A Datenschutz-Folgenabschätzung, kurz PIA, ist eine Analyse der Art und Weise, wie personenbezogene Daten von einem Unternehmen erhoben, verwendet, weitergegeben und verwaltet werden. PIAs sollen Unternehmen dabei helfen, sicherzustellen, dass die Erhebung und Nutzung personenbezogener Daten den Datenschutzbestimmungen entspricht, die Verwendung vorgeschriebener Datenschutztechnologien zu validieren, Risiken zu messen und die Einholung von Einwilligungen zu überprüfen.
Einige Unternehmen und die meisten Behörden veröffentlichen ihre Datenschutz-Folgenabschätzungen. Sie alle streben eine regelmäßige Aktualisierung an, sobald neue Anwendungen eingeführt werden oder kritische Ereignisse (neue Vorschriften, Fusionen usw.) eintreten. Datenschutz-Folgenabschätzungen sollen Unternehmen Klarheit über ihre Datenschutzrichtlinien und deren Umsetzung verschaffen.
Allerdings haben alle heutigen PIAs ein großes Problem: Im Grunde sind es Wörter, losgelöst von Daten.
Die Datensubjektanalyse sollte nicht subjektiv sein
Betroffene Personen sind Kunden und Mitarbeiter, deren Daten in einer Datenschutz-Folgenabschätzung (DSFA) untersucht werden. Diese Bewertung basiert heute ausnahmslos auf einer Umfrage und einer Reihe von Interviews mit Datenverwaltern. Unternehmensinhaber und IT-Abteilungen liefern Informationen dazu, welche Daten erhoben, wie sie verwendet, wer darauf Zugriff hat, wo sie weitergegeben werden usw. Die Zusammenstellung dieser Top-down-Ansicht des persönlichen Datenbestands eines Unternehmens und seines Nutzungszyklus in einer DSFA ist Aufgabe einer kleinen Gruppe von Beratern und Anwälten.
Die resultierende Analyse ist wie ein Gemälde – eine Momentaufnahme des Umgangs mit personenbezogenen Daten im Unternehmen. Im Vergleich zur Alternative, also gar kein Bild, ist diese Analyse durchaus wertvoll. Nach der Erfindung von Kameras und Film verließen sich die Menschen jedoch nicht mehr auf interpretierende Gemälde, um Szenen präzise darzustellen. Schließlich wurde noch nie ein Gemälde als Beweismittel vor Gericht verwendet.
Angesichts der Fortschritte bei Big Data und Data Science – dem Datenäquivalent zu Kamera und Film – stellt sich daher die Frage, ob es nicht an der Zeit ist, PIAs von Top-down-Interpretationen auf Wortbasis zur Verwendung personenbezogener Daten in einer Organisation hin zu Bottom-up-Reflexionen auf Datenbasis zur tatsächlichen Datenerfassung und -verwendung weiterzuentwickeln.
Beweise gibt es nicht nur zum Pudding
Viele Organisationen stoßen bei ihrer ersten Datenschutz-Folgenabschätzung auf die üblichen Herausforderungen und Ineffizienzen beim Ausfüllen von Formularen sowie bei der Durchführung von Interviews und Umfragen. Doch sobald diese Hürde genommen ist, stellen viele fest, dass ihre bestehenden Prozesse zur Ermittlung, Zuordnung und Klassifizierung personenbezogener Daten eher einer wohlmeinenden Absichtserklärung als einem Nachweis des tatsächlichen Datenstandorts und -flusses entsprechen.
Eine PIA dient unter anderem dazu, die Einhaltung interner Richtlinien und externer Gesetze zur Speicherung und Verarbeitung sensibler Daten nachzuweisen. Umfragen können zwar Aktivitätsindikatoren liefern, aber keine Gewissheit schaffen. Um die Datenerhebung und -verarbeitung präzise zu überprüfen, ist eine echte Datenerfassung erforderlich: die Fähigkeit, den Datenfluss von der Erfassung bis zur Entsorgung nachzuverfolgen. Andernfalls liefern Audits nie mehr als fundierte Schätzungen. Big Data und Data Science liefern die Grundlage dafür.
Von der Datenschutz-Folgenabschätzung zur Datenschutz-Folgenabsicherung
Da sich alle Unternehmen zu Softwareunternehmen entwickeln, wird die Fähigkeit eines Unternehmens, Kundendaten für einen besseren Kundenservice zu nutzen, über Gewinner und Verlierer entscheiden. Doch das Recht, Kundendaten zu nutzen, ist nicht umsonst. Immer mehr Menschen geben personenbezogene Daten weiter, vorausgesetzt, dass Unternehmen diese verantwortungsvoll verwalten. Datenschutz-Folgenabschätzungen tragen zwar dazu bei, das Vertrauen zwischen Verbraucher und Datenverwalter zu stärken, doch fehlt ihnen heute die notwendige „Verifizierung“, um das Vertrauen durch Beweise zu sichern.
Neue Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) der EU werden diesen Punkt verdeutlichen. GDPR Die Verordnung stellt in mancher Hinsicht einen Wendepunkt dar, da sie die Rechte der Bürger an ihren Daten klar definiert. Sie stellt die traditionelle Denkweise auf den Kopf, dass Unternehmen mit der Erfassung personenbezogener Daten in deren Besitz gelangen. In der neuen digitalen Welt ist Besitz nicht gleichbedeutend mit Eigentum, und Verbraucher haben auch noch lange nach der Erfassung durch ein Unternehmen ein Recht auf ihre Daten.
Dies erhöht den Aufwand für Unternehmen, die von ihnen gesammelten und verwendeten personenbezogenen Daten ordnungsgemäß zu erfassen. Glücklicherweise ermöglichen Fortschritte im Bereich Big Data die Verwaltung großer Identitätsdaten in großem Maßstab über Rechenzentren hinweg und WolkenDarüber hinaus haben Unternehmen durch bessere Buchhaltung und Governance die Möglichkeit, ihren Kunden durch personalisierte Dienstleistungen und Bedarfsvorausplanung einen höheren Mehrwert zu bieten. Wenn Unternehmen ihren Kunden jedoch nicht zunächst versichern können, dass sie Personalisierung bieten können, ohne die Privatsphäre und die Sicherheit ihrer Identitätsdaten zu gefährden, können sie ihren Kunden keinen Mehrwert bieten.
Datenschutz ist letztlich für alle Verbraucher wichtig. Datenschutz-Folgenabschätzungen sind ein notwendiger und wichtiger Schritt, um Verbrauchern – und den Regulierungsbehörden, die sie schützen – ein Gefühl dafür zu vermitteln, wie Unternehmen mit ihren Daten umgehen. Da sich die Wirtschaft zunehmend online verlagert, sind Datenschutzrechte jedoch grundlegender geworden.
Um Verbrauchern die Gewissheit zu geben, dass ihre Daten wertvoll sind und nicht nur als Ressource zur Ausbeutung dienen, müssen Unternehmen beginnen, persönliche Daten wie persönliches Geld zu behandeln. Erforderlich sind eine genaue Buchführung, eine klare Aufbewahrungskette und ein überprüfbarer Prüfpfad. Dies erfordert Big Data für Big Identity Data.