Datenanalyse und Compliance in der DSGVO

Die DSGVO betrifft alle Daten, die zur Identifizierung einer natürlichen Person verwendet werden können. Im DSGVO Artikel 4 heißt es dazu:

„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.”

Die Schwierigkeit besteht darin, dass die DSGVO auch Daten betrifft, die Personen eventuell identifizierbar machen können. Oft reicht ein einzelnes Datenelement nicht aus, um eine Person eindeutig, z.B. anhand des Namens ‘Christian Schröder’ zu identifizieren. Wenn man jedoch zusätzlich Kenntnis darüber hat, dass Christian Schröder in Hamburg lebt und für Starbucks arbeitet, kann man die Anzahl der Personen derart eingrenzen, dass eine Identifizierung viel einfacher möglich ist. Noch komplexer ist die Tatsache, dass ein Identifikator manchmal persönlich sein kann und andere Male nicht. So ist der Name Christian Schröder weit genug verbreitet, um (zumindest in einigen Ländern) nicht persönlich zu sein, aber bei seltenen Namen ist die Identifizierung einfacher.

DSGVO Artikel 7 verlangt, dass Personen eine Einwilligung nach Aufklärung erteilen, bevor ihre personenbezogenen Daten verwendet werden können. Das bedeutet, dass sie nicht nur die Zustimmung geben, sondern das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form und einer klaren und einfachen Sprache vorliegt. Wichtig ist außerdem, dass die Einwilligung auch jederzeit widerrufen werden kann.

Die DSGVO führt einige der härtesten Strafen weltweit für Unternehmen, die gegen Regeln verstoßen. Die möglichen Geldbußen betragen 20 Millionen Euro oder 4% des jährlichen weltweiten Umsatzes, je nachdem, welcher Betrag höher ist. Die EU wird auch befugt sein, non-konforme Organisationen vom Handel mit allen Nationen auszuschließen, die die DSGVO in ihr nationales Recht übernommen haben.

Durch die DSGVO erhalten Einzelpersonen bestimmte zusätzliche Rechte in Bezug auf ihre personenbezogenen Daten. Dazu gehören:

– Das Recht auf Vergessenwerden (d.h. eine Person kann die Löschung all ihrer Daten verlangen)
– Das Recht, eine Kopie all ihrer Daten anzufordern (kostenlos für die erste Kopie)
– Das Recht, die Einwilligung zur Verwendung ihrer Daten jederzeit zu widerrufen

Im Gegensatz zu vielen nationalen Datenschutzgesetzen gilt die DSGVO für jedes Unternehmen, das mit Daten von EU-Bürgern arbeitet. Sie gilt unabhängig davon, wo auf der Welt die Datenverarbeitung und -erhebung stattfindet und auch unabhängig davon, wo auf der Welt sich das Unternehmen befindet.

Die DSGVO definiert 7 Punkte, die auf den Prinzipien des Data Protection Act von 1998 basieren:

• Rechtmäßigkeit, Fairness und Transparenz
  Unternehmen müssen sicherstellen, dass die Datenerhebung und -verarbeitung im Rahmen des Gesetzes erfolgt und dass alle Daten fair verwendet werden. Das bedeutet, dass sie die Daten nicht in einer Weise verarbeiten dürfen, die für die betroffenen Personen schädlich, unerwartet oder irreführend sind.
• Zweckbindung
  Vor der Datenverarbeitung muss geklärt sein, zu welchem Zweck die Daten erhoben und verarbeitet werden. Die Zwecke müssen in der Datenschutzerklärung dokumentiert und spezifiziert werden. Unternehmen können Daten nur dann für einen neuen Zweck verwenden, wenn sie mit dem ursprünglichen Zweck vereinbar sind, sie eine aktualisierte Einwilligung erhalten oder sie über eine klare Rechtsgrundlage verfügen.
• Datenminimierung
  Unternehmen müssen sicherstellen, dass die von ihnen verarbeiteten personenbezogenen Daten angemessen (Daten werden nur für einen spezifischen Zweck gesammelt), relevant (Daten sind direkt mit dem Zweck verknüpft) und begrenzt sind (Daten werden nur für den Zweck benötigt und gelöscht, wenn sie nicht mehr gebraucht werden.)
• Richtigkeit
  Daten müssen den Tatsachen entsprechen und korrekt sein. Unternehmen sollten über Prozesse verfügen, um die Genauigkeit der Daten zu überprüfen und sicherstellen, dass die Daten nicht irreführend oder falsch sind.
• Speicherbegrenzung
  Unternehmen ist es nicht gestattet, personenbezogene Daten länger als nötig zu speichern. Dazu ist es erforderlich, dass sie wissen, welche Art von personenbezogenen Daten sie haben und wo sie gespeichert sind. Es sollten Richtlinien und Prozesse vorhanden sein, die die gespeicherten Daten regelmäßig überprüfen und löschen bzw. anonymisieren, wenn sie nicht mehr benötigt werden. Personen können jederzeit die Löschung ihrer Daten beantragen und Unternehmen benötigen geeignete Verfahren, um diesen Anfragen innerhalb einer angemessenen Frist nachzukommen.
• Integrität und Vertraulichkeit
  Unternehmen müssen über „geeignete technische und organisatorische Maßnahmen“ verfügen, um die von ihnen gespeicherten Daten zu schützen. Dies erfordert die Berücksichtigung von Aspekten wie Risikoanalyse, Organisationsrichtlinien sowie physische oder technische Maßnahmen.
• Rechenschaftspflicht
  Unternehmen sind für die Einhaltung der Vorschriften verantwortlich und müssen das nachweisen können.

DSGVO Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ beschreibt, dass Pseudonymisierung dabei helfen kann, den Datenschutzgrundsatz „Datenminimierung“ umzusetzen und somit die Rechte der betroffenen Personen zu schützen. Bei richtiger Anwendung kann Pseudonymisierung als Mittel zur Minimierung der über eine Person gespeicherten personenbezogenen Daten eingesetzt werden.

Pseudonymisierung ist ein Prozess, bei dem in einem Datensatz ein eindeutig identifizierendes Attribut durch ein anderes eindeutig identifizierendes Attribut ersetzt wird, das eine weniger semantische Bedeutung hat. So kann beispielsweise eine Sozialversicherung oder eine Bankkontonummer durch einen scheinbar zufälligen Wert ersetzt werden. Ein pseudonymisierter Datensatz kann jedoch bei zusätzlichem Wissen die Neuidentifizierung einer Person ermöglichen. Wenn man beispielsweise den Zeitpunkt kennt, zu dem eine Person in der Arztpraxis war, kann ein Angreifer einen Patienten in einer pseudonymisierten medizinischen Datenbank anhand der Zeit identifizieren.

Das bedeutet, dass pseudonymisierte Daten nach wie vor die Neuidentifizierung einer natürlichen Person ermöglichen und daher als sensible Daten betrachtet und behandelt werden sollten.

In dem DSGVO Erwägungsgrund 26 wird daher folgendes klargestellt: „Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.“

DSGVO Erwägungsgrund 26 unterscheidet ausdrücklich zwischen pseudonymisierten und anonymisierten Daten. Hier wird erklärt, dass pseudonymisierte Daten „als Informationen über eine identifizierbare natürliche Person betrachtet werden sollten“. Weiterhin heißt es dort: „Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“

Kurz gesagt: Die DSGVO gilt nicht für anonyme Daten!

In der „Opinion 05/2014 on Anonymisation Techniques“ beschreibt und vergleicht die European Article 29 Data Protection Working Party verschiedene Ansätze zur Datenanonymisierung.

In dem Paper der WP29 werden Anonymisierungsmethoden anhand von drei Kriterien betrachtet:

– Ist es möglich, eine Person auszusondern?
– Ist es möglich, Datensätze zu einer Person zu verknüpfen?
– Können Informationen über eine Person abgeleitet werden?

„Die Arbeitsgruppe ist der Ansicht, dass Anonymisierung als ein Fall der Weiterverarbeitung personenbezogener Daten mit den ursprünglichen Zwecken der Verarbeitung vereinbar gesehen werden kann, jedoch nur unter der Bedingung, dass der Anonymisierungsprozess so erfolgt, dass er zuverlässig anonymisierte Informationen im Sinne dieses Papiers erzeugt.“

Die Anonymisierung von Daten bedarf also laut WP29 nicht der Zustimmung des Nutzers, wenn die Datenerhebung selbst gerechtfertigt war.

Leider gibt es derzeit keine offiziellen Zertifizierungen für Tools und Methoden zur Anonymisierung. Die große Herausforderung und Schwierigkeit bei der Bewertung von Anonymisierungsmethoden besteht darin, dass keine bekannte Methode einen hundertprozentigen Datenschutz gewährleisten kann. Werden Daten anonymisiert, wird ihr Informationsgehalt zwangsläufig reduziert und verfälscht. Um sicherzustellen, dass Rohdaten ihre Bedeutung in einer Analyse behalten, können Daten nur eingeschränkt verändert werden. Mehr dazu erfahren Sie in unserem Artikel „Data Compliance in the GDPR – How anonymisation allows you to stay compliant in your data analysis“.