönliche Diskreditierung, etc.

Überlegen Sie mal, wie oft es reicht Name, Adresse und Geburtsdatum zu nennen, um Vertragsdaten zu ändern. Vielleicht ändert sich unsere Einstellung zum Datenschutz, wenn wir plötzlich beim Onlineshopping nicht mehr auf Rechnung einkaufen können, der Abschluss einer Versicherung nur noch zu überraschend hohen Konditionen möglich ist oder die Benachrichtigungen zum Kreditkartenbetrug schneller eintreffen als die Rückbuchungen der ergaunerten Beträge.

Ich finde Datenschutz gut und ich halte ihn für unverzichtbar. Und ist seine Einhaltung wirklich so kompliziert? Bei der IT-Sicherheit geht es doch auch. Schauen wir uns das Thema vielleicht einmal von einer anderen, mehr technischen, Seite aus an.

Als Erstes eine gute Nachricht: Datenschutz betrifft nur personenbezogene Daten. Für die Verarbeitung aller anderen Daten kann man die DSGVO getrost ignorieren. Und weil eine gute Nachricht für dieses schwierige Thema etwas wenig scheint, hier gleich eine Zweite: Auch die DSGVO erlaubt die Speicherung und Verarbeitung personenbezogener Daten. Man muss lediglich sicherstellen, dass die Verarbeitung rechtskonform geschieht.

Warum sollte Datenschutz angesichts dieser guten Nachrichten nun Geschäftsprozesse behindern? Was verleiht diesem Thema eigentlich diese Emotionalität? Ich glaube es liegt an der gefühlten Unbeherrschbarkeit.

Ein besonderes Talent des Menschen liegt darin, sich für schwierige Aufgaben Werkzeuge zu schaffen. Für die IT-Sicherheit haben wir diese Werkzeuge gebaut. Das Problem ist weitestgehend auf technische Weise gelöst. Der Rest wird durch organisatorische Maßnahmen erreicht.

Die DSGVO sieht zur Umsetzung ebenfalls technische und organisatorische Maßnahmen vor. Es gibt aber bedauerlicherweise nur wenige technische Lösungen, die dann auch nur Teilaspekte des Problems adressieren und nicht selten genau die Aufgaben, die durchaus mit vertretbarem Aufwand organisatorisch zu lösen wären.

Und hier zeigt sie sich, die Chance für ein neues Geschäftsmodell im Thema Datenschutz. Bauen wir eine umfassende Lösung für den Datenschutz, die möglichst viele der notwendigen Aufgaben auf technische Weise löst. Klingt einfach, aber warum ist darauf vorher noch niemand gekommen?

Weil die zwei guten Nachrichten von eben es in sich haben. Will man den rechtskonformen Betrieb eines IT-Systems sicherstellen, müssen alle dort verarbeiteten Daten auf Personenbezüge hin untersucht und ihre Verarbeitung auf Basis einer klaren juristischen Grundlage erfolgen.

Bisher wird diese Aufgabe – wenn überhaupt – nur für strukturierte Daten automatisch von einem System durchgeführt, meist über Metadaten gesteuert. Personenbezüge in unstrukturierten Daten zu erkennen und entsprechende Metadaten zu vergeben, ist heute die Aufgabe von Sachbearbeitern und Analysten. Dies ist je nach Personalansatz für ein paar hundert Dokumente am Tag problemlos möglich. Nur stehen heute in Folge der Digitalisierung Millionen von Daten in Sekunden zur Verfügung. Das ist rein organisatorisch und manuell nicht in den Griff zu bekommen. Ohne rechtskonformen Betrieb dürfen die Informationen aber nicht genutzt werden. Dies ist der Grund, warum sich der Datenschutz wie der Bremsklotz am Siegeswagen der digitalen Revolution anfühlt.

Wie kann eine technische Lösung aussehen? DSGVO und BDSG beschreiben dies eigentlich präzise. Und hier die dritte gute Nachricht: Viele der geforderten Maßnahmen haben Sie vermutlich schon umgesetzt.

Wenn Sie sich mit der Sicherheit ihrer IT-Systeme befasst haben, sollten Sie Maßnahmen wie Zutritts-, Zugangs- und Zugriffskontrolle umgesetzt haben. Vermutlich erfolgt auch eine nach Nutzungszweck getrennte Ablage der Daten. Der Schutz von Daten gegen zufällige Zerstörung oder die Protokollierung von Veränderungen und Weitergaben sind eigentlich auch nichts Besonderes. All das gehört auch in eine technische Lösung für den Datenschutz.

Haben Sie tatsächlich noch nicht daran gedacht, so ist der Datenschutz nur ein weiterer Grund von vielen, das schnellstens nachzuholen. Sie können sich dazu vieler vorhandener Lösungen bedienen. Haben Sie diese Dinge, ist schon viel erreicht. Denn schaut man sich zum Beispiel die Forderungen des §9 BDSG an, fehlen eigentlich nur noch zwei Forderungen, die es technisch umzusetzen gilt.

Dies sind die Erkennung von Personenbezügen und die Zuordnung der Verarbeitung von Informationen zu einer klar definierten juristischen Grundlage. Intelligente Technologien zur Erschließung strukturierter und unstrukturierter Daten erkennen Personenbezüge automatisch und zwar auch in Millionen von Informationen. Bei der Erkennung fällt quasi die Position der Erwähnung der Person im Text gleich mit ab, die für eine Anonymisierung oder Pseudonymisierung genutzt werden kann.

Erkannte Personen kann man nun in einem zentralen Register ablegen. Auf dies hat lediglich das System und kein menschlicher Nutzer Zugriff. Hier können alle mit der Person verknüpften Informationen verlinkt, Fristen gepflegt und Verarbeitungszwecke dokumentiert werden. Gleichzeitig können an dieser zentralen Stelle die abgespeicherten Daten zu einer Person aktuell gehalten werden. Hier steht auch alles, was für ein Auskunftsersuchen benötigt wird. Alles Forderungen der DSGVO.

Auch Verarbeitungszwecke von Dokumenten können über intelligente Verfahren automatisch vom System ermittelt werden. Ein zweites Register könnte einen systemspezifischen Verarbeitungszweck, wie beispielsweise die Bearbeitung einer Schadensmeldung, der zugehörigen juristischen Grundlage zuordnen. In diesem Falle also der Vertragserfüllung mit Zustimmung des Kunden zur Datenverarbeitung. Ebenso kann hier der für den Zweck erforderliche Umfang der zu verarbeitenden Daten konfiguriert werden, also z. B. Name, Schadensort, Kontonummer, etc.

Jetzt noch ein bisschen Magie, die wir in der IT-Welt Integration nennen, und beide Register können in Kombination mit einem Berechtigungssystem einem Sachbearbeiter Zugriff auf die Personendaten einer frei formulierten Schadensmeldung gewähren, die er benötigt und die er gemäß seiner Aufgabe rechtskonform verarbeiten darf. In der Meldung erwähnte persönliche Daten von Dritten, können erkannt und anonymisiert werden.

Technisch fehlen nun noch intelligente Abgleichsverfahren zur Pflege der Register, um die Konsistenz der abgelegten Daten sicher zu stellen, dann sind wir am Ziel. Eine technische Lösung einer Datenschutzkomponente ist also möglich.

Ein paar organisatorische Maßnahmen braucht es natürlich dennoch zur Konfiguration. Hier muss sich die Denkweise im Systemdesign verändern. Die Anbindung der Quellen mit personenbezogenen Daten an die Datenschutzkomponente, die Definition der juristischen Grundlagen zur Datenverarbeitung und die Ermittlung der minimal notwendigen Informationsmenge zur Erfüllung der Aufgabe muss fester Bestandteil der Systemspezifikation werden. Compliance by Design sozusagen.

Wenn Sie das Thema näher interessiert, lassen Sie uns darüber sprechen, damit Sie zukünftig vielleicht mit mir einer Meinung sind und sagen: Datenschutz? Keine Angst, kleiner Aufwand, großer Nutzen. Denn Empolis verfügt über die notwendige Technologie und Erfahrung aus zahlreichen Projekten.

Teilen:

Über den Autor

Hubert Waschulewski

Sagen Sie Ihre Meinung!