Datenanalyse und Compliance in der DSGVO

Ein effektiver Datenschutz ist so wichtig wie noch nie. Datenschutzverletzungen werden gemĂ€ĂŸ der DSGVO schwer abgestraft, trotzdem vergeht kaum ein Tag ohne neue Nachrichten ĂŒber Datenverluste oder Hinweise auf Sicherheitsrisiken.

Nach Angaben des britischen Information Commissioner’s Office (ICO) hat sich die Zahl der VorfĂ€lle seit Inkrafttreten der strengen Vorschriften der DSGVO im Mai 2018 vervierfacht. Geldbußen können nun bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes erreichen – je nachdem welcher Betrag grĂ¶ĂŸer ist.

Daten spielen bei der Entwicklung von neuen, digitalen GeschĂ€ftsmodellen eine elementare Rolle und mĂŒssen durch verschiedene IT- und Datensicherheitsmaßnahmen geschĂŒtzt werden.

Allerdings kann eine hundertprozentige IT-Sicherheit nie garantiert werden. Es mĂŒssen einfach zu viele Variablen berĂŒcksichtigt werden: Sei es die NachlĂ€ssigkeit eines Mitarbeiters, die Entdeckung einer neuen Software-Schwachstelle oder allgemein der technologische Fortschritt, der neue Angriffsvektoren eröffnet.

Die europĂ€ische Datenschutzgrundverordnung (DSGVO) beschreibt eine Reihe verschiedener AnsĂ€tze zum Schutz der Daten und der PrivatsphĂ€re von natĂŒrlichen Personen.

Datenanalyse, Compliance und GDPR

Die folgenden Punkte erlÀutern eine DSGVO-konforme Datenanalyse und beschreiben wie Anonymisierung beim Umgang mit sensiblen Daten helfen kann.


Wie definiert die DSGVO persönliche Daten?

Die DSGVO betrifft alle Daten, die zur Identifizierung einer natĂŒrlichen Person verwendet werden können. Im DSGVO Artikel 4 heißt es dazu:

„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natĂŒrliche Person beziehen; als identifizierbar wird eine natĂŒrliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen IdentitĂ€t dieser natĂŒrlichen Person sind.”

Die Schwierigkeit besteht darin, dass die DSGVO auch Daten betrifft, die Personen eventuell identifizierbar machen können. Oft reicht ein einzelnes Datenelement nicht aus, um eine Person eindeutig, z.B. anhand des Namens ‘Christian Schröder’ zu identifizieren. Wenn man jedoch zusĂ€tzlich Kenntnis darĂŒber hat, dass Christian Schröder in Hamburg lebt und fĂŒr Starbucks arbeitet, kann man die Anzahl der Personen derart eingrenzen, dass eine Identifizierung viel einfacher möglich ist. Noch komplexer ist die Tatsache, dass ein Identifikator manchmal persönlich sein kann und andere Male nicht. So ist der Name Christian Schröder weit genug verbreitet, um (zumindest in einigen LĂ€ndern) nicht persönlich zu sein, aber bei seltenen Namen ist die Identifizierung einfacher.


Wie definiert die DSGVO eine Einwilligung zur Datenverarbeitung?

DSGVO Artikel 7 verlangt, dass Personen eine Einwilligung nach AufklĂ€rung erteilen, bevor ihre personenbezogenen Daten verwendet werden können. Das bedeutet, dass sie nicht nur die Zustimmung geben, sondern das Ersuchen um Einwilligung in verstĂ€ndlicher und leicht zugĂ€nglicher Form und einer klaren und einfachen Sprache vorliegt. Wichtig ist außerdem, dass die Einwilligung auch jederzeit widerrufen werden kann.


Welche Sanktionen kann die DSGVO verhÀngen?

Die DSGVO fĂŒhrt einige der hĂ€rtesten Strafen weltweit fĂŒr Unternehmen, die gegen Regeln verstoßen. Die möglichen Geldbußen betragen 20 Millionen Euro oder 4% des jĂ€hrlichen weltweiten Umsatzes, je nachdem, welcher Betrag höher ist. Die EU wird auch befugt sein, non-konforme Organisationen vom Handel mit allen Nationen auszuschließen, die die DSGVO in ihr nationales Recht ĂŒbernommen haben.


Welche anderen individuellen Rechte gewÀhrt die DSGVO?

Durch die DSGVO erhalten Einzelpersonen bestimmte zusÀtzliche Rechte in Bezug auf ihre personenbezogenen Daten. Dazu gehören:

– Das Recht auf Vergessenwerden (d.h. eine Person kann die Löschung all ihrer Daten verlangen)
– Das Recht, eine Kopie all ihrer Daten anzufordern (kostenlos fĂŒr die erste Kopie)
– Das Recht, die Einwilligung zur Verwendung ihrer Daten jederzeit zu widerrufen


Was ist der Geltungsbereich der DSGVO?

Im Gegensatz zu vielen nationalen Datenschutzgesetzen gilt die DSGVO fĂŒr jedes Unternehmen, das mit Daten von EU-BĂŒrgern arbeitet. Sie gilt unabhĂ€ngig davon, wo auf der Welt die Datenverarbeitung und -erhebung stattfindet und auch unabhĂ€ngig davon, wo auf der Welt sich das Unternehmen befindet.


Allgemeine GrundsĂ€tze fĂŒr die Verarbeitung personenbezogener Daten

Die DSGVO definiert 7 Punkte, die auf den Prinzipien des Data Protection Act von 1998 basieren:

  • RechtmĂ€ĂŸigkeit, Fairness und Transparenz
    Unternehmen mĂŒssen sicherstellen, dass die Datenerhebung und -verarbeitung im Rahmen des Gesetzes erfolgt und dass alle Daten fair verwendet werden. Das bedeutet, dass sie die Daten nicht in einer Weise verarbeiten dĂŒrfen, die fĂŒr die betroffenen Personen schĂ€dlich, unerwartet oder irrefĂŒhrend sind.
  • Zweckbindung
    Vor der Datenverarbeitung muss geklĂ€rt sein, zu welchem Zweck die Daten erhoben und verarbeitet werden. Die Zwecke mĂŒssen in der DatenschutzerklĂ€rung dokumentiert und spezifiziert werden. Unternehmen können Daten nur dann fĂŒr einen neuen Zweck verwenden, wenn sie mit dem ursprĂŒnglichen Zweck vereinbar sind, sie eine aktualisierte Einwilligung erhalten oder sie ĂŒber eine klare Rechtsgrundlage verfĂŒgen.
  • Datenminimierung
    Unternehmen mĂŒssen sicherstellen, dass die von ihnen verarbeiteten personenbezogenen Daten angemessen (Daten werden nur fĂŒr einen spezifischen Zweck gesammelt), relevant (Daten sind direkt mit dem Zweck verknĂŒpft) und begrenzt sind (Daten werden nur fĂŒr den Zweck benötigt und gelöscht, wenn sie nicht mehr gebraucht werden.)
  • Richtigkeit
    Daten mĂŒssen den Tatsachen entsprechen und korrekt sein. Unternehmen sollten ĂŒber Prozesse verfĂŒgen, um die Genauigkeit der Daten zu ĂŒberprĂŒfen und sicherstellen, dass die Daten nicht irrefĂŒhrend oder falsch sind.
  • Speicherbegrenzung
    Unternehmen ist es nicht gestattet, personenbezogene Daten lĂ€nger als nötig zu speichern. Dazu ist es erforderlich, dass sie wissen, welche Art von personenbezogenen Daten sie haben und wo sie gespeichert sind. Es sollten Richtlinien und Prozesse vorhanden sein, die die gespeicherten Daten regelmĂ€ĂŸig ĂŒberprĂŒfen und löschen bzw. anonymisieren, wenn sie nicht mehr benötigt werden. Personen können jederzeit die Löschung ihrer Daten beantragen und Unternehmen benötigen geeignete Verfahren, um diesen Anfragen innerhalb einer angemessenen Frist nachzukommen.
  • IntegritĂ€t und Vertraulichkeit
    Unternehmen mĂŒssen ĂŒber „geeignete technische und organisatorische Maßnahmen“ verfĂŒgen, um die von ihnen gespeicherten Daten zu schĂŒtzen. Dies erfordert die BerĂŒcksichtigung von Aspekten wie Risikoanalyse, Organisationsrichtlinien sowie physische oder technische Maßnahmen.
  • Rechenschaftspflicht
    Unternehmen sind fĂŒr die Einhaltung der Vorschriften verantwortlich und mĂŒssen das nachweisen können.

Data Protection by Default and by Design

DSGVO Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ beschreibt, dass Pseudonymisierung dabei helfen kann, den Datenschutzgrundsatz „Datenminimierung“ umzusetzen und somit die Rechte der betroffenen Personen zu schĂŒtzen. Bei richtiger Anwendung kann Pseudonymisierung als Mittel zur Minimierung der ĂŒber eine Person gespeicherten personenbezogenen Daten eingesetzt werden.

Pseudonymisierung ist ein Prozess, bei dem in einem Datensatz ein eindeutig identifizierendes Attribut durch ein anderes eindeutig identifizierendes Attribut ersetzt wird, das eine weniger semantische Bedeutung hat. So kann beispielsweise eine Sozialversicherung oder eine Bankkontonummer durch einen scheinbar zufÀlligen Wert ersetzt werden. Ein pseudonymisierter Datensatz kann jedoch bei zusÀtzlichem Wissen die Neuidentifizierung einer Person ermöglichen. Wenn man beispielsweise den Zeitpunkt kennt, zu dem eine Person in der Arztpraxis war, kann ein Angreifer einen Patienten in einer pseudonymisierten medizinischen Datenbank anhand der Zeit identifizieren.

Das bedeutet, dass pseudonymisierte Daten nach wie vor die Neuidentifizierung einer natĂŒrlichen Person ermöglichen und daher als sensible Daten betrachtet und behandelt werden sollten.

In dem DSGVO ErwĂ€gungsgrund 26 wird daher folgendes klargestellt: „Die GrundsĂ€tze des Datenschutzes sollten fĂŒr alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natĂŒrliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusĂ€tzlicher Informationen einer natĂŒrlichen Person zugeordnet werden könnten, sollten als Informationen ĂŒber eine identifizierbare natĂŒrliche Person betrachtet werden.“


Pseudonymisierte Daten fallen unter die DSGVO, anonymisierte Daten nicht.

DSGVO ErwĂ€gungsgrund 26 unterscheidet ausdrĂŒcklich zwischen pseudonymisierten und anonymisierten Daten. Hier wird erklĂ€rt, dass pseudonymisierte Daten „als Informationen ĂŒber eine identifizierbare natĂŒrliche Person betrachtet werden sollten“. Weiterhin heißt es dort: „Die GrundsĂ€tze des Datenschutzes sollten daher nicht fĂŒr anonyme Informationen gelten, d.h. fĂŒr Informationen, die sich nicht auf eine identifizierte oder identifizierbare natĂŒrliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch fĂŒr statistische oder fĂŒr Forschungszwecke.“

Kurz gesagt: Die DSGVO gilt nicht fĂŒr anonyme Daten!


Gilt Datenanonymisierung als Datenverarbeitung?

In der „Opinion 05/2014 on Anonymisation Techniques“ beschreibt und vergleicht die European Article 29 Data Protection Working Party verschiedene AnsĂ€tze zur Datenanonymisierung.

In dem Paper der WP29 werden Anonymisierungsmethoden anhand von drei Kriterien betrachtet:

– Ist es möglich, eine Person auszusondern?
– Ist es möglich, DatensĂ€tze zu einer Person zu verknĂŒpfen?
– Können Informationen ĂŒber eine Person abgeleitet werden?

„Die Arbeitsgruppe ist der Ansicht, dass Anonymisierung als ein Fall der Weiterverarbeitung personenbezogener Daten mit den ursprĂŒnglichen Zwecken der Verarbeitung vereinbar gesehen werden kann, jedoch nur unter der Bedingung, dass der Anonymisierungsprozess so erfolgt, dass er zuverlĂ€ssig anonymisierte Informationen im Sinne dieses Papiers erzeugt.“

Die Anonymisierung von Daten bedarf also laut WP29 nicht der Zustimmung des Nutzers, wenn die Datenerhebung selbst gerechtfertigt war.


Welche Zertifizierungen gibt es fĂŒr Anonymisierungslösungen?

Leider gibt es derzeit keine offiziellen Zertifizierungen fĂŒr Tools und Methoden zur Anonymisierung. Die große Herausforderung und Schwierigkeit bei der Bewertung von Anonymisierungsmethoden besteht darin, dass keine bekannte Methode einen hundertprozentigen Datenschutz gewĂ€hrleisten kann. Werden Daten anonymisiert, wird ihr Informationsgehalt zwangslĂ€ufig reduziert und verfĂ€lscht. Um sicherzustellen, dass Rohdaten ihre Bedeutung in einer Analyse behalten, können Daten nur eingeschrĂ€nkt verĂ€ndert werden. Mehr dazu erfahren Sie in unserem Artikel „Data Compliance in the GDPR – How anonymisation allows you to stay compliant in your data analysis“.


Um die Funktion und ZuverlĂ€ssigkeit von Aircloak Insights zu demonstrieren, haben wir die Aircloak Attack Challenge ins Leben gerufendas weltweit erste Bug-Bounty-Programm fĂŒr eine Anonymisierungslösung.

Im Juni 2018 haben wir die erste Runde der Challenge abgeschlossen – mehr dazu erfahren Sie in unserem Blog-Artikel „Break my Life’s Work and I’ll Pay You Handsomely“