Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden

Mittwoch, 17. Januar 2018

Datenschutz

"Wir erleben derzeit, wie Unternehmen versuchen Personendaten zu ergaunern"

Von Chr. Schulzki-Haddouti | 20. September 2013 | Ausgabe 38

Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert macht sich Sorgen. Dort, wo personenbezogene Daten mit anderen verknüpft werden, entstehen riesige Bestände. "Big Data" offenbart Unternehmen attraktive Informationen. Doch in der Praxis geht laut Weichert der Datenschutz verloren. "Sind Daten in der Welt und werden sie per Big Data ausgewertet, so ist zumeist die Kontrolle darüber weg."

"Wir erleben derzeit, wie Unternehmen versuchen Personendaten zu ergaunern"

Thilo Weichert, Landesbeauftragter für Datenschutz in Schleswig-Holstein: "Big Data erfordert ein ausgeklügeltes Datenschutzmanagement." Foto: dpa

VDI-Nachrichten: Herr Weichert, haben Sie Angst vor "großen" Daten?

Weichert: Nein, aber Respekt schon. Das, was uns derzeit unter dem Begriff "Big Data" alles angeboten wird und verkauft werden soll, kann schon mächtig irritieren.

Welche Entwicklung macht Ihnen am meisten Sorgen?

Über das Netz werden immer mehr personenbezogene und personenbeziehbare Daten generiert. Diese On-
linedaten werden zunehmend mit digital verfügbaren Offlinedaten, zum Beispiel aus CRM-Systemen, kombiniert, also aus dem Customer Relation Management von Unternehmen.

Diese umfangreichen Datenbestände unterliegen angesichts der bestehenden Speicherkapazitäten fast keiner Mengenbeschränkung mehr. Sie lassen sich auf ein gegenseitig verknüpfbares Format bringen.

Und diese gewaltigen Datenbestände lassen sich dann auf Fragen hin auswerten, die die Betroffenen nicht kennen und nicht unter Kontrolle haben. Die Ergebnisse können wiederum höchst negative Folgen für die Betroffenen haben. Das beginnt mit einer negativen Bonitätsbewertung und kann – zumindest theoretisch – bis zu hoheitlichen Zwangsmaßnahmen führen.

Big Data allerorten

Laut einer Allensbach-Umfrage lehnen drei Viertel der Befragten das automatische Speichern von Kundendaten ab. Aber geben sie nicht oft freiwillig ihre Einwilligung über ein Häkchen?

Freiwilligkeit ist oft nicht gegeben, wenn im Kleingedruckten eine Einwilligung eingeholt wird, wenn keine hinreichende Aufklärung stattfindet oder wenn nur die Möglichkeit eines unter Umständen mühsamen Opt-outs gewährt wird.

Wir erleben derzeit allerorten, wie Unternehmen versuchen, Personendaten auf mehr oder weniger lautere Weise zu ergaunern. Beschönigung bei der Aufklärung ist eine Methode. Koppelung ist eine andere, also das Verknüpfen einer scheinbar wünschenswerten Dienstleistung mit dem Zwang, Daten dafür zu geben. Google und Facebook sind da die Größten im Geschäft das Prinzip wird aber von vielen Firmen angewendet.

Wie darf man sich eine datenschutzkonforme Auswertung von Big Data vorstellen?

Es gibt nicht das datenschutzkonforme System. Wohl aber können Big-Data-Anwendungen technisch-organisatorisch datenschutzkonform gestaltet werden. Das Kassensystem von Lidl ist insofern ein gutes Beispiel. Hier werden zwar sämtliche Kassenaktivitäten digital erfasst, aber nach einer Auswertung in einer Art Blackbox unter Verantwortung eines unabhängigen Dritten nur auf Auffälligkeiten untersucht, also ob Grenzwerte überschritten werden oder Übereinstimmungen mit elektronisch vorgegebenen Angriffsmustern bestehen. Ausgeworfen werden nur diese Ausreißer.

Relevant ist, dass eine Art demokratische Absicherung erfolgt, hier also eine Beteiligung des Betriebsrates stattfindet. Außerdem können Auswertungen zunächst auf Gruppen hin analysiert werden und erst bei nachhaltigen Auffälligkeiten wird dann eine Einzelauswertung vorgenommen.

Eine zentrale Methode zur Herstellung von Datenschutzverträglichkeit besteht darin, Anonymisierung, Pseudonymisierung und Aggregierung zu praktizieren. Ein anderer Ansatz ist es, Datensätze mit Metadaten über Zweck, erlaubte Rollenzugriffe und Relevanz anzureichern und die Auswertewerkzeuge darauf zu trimmen. In jedem Fall bedarf es eines ausgeklügelten Datenschutzmanagements.

Ist eine Anonymisierung großer Datensätze nicht sehr aufwendig und fehleranfällig?

Natürlich. Der Versuch, bei Big Data Datenschutz zu integrieren, ist regelmäßig mit potenziellen Informationsverlusten verbunden und in jedem Fall mit Kosten und Intelligenz. Es gibt aber zumindest in den Bereichen der Personenbeziehbarkeit – die immer mehr zunehmen – keine Alternative, wenn wir dieses mächtige Werkzeug tatsächlich nutzen wollen.

Die Praktiken von heute tendieren fast durchgängig dahin, illegal zu sein, weil keine hinreichende Anonymisierung durchgeführt wird. Ich hoffe sehr, dass anlässlich des Konfliktes um die Rezeptdaten-Weitergabe durch Apothekenrechenzentren eine konstruktive Debatte über wirksame, wirkliche Anonymisierung geführt wird.

Gibt es überhaupt noch Datenschutz, wenn die Daten in ein individuelles Scoring, Tracking oder Profiling einfließen?

In der Praxis geht der Datenschutz tatsächlich sehr oft verloren. Das muss aber nicht sein. Ein wichtiges Prinzip ist dabei die Herstellung von Transparenz, sowohl hinsichtlich der einfließenden Daten, der Auswertemethoden als auch zur Relevanz der Ergebnisse und deren Nutzung. Derartige Informationen werden den Betroffenen oder der Öffentlichkeit derzeit regelmäßig – zu Unrecht – mit dem Verweis auf Betriebs- und Geschäftsgeheimnisse verweigert.

Wie können Regeln der Datentransparenz umgesetzt werden?

Hier muss noch viel geforscht und geübt werden. Denkbar sind Genehmigungsverfahren, Veröffentlichungspflichten, die Einschaltung von Treuhändern, von Ombudsmännern und -frauen, unabhängigen Zertifizierungsstellen oder Aufsichtsbehörden. Eine typische Methode zur Verhinderung von Transparenz ist es, die Betroffenen mit irrelevanten Informationen zu überhäufen, so dass das Wesentliche aus dem Blick gerät. Insofern ist Privacy by Default wichtig, also die Konfrontation mit Informationen erst zu dem Zeitpunkt und Sachverhalt, bei dem diese relevant werden.

Wie kann man sich vor falschen Verdächtigungen, vor einem Datenmissbrauch schützen?

Meine ehrliche Antwort: eigentlich gar nicht. Sind Daten in der Welt und werden sie per Big Data ausgewertet, so ist zumeist die Kontrolle darüber weg. Besteht bei jemandem der Verdacht, dass ein Missbrauch stattfindet, so kann über Auskunfts- und Korrekturrechte versucht werden, die Verarbeitung nachzuvollziehen und für die Zukunft zu unterbinden. Möglich ist im Nachgang die Anrufung des Datenschutzbeauftragten oder eine gerichtliche Kontrolle. Aber zunächst muss eine konkrete Ahnung, also ein Verdacht über den Verstoß bestehen.   CHR. SCHULZKI-HADDOUTI

stellenangebote

mehr