Zum Inhalt springen
Alle Beiträge anzeigen

Operationalisierung von Privacy-by-Design: Argumente für datenbasierte DSGVO-Compliance

Am 22. Juni 2018 um 11:00 Uhr EDT (17:00 Uhr MESZ) veranstaltet BigID gemeinsam mit Gästen von IBM, DLA Piper, der EU-Kommission und der französischen Regulierungsbehörde CNIL eine Online-Diskussion darüber, wie Technologie zur Automatisierung der DSGVO-Konformität beitragen kann (https://bigid.com/webinar-gdprcompliance/).

Da wir uns dem Inkrafttreten der DSGVO am 25. Mai 2018 nähern, versprechen viele Unternehmen Lösungen, um die detaillierten und komplexen Anforderungen der DSGVO zu erfüllen, aber nur eine Handvoll, BigID Einige von ihnen glauben, dass es ohne einen datenbasierten Compliance-Ansatz niemals möglich sein wird, dem Geist oder Wortlaut der Verordnung gerecht zu werden. Die gängige Praxis bei der Konfrontation mit neuen Vorschriften besteht darin, sich auf die Prozesse und die juristische Sprache zu konzentrieren. Dabei darf man nicht vergessen, dass das D in DSGVO für Daten und das P für Schutz steht. Die DSGVO ist keine talmudische Übung in theoretischer Privatsphäre. Im Kern handelt es sich um eine Verordnung über die Integrität einer messbaren Sache: der Daten einer Person. Dies erfordert Kenntnisse über die Daten dieser Person, was wiederum einen datenbasierten Compliance-Ansatz erfordert.

Die Einhaltung einer Regelung zur Nutzung und zum Eigentum von Daten lässt sich nur dann skalieren und automatisieren, wenn diese Daten zuvor erfasst, ihre Nutzung verfolgt und die Einhaltung der Richtlinien nachgewiesen wird. Datenschutzprozesse sind zwar wichtig, aber ohne entsprechende Produkte zur Gewährleistung der Einhaltung wird Datenschutz niemals überprüfbar und messbar sein.

Diese neue Perspektive auf die Einhaltung des Datenschutzes als etwas, das über Richtlinien und Prozesse hinausgeht, wird vielleicht nirgendwo besser veranschaulicht als durch das neue DSGVO-Gebot des „Privacy-by-Design“.

Der Weg zum Privacy-by-Design

Die EU-DSGVO stärkt die Konzepte „Privacy by Design“ und „Privacy by Default“ als zentrale operative Grundsätze. Unternehmen müssen daher den Datenschutz von der ersten Projektkonzeption bis zum vollständigen Betrieb berücksichtigen. Doch wie lässt sich „Privacy by Design“ erreichen, wenn die für die Datenschutz-Compliance verantwortliche Organisation nicht direkt für die Erstellung und Verwaltung einer neuen IT-Initiative verantwortlich ist?

Zu lange hat die Datenschutzabteilung in den meisten Organisationen Datenschutzrichtlinien und -prozesse für IT-Projekte festgelegt, aber es fehlte an effektiven Technologien, um die Einhaltung interner Regeln oder externer Vorschriften sicherzustellen. Compliance ohne Messbarkeit ist bloße Schätzung ohne effektive Produkte zur Messung des tatsächlichen Verhaltens und der Einhaltung von Richtlinien und vorgeschriebenen Prozessen. Um die Verfügbarkeit und Leistung von Anwendungen zu messen, werden keine Fragebögen verwendet, und es gibt keinen zwingenden Grund, sich beim Datenschutz mit weniger zufrieden zu geben.

Das D in GDPR steht für Daten

Was bei Diskussionen mit Anwälten über die DSGVO manchmal amüsant ist, ist die Abstraktion personenbezogener Daten vom eigentlichen IT-Objekt. Daten sind natürlich nichts Esoterisches: Sie sind präzise und quantifizierbare Informationseinheiten, die elektronisch gespeichert und verarbeitet werden. Als die EU erstmals über die Ablösung der bisherigen Datenschutzrichtlinie debattierte, ging es darum, präziser zu definieren, was geschützt werden sollte, und die Konsequenzen bei Nichteinhaltung präziser zu regeln.

Die EU-DSGVO ist in erster Linie eine Datenverordnung. Daher wird eine Einhaltung der DSGVO niemals operativ und im Sinne des Datenschutzes durch Technikgestaltung möglich sein, ohne die Daten zu kennen. Die Standortbestimmung von Daten durch Umfragen ist nicht viel besser als die Navigation nach Nordamerika mithilfe einer Karte aus dem 10. Jahrhundert. Sie ist bestenfalls ungenau, schlimmstenfalls unzuverlässig.

Um personenbezogene Daten von Verbrauchern wirksam zu schützen, muss man diese Daten kennen: ihren Standort, ihre Herkunft, ihren Zugriff, ihren Besitz usw. Daten können nicht geschützt werden, wenn nicht zunächst bekannt ist, wer geschützt werden soll.

Datengesteuerte Einhaltung des Datenschutzes für Personen

Die DSGVO ist hinsichtlich einer ganzen Reihe von Verpflichtungen sehr konkret, von den Rechten der betroffenen Person über den Zugriff auf Daten, deren Übertragbarkeit und Löschung bis hin zu Einwilligungsparametern und Pseudonymisierung, um nur einige Beispiele zu nennen.

All diese Verpflichtungen erfordern ein umfassendes und vertieftes Wissen über die personenbezogenen Daten, die ein Unternehmen erhebt und verarbeitet. Sie erfordern eine IT-ähnliche Operationalisierung des Datenschutzes: verankerte, aktuelle Informationen über die erhobenen und verarbeiteten Daten.

BigID ist ein Vorreiter unter den Unternehmen der nächsten Generation, die Big Data wie Informationen zu persönlichen Daten liefern, ohne dass eine Data WarehouseDas Webinar am 22. Juni befasst sich mit der Rolle, die Unternehmen wie BigID sowohl bei der Automatisierung der DSGVO-Konformität als auch bei der Bereitstellung echter datengesteuerter Schutzmaßnahmen für die Daten der Verbraucher spielen können.

Inhalt