Der „Gläserne Nutzer“ ist bereits Realität Was Big Data Protection können müsste
Autor / Redakteur: Oliver Schonschek / Jürgen Sprenzinger
Wenn Datenschützer vor Big Data warnen, sehen sie die Gefahr, dass die enormen Datenmengen zahlreiche Ansatzpunkte dafür liefern, um personenbezogene und personenbeziehbare Daten zu umfassenden Nutzerprofilen zu verknüpfen. Der viel zitierte „Gläserne Nutzer“ könnte in einer Form Realität werden, die früher kaum vorstellbar war.
Will man die personenbezogenen Daten in einem Projekt schützen, muss man sie zuerst einmal identifizieren – doch und oft sind die Analyse-Tools zu langsam.
(Bild: ChaotiC PhotographY/ Fotolia.com)
Die Sorgen der Daten- und Verbraucherschützer muss man ernst nehmen, insbesondere schon deshalb, weil viele der klassischen Datenschutzmaßnahmen und Sicherheitswerkzeuge nicht für die riesigen Datenvolumina ausgelegt sind. Das wird deutlich, wenn man sich das übliche Vorgehen bei der Planung von Datenschutzmaßnahmen einmal am Beispiel eines Big-Data-Projektes ansieht.
Will man die personenbezogenen Daten in einem Projekt schützen, muss man diese zuerst einmal identifizieren. Es stellt sich dabei die Frage, welche Kategorien personenbezogener Daten denn vorliegen, denn davon hängt der Schutzbedarf ab.
Was sind eigentlich „personenbezogene Daten“?
Besonders kritisch sind die so genannten besonderen Arten personenbezogener Daten. Dies sind laut Bundesdatenschutzgesetz (BDSG) Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Fallen in einem Projekt solche Daten an, ist der Schutzbedarf besonders hoch.
Ähnliches gilt für personenbezogene Daten, die einem Berufsgeheimnis unterliegen, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen und für personenbezogene Daten zu Bank- oder Kreditkartenkonten. Auch bei diesen Daten treten nämlich unter bestimmten Voraussetzungen die für den Unternehmensruf meist schädlichen Informationspflichten (§ 42a BDSG) ein, wenn es zu einer Datenpanne kommt.
Herkömmliche Analyse-Tools sind überfordert und zu langsam
Klassische Ansätze sehen vor, dass die anfallenden personenbezogenen Daten entsprechend klassifiziert und geschützt werden. Dazu werden in den Daten bestimmte Schlüsselworte (Keywords) gesucht, die den Hinweis darauf geben, dass es sich um eine bestimmte Datenkategorie handelt.
Hier ist ein Auszug aus dem Big Data Vendor Benchmark der Experton Group von 2013: In der Grafik geht es um die in der Kategorie Appliances bewerteten Unternehmen und ihre Positionierung im Wettbewerbsumfeld.
(Bild: Experton Group)
Ein Wort wie „Kreditkartennummer“ weist auf die besonders zu schützenden Kreditkartendaten hin. Doch herkömmliche Werkzeuge zur Keyword-Suche sind bei großen Datenmengen schnell überfordert oder brauchen für die Analysen viel zu lange.
Wo liegt die Herausforderung?
Die im Datenschutz so zentrale Anonymisierung personenbezogener Daten stellt ebenfalls eine große Herausforderung dar, wenn umfangreiche Datenmengen einer so genannten Maskierung unterzogen werden sollen. Die Daten mit Personenbezug sollen dabei so verändert werden, dass kein Rückschluss auf einzelne Personen mehr möglich ist.
Auch hierzu müssen die personenbezogenen Daten aufgespürt und dann einer automatischen Bearbeitung unterzogen werden. Bereits bei überschaubaren Datenmengen klappt dies nicht immer zuverlässig.
Die deshalb geforderte Kontrolle, ob die Datenmaskierung erfolgreich war, würde aber ein Werkzeug erfordern, dass zuverlässiger und schneller arbeitet als das Anonymisierungsprogramm selbst. Eine manuelle Kontrolle ist ebenso ausgeschlossen wie die Beschränkung auf wenige Stichproben.
Der Ausweg aus dem Dilemma
Die gute Nachricht ist, dass es zunehmend Werkzeuge gibt, die sich der Herausforderung Big Data stellen, die eine Big Data Protection, die Übertragung der Datenschutzmaßnahmen auf Big Data, möglich machen wollen. Die Experton Group wird im nächsten Big Data Vendor Benchmark deshalb auch Security-Lösungen untersuchen, die den Datenschutz bei Big-Data-Anwendungen unterstützen wollen, also dabei helfen, personenbezogene Daten innerhalb von großen Datenmengen zu identifizieren, zu klassifizieren und bei Bedarf zu anonymisieren.
Über den Autor:
Der Autor Oliver Schonschek (Bild: privat)
Oliver Schonschek ist als Research Fellow bei der Experton Group AG tätig. Parallel zu seiner Advisor-Tätigkeit arbeitet er als Herausgeber, Fachautor und Fachjournalist für verschiedene Fachverlage und Redaktionen. Die Schwerpunkte seiner Analysen und Publikationen liegen bei der Informationssicherheit und dem Datenschutz. Dabei behandelt er insbesondere die Schnittstellen zwischen IT, Business, Recht, Compliance, Datenschutz und Datensicherheit.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.