Wie geht es nach dem Start der DSGVO weiter?

Ausblick zu Datensicherheit, künstlicher Intelligenz und Datenmanagement.

Illustration: Absmeier, Geralt

Angesichts der nahenden Frist für die Einhaltung der Vorschriften der EU-DSGVO ist es höchste Zeit für eine Bestandsaufnahme: Wie weit sind Unternehmen aktuell mit der Umsetzung der DSGVO und welche Schritte sind noch erforderlich, um sich vor möglichen negativen Auswirkungen nach dem 25. Mai 2018 zu schützen?

Rubrik, Experte für Cloud Data Management, blickt auf den Status Quo der DSGVO und wagt einen Ausblick in Sachen Datensicherheit, künstlicher Intelligenz und Datenmanagement.

Obwohl das Datum der Umsetzung festgelegt wurde, besteht weitgehend Einvernehmen darüber, dass viele Aspekte der DSGVO und ihre Auswirkungen noch nicht vollständig festgelegt sind. Dies erkennt auch die Europäische Kommission an. Während die neue Verordnung ein einheitliches Regelwerk enthält, das für alle EU-Mitgliedstaaten unmittelbar gilt, gibt es auf Landesebene noch viel zu tun. Die Kommission stellt daher 1,7 Millionen Euro bereit, um die Datenschutzbehörden zu finanzieren und Datenschutzexperten auszubilden. Weitere 2 Millionen Euro stehen zur Verfügung, um die nationalen Behörden zu unterstützen, die Unternehmen zu erreichen und die neuen rechtlichen Anforderungen publik zu machen. Dies gilt insbesondere für kleine und mittlere Unternehmen (KMU).

Wer ist aus dem Schneider?

Es stimmt zwar, dass einige Verpflichtungen für KMU nicht gelten, im Allgemeinen müssen sie jedoch die DSGVO einhalten. So sind KMU mit weniger als 250 Mitarbeitern nicht verpflichtet, Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen; es sei denn, die Verarbeitung personenbezogener Daten wird als regelmäßige Aktivität betrachtet, gefährdet die Rechte und Freiheiten von Personen oder betrifft sensible Daten oder Strafregister.

Ein anderes Missverständnis betrifft den Standort der Unternehmen. Nicht Mitglied der EU zu sein, schließt die Einhaltungspflicht der DSGVO nicht aus. Die Verordnung gilt für alle Unternehmen, die Waren/Dienstleistungen (bezahlt oder kostenlos) für Personen mit Sitz in der EU anbieten, und alle Unternehmen, die das Verhalten von Personen in der EU überwachen. Angesichts der Tatsache, dass viele Unternehmen weltweit tätig sind, einschließlich Online-Unternehmen, müssen sie die DSGVO einhalten, um ihre EU-Kunden weiterhin bedienen zu können.

Umgang mit personenbezogenen Daten

Im Allgemeinen müssen personenbezogene Daten gemäß der Datenschutzgrundverordnung (DSGVO) auf legale und transparente Weise verarbeitet werden. Unternehmen müssen bestimmte Zwecke für die Verarbeitung der Daten vorlegen und sie müssen dies Einzelpersonen bei der Erhebung ihrer personenbezogenen Daten mitteilen, wie Rubrik erklärt. Sie dürfen nur personenbezogene Daten erheben und verarbeiten, die zur Erfüllung dieses speziellen Zwecks erforderlich sind. Sie müssen auch sicherstellen, dass diese Daten korrekt und aktuell sind. Wenn dies nicht der Fall ist, müssen Sie eine Möglichkeit zur Korrektur bereitstellen. Sobald diese persönlichen Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden, müssen die Unternehmen sie entfernen.

Die Einhaltung der DSGVO kann aber durchaus auch organisatorische Vorteile mit sich bringen. Sie wird wahrscheinlich die Sicherheitslage verbessern und Unternehmen besser gegen Datenschutzverletzungen und ungesetzlichen Datenzugriff schützen, die potenziell zu Reputationsschäden und Geschäftsverlusten führen könnten.

Nicht nur, aber definitiv auch ein technologisches Problem

Die altbekannte Cybersicherheitsregel gilt auch für die DSGVO. Es kommt auf eine Kombination aus Menschen + Prozess + Technologie an. Das Thema DSGVO fällt sicherlich nicht nur in den Bereich der IT-Abteilung, sondern betrifft das gesamte Unternehmen. Es sollte daher mit einer Kombination aus organisatorischen Prozessen, auch auf der Ebene der Geschäftsführung, und Technologieansätzen angegangen werden, um zur Compliance zu gelangen.

Eine der Auswirkungen der Datenschutzgrundverordnung besteht darin, dass Unternehmen geeignete technische und organisatorische Sicherheitsmaßnahmen ergreifen müssen, um die Sicherheit der personenbezogenen Daten zu gewährleisten: einschließlich des Schutzes vor unbefugter oder rechtswidriger Verarbeitung und versehentlichem Verlust, Zerstörung oder Beschädigung.

Unternehmen speichern Daten längst nicht mehr an einem zentralen Ort. Heute sind die Daten über mehrere verschiedene Systeme und Standorte verteilt. Darüber hinaus werden nicht alle Daten auf gleiche Weise erstellt. Einige werden als strukturierte Daten gespeichert, beispielsweise in Datenbanksystemen, während andere Daten wie Dokumente und E-Mails unstrukturiert sind. Der Speicherort von Daten variiert auch in verschiedenen internen Systemen, jedoch werden Daten immer häufiger in öffentlichen Cloud-Umgebungen gespeichert, etwa in SaaS-basierten Anwendungen.

Aus diesem Grund erscheint es am klügsten, mit einer Inventarisierung (welche Daten sind vorhanden?) und Klassifizierung (fallen bestimmte Daten unter persönliche Daten?) zu beginnen und darauf aufzubauen. Geprüft werden sollte auch die Notwendigkeit einer Datenschutzfolgenabschätzung (Data Protection Impact Assessment – DPIA), falls Daten verarbeitet werden, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Einzelpersonen darstellen.

Wenn Unternehmen personenbezogene Daten sammeln, müssen sie jetzt die Personen, deren Daten sie anfordern, klar informieren. Dies bedeutet wahrscheinlich eine Prozessänderung und kann parallel zur Dateninventarisierung und -klassifizierung erfolgen. Wenn Unternehmen um Zustimmung zur Erfassung und Verarbeitung von Daten bitten, müssen sie angeben, wer sie sind, warum sie die Daten benötigen (einschließlich der rechtlichen Begründung, warum sie die Daten gegebenenfalls verarbeiten möchten), wie lange Sie die Daten aufbewahren und ob Dritte die Daten zur Verarbeitung erhalten (auch wenn sie außerhalb der EU versandt werden). Sie müssen die jeweilige Person auch über ihre Rechte bezüglich ihrer persönlichen Daten zum Zeitpunkt der Datenerhebung informieren und dass die Person das Recht hat, eine Kopie der Daten zu erhalten, eine Beschwerde bei der lokalen Datenschutzbehörde einzureichen und ihre Zustimmung auf Zeit zu widerrufen.

Lassen sich sämtliche Anforderungen zeitnah erfüllen?

Die Technologie kann sicherlich helfen, obwohl es keine einzelne Lösung gibt, um die DSGVO-Konformität zu erreichen. Technologie kann bei einigen DSGVO-Anforderungen hilfreich sein, etwa solchen, die sich auf Datenschutzverletzungen beziehen. Wenn eine Datenschutzverletzung vorliegt und es wahrscheinlich ist, dass diese ein Risiko für die Rechte und Freiheiten eines Individuums darstellt, muss das Unternehmen die Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen, nachdem sie von der Verletzung Kenntnis erhalten hat. Durch die Verschlüsselung der Daten kann die Wahrscheinlichkeit verringert werden, dass nach einer Datenverletzung ein Risiko besteht, somit reduziert sich auch die Benachrichtigungspflicht.

Der größte Teil des DSGVO-Inhalts beginnt damit, Unternehmen vor den möglichen Geldsanktionen zu warnen, die bei Nichteinhaltung drohen (bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens). Dies rechtfertigt jedoch eine gewisse Relativierung. Die zuständige Behörde muss sicherstellen, dass die in jedem Einzelfall auferlegten Geldbußen wirksam und abschreckend, aber auch verhältnismäßig sind. Daher wird eine Reihe von Faktoren – wie Art, Schwere und Dauer der Zuwiderhandlung, vorsätzlicher oder fahrlässiger Charakter, Maßnahmen zur Minderung des Schadens, der von Einzelpersonen erlitten wird, der Grad der Zusammenarbeit und andere Faktoren – berücksichtigt werden. Mit anderen Worten, wenn Unternehmen auf die Einhaltung von Vorschriften hinarbeiten, ihr Möglichstes getan haben, ihre Verfahren dokumentiert, Systeme und Technologien implementiert haben, können sie möglicherweise gemäß der DSGVO drohende Geldbußen in vollem Umfang vermeiden.

Beeinträchtigt die DSGVO den technologischen Fortschritt?

Die wertvollste Ressource der Welt ist nicht mehr Öl, sondern es sind Daten – dem stimmt auch Rubrik zu. Unternehmen sind immer stärker auf Daten und Datenverarbeitung angewiesen. Jüngstes Beispiel sind die Innovationen im Bereich der künstlichen Intelligenz (KI) und des maschinellen Lernens, bei denen Modelle auf der Verfügbarkeit von Daten basieren, um mögliche Schlussfolgerungen zu ziehen. Hier empfiehlt sich ein Blick auf den Unterschied zwischen KI, maschinellem Lernen und Deep Learning, um zu sehen, wo die DSGVO möglicherweise ins Spiel kommen könnte.

KI umfasst Maschinen, die Aufgaben durchführen können, die für die menschliche Intelligenz charakteristisch sind. Dabei kann weiter zwischen allgemeiner und enger gefasster KI unterschieden werden. Allgemeine KI deckt alle Merkmale der menschlichen Intelligenz ab. Enger gefasste KI konzentriert sich auf eine Teilmenge wie etwa die Bilderkennung, kann aber andere Aufgaben, die menschenähnlicher Intelligenz zugeordnet werden, nicht sinnvoll ausführen.

Maschinelles Lernen (ML) ist der Weg, um die »Maschine« dazu zu bringen, KI zu leisten. Es ist definiert als die Fähigkeit der Maschine, zu lernen, ohne explizit programmiert zu werden. Dies wird erreicht, indem die Maschine (oder das Modell) »trainiert« wird. Hierzu werden dem ML-Algorithmus große Datenmengen zugeführt, die es ihm ermöglichen, sich selbst zu optimieren. Wie lässt sich aber der Maschine bei der Bilderkennung beibringen, zwischen einer Katze und einem Hund zu unterscheiden? Es ist ähnlich, wie wir Menschen diese Fähigkeit lernen, indem wir im Laufe der Zeit viele Beispielexemplare von Katzen und Hunden sehen. Zuerst stellt man daher eine ausreichende Menge an Trainingsdaten zur Verfügung und markiert bestimmte Merkmale, die Katzen von Hunden unterscheiden. Als Nächstes erstellt der Algorithmus ein Modell, um diese Bereiche in Bildern anhand der bereitgestellten historischen Trainingsdaten genau zu kennzeichnen. Sobald die Genauigkeitsstufe der menschlichen Intelligenz entspricht, hat die Maschine gelernt, zwischen Katzen und Hunden zu unterscheiden.

Mit Deep Learning überspringt man jedoch den Schritt des manuellen Extrahierens von Features aus Bildern. Stattdessen werden diese Bilder direkt dem ML-Algorithmus zugeführt, der dann das Objekt vorhersagt. Deep Learning wird daher als eine Unterart des maschinellen Lernens klassifiziert. Im obigen Beispiel handelt es sich direkt um die Bilder und dies ist oft komplexer. Die Menge an Daten, die zum Trainieren des Deep-Learning-Algorithmus benötigt wird, ist typischerweise viel größer als im Fall des maschinellen Lernens. Das Convolution Neural Network (CNN) ist eine Netzwerkarchitektur für Deep Learning, die in diesem Fall direkt aus den bereitgestellten Bildern lernt. Es besteht aus mehreren Schichten, die eine Eingabe (Bild) verarbeiten und transformieren, um eine Ausgabe (Bilderkennung) zu erzeugen.

Angesichts der Tatsache, dass Unternehmen Schlussfolgerungen generieren aufgrund von Daten, die sie an ML-Algorithmen weitergeben, müssen sie sicherstellen, dass sie diese Schritte vor dem Hintergrund der DSGVO erklären können. In der DSGVO heißt es, dass das Vorhandensein automatisierter Entscheidungen und aussagekräftiger Informationen über die zugrundeliegende Logik, einschließlich der Bedeutung und der geplanten Folgen, betroffenen Einzelpersonen gemeldet werden muss. Die Frage wird also sein, ob sich überhaupt erklären lässt, wie eine Entscheidung in solchen Systemen getroffen wurde und was das mögliche Ergebnis ist. Interessante Zeiten stehen den Unternehmen in jedem Fall bevor, ist sich Rubrik sicher.

 


 

WhatsApp, Cloud-Dienste, Business-Apps & Co: Auch die interne Unternehmenskommunikation muss DSGVO-konform sein

Die EU-DSGVO ist ein ganz großer Wurf

DSGVO-Compliance in der Kommunikation – Die sieben häufigsten Fehler bei der digitalen Kommunikation

DSGVO-konform: Container für Smartphone und Laptops – Sicheres Arbeiten auf mobilen Endgeräten

DSGVO: Auch Vereine müssen die Vorgaben einhalten

Noch nicht bereit für die EU-DSGVO? In 7 Schritten startklar