Vorgaben für die datenschutzgerechte Datenanalyse
Die Analyse personenbezogener Daten sollte von der Datenhaltung getrennt sein, um die Umsetzung von Datensparsamkeit und Zweckbindung sicherzustellen.
Datenmissbrauch liegt nicht nur dann vor, wenn personenbezogene Daten gestohlen und für kriminelle Zwecke genutzt werden. Bereits eine scheinbar harmlose Datenanalyse kann zum Missbrauch von Daten führen. Umfragen zeigen, dass sich Nutzer vor heimlichen, weitreichenden Analysen fürchten, die sie zu gläsernen Kunden oder Bürgern machen, und nicht etwa nur Angst haben vor einem Diebstahl ihrer vertraulichen Daten.
Tatsächlich liegt ein Missbrauch von Daten bereits vor, wenn personenbezogene Daten ohne rechtliche Zulässigkeit verarbeitet, genutzt oder gespeichert werden. Zum einen bedarf es für Datenanalysen einer rechtlichen oder vertraglichen Grundlage, also einer Privilegierung per Gesetz oder durch Einwilligung des Betroffenen. Andererseits ist die Erlaubnis stets an einen bestimmten Zweck der Verarbeitung, Nutzung oder Speicherung gebunden. Werden Daten zu einem anderen Zweck ausgewertet, ist der Datenschutz verletzt.
Betrachtet man Lösungen aus dem Bereich der Datenanalyse, so scheinen diese immer mächtiger zu werden. Die Analysefunktionen werden schneller und leistungsstärker, die Möglichkeiten zur Verknüpfung verschiedener Datenbestände immer umfangreicher. Big-Data-Analysen sind hier das richtige Stichwort.
Diese Analysen werden deshalb eher kritisch diskutiert, weil sie die Daten über Nutzer oder Bürger in einer neuen Tiefe und Qualität analysieren können, die den Datenschützern teilweise zu weit gehen. Deshalb sollten Lösungen zur Datenanalyse von Anwenderunternehmen immer auch einer Datenschutzkontrolle unterzogen und von Anbietern bereits im Standard mit Datenschutzfunktionen versehen werden (Privacy by Design, Privacy by Default).
Datenschutz bei Datenanalysen wird oftmals falsch verstanden
Viele Anwenderunternehmen wissen aber gar nicht, was guten Datenschutz bei der Analyse personenbezogener Daten ausmacht und wie entsprechende Datenschutz-Funktionen in Analyselösungen aussehen sollten. Gleichzeitig glauben sowohl Anwender als auch Anbieter im Bereich Datenanalyse, dass der Datenschutz die Analysen wertlos und frei von jeder Aussagekraft machen würde. Diese Vorstellung mindert natürlich die Motivation, mehr für den Datenschutz bei der Analyse personenbezogener Daten zu tun.
Hinter dem Missverständnis des Datenschutzes steckt allerdings meist, dass die Ziele der Analysen und der Bedarf an Analyseergebnissen nicht richtig hinterfragt werden. So ist die Vorstellung, dass für Internetnutzer relevante Online-Werbung und Datenschutzmaßnahmen bei der Webanalyse sich widersprechen, nicht richtig. Tatsächlich lassen sich Zielgruppen ihrem Bedarf und ihren Interessen entsprechend ansprechen, ohne die einzelnen Personen innerhalb der Zielgruppe genau zu identifizieren.
Abfragen und Auswertungen müssen Zweckbindung beachten
Der erste Schritt zur Vermeidung von Analysen, die nicht dem Datenschutz entsprechen, ist die Beschränkung der Datenerhebung und Datenspeicherung auf den privilegierten Zweck der Datenverarbeitung. Gerade bei der Zusammenführung von Datenbeständen, wie dies bei Big Data meist der Fall ist, reicht dieser Schritt aber nicht aus.
Datenschutz verhindert keine aussagekräftigen Datenanalysen, sondern macht sie erst rechtlich zulässig.
Selbst wenn die einzelnen Datensätze jeweils mit Erlaubnis erhoben und ausreichend datensparsam sind, sich also streng an dem Zweck der Datenverarbeitung halten, können die Abfragen und Auswertungen zu anderen Zwecken erfolgen, als dies bei der Erhebung vorgesehen war. Zentral für den Datenschutz bei der Datenanalyse ist also die Einhaltung der Zweckbindung auch bei der Auswertung über verschiedene Datenbestände hinweg.
Datenschutzfreundliche Datenanalysen lassen keine gemeinsamen Auswertungen von personenbezogenen Datenbeständen zu, die zu unterschiedlichen Zwecken erhoben wurden. Andernfalls ist ein Verstoß gegen die Zweckbindung vorprogrammiert.
Um sicherzustellen, dass die Abfragen tatsächlich die Beschränkung durch den Erhebungszweck beachten, reicht es nicht, einmal die Abfragen so zu konfigurieren. Die Berechtigungen zur Definition von Abfragen müssen auch entsprechend restriktiv vergeben werden. Eine Ausweitung von Analysen sollte zum Beispiel nur nach dem Vier-Augen-Prinzip möglich sein, wobei jeweils die Erhebungszwecke der Datenbestände beachtet werden.
Umfang der Analysen auf Feldebene betrachten
Wie datenschutzkritisch eine Analyse ist, hängt davon ab, welche Kategorien personenbezogener Daten untersucht werden sollen. Geht es um
- Daten mit direktem Personenbezug (wie dem Namen)
- oder personenbeziehbare Daten, die sich mittels weiterer Daten einer Person zuordnen lassen (wie einem Auto-Kennzeichen),
- Daten besonderer Art (wie Gesundheitsdaten).
Den möglichen Personenbezug nimmt man den Daten mittels Anonymisierung oder durch Datenmaskierung, wobei die echten Daten zum Beispiel durch nichts sagende Platzhalter ersetzt werden. Wird der Personenbezug erfolgreich entfernt, gibt es vom Datenschutz her keine Einschränkung mehr für die Analysen.
Analysefunktionen und Datenhaltung trennen
Eine technische Möglichkeit, die Datenanalysen so zu gestalten, dass der Datenschutz gewahrt bleibt, liegt darin, die personenbezogenen Daten unter der Hoheit der Betroffenen oder einer vertrauenswürdigen Stelle vorzuhalten und nur die Abfragefunktionen in die Hände der Auswerter zu geben. So gibt es Lösungsbeispiele, die die personenbezogenen Daten auf dem Endgerät des Nutzers belassen und den Analysewerkzeugen nur ganz gezielte Zugriffe zu erlauben.
Alternativ können auch die Datenbestände und die Analysefunktionen unter der Hoheit einer vertrauenswürdigen Stelle verbleiben, und an Dritte werden nur anonymisierte Ergebnisse weitergereicht. Dadurch können die Analysen die komplette Aussagekraft der Daten nutzen, der Einsatz von Mittelwerten bei der Anonymisierung wird vermieden, die Analyseergebnisse aber lassen keinen direkten Personenzug mehr zu.
Entscheidend bei solchen datenschutzfreundlichen Analysen ist, dass sowohl die Datenbestände als auch die Analyselösung nicht durch Dritte unerlaubt manipuliert werden können. Ein interessantes Beispiel, wie sich Datenanalysen und Datenschutz so verbinden lassen, dass die Analysequalität hoch bleibt, ist Aircloak. Hier wird deutlich, dass der Datenschutz keine aussagekräftigen Datenanalysen verhindert, sondern letztlich erst rechtlich zulässig macht.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!