Sie haben in diesem Buch bereits viel über Privacy-Definitionen und -technologien gelernt. Wenn Sie diese im Rahmen Ihrer Arbeit anwenden, werden Sie unweigerlich feststellen, dass Sie dafür auch die rechtlichen Aspekte von Privacy verstehen müssen.
Rechtliche Aspekte sind nicht der einzige Grund, Datenschutz zu betreiben – ich sehe sie auch nicht als treibende Kraft, Data Science auf Datenschutz auszurichten. Für einige sind sie jedoch der vorrangige Beweggrund, datenschutzfreundliche Technologien (Privacy Enhancing Technologies, PETs) zu implementieren. In vielen großen Unternehmen wird Datenschutz zunächst als ein reines Compliance-Problem verstanden und erst dann technisch umgesetzt. Auch wenn Sie sich selbst als Verfechter des Datenschutzes betrachten und sich für Initiativen einsetzen wollen, die auf den technologischen und sozialen Aspekten von Privacy beruhen, ist es sinnvoll, mit der Rechtsabteilung oder dem Datenschutzteam zusammenzuarbeiten. Denn Sie können deren Wissen und Ratschläge nutzen, um das Unternehmen vom Wert von Datenschutzinitiativen zu überzeugen.
Dieses Kapitel befasst sich mit zwei sehr unterschiedlichen Gesetzen zum Datenschutz: der Europäischen Datenschutz-Grundverordnung (DSGVO, im Englischen General Data Protection Regulation, GDPR) und dem California Consumer Privacy Act (CCPA). Dieser Überblick wird Ihnen helfen, zu verstehen, wie Sie die Vorschriften in technische Entscheidungen umsetzen und wie Sie diese Entscheidungen im Hinblick auf die Einhaltung der Vorschriften beurteilen und prüfen können.
Anschließend werden Sie einen Einblick in Vereinbarungen, Datenschutzrichtlinien, interne Richtlinien und Grundsätze erhalten und erfahren, wie die gesetzlichen Anforderungen in Unternehmen und Organisationen umgesetzt werden. In manchen Fällen werden diese von der internen Rechtsabteilung verfasst, in anderen mithilfe externer juristischer Unterstützung, sodass Sie möglicherweise direkten Zugang zu den Personen haben, die sie verfasst haben – oder auch nicht! Es kann herausfordernd sein, sie zu verstehen und herauszufinden, wie Sie den Datenschutz in Ihrem Unternehmen umsetzen können. Sie werden auch lernen, wie Sie mit den Rechtsabteilungen in Ihrem Unternehmen – oder im Unternehmen eines Kunden – zusammenarbeiten, um deren Bedürfnisse in geeignete technische Lösungen umzusetzen.
Zum Schluss werden Sie sich noch einmal mit Governance befassen. Sie haben zwar bereits erfahren, wie Sie Governance bei Ihrer Arbeit im Bereich Data Science und Engineering festlegen und umsetzen können, doch wie könnte Governance in einer perfekten Welt aussehen? Ich hoffe, dass ich Sie zum Nachdenken darüber anregen kann, wie Governance funktionieren könnte, wenn die Menschen und ihre Datenschutzrechte im Mittelpunkt unserer Datenarchitekturen und deren Implementierung stehen.
Die Europäische Datenschutz-Grundverordnung (DSGVO) hat bei ihrer Verabschiedung im Jahr 2016 ein mutiges globales Beispiel für den Schutz der Privatsphäre und der Datenschutzrechte gesetzt. Die Gesetzgebung selbst war bereits vier Jahre zuvor relativ bekannt, als Arbeitsgruppen der EU Empfehlungen ausgearbeitet hatten, die die Grundlage des Gesetzes bildeten.
Die DSGVO dürfte Ihnen im Zusammenhang mit den Cookie-Meldungen von Drittanbietern, die auf zahlreichen Webseiten eingeblendet werden, bereits sehr häufig begegnet sein. Ich denke allerdings nicht, dass die Gesetzgeber das ursprünglich so beabsichtigt hatten. In diesem Abschnitt werden Sie sich mit den grundlegenden Datenschutzrechten befassen, die den Menschen nach der DSGVO zustehen, und diese mit der Art und Weise abgleichen, wie DSGVO-konforme Software entwickelt und eingesetzt wird. Ich wünsche mir, dass Sie mit dem Wissen, das Sie in diesem Buch erworben haben, neue Wege für den Einsatz datenschutzfreundlicher Software beschreiten.
Die DSGVO ist zudem noch nicht endgültig ausgereift. Die aktuelle Rechtsprechung in Europa während der Entstehung dieses Buchs zeigt, dass die Aufsichtsbehörden beginnen, neue Arten von Fällen zu prüfen und zu regeln. Dadurch ändert sich die Art und Weise, wie die DSGVO ausgelegt wird und was als konform angesehen wird. Diese neueren Fälle zeigen ein umfassenderes Verständnis der Reichweite der DSGVO und stellen einige Geschäftsmodelle wie personalisierte Werbung (https://oreil.ly/q2eKd) und Machine Learning auf Basis persönlicher Daten, die mittels Web-Scraping gewonnen wurden, (https://oreil.ly/xmh6e) infrage. Wenn im Laufe der nächsten Jahre die Durchsetzung der in diesem Kapitel beschriebenen Datenschutzrechte ausgeweitet wird, werden diese sich der Realität annähern.
Die DSGVO hat auch als Vorbild für andere Gesetze gedient, etwa das LGPD (Lei Geral de Proteção de Dados Pessoais) in Brasilien und verschiedene Gesetzesvorschläge in verschiedenen US-Bundesstaaten. In den nächsten Jahren wird die DSGVO zweifellos noch nachhaltigere Auswirkungen haben.
Die DSGVO garantiert acht grundlegende Rechte für in der EU ansässige Personen und ihre Daten, die in Tabelle 8-1 aufgeführt sind.
Tabelle 8-1: Datenschutzrechte nach der DSGVO (»Betroffenenrechte«)
Datenschutzrechte |
Beschreibung |
Recht, informiert zu werden |
Die betroffene Person muss darüber informiert werden, wie ihre Daten verwendet, verarbeitet, erhoben usw. werden. |
Recht auf Auskunft |
Die betroffene Person hat Zugang zu den Informationen, die über sie gespeichert sind. |
Recht auf Berichtigung |
Die betroffene Person kann Informationen korrigieren, die unrichtig oder unvollständig sind. |
Recht auf Löschung (»Recht auf Vergessenwerden«) |
Die betroffene Person kann dafür sorgen, dass das verantwortliche Unternehmen ihre Daten unverzüglich löscht. |
Recht auf Einschränkung der Verarbeitung |
Die betroffene Person kann der Verwendung und Verarbeitung ihrer Daten widersprechen oder diese einschränken. |
Recht auf Datenübertragbarkeit |
Die betroffene Person kann ihre Daten übermittelt bekommen, um sie selbst zu nutzen oder um Dienste von Drittanbietern auszuprobieren. |
Recht auf Widerspruch |
Die betroffene Person kann der Verwendung ihrer Daten für bestimmte Zwecke (wie Marketing, Marktforschung und verschiedene andere Zwecke) widersprechen. |
Recht, automatisierten Entscheidungsfindungen zu widersprechen |
Die betroffene Person kann sich gegen automatisierte Entscheidungsprozesse, wie z.B. den Einsatz von Algorithmen oder Machine-Learning-Systemen, aussprechen. |
Diese Rechte sind sehr weitreichend und können sich von denen unterscheiden, die in Ihrem Unternehmen oder in den von Ihnen genutzten Diensten umgesetzt wurden. Sie gelten für in der EU ansässige Personen, selbst wenn sich diese nicht in der EU aufhalten – auch wenn die Durchsetzung innerhalb der EU wesentlich einfacher und unkomplizierter ist.
Jedes Unternehmen hat eine Rechtsabteilung oder einen Berater, der für die Auslegung der DSGVO und die Festlegung interner Richtlinien, Prozesse und Leitlinien verantwortlich ist, um den Anforderungen im Rahmen des Geschäftsmodells des Unternehmens gerecht zu werden. Einige Unternehmen haben sich entschieden, die DSGVO einfach nicht einzuhalten und das finanzielle Risiko einer Geldstrafe auf sich zu nehmen. Andere haben sich dazu entschlossen, die Bestimmungen relativ lax umzusetzen in der Hoffnung, dass dies ausreichen könnte und sie keine Aufmerksamkeit erregen würden. Mit zunehmender Durchsetzung wird das finanzielle Risiko, das die DSGVO mit sich bringt – bis zu 4 % des weltweiten Umsatzes – wahrscheinlich dazu führen, dass die internen Richtlinien angepasst werden, um den in Tabelle 8-1 aufgeführten Betroffenenrechte der DSGVO besser Rechnung zu tragen.
Für die Durchsetzung – und die Verhängung von Bußgeldern – sind in der EU jeweils die mitgliedsstaatlichen Behörden zuständig. Jeder Mitgliedsstaat der EU überführt die Europäische Datenschutz-Grundverordnung (DSGVO) in eigenes, nationales Recht und ergänzt oder konkretisiert sie gegebenenfalls. In Deutschland wird die Umsetzung der DSGVO beispielsweise durch das Bundesdatenschutzgesetz (BDSG) und weitere datenschutzrechtliche Regelungen präzisiert. In juristischen Kreisen ist durchaus bekannt, welche Länder die DSGVO strenger und welche sie nachsichtiger auslegen. Deutschland ist dafür bekannt, dass es die Vorschriften zur Verwendung personenbezogener Daten strenger auslegt und ein Double-Opt-in für jegliche Form von E-Mail-Marketing vorschreibt. Frankreich legt ebenfalls relativ strenge Maßstäbe an und verhängt regelmäßig Geldstrafen gegen große Tech-Unternehmen wie Google und Facebook aufgrund rechtswidriger Datenerfassung und Produkte, die gegen die DSGVO verstoßen.
Wenn Sie in Europa ansässig sind und Ihre Rechte nach der DSGVO wahrnehmen möchten, empfehle ich Ihnen, einen Blick auf den Leitfaden »Exercise Your Rights« von noyb (https://noyb.eu/de/exercise-your-rights) zu werfen. noyb steht für »My Data is None of Your Business« und ist eine gemeinnützige Organisation, die von Max Schrems geleitet wird, der für die europäischen Gerichtsverfahren Schrems I und Schrems II bekannt ist, die den Datenfluss von Europa in die USA aufgrund der Ausspähung von Internetaktivitäten in den USA durch die NSA für unzulässig erklärten.
Es gibt zahlreiche Tools, eine Vielzahl von Softwareprogrammen und etliche Anbieter, die Sie bei der Einhaltung der Vorschriften unterstützen können. Viele Unternehmen haben entsprechende Kontrollen bereits direkt in ihre Software- und Datenverwaltungssysteme eingebunden. Unter Umständen haben Sie bereits an einer Migration zur Einhaltung der DSGVO oder an einer Nachrüstung mitgewirkt, bei der es oft darum geht, diese Rechte teilautomatisiert in Datenverwaltungssysteme zu integrieren. Sie haben bereits in den Kapiteln 1 und 3 erfahren, dass es bei der Anpassung Ihrer Systeme an die DSGVO von entscheidender Bedeutung ist, zu wissen, woher Ihre Daten stammen, und dass sie ordnungsgemäß dokumentiert sind und nachvollzogen werden können. Wie das in Kapitel 3 erwähnte Beispiel der Pipeline zur Rückverfolgung von Einwilligungen gezeigt hat, ist die Einhaltung dieser Rechte wesentlich einfacher umzusetzen, wenn Sie wissen, woher Ihre Daten stammen, wie sie verarbeitet wurden und ob Nutzerinnen und Nutzer ihre Einwilligung gegeben haben.
Möglicherweise stellen Sie auch fest, dass die Einräumung einiger dieser Rechte eine Technologie oder neue Prozesse erfordern würde, die Sie derzeit noch nicht haben. Angenommen, Sie müssten im Rahmen Ihrer Governance-Initiativen Ihre Dateninfrastruktur ändern, um den Menschen die Möglichkeit zu geben, ihre Daten automatisch zu exportieren, sich gegen die Nutzung von Machine-Learning-Systemen auszusprechen oder festzulegen, wie ihre Daten verarbeitet werden dürfen. Dies könnte zur Folge haben, dass mehrere Komponenten Ihrer derzeitigen Architektur angepasst werden müssen, was eine anregende Team- oder Gruppenaktivität für einen Workshop wäre. Am Ende eines solchen Workshops würden Sie ein Konzept für eine datenschutzfreundliche Datenarchitektur haben.
Die wirksame Umsetzung dieser Rechte setzt voraus, dass Sie verstehen, inwieweit Ihr Unternehmen und Ihre Datenverarbeitung unter die DSGVO fallen. Wichtig ist die Unterscheidung, ob Sie als Datenverantwortlicher oder als Datenverarbeiter auftreten.
Da sich dieses Buch auf Datenschutztechnologien in der Data Science und nicht auf die Einhaltung der DSGVO im Rahmen des Datenmanagements konzentriert, werde ich nicht auf alle Details eingehen, wie die Einräumung dieser Rechte in Ihren Systemen umgesetzt werden kann. Es gibt eine Reihe guter Materialien, die sich mit dem Datenmanagement und den grundlegenden Kontrollen zur Einhaltung der DSGVO befassen, beispielsweise den Leitfaden der EU zur Einhaltung der DSGVO (https://gdpr.eu/compliance) und das Buch Data Privacy von Nishant Bhajaria (Manning, 2022, https://oreil.ly/s1qhE).
In der DSGVO werden zwei primäre Rollen bei der Datenverarbeitung unterschieden. Der oder die für die Datenverarbeitung Verantwortliche (der sogenannte Datenverantwortliche, engl. Data Controller) ist normalerweise derjenige, der eine direkte Beziehung zu den Personen hat, deren Daten erhoben werden. In den meisten Fällen erhebt der Datenverantwortliche zunächst die Daten und die Einwilligung der betroffenen Personen. Bei den Datenverarbeitern (engl. Data Processor) handelt es sich um Unternehmen und Dienste, die von dem Datenverantwortlichen bei der Erhebung, Speicherung, Nutzung und Verarbeitung der Daten beauftragt werden, wobei es sich jedoch um eigenständige juristische Personen mit einer eigenen Verarbeitungsinfrastruktur handelt, die nicht dem Datenverantwortlichen untersteht.
Nehmen wir zum Beispiel an, Amazon Web Services (AWS) würde von einem Datenverantwortlichen genutzt, der seine Datenerhebungsinfrastruktur auf AWS über sein AWS-Konto direkt verwaltet, konzipiert und deployt. Amazon ist für dieses Unternehmen ein Datenverarbeiter, allerdings ist der Datenverantwortliche dafür verantwortlich, wie der Dienst genutzt wird, und er übernimmt die Verantwortung für die ordnungsgemäße Nutzung des Diensts. In vielen Fällen liegt es in der Verantwortung der Datenverarbeiter, dafür zu sorgen, dass Architektur und Datenfluss konform ausgestaltet sind, da der Datenverantwortliche oft nur einen begrenzten Einfluss auf diese Entscheidungen nehmen kann. Dabei muss der Datenverantwortliche jedoch eine Sorgfaltsprüfung bzw. Due Diligence durchführen, um sicherzustellen, dass der Datenverarbeiter die Erfordernisse und Anforderungen des Datenverantwortlichen hinsichtlich der DSGVO in angemessener Weise erfüllt.
Due Diligence von Datenverarbeitern
In der Regel gibt es eine Person oder ein ganzes Team, das für die Due-Diligence-Prüfung von Datenverarbeitern in einem Unternehmen zuständig ist. Sie sollten sich immer mit diesem Team in Verbindung setzen, wenn Sie neue Anbieter bzw. Dienste prüfen, die Sie nutzen möchten, selbst wenn diese kostenlos oder Open Source sind.
Ziehen Sie dieses Team bzw. diese Person frühzeitig und regelmäßig zurate, da es möglicherweise bereits einen zugelassenen Anbieter oder ein zugelassenes Tool für Ihren Anwendungsfall gibt. Sie können Ihnen zudem Informationen über die Bewertungsanforderungen und -schritte liefern, die die Anbieter oder Open-Source-Tools für den Einsatz in Ihrem Unternehmen durchlaufen müssen.
Wenn Sie eine Architektur oder ein Produkt auf Basis eines Diensts eines Drittanbieters entwickeln und hinterher feststellen, dass dieser nicht konform ist, ist das nicht nur für Sie und das gesamte Entwicklungsteam ein Problem, sondern auch für diejenigen, die für die Sicherstellung des Datenschutzes zuständig sind und sicherstellen sollen, dass Ihr Unternehmen die für Ihre Kunden geltenden Rechte wahrt.
In der DSGVO sind ganz klare Rollen und Verantwortlichkeiten für diese beiden Akteure vorgesehen. Der Datenverantwortliche trägt das rechtliche und finanzielle und damit auch das größte Risiko bei der Durchsetzung der DSGVO und bei der Umsetzung der DSGVO und entsprechender Maßnahmen im Rahmen seiner eigenen Software, Infrastruktur und seinen Produkten. Der Datenverantwortliche erstellt eine Datenverarbeitungsvereinbarung (auch Auftragsverarbeitungsvertrag – kurz AVV – genannt, der noch an späterer Stelle in diesem Kapitel behandelt wird), in der er dargelegt, wie gewährleistet wird, dass die Daten auf datenschutzkonforme Weise verarbeitet werden, er übernimmt jedoch nicht die finale Verantwortung für die Einhaltung der Datenschutzrechte nach der DSGVO und für Entscheidungen, die die Einhaltung der DSGVO betreffen.
Ihre Rolle als Datenexperte bzw. Privacy Engineer hängt davon ab, ob Ihr Unternehmen Datenverantwortlicher oder Datenverarbeiter ist. Wenn Sie in einem Unternehmen arbeiten, das eine direkte Beziehung zu natürlichen Personen unterhält und die strategischen Entscheidungen bezüglich der Datennutzung trifft, tritt Ihr Unternehmen höchstwahrscheinlich als Datenverantwortlicher auf, und Sie tragen direkt die Verantwortung für die Entscheidung, wie dieses Risiko gehandhabt wird. Wenn Sie für einen Datenverarbeiter arbeiten, z.B. ein Business-to-Business-Unternehmen, das andere Unternehmen bei der Verarbeitung personenbezogener Daten unterstützt, tragen Sie lediglich das Risiko hinsichtlich der Inhalte der im Rahmen mit den Datenverantwortlichen getroffenen Vereinbarungen.
Als Datenverarbeiter haben Sie gemäß DSGVO immer noch Pflichten, z.B. müssen Sie Ihre Bedenken äußern, wenn Sie glauben, dass die DSGVO nicht ordnungsgemäß eingehalten wird. Je nachdem, welche Rolle Sie gegenüber dem Datenverantwortlichen innehaben, können die Grenzen verschwimmen. Wenn Sie beispielsweise in den Bereichen Architektur oder Datenschutz beratend tätig sind, könnte dies als Überschreitung Ihrer Kompetenzen gewertet werden, da es sich hierbei um wichtige Risiko- und Entscheidungsbereiche handelt, die dem Datenverantwortlichen obliegen. Nehmen Sie daher unbedingt eine juristische Beratung in Anspruch, wenn Sie als unabhängiger Berater derartige Dienstleistungen erbringen.
Ungeachtet Ihrer Rolle sollten Sie niemals juristische Empfehlungen oder Empfehlungen, die die Compliance betreffen, geben, es sei denn, Sie sind in diesem Bereich als Berater tätig. Sollte eine Situation zu unübersichtlich oder sollten die Grenzen unscharf werden, ist es am besten, wenn Sie die verantwortlichen Personen zusammenbringen und gemeinsam festlegen, wie Sie vorgehen wollen.
Im nächsten Abschnitt erfahren Sie, wie die in diesem Buch behandelten Datenschutztechnologien dabei helfen können, die in der DSGVO kodifizierten Datenschutzrechte und deren Umsetzung beim Betrieb von Software- und Datensystemen sowohl als Datenverantwortlicher als auch als Datenverarbeiter zu gewährleisten.
Die DSGVO enthält mehrere Anforderungen in Bezug auf Technologien, die dem Schutz personenbezogener Daten dienen (engl. Privacy-enhancing Technologies, PETs) – und es werden sicherlich noch weitere hinzukommen, wenn im Rahmen der Rechtsprechung bestimmte Ansätze auf ihre Konformität hin untersucht werden.
Wie die meisten Datenschutzbestimmungen sieht auch die DSGVO keine spezifischen Technologien vor. Vielmehr wird in den Verordnungen darauf verzichtet, konkrete Maßnahmen vorzuschreiben (sie enthält also keine Formulierungen wie: »Wenn Sie diese bestimmte Technologie verwenden, gilt dies als konform«). Es wird lediglich eine allgemeinere juristische Formulierung gewählt, die auf die gewünschten Wirkungen abzielt.
Sehen wir uns zunächst den Erwägungsgrund 26 der DSGVO an, in dem die Anonymisierung Erwähnung findet:
Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.
Gehen wir den Erwägungsgrund einmal Punkt für Punkt durch. Zunächst wird dargelegt, dass es sich bei pseudonymisierten Daten nicht um anonymisierte Daten handelt. Dabei heißt es, dass pseudonymisierte Daten durch »Heranziehung zusätzlicher Informationen« dazu verwendet werden können, eine natürliche Person zu identifizieren – das wissen Sie bereits aus den Kapiteln 1 und 4!
Anschließend wird ausgeführt, dass zur Feststellung, ob eine Person identifizierbar ist, alle »nach allgemeinem Ermessen wahrscheinlich genutzten Mittel« eingesetzt werden sollten, wie z.B. das »Aussondern« (im Englischen »singling out«, das Sie ebenfalls aus Kapitel 4 kennen). Es werden mehrere Faktoren genannt, die berücksichtigt werden sollten – die Kosten, der Zeitaufwand, die verfügbare Technologie sowie Fortschritte bei der Verarbeitung durch technologische Entwicklungen. Das klingt stark nach den Ideen der Differential Privacy und informationstheoretischer Sicherheit (siehe die Kapitel 2 und 7). Abschließend wird dargelegt, dass Ihre Daten – wenn sie unter Einhaltung dieser Garantien angemessen anonymisiert wurden –, nicht unter die DSGVO fallen und somit verarbeitet werden dürfen.
In juristischen Texten und in den Rechtsakten werden häufig sehr viele Wörter für etwas verwendet, das im Grunde genommen relativ simpel ist. Ein Tipp, den ich als hilfreich empfunden habe, ist, nach den handlungsorientierten Teilen des Satzes zu suchen und sie umzuformulieren, um sie lebendiger zu machen, zum Beispiel: »Um festzustellen, ob eine natürliche Person identifizierbar ist« kann als »Um eine Person zu identifizieren … « interpretiert werden. Zudem hilft es, langsam zu lesen, denn oft stecken viele Ideen in einem Satz. Es liegt auf der Hand, dass Ihre Interpretation keine juristische ist. Konsultieren Sie also im Zweifelsfall einen Anwalt.
Die Pseudonymisierung, die Sie als eine der grundlegenden Methoden zum Schutz der Privatsphäre in Kapitel 1 kennengelernt haben, wird auch im Rahmen der DSGVO als eine Möglichkeit empfohlen, datenschutzfreundlichere Systeme zu implementieren und nach dem Prinzip Privacy by Design zu entwickeln. Häufig wird empfohlen, sich zu überlegen, wer welche Daten einsehen muss, und die Pseudonymisierung als eine Möglichkeit zu nutzen, um die Gefahr der versehentlichen Preisgabe von persönlichen Daten zu verringern.
Zwar schreibt die DSGVO nicht vor, welche Methode zur Anonymisierung anzuwenden ist, aber sie legt fest, wie die Methoden und ihre Sicherheit zu überprüfen und miteinander zu vergleichen sind. Je nachdem, wie sich die Verarbeitung und die technologischen Möglichkeiten weiterentwickeln, wird die Auslegung dessen, was als angemessener Ansatz zur Anonymisierung gilt, anders ausfallen. Die Forschung schreitet, wie Sie in Kapitel 4 erfahren haben, weiter voran, um die Möglichkeiten zur Anonymisierung weiter auszubauen.
Mir wurde von mehreren Anwälten das Gleiche mitgeteilt: Differential Privacy wird in juristischen Kreisen als der »Goldstandard« der Anonymisierung angesehen. Nehmen Sie Kontakt mit der Rechtsabteilung auf, falls Sie eine haben, oder mit Juristen, die sich mit Datenschutz und Technologie auseinandersetzen, um herauszufinden, wie Ihr Unternehmen zum Thema Anonymisierung steht. Im weiteren Verlauf dieses Kapitels werden Sie noch mehr über die Zusammenarbeit mit Rechtsexpertinnen und -experten erfahren.
Wenn Sie Differential Privacy anwenden und dies mit den zuständigen Juristen in Ihrem Projekt oder in Ihrem Unternehmen abgesprochen haben, unterliegen die Daten nach Anwendung von Differential-Privacy-Mechanismen nicht mehr der DSGVO. Dies ist für viele Unternehmen von entscheidender Bedeutung, da Informationen über das Kundenverhalten, das Kaufverhalten und andere Erkenntnisse auch dann erhalten bleiben sollen, wenn der Kunde die Löschung seiner persönlichen Daten verlangt. Aber wie funktioniert das, wenn man weiß, dass die Anwendung von Differential Privacy auf einzelne Datenpunkte (lokale Differential Privacy) zu Fehlern und einem hohen Maß an Rauschen führt?
Die meisten Unternehmen und Organisationen denken nicht darüber nach, welche Daten sie konkret aufbewahren möchten und warum. Dies führt oft dazu, dass Lösungen eher willkürlich gewählt und alte, untaugliche Wege der »Anonymisierung« beschritten werden, bei denen nur ein bestimmter Teil der Daten entfernt oder durch Hashing angepasst wird (z.B. die Kunden-ID), aber alle anderen Informationen beibehalten werden.1 Inzwischen wissen Sie, wie es besser geht!
Für eine effektive und zukunftsorientierte Anonymisierung müssen Sie gemeinsam mit den wichtigsten Stakeholdern des Unternehmens entscheiden, welche Daten auf welche Weise zusammengefasst werden sollen. Daten zu horten, birgt Risiken für den Datenschutz und die Sicherheit und verhindert, dass der eigentliche Zweck, Daten zu sammeln, und die damit verbundenen Geschäftsanforderungen abgeklärt werden. In Unternehmen, in denen Daten intensiv gehortet werden, sind häufig untaugliche Dateninitiativen anzutreffen, mit denen keine konkreten Geschäftsziele verfolgt werden.
In diesem Buch geht es nicht um Datentransformation oder darum, wie man eine zweckmäßige Geschäftsstrategie umsetzt. Zu diesem Thema gibt es bereits einige hervorragende Bücher, darunter Good Strategy, Bad Strategy (Rumelt, 2011), Competing against Luck (Christensen et al., 2016) und Playing to Win (Lafley, 2013). Eine klare Geschäftsstrategie und eine einheitliche Vision über die Nutzung von Daten und den Wert von Daten im Unternehmen machen es zweifellos einfacher, herauszufinden, welche Art von Analysen und welche Artefakte Sie in Bezug auf Ihre Kunden, Ihr Produkt und Ihren Markt aufbewahren sollten.
Unabhängig von der DSGVO ist die Aufbewahrung von Daten nur dann sinnvoll, wenn die Daten für das Unternehmen auch weiterhin von Nutzen sind. Sprechen Sie mit Ihrem Datenschutzteam darüber, welche Aufbewahrungsfristen bereits festgelegt sind. Wenn die Daten zu veraltet sind oder sich Ihr Kundenstamm erheblich verändert hat, wird die Aufbewahrung alter Daten Ihnen nicht dabei helfen, Ihre Geschäftsziele zu erreichen. Im Gegenteil, es könnte Ihnen sogar schaden! Letztlich müssen Sie bestimmen, wie weit Ihre Daten in die Vergangenheit zurückreichen sollen, um die angestrebte Performance Ihrer Modelle zu erzielen (siehe Kapitel 5). Dementsprechend sollten Sie Daten, die älter sind, anonymisieren oder entfernen.
Sobald die Anforderungen an Löschung und Anonymisierung der Daten geklärt sind, können Sie – unter Verwendung von Differential-Privacy-Mechanismen – Ihre regulären Analysen durchführen und Ihre Artefakte erstellen. Dadurch sollte die Analyse außerhalb des Geltungsbereichs der DSGVO liegen und weiterhin gespeichert bleiben können, wenn ein Kunde seine Daten löschen lässt. Doch wenden Sie sich hierbei bitte an einen Anwalt oder eine Anwältin! Wenn Sie diesen Prozess automatisieren, müssen Sie die Analyse nicht jedes Mal neu durchführen, wenn Sie einen Antrag auf Löschung erhalten. Die betreffende Person ist in den vorherigen Analysen und Artefakten vertreten, wird aber in künftigen Analysen nicht mehr berücksichtigt. Dadurch wird Ihr Unternehmen von den Erkenntnissen profitieren, die es über interessierte und aktive Kunden gewinnt, wohingegen uninteressierte, passive Kunden in der Analyse außen vor bleiben.
Außerdem können Ihnen auch noch einige andere Datenschutztechnologien, die Sie in diesem Buch kennengelernt haben, dazu verhelfen, von Anfang an datenschutzfreundlichere Systeme zu schaffen. Federated Data Analysis und Federated Learning können dafür sorgen, dass die Daten nicht in Ihren Besitz gelangen, aber dennoch einen Mehrwert bieten. Sie müssen dann nur noch die Ergebnisse auf mögliche Datenschutzlecks prüfen. Technologien wie die Secure Multiparty Computation erlauben Ihnen, festzulegen, wer die Daten sehen kann, und sorgen dafür, dass sie vertraulich bleiben. In Kombination mit Differential Privacy sind diese Tools extrem leistungsfähig und ermöglichen Ihnen, gesetzeskonforme und sichere Systeme aufzubauen.
Aber wie können Sie beurteilen, ob das System tatsächlich mit der DSGVO konform ist? Dies erfordert die Kommunikation zwischen Ihren Software-, Daten- und Infrastrukturteams sowie der Rechtsabteilung. Glücklicherweise gibt die DSGVO einige Empfehlungen dazu, wie Sie dieses Gespräch am besten über Datenschutz-Folgenabschätzungen koordinieren können.
Die Datenschutz-Folgenabschätzung der DSGVO ist eine Bewertung, die von den technischen und juristischen Fachleuten eines Unternehmens bzw. einer Organisation durchgeführt wird. Ziel einer Datenschutz-Folgenabschätzung ist es, potenzielle Schäden zu identifizieren, die durch einen Anwendungsfall mit sensiblen Daten verursacht werden können, und zu bewerten, wie diese Schäden gegebenenfalls verringert oder abgewendet werden können. Nach Abschluss des Prozesses haben Sie eine Entscheidungsgrundlage für das weitere Vorgehen und einen Aktionsplan, wie Sie den Anwendungsfall unter Berücksichtigung des Datenschutzes umsetzen können.
Dieser Prozess sollte Sie an einige der Risikobewertungen und -modellierungen erinnern, mit denen Sie als Technologe oder bei der Arbeit mit Sicherheitsexperten konfrontiert worden sind. Die wichtigsten Schritte bei jeder Risikobewertung – egal ob für den Datenschutz oder andere Bereiche – sind in Abbildung 8-1 aufgeführt.
Abbildung 8-1: Prozess der Risikobewertung
Zunächst müssen Sie definieren, was ein Risiko in Ihrem jeweiligen Kontext darstellt. Was betrachten Sie angesichts des Umfelds, der Beteiligten, der verwendeten Technologien und Daten als Risiko? Das Schöne daran, diese Übungen mit einem multidisziplinären Team durchzuführen, ist, dass verschiedene Personen Risiken ganz unterschiedlich interpretieren werden. Es kann sein, dass Sie nach diesem Buch sogar vorsichtiger mit Datenschutzrisiken umgehen als Datenschutzexperten, weil Sie jetzt das Potenzial für einen Informationsgewinn aus technischer Sicht verstehen.
Als Nächstes geht das Team dazu über, das Risiko zu identifizieren. Nachdem definiert wurde, was ein Risiko darstellt, wird ein bestimmter Anwendungsfall beurteilt. Wo können Sie ein Risiko erkennen? An welchen Stellen der Datenverarbeitung oder -nutzung besteht ein Datenschutzrisiko? Inwiefern? Warum? Diese Diskussion fördert auch die »Risikoempathie« – die Fähigkeit zu erkennen, was andere als Risiko einschätzen. Diese Fähigkeit ist für Ihre Arbeit von großer Bedeutung und wird Ihnen helfen, mehr von anderen Kompetenzen im Team zu lernen.
Sobald das Risiko identifiziert ist, müssen Sie es bewerten. Welche Auswirkungen hat es, wenn das Risiko nicht angegangen wird? Wie hoch ist das Risiko für die Nutzer des Diensts oder die Personen, deren Daten verarbeitet werden? Und wie hoch ist die Wahrscheinlichkeit, dass dieses Risiko eintritt? Die Bewertung des Datenschutzrisikos auf eine technische Art und Weise – z.B. über Definitionen wie Differential Privacy – kann für das Team aufschlussreich sein.
Bei diesem Bewertungsschritt können auch Ihre datenwissenschaftlichen Fähigkeiten helfen. Wenn Sie das Risiko in kleinere und leichter zu bewertende Teile zerlegen, wird es zu einem reinen Analyseproblem. Gibt es Daten, mit deren Hilfe Sie die Eintrittswahrscheinlichkeit des Ereignisses berechnen können? Je klarer und präziser das Risiko definiert ist, desto wahrscheinlicher ist es, dass Sie vorhandene Daten verwenden oder Daten erheben können, um zu bewerten, ob und wann das Risiko besteht.2
Eine gemeinsame Risikobewertung ist eine Teamleistung. Es ist unwahrscheinlich, dass alle Beteiligten das Risiko auf die gleiche Weise bewerten. Hier hilft Ihnen das richtige Maß an »Risikoempathie«, diesen Diskussionen zu folgen und sie effektiv zu führen. Den Teams, die die Risiken managen, ein Gefühl der Sicherheit (https://oreil.ly/HTuvX) zu geben, ist absolut entscheidend, um die Risiken mit Sorgfalt zu bewerten. Sobald dieses Gefühl der Sicherheit hergestellt ist, kann das Team mit kritischem Zuhören und sorgfältig geführten Gesprächen zu einer gemeinsamen Bewertung kommen.
Nachdem die Risikobewertung vorgenommen wurde, müssen Sie eine Entscheidung treffen. Entweder Sie akzeptieren das Risiko, dokumentieren es ordnungsgemäß und kommunizieren es, oder Sie mindern es ab und bewerten es anschließend erneut. Wenn das Risiko nur geringe Auswirkungen auf die betroffenen Personen hat oder es sehr unwahrscheinlich ist, dass das mit dem Risiko verbundene Ereignis eintritt, sollte es für Sie akzeptabel sein. Ist es hingegen sehr wahrscheinlich, dass das Ereignis eintritt, oder sind die Auswirkungen auf die Personen, deren Daten Sie verarbeiten, sehr weitreichend, dann sollten Sie das Risiko eindämmen. Das gesamte Team sollte sich natürlich über die Faktoren einig sein, wenn diese im Rahmen des Bewertungsprozesses analysiert werden.
Wenn Sie sich dazu entschließen, das Risiko abzumindern, können Sie verschiedene Strategien verfolgen, einschließlich der bereits in diesem Buch dargelegten Technologien. Erwägen Sie auch, einfache Maßnahmen durchzuführen, wie z.B. weniger Daten zu erfassen oder zu verarbeiten und somit auch weniger Risiken einzugehen. Dabei ist es wichtig, dass Sie sich für eine Lösung entscheiden, die leicht zu implementieren, einfach zu verwenden und angesichts der aktuellen Systeme auch leicht nachzuvollziehen ist.3 Dieses Buch hat sich auf leicht zugängliche Methoden und Bibliotheken konzentriert, damit Sie eine Vielzahl von Tools in Ihrem Repertoire haben.
Nachdem Vorschläge für mögliche Maßnahmen zur Risikominderung gemacht und diese bewertet wurden, sollten die Maßnahmen ausgewählt werden, die für das Unternehmen und für die jeweilige Datenverarbeitung am sinnvollsten sind. Anschließend muss den beteiligten Teams auch mitgeteilt werden, welche Risiken ausgemacht und welche Maßnahmen zur deren Minderung getroffen wurden. Da diese Risiken nicht mehr das ursprüngliche Team betreffen, sondern von der Gruppe getragen werden, die für die Verarbeitung der Daten verantwortlich ist, muss diese Gruppe die Risiken wirklich verstehen und in der Lage sein, sie zu berücksichtigen, während sie an der Software und den Systemen arbeitet. Sind Sie als Privacy Engineer oder Berater tätig, werden Sie auch während der Implementierung das Team begleiten, um Fragen zu beantworten, bei der Implementierung zu helfen und sicherzustellen, dass sie korrekt ist.
Unabhängig davon, ob ein Risiko gemindert oder akzeptiert wird, muss es dokumentiert und allen in dem Unternehmen beteiligten Parteien und Personen bekannt gemacht werden, damit sie es nachvollziehen können. Das bedeutet, dass es für verschiedene Zielgruppen heruntergebrochen werden muss, so wie Sie es bei der Kommunikation von Standards und Arbeitsabläufen im Bereich Governance gelernt haben. Es ist besonders wichtig, dass die Teams, die das Risiko tragen – unabhängig davon, ob es sich um eine Risikominderung handelt oder nicht –, das Risiko, um das es geht, nachvollziehen können. Eine gute Faustregel für die Kommunikation lautet: Wenn nicht jeder im Team in der Lage ist, dieses gemeinsam getragene Risiko einigermaßen zu erklären, haben Sie noch einiges an Arbeit vor sich.
Am Ende muss der gesetzte Plan auch umgesetzt werden! Dies umfasst die Auswahl der zu verwendenden Bibliotheken und Tools, die Wahl geeigneter Parameter – was einige Experimente und Fehlversuche bedeuten kann – sowie das Schreiben des Codes zur Umsetzung der Maßnahmen. Möglicherweise werden Sie gebeten, die entsprechenden Teams zu beraten, auch wenn Sie die Maßnahmen nicht selbst implementieren.
Sie sollten zudem überprüfen, wie das System arbeitet, und sicherstellen, dass alles wie erwartet abläuft. Das kann so einfach sein wie ein Kontrolltermin in zwei Monaten. Es kann aber auch bedeuten, dass Sie das System über mehrere Wochen hinweg protokollieren und überwachen, wenn es in Produktion geht, um sicherzustellen, dass alles wie erwartet funktioniert. Im Idealfall haben Sie bereits eine Beziehung zu den Infrastruktur-, Operations- und Monitoring-Teams aufgebaut, um sicherzustellen, dass Sie auf ein Dashboard zugreifen oder Warnmeldungen einrichten können, falls Sie eine gründliche Analyse des Systems benötigen.
Doch damit ist es noch nicht getan! Wie Sie bereits wissen, schreitet die technologische und rechtliche Entwicklung im Bereich des Datenschutzes unaufhörlich voran. Wenn eine Risikobewertung nur einmalig vorgenommen wurde, entspricht sie wahrscheinlich nicht der aktuellsten Auslegung dieser Zusammenhänge. Die Bewertung sollte in regelmäßigen Abständen als Teil eines agilen und iterativen Prozesses durchgeführt werden.
Sie sollten dennoch verschiedene Rechts-, Compliance-, Informationssicherheitsund Datenschutzfachleute als Kernteam in die nachfolgenden Risikobewertungen zur Datenschutz-Folgenabschätzung einbeziehen. Dabei müssen Geltungsbereich, Verarbeitungszweck und -kontext immer wieder gegen die Datenschutzrisiken abgewogen werden. Die Vorgaben der DSGVO und die Betroffenenrechte helfen dem Team dabei, festzustellen, ob eine Verarbeitung der Daten legitim ist und im Einklang mit der DSGVO steht.
Es gibt mehrere ausgezeichnete Leitfäden und Beispiele zur Durchführung einer Datenschutz-Folgenabschätzung. Wenn Sie in der EU arbeiten, sollten Sie sich einen in Ihrer Landessprache besorgen. Diese werden häufig von den zuständigen Behörden erstellt und bieten einen hervorragenden Ausgangspunkt für Gespräche im Rahmen der erstmaligen Bewertung. Hier sind zwei gute Beispiele auf Englisch:
Beispiele für deutschsprachige Dokumente finden Sie hier:
Dokumente der Wirtschaftskammer Österreich sind hier zu finden:
Es ist empfehlenswert, in Ihrem Unternehmen regelmäßig Risikobewertungen durchzuführen und noch wirksamere Maßnahmen zu implementieren. Dadurch kann Ihr Sicherheitsteam die Risiken besser verstehen und handhaben, das Datenschutzteam kann sich bei der Genehmigung der Verarbeitung von Daten sicherer fühlen, und Ihre Technologie- und Produktteams können in Bezug auf das Bewusstsein und den Umgang mit sensiblen Daten an Reife gewinnen. Ebenso können sie dazu beitragen, das finanzielle Haftungsrisiko des Unternehmens zu verringern, insbesondere vor dem Hintergrund, dass sich Risiken und Vorschriften kontinuierlich verändern.
Die DSGVO sieht über die Datenschutz-Folgenabschätzung hinaus noch weitere Anpassungen und Verpflichtungen hinsichtlich der Verarbeitung und des Managements von Daten vor. Zwar gehen diese teils über den Rahmen dieses Buchs hinaus, doch das »Recht auf Erläuterung« (Right to an Explanation) bringt einige interessante und herausfordernde Fragen für Data Scientists mit sich.
Die DSGVO umfasst ein kontrovers diskutiertes »Recht auf Erläuterung«, falls eine automatisierte Entscheidung getroffen wird, das in den Erwägungsgründen (insbesondere Erwägungsgrund 71), die die Verordnung flankieren, als Teil des Rechts auf Widerspruch gegen die automatisierte Entscheidungsfindung diskutiert wird. Das Ziel dieses Rechts war es, den Nutzerinnen und Nutzern ein gewisses Maß an Transparenz und Information zu bieten, damit sie entscheiden können, ob sie dieser Art der automatisierten Entscheidungsfindung widersprechen möchten.
Dieses Recht wurde in Machine-Learning-Fachkreisen heftig diskutiert, da immer noch intensiv erforscht wird, wie sich eine Modellentscheidung angemessen erklären bzw. erläutern lässt. Abgesehen von den Komplikationen, die die Bereitstellung nachvollziehbarer Erklärungen für Modellvorhersagen mit sich bringt, wirft dies auch einige interessante Fragen zum Datenschutz auf.
Wie Sie in Kapitel 4 gelernt haben, sind einige Erklärungsansätze dafür bekannt, dass sie private Informationen preisgeben – vor allem wenn es sich um Ausreißer in den Datensätzen handelt. Tatsächlich können Sie Informationen über sich selbst in Modellen finden, die ihre Trainingsdaten »preisgeben«. Haben Sie bereits GPT-3 gefragt, ob es weiß, wer Sie sind (https://oreil.ly/ggSRo)?
Machine-Learning-Modelle enthalten große Mengen an personenbezogenen Informationen. Die meisten Menschen hätten nicht gedacht, dass ein Text, den sie vor zehn Jahren im Internet verfasst haben, irgendwann in einem Chatmodell landen würde. In der Einleitung habe ich Ihnen die sozialen Aspekte des Datenschutzes dargelegt und den in diesem Zusammenhang oft verlorenen Kontext, wenn man aus dem realen Leben in die Onlinewelt abtaucht, thematisiert. Ich glaube, dass dieser Verlust des Kontexts auch online zutage tritt. Das soziale und das Onlineumfeld eines Kommentars, eines Blogbeitrags oder eines Tweets geht in den unzähligen Trainingsläufen im Rahmen des Machine Learning verloren. Was bedeutet das Recht auf Privatsphäre in den aktuellen Normen der Machine-Learning-Community, und wie wirkt es sich darauf aus, wie transparent Sie über Entscheidungen zu Trainingsdaten kommunizieren? Diese Art von Fragen wollten die Verfasser der DSGVO beantworten, und es lohnt sich, darüber nachzudenken, wenn Sie Ihr Wissen über den Datenschutz in diesem Bereich einbringen.
Die DSGVO ist nicht das einzige Gesetz, das Datenschutzrechte kodifiziert. Schauen wir uns noch ein neueres kalifornisches Datenschutzgesetz an, damit Sie einen Überblick darüber bekommen, welche verschiedenen Datenschutzvorschriften es weltweit gibt.
Im Jahr 2018 hat Kalifornien den CCPA (https://oreil.ly/y42GM) verabschiedet, der die Verbraucher vor einer ungewünschten Datennutzung schützen soll. Dieses bundesstaatliche Gesetz umreißt mehrere Datenschutzrechte, darunter das Recht, darüber informiert zu werden, welche Daten erhoben und wie sie verwendet werden, das Recht, erhobene personenbezogene Daten zu löschen, das Recht, dem Verkauf personenbezogener Daten zu widersprechen, und das Recht auf Nichtdiskriminierung, was bedeutet, dass Sie, wenn Sie von Ihren Rechten Gebrauch machen, nicht schlechter gestellt sein dürfen als diejenigen, die dies nicht tun. Diese Rechte werden den Bürgerinnen und Bürgern Kaliforniens eingeräumt, auch wenn sie sich außerhalb Kaliforniens befinden.
Wie auch die DSGVO zielt das Gesetz darauf ab, dass diese Rechte auf automatisierte bzw. halb automatisierte Weise ausgeübt werden können, sodass z.B. ein einfaches Opt-out und Löschungsanträge möglich sind. Leider lässt die tatsächliche Umsetzung in vielen Softwarepaketen zu wünschen übrig, was oft zu der gleichen Art von Cookie-Banner-Spam führt, wie sie bei Einführung der DSGVO zu beobachten war.
Im Gegensatz zur DSGVO sind im CCPA keine hohen Bußgelder vorgesehen, und es besteht auch nicht die Möglichkeit, gegen Verstöße zu klagen, die kein Datenleck zur Folge haben. Es handelt sich um eine aktuell recht neue Gesetzgebung, die sich im Zuge der Durchsetzung wahrscheinlich noch weiterentwickeln wird. Es gab mehrere Kritikpunkte, die von Datenschützern an den von Lobbyverbänden vorgenommenen Änderungen vorgebracht wurden.
Das führte dazu, dass noch ein weiteres Gesetz erlassen wurde: der California Privacy Rights Act (CPRA) (https://oreil.ly/gmqne). Dieses Gesetz wurde im Rahmen eines Volksbegehrens verabschiedet und trat 2023 in Kraft. Mehrere Aspekte des CCPA wurden darin abgeändert, unter anderem wurde die Definition der Verwendung sensibler Daten erweitert, eine eigene Behörde für die Durchsetzung eingerichtet, die bußgeldfreie Nachbesserungsfrist infolge von Verstößen gestrichen, einige der Bußgelder erhöht, und es wurden neue Möglichkeiten geschaffen, Datenschutzklagen gegen Unternehmen einzureichen. Da das Gesetz zum Zeitpunkt des Verfassens dieses Buchs noch nicht durchgesetzt worden war, ist es schwer, abzuschätzen, wie es sich auf den täglichen Geschäftsbetrieb auswirken wird. Allerdings ist absehbar, dass sich die Verarbeitung und Nutzung sensibler Daten innerhalb kurzer Zeit ändern wird.
Zum CCPA gibt es zwar einige Gerichtsurteile, allerdings nicht sehr viele – Kläger können nur dann gegen Unternehmen klagen, wenn es aufgrund unzureichender Schutzmaßnahmen zu einer Datenpanne gekommen ist und es keine zuständige staatliche Durchsetzungsbehörde gibt. Jenseits der Änderungen im Hinblick auf die normalen Einwilligungs- und Nutzungsabläufe ist noch nicht klar, wie sich der CCPA auf den Datenschutz in den USA auswirken wird. Diese Unsicherheit wird sich zum Teil erst mit dem Inkrafttreten des CPRA klären – und damit, dass die staatlichen Behörden damit anfangen, die Nutzung sensibler Daten zu überprüfen.
Der CCPA ist in Bezug auf PETs und Datenschutzmaßnahmen präziser formuliert als die DSGVO. In dem Gesetz wird die Anonymisierung nicht erwähnt, stattdessen wird definiert, was unter De-Identifizierung zu verstehen ist (aus dem Englischen übersetzt und leicht abgeändert):
»De-identifizierte Informationen« sind Informationen, die einen bestimmten Verbraucher nach vernünftigem Ermessen weder direkt noch indirekt identifizieren, sich auf ihn beziehen, ihn beschreiben, mit ihm in Verbindung gebracht werden können oder mit ihm verknüpft werden können, vorausgesetzt, dass ein Unternehmen, das de-identifizierte Informationen verwendet: (1) technische Sicherheitsvorkehrungen getroffen hat, die eine Re-Identifizierung des Verbrauchers, auf den sich die Informationen beziehen könnten, verhindern. (2) Geschäftsprozesse implementiert hat, die eine Re-Identifizierung von Informationen ausdrücklich verbieten. (3) Geschäftsprozesse implementiert hat, um die versehentliche Weitergabe de-identifizierter Informationen zu verhindern. (4) keinen Versuch unternimmt, die Informationen zu reidentifizieren.
Gehen wir einmal diesen Abschnitt des Gesetzes durch und vergleichen wir ihn mit der DSGVO. Es wird deutlich, dass de-identifizierte Daten der Definition für Anonymisierung ähneln, da sie nicht verwendet werden können, um »nach vernünftigem Ermessen« mit einer bestimmten Person in Verbindung gebracht, verknüpft oder »direkt oder indirekt« identifiziert oder beschrieben zu werden. Der CCPA enthält jedoch – im Gegensatz zur DSGVO – keine Beispiele dafür, was zu einem angemessenen Test gehören könnte.
Allerdings enthält der CCPA eine spezifische Liste von Anforderungen bezüglich der De-Identifizierung – einschließlich technischer Sicherheitsvorkehrungen gegen ReIdentifizierung sowie Geschäftsprozesse, die eine Re-Identifizierung untersagen und eine Weitergabe der Informationen verhindern. Geschäftsprozesse beziehen sich hier sowohl auf technische Prozesse als auch auf Richtlinien, die solche Verhaltensweisen verhindern sollen, wie z.B. Zugriffsbeschränkungen. Wenn ein Unternehmen nachweisen kann, dass die Daten de-identifiziert wurden, werden sie nicht mehr als persönliche Informationen eingestuft und fallen daher nicht unter die gesetzlichen Verpflichtungen bezüglich der Datenverarbeitung.
Sicherlich ist Ihnen aufgefallen, dass diese Beschreibung sehr komplex formuliert ist und sich nicht ohne Weiteres auf die Techniken übertragen lässt, die Sie in diesem Buch gelernt haben. Genau das ist einer der Kritikpunkte vieler Datenschutzaktivisten an der Gesetzgebung. Was genau ist ein Versuch, die Informationen zu re-identifizieren? Könnte zum Beispiel gezielte Werbung, die auf meinem Standort und meinem Geschlecht basiert, eine Re-Identifizierung sein? Juristen, die sich mit dem CCPA befasst haben, wiesen darauf hin, dass das Gesetz absichtlich vage gehalten wird, um ein weiter gefasstes Verständnis von Maßnahmen zu ermöglichen, bei denen der Standard niedriger angesetzt ist als bei der DSGVO.
Die im CCPA enthaltenen Ratschläge beziehen sich oft auf grundlegende Datenschutzmaßnahmen, wie z.B. die Pseudonymisierung und die Tokenisierung als technologische Schutzmaßnahmen gegen eine Re-Identifizierung. Angesichts dieser Auslegung und Empfehlungen hat es den Anschein, dass ältere, nicht funktionierende Anonymisierungsmethoden wie k-Anonymity – auch ungeachtet einer zusätzlichen Anwendung von l-Diversity und t-Closeness – als zulässige Methoden zur De-Identifizierung betrachtet werden können.
Dementsprechend erlaubt der CCPA im Vergleich zu den von der DSGVO gesetzten Maßstäben bedeutend schwächere Datenschutztechnologien als die, die Sie in diesem Buch kennengelernt haben. Allerdings werden sich diese Gesetzgebung und ihre Durchsetzung im Laufe der Zeit durch die Rechtsprechung und klarere Definitionen weiterentwickeln. Es ist davon auszugehen, dass die grundlegenden Maßnahmen, die Sie in Kapitel 1 gelernt haben, ausreichen, um Ihr Unternehmen auf die Umsetzung des CCPA vorzubereiten. Die Automatisierung dieser Maßnahmen, wie sie in Kapitel 3 skizziert werden, könnte auch nützlich sein, um die Einhaltung der Vorschriften zu erleichtern, sodass Sie Einwilligungsworkflows einsehen und Löschanfragen automatisieren können.
Es bleibt abzuwarten, wie Unternehmen den CPRA umsetzen werden und wie die neuen kalifornischen Datenschutzbehörden das Gesetz interpretieren werden. Sie sollten vorausschauend handeln und fast alle Gesetze als veränderbar und als auslegungsoffen betrachten.
Neben der DSGVO, dem CCPA und dem CPRA sind in den letzten Jahren zahlreiche weitere Gesetze in Vorbereitung oder wurden bereits verabschiedet. Werfen wir einen Blick auf einige weitere.
Der CCPA und die DSGVO sind zwei Vorschriften inmitten einer riesigen internationalen Gesetzeslandschaft. Sich in dieser Landschaft zurechtzufinden, kann sehr einschüchternd sein. Doch mit dem, was Sie bisher gelernt haben, haben Sie die Grundlage geschaffen, die Gesetzgebung selbst nachlesen und verstehen zu können und zu beurteilen, wie die Ihnen bekannten Technologien angewandt werden können.
Testen Sie doch einmal Ihre verbesserten Argumentationsfähigkeiten und sehen Sie sich den Health Insurance Portability and Accountability Act (HIPAA) (https://oreil.ly/CPcBf) an, der in den Vereinigten Staaten den Umgang mit jeglicher Art von Gesundheitsdokumenten regelt. Der HIPAA legt fest, welche Arten von Gesundheitsinformationen als sensibel gelten, wie gesundheitsbezogene Daten angemessen geschützt und wie sie sicher und vorschriftsmäßig weitergegeben werden. Das Gesetz trat bereits im Jahr 1996 in Kraft, es unterscheidet sich daher deutlich von neueren Gesetzen.
Es gibt zum Beispiel zwei verschiedene Möglichkeiten, Gesundheitsdaten zur sicheren Verwendung gemäß HIPAA herauszugeben. Dies ist in etwa vergleichbar mit den Empfehlungen der DSGVO oder des CCPA, die erläutern, unter welchen Umständen Daten nicht mehr unter die gesetzlichen Bestimmungen fallen.
Nach dem HIPAA können Sie Gesundheitsdaten an andere weitergeben, wenn Sie nachweisen können, dass sie dem »Safe-Harbor«-Abkommen (https://oreil.ly/cGeZ3) entsprechen. Dies erfordert die De-Identifizierung bestimmter Felder, die personenbezogene Daten enthalten, wie z.B. das Datum der Krankenhauseinweisung, das Entlassungsdatum, das Geburtsdatum des Patienten, das Geschlecht usw. Im Allgemeinen wird empfohlen, diese Datenpunkte vollständig zu entfernen. Allerdings schützt dies, wie Sie von den in Kapitel 4 beschriebenen Angriffen wissen, nicht vor Singling Out Attacks oder anderen Rückschlüssen, die ein Angreifer auf der Grundlage der freigegebenen Daten ziehen könnte. Wenn zum Beispiel eine Krankheit oder ein Medikament einen Teil der Bevölkerung stärker betrifft als einen anderen, könnte ein Angreifer auf das Geschlecht, das Alter oder die ethnische Zugehörigkeit eines bestimmten Patienten schließen. Wenn darüber hinaus externe Informationen zur Verfügung stehen, wie z.B. Reisedaten zu und von Behandlungen von einem anderen Datenverarbeiter, könnten diese Informationen mit Techniken verknüpft werden, wie sie beim Netflix-Price-Angriff verwendet wurden.
Im Rahmen des HIPAA gibt es noch einen weiteren Ansatz zur Freigabe von Daten, der als Expert-Determination-Test bezeichnet wird. Die Durchführung dieses Tests erfolgt in folgenden Schritten:
Sie sehen also, dass man sich hier Gedanken darüber machen muss, welche Informationen ein Angreifer haben könnte, anstatt über die Eigenschaften des angewandten Datenschutzmechanismus nachzudenken. Außerdem wird die Entscheidung in die Hände einer einzigen Partei gelegt, die möglicherweise keine Ahnung von Technologien wie Differential Privacy hat oder der Meinung ist, dass diese Technologien nicht unter den HIPAA fallen. Dadurch könnten die Bewertungen der Fachleute sehr unterschiedlich ausfallen, wie Sie bereits an den Bewertungen der Sicherheitsexperten in Kapitel 4 gesehen haben.
Nach Anwendung einer der beiden Methoden gelten die Daten als »anonymisiert« und können freigegeben werden. Im Vergleich zur DSGVO ist das natürlich ein weniger striktes Verständnis von Datenschutz.
Betrachten wir ein weiteres Gesetz. Brasilien hat eines der strengsten Datenschutzgesetze, das Lei Geral de Proteção de Dados Pessoais (LGPD) (https://oreil.ly/q3Km3). Das Gesetz wurde im Jahr 2018 verabschiedet, trat im Jahr 2020 in Kraft und ist stark an die DSGVO angelehnt. Die meisten der im Abschnitt »Die DSGVO im Überblick« auf Seite 276 behandelten Prinzipien gelten auch für die LGPD, einschließlich der Datenschutzrechte, der Rolle des Datenverarbeiters gegenüber dem Datenverantwortlichen und der Datenschutz-Folgenabschätzung. Wenn Sie also in Brasilien Daten erheben oder verarbeiten, sollten Sie diese genauso behandeln wie Daten aus der EU. Es bleibt abzuwarten, wie diese Bestimmungen über einen längeren Zeitraum durchgesetzt werden, allerdings kann Ihnen Ihre Rechtsabteilung Auskunft geben.
Darüber hinaus gibt es das chinesische Datenschutzgesetz, das Personal Information Protection Law (PIPL) (https://oreil.ly/Z36ld/), das im Jahr 2021 in Kraft trat. Zwar sind nicht viele Beispiele bekannt, anhand deren man beurteilen könnte, wie es durchgesetzt wird, aber das Gesetz definiert Anonymisierung als »ein Verfahren, bei dem personenbezogene Daten so verarbeitet werden, dass die Identifizierung einer bestimmten natürlichen Person unmöglich ist und nicht rückgängig gemacht werden kann.« Wörtlich genommen, ist dies eine hohe Hürde und könnte bedeuten, dass stärkere Differential-Privacy-Mechanismen zum Einsatz kommen oder mehr Informationen gelöscht werden müssen, um zu gewährleisten, dass die Verarbeitung gesetzeskonform ist.
Weltweit gibt es immer mehr Vorschriften zum Datenschutz und zur Datensicherheit sowie eine Vielzahl einzelner Rechtsprechungen. Da Ihnen dieses Buch nicht die allerneuesten rechtlichen Entwicklungen aufzeigen kann, sollten Sie regelmäßig die Artikel der International Association of Privacy Professionals (IAPP) (https://iapp.org) lesen und sich mit Juristen austauschen, um Ihr Wissen auf dem neuesten Stand zu halten.
Der AI Act (https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence), der im Deutschen als Gesetz über künstliche Intelligenz – kurz KI-Verordnung – bezeichnet wird, ist eine neue EU-Verordnung,4 deren Entwurf im Februar 2024 zugestimmt wurde und die für mehr Transparenz und Rechenschaftspflicht beim Einsatz von KI-Systemen, die Auswirkungen auf Menschen haben, sorgen soll. Sie unterteilt Machine-Learning-Systeme je nach Gefährdungsgrad in verschiedene Kategorien ein, einschließlich verbotener Systeme sowie Systemen, die ein hohes, mittleres und geringes Risiko bergen. Zu den KI-Systemen, die gemäß der Verordnung verboten sind, gehören z.B. Technologien, die ein Social Scoring vornehmen, und solche, bei denen eine biometrische Identifizierung in Echtzeit erfolgt – mit einigen wenigen Ausnahmen für biometrische Systeme, sofern ein Gerichtsbeschluss vorliegt. Bei Systemen, die zur Personalbeschaffung und für Vorstellungsgespräche eingesetzt werden und die sich darauf auswirken können, ob jemand einen Job bekommt oder an einer Universität zugelassen wird, sowie bei allen Systemen, die biometrische Identifizierung verwenden, wird von einem hohen Risiko ausgegangen.
Wenn ein System als hochriskant zu bewerten ist, muss es besondere Anforderungen an Transparenz und Sicherheit erfüllen. Die meisten dieser Anforderungen zielen darauf ab, die verwendeten Daten besser zu dokumentieren und das Modellverhalten und die Erläuterbarkeit besonders zu prüfen. Einige dieser Anforderungen sind zum jetzigen Zeitpunkt, d.h. März 2024, noch nicht ganz klar bzw. nicht eindeutig definiert, aber ähnlich wie bei der Einführung der DSGVO werden sie wahrscheinlich zum Standard werden, sobald sie einige Jahre in der Praxis erprobt sind.
Was Sie bisher über die Bewertung des Datenschutzrisikos, die Bestimmung der Sensibilität, über Datenhistorie und die Anwendung von Datenschutzmaßnahmen im Rahmen von Modelltraining und Deployments gelernt haben, sollte Ihnen helfen, einige der Fragen zu beantworten, die mit der Erstellung von Berichten über Modelle verbunden sind. Es gibt auch Anforderungen für die Berichterstattung und Überwachung der Datenqualität für Trainings-, Test- und Validierungsdaten sowie für Systeme, die Vorhersagen treffen. Einige dieser Methoden erfordern, dass Modellentwickler tiefgehender durchdenken, wie sie personenbezogene Daten nutzen, und besser darüber berichten, wie sie die Privatsphäre im Rahmen des Modelltrainings und des Deployment von Modellen schützen.
Der AI Act enthält viele weitere Bestimmungen, darunter die Kennzeichnung von Outputdaten mit digitalen Wasserzeichen, die Sicherstellung, dass Tests durchgeführt werden, mit denen die Sicherheit überprüft wird, und die Forderung nach Schutzmaßnahmen (Safeguards), die, bis die Verordnung umgesetzt wird – etwa 18 Monate nach der endgültigen Verabschiedung –, noch näher konkretisiert werden müssen. Der endgültige Text ist zum Zeitpunkt des Verfassens dieser Zeilen noch nicht verfügbar. Ähnlich wie bei der DSGVO wird erst nach Inkrafttreten des Gesetzes Klarheit darüber herrschen, wie diese Vorschriften durchgesetzt werden und welche Best Practices sich durchsetzen werden. Informieren Sie sich also über die Empfehlungen der EU-Behörden sowie über Ihre bevorzugten Newsletter und Blogs, sobald die endgültige Umsetzung näher rückt.
Für Machine-Learning-Systeme, die ein geringeres Risiko darstellen, wird es keine Meldepflicht geben. Aus datenschutzrechtlicher Sicht ändert sich durch den AI Act nicht viel – außer dass die bereits geltenden Anforderungen der DSGVO nun stärker kodifiziert und wahrscheinlich auch konsequenter durchgesetzt werden. Denn die zusätzliche Transparenzberichterstattung wird direkt Aufschluss darüber geben, ob sich das Unternehmen auch an die DSGVO hält. Wenn Sie die DSGVO-Compliance in Ihrem Unternehmen in Bezug auf KI und Machine-Learning-Systeme verbessern, können Sie den AI Act auch leichter erfüllen.
Der Data Governance Act bzw. der Daten-Governance-Rechtsakt trat im September 2023 in Kraft (https://digital-strategy.ec.europa.eu/en/policies/data-governance-act-explained#ecl-inpage-l4ihlqt9) und schafft neue Möglichkeiten für Datenschutztechnologien im öffentlichen Sektor. Die Verordnung fördert einen sichereren und besseren Datenaustausch zwischen den EU-Mitgliedsstaaten, indem es Leitlinien für die Art und Weise vorgibt, wie die Staaten den Datenaustausch von wichtigen und personenbezogenen Daten angehen sollten. Konkret fordert die Verordnung die Einrichtung und Registrierung von Datenvermittlungsdiensten (engl. Data Intermediation Services). Diese sollen Datenschutztechnologien einsetzen, um den verschiedenen EU-Regierungen den Austausch von Daten zu ermöglichen.
Wie bei den meisten Datenschutzvorschriften üblich, sind keine spezifischen Technologien aufgeführt. Es gibt jedoch Konzepte wie Anonymisierung und statistische Geheimhaltung für alle personenbezogenen Daten sowie Anforderungen an die »sichere Verarbeitung« solcher Daten. Es gibt auch ausdrückliche Anforderungen an die gemeinsame Nutzung geschützter oder kommerzieller Daten und an die Gewährleistung, dass diese Anforderungen hohen Standards entsprechen, um Wettbewerbsnachteile für EU-Unternehmen aufgrund von Vereinbarungen über die gemeinsame Nutzung von Daten zu vermeiden.
Der Data Governance Act eröffnet im Wesentlichen eine neue Marktchance für Unternehmen und Einrichtungen, die sichere Wege zum Austausch von Daten und bewährte Technologien wie die in diesem Buch vorgestellten anbieten. Da die EU beabsichtigt, den Wettbewerb unter derartigen Diensten zu fördern, wird dieser Bereich noch etliche Jahre lang Chancen bieten. Daher kann ich Sie nur ermutigen, vorausschauend zu denken, Ihre in diesem Buch erworbenen Kenntnisse zu vertiefen und darüber nachzudenken, Dienstleistungen anzubieten oder sich einer Einrichtung des öffentlichen Sektors anzuschließen!
Neben den Datenvermittlungsdiensten gibt es weitere neue Organisationen, die sogenannten Data Altruism Organizations, die Daten von den Mitgliedsstaaten zu gemeinnützigen Zwecken anfordern und verarbeiten können, z.B. zur Bekämpfung des Klimawandels, zur Verbesserung der Gesundheitsversorgung oder zur Verbesserung der Lebensbedingungen der EU-Bürger. Diese Einrichtungen müssen außerdem nachweisen, dass sie mit hohen Standards in Bezug auf die verwendeten Datenschutztechnologien arbeiten und eine sichere Verarbeitung derartiger Datenanfragen gewährleisten.
Die europaweite Harmonisierung der Gesetzgebung wird von einem neuen Gremium, dem European Data Innovation Board, übernommen. In Deutschland wird die Bundesnetzagentur die Registrierung von Datenvermittlungsdiensten und gemeinnützigen Organisationen überwachen. Zum Zeitpunkt der Erstellung dieses Abschnitts (März 2024) gibt es noch keine öffentlich gelisteten Organisationen. Wenn Sie jedoch daran interessiert sind, eine solche Organisation zu verfolgen oder ihr beizutreten, empfehle ich Ihnen, die Nachrichten des Boards und der lokalen Organisationen zu verfolgen, wenn Sie in der EU ansässig sind.
Der Data Act, auch Datenverordnung genannt (https://digital-strategy.ec.europa.eu/en/policies/data-act), wird im Jahr 2025 in Kraft treten und kann als Erweiterung des Rechts auf Datenübertragbarkeit im Rahmen der DSGVO verstanden werden. Ziel der Verordnung ist es, Verbrauchern und Unternehmen, die Produkte mit Datenfunktionalität (d.h. IoT und vernetzte Produkte oder Maschinen) kaufen, mehr Daten zur Verfügung zu stellen. Der Data Act wird den Zugang zu maschinenlesbaren Daten (über eine API) erleichtern, Standards für die gemeinsame Nutzung dieser Daten entwickeln und den Wechsel von Herstellern oder Anbietern durch die Übertragung von Daten zwischen Geräten und Diensten erleichtern. Dies war bereits in Artikel 20 der DSGVO geregelt, konnte sich aber nie richtig durchsetzen. Daher wird es nun im Data Act konkreter formuliert und auch stärker durchgesetzt.
Für Unternehmen, die viele Maschinen kaufen (z.B. Unternehmen in den Bereichen Fertigung, Automobil, Transport und Logistik sowie Supply Chain Management), wird dies von Interesse sein, da es neue Möglichkeiten eröffnen könnte, diese Daten zu nutzen, um bessere Entscheidungen zu treffen. Es könnte auch die Zusammenarbeit zwischen Unternehmen in ähnlichen Bereichen fördern, da sie über eine neue Datenquelle verfügen, die sich auf ihre Branche auswirkt. Die in diesem Buch vorgestellten sicheren Technologien für den Datenaustausch könnten diese Daten für Partner und sogar Wettbewerber zugänglich machen, z.B. für die Zusammenarbeit in Lieferketten oder zwischen kooperierenden Wettbewerbern, um gemeinsame Probleme zu lösen, z.B. Prognosen zu erstellen, Energie effizient zu nutzen, vorausschauende Wartung durchzuführen oder bessere Fabriken zu bauen und zu betreiben. Abhängig von der Art der IoT-Anwendungsfälle könnte dies auch interessante Anwendungsgebiete für die gemeinsame Nutzung von Daten durch verschiedene Gemeinschaften und Verbraucher eröffnen, die sich für Federated und Encrypted Learning bzw. Analytics eignen. Wenn Sie ein Projekt oder eine Organisation in diesem Bereich planen, würde ich gern mehr darüber erfahren!
Zusätzlich zu den gesetzlichen Anforderungen gibt es oft interne organisatorische Anforderungen für Datenschutz- und Sicherheitsinitiativen, Richtlinien und Verpflichtungen. Einige davon ergeben sich aus Vorschriften und deren Auslegung in einem bestimmten Unternehmen, andere wiederum sind speziell darauf ausgerichtet, wie ein Unternehmen die Datenschutz- und die Sicherheitsmaßnahmen zu nutzen, zu handhaben und umzusetzen gedenkt. Wichtig ist, dass Sie lernen, interne Richtlinien und Verträge zu lesen und Ihre Rechtsabteilung um Hilfe bitten, wenn Sie erwägen, Technologien anzuwenden, die Sie in diesem Buch kennengelernt haben.
Interne Richtlinien und Geschäftsverträge zu lesen, kann in den meisten Unternehmen der schwierigste Teil sein, wenn es darum geht, Datenschutzinitiativen zu verstehen und umzusetzen. Häufig sind interne Richtlinien ein Mix aus Empfehlungen der Rechtsabteilung, der Geschäftsleitung und der technischen Leitung eines Unternehmens. Dieser Mix kann manchmal dazu führen, dass die Richtlinien oder Verträge schwer umzusetzen und zu interpretieren sind.
Diese Richtlinien sind jedoch von entscheidender Bedeutung, da sie die direkten Anweisungen Ihres Unternehmens zur Einhaltung der gesetzlichen Vorschriften enthalten. In den Richtlinien können auch spezifische Regeln aufgeführt sein, die die Unternehmensleitung festgelegt hat, um die geschäftlichen Belange im Hinblick auf Datenschutz und Sicherheit zu berücksichtigen. Einige Unternehmen haben möglicherweise noch zusätzliche Auflagen aufgrund von vertraglichen Verpflichtungen. Ein Unternehmen, das beispielsweise direkt mit einer Regierung zusammenarbeitet, wird aufgrund dieser Verträge und der Art seiner Tätigkeit wahrscheinlich besondere Anforderungen an Sicherheit und Datenschutz zu erfüllen haben.
Womöglich haben Sie bereits viele interne Richtlinien und Verträge gelesen oder an entsprechenden Schulungen teilgenommen. Falls ja, ist das großartig, denn Sie haben bereits eine Vorstellung davon, wie Ihr Unternehmen über Datenschutz und Sicherheit, technologische Implementierungen und Richtlinien denkt und welche Arten von Daten Ihr Unternehmen als sensibel betrachtet. Oftmals sind diese Schulungen jedoch sehr allgemein gehalten und beantworten nicht die spezifischen Fragen, die Sie vielleicht zum konkreten Wortlaut der Richtlinien oder Leitlinien haben oder wie diese in Bezug auf Ihre datenwissenschaftliche Arbeit interpretiert werden. Die Richtlinien auch wirklich selbst durchzulesen, kann Ihnen helfen, Ihre Arbeit besser auszurichten.
Das Durchlesen dieser Richtlinien, Verträge und Gesetzestexte kann entmutigend sein, und Sie sollten auf jeden Fall juristische Unterstützung in Anspruch nehmen, um herauszufinden, was genau mit den Inhalten bezweckt wird. Sie erfahren in diesem Kapitel noch mehr darüber, wie Sie bei diesen Fragen mit Rechtsexperten zusammenarbeiten können. Doch zunächst wollen wir uns damit befassen, wie Sie die bisher erlernten Fähigkeiten nutzen können, um juristische Dokumente des Unternehmens in Bezug auf Datenschutz und Sicherheit zu durchleuchten.
Die Datenschutzrichtlinien und Nutzungsbedingungen Ihres eigenen Unternehmens zu lesen, kann sehr aufschlussreich sein, da es Ihnen einen anderen Blick auf den Datenschutz in Ihrem Unternehmen ermöglicht und Ihnen aufzeigt, wie das Unternehmen den Nutzerinnen und Nutzern gegenüber seinen Weg kommuniziert. Dadurch können Sie Empathie und Verständnis für die Nutzer entwickeln und erfahren, wie schwierig es für Sie als Nutzer sein kann, zu verstehen, wie Ihre Daten verwendet werden und wie Sie Ihre Datenschutzrechte ausüben können. Die Länge und die Komplexität des Texts können sich erheblich darauf auswirken, dass die Nutzer verstehen, wofür sie ihre Zustimmung geben, wie ihre Daten verwendet werden und wie sie ihre Rechte ausüben können.
Die New York Times führte eine Studie über mehr als 150 Datenschutzrichtlinien durch und stellte ein interaktives Feature zur Verfügung (https://oreil.ly/fEHgR), mit dem die Komplexität und Länge dieser Richtlinien im Laufe der Zeit analysiert wurde. Der Analyse zufolge waren einige Richtlinien so lang, dass es Stunden dauerte, sie zu lesen, und es bedurfte eines Doktortitels, sie auch zu verstehen. Doch inzwischen ist das anders. Sie kamen zu dem Schluss, dass die DSGVO den Zeit- und Arbeitsaufwand zum Lesen von Datenschutzrichtlinien erheblich reduziert hat. Eines der Hauptziele der DSGVO war es, mehr Klarheit in Bezug auf die Anforderungen des Datenschutzes und anwenderfreundlichere Datenschutzeinstellungen zu schaffen.
Nehmen wir einmal die einfach zu lesenden Datenschutzbestimmungen der Signal-App, eines verschlüsselten Messenger-Diensts (https://oreil.ly/IUZQC), unter die Lupe:
Informationen, die verwendet und erhoben werden
Hier gibt Signal in nutzerfreundlicher Sprache an, welche Arten von Informationen von der Anwendung erfasst oder verwendet werden. In den Abschnitten finden Sie eindeutige Beispiele dafür, wie die Daten geschützt werden, und Links zu weiterführender Dokumentation darüber, wie diese Schutzmaßnahmen umgesetzt werden. Außerdem wird anhand von konkreten Beispielen gezeigt, wann und wie die Daten verwendet werden. Sie werden vielleicht den Verweis auf Private Joins bemerken, wenn es darum geht, wie Signal andere Kontakte findet, die Signal verwenden, die Sie nunmehr aus Kapitel 7 kennen.
Informationen, die weitergegeben werden
Hier gibt Signal an, welche Drittanbieter welche Daten erhalten und zu welchen Zwecken. Leider werden diese Drittanbieter nicht explizit aufgeführt, aber wenn Sie diese Zeilen lesen, könnte sich die Richtlinie inzwischen geändert haben. Eine bessere Auflistung von Drittanbietern, in der auch angegeben wird, für welche Zwecke diese die Daten verwenden und wo ihr Sitz ist, finden Sie in den Datenschutzrichtlinien von Hugging Face (https://oreil.ly/EjH8y). Signal gibt ebenfalls an, wann die Daten unter außergewöhnlichen Umständen weitergegeben werden können, z.B. wenn eine Strafverfolgungsbehörde sich mit einem Vollstreckungsbefehl oder einer Vorladung mit Strafandrohung an sie wendet.
Aktualisierungen, Bedingungen und Kontaktinformationen
Die anderen empfohlenen Felder für eine Datenschutzrichtlinie sind hier aufgeführt, damit die Leserinnen und Leser wissen, wie und wann die Richtlinien aktualisiert werden, wie die Bedingungen des Diensts lauten und wie Sie das Datenschutzteam bei Fragen kontaktieren können.
Das war’s! Nicht alle Datenschutzrichtlinien sind so klar und einfach gehalten. Bei den Diensten, die Sie nutzen, finden Sie durchaus Beispiele für lange und schwer verständliche Richtlinien. Die DSGVO sorgt glücklicherweise dafür, dass Datenschutzrichtlinien im Laufe der Zeit immer besser lesbar werden. Und vielleicht hat Ihr Unternehmen diesen nutzerfreundlichen Ansatz ja bereits umgesetzt.
Die Nutzungsbedingungen sind oft auch in der Datenschutzrichtlinie enthalten und sind häufig voller juristischer Formulierungen. Es gibt einige Standardtexte bzw. Abschnitte, die üblicherweise verwendet werden, um das Unternehmen vor Klagen zu schützen, wie z.B. Haftungsausschlüsse und Einschränkungen. Die DSGVO hat viele Nutzungsbedingungen dazu veranlasst, auf den Daten- und Persönlichkeitsschutz bei der Nutzung des Diensts zu verweisen, obwohl dies oft auch in den Datenschutzbestimmungen selbst geregelt ist. In den Nutzungsbedingungen wird in der Regel auch beschrieben, wie Sie den Dienst auf legale Weise nutzen können und was der Dienst tun wird, wenn Sie gegen die Bedingungen verstoßen. Das kann sowohl direkte Beispiele als auch spezifische Hinweise zur korrekten Nutzung des Diensts beinhalten. Die meisten dieser Bestimmungen gelten nicht für Ihre Arbeit als Data Scientist oder Privacy Engineer.
Darüber hinaus hat Wandel hin zu verständlicheren Datenschutzrichtlinien zu Seiten geführt, auf denen erklärt wird, wie man die Datenschutzeinstellungen ändern kann, wie man die Verwendung seiner Daten besser beurteilen kann und wie man die Einwilligungsoptionen ändern kann. Dies hat zu Datenschutzrichtlinien – wie zum Beispiel der BBC – mit klaren, in einfacher Sprache verfassten Frage- und Antwortabschnitten (https://oreil.ly/wXdSW) geführt. Viele Unternehmen mit gesteuerten Einwilligungsoptionen haben hilfreiche Anleitungen für Nutzerinnen und Nutzer dazu erstellt, wie sie ihre aktuellen Einstellungen überprüfen und leicht ändern können.5
Beispiele für kundenfreundliche Erläuterungen zu Datenschutzrichtlinien und Einstellungsmöglichkeiten für die Erhebung privater Daten finden sich häufig dort, wo Unternehmen unter öffentlicher Beobachtung stehen und sich deshalb dazu angehalten sehen, bessere Datenschutzeinstellungen anzubieten. Zum Beispiel sind das Privacy Checkup Tool von Facebook (https://oreil.ly/AG7_z) und das Alexa Privacy Center von Amazon (https://oreil.ly/OF41v) ziemlich gut durchdachte Seiten mit klaren Beispielen und einfachen Anleitungen. Wie Sie in Kapitel 1 gelernt haben, sind fein abgestufte Einwilligungsoptionen für Privacy by Design unerlässlich.
Manche Datenschutzrichtlinien enthalten auch Angaben zu den Datenverarbeitern, die das Unternehmen nutzt. Dies ist besonders wichtig, wenn Ihr Unternehmen als Datenverarbeiter und nicht als Datenverantwortlicher tätig ist.
Auftragsverarbeitungsverträge (AVVs) (engl. Data Processing Agreements, DPAs) sind rechtliche Vereinbarungen zwischen einem Datenverantwortlichen und einem Datenverarbeiter nach der DSGVO, die die Anforderungen an eine konforme Datenverarbeitung für beide Parteien festlegen. Sie haben diese Vereinbarungen vielleicht schon einmal gesehen, als Sie sich für die Nutzung eines Datenverarbeitungsdiensts angemeldet haben.
Ein AVV legt in der Regel fest, wie ein Datenverarbeiter personenbezogene Daten während der Verarbeitung handhaben sollte, und gibt dem Datenverantwortlichen die Möglichkeit, diese Informationen an die potenziell betroffenen Personen weiterzugeben. Wenn Sie beispielsweise ein Datenverantwortlicher sind, der seinen Kunden einen E-Commerce-Shop zur Verfügung stellt, erfassen Sie wahrscheinlich Zahlungsinformationen und nutzen einen Zahlungsdienst wie Stripe oder PayPal, um Zahlungen zu verarbeiten. Ein AVV würde festlegen, wie diese personenbezogenen Daten an diesen Dienst gesendet werden und wie Stripe oder PayPal die Daten verwenden können.
In der Praxis haben kleinere Unternehmen kaum Einfluss auf die AVVs und müssen die von den Diensten angebotenen AVVs akzeptieren. Sehen wir uns als Beispiel den AVV des E-Mail-Providers Mailjet (https://oreil.ly/Exm6Z) an, um zu erfahren, wie diese aussehen können:
Definitionen
Wie viele juristische Dokumente beginnen auch die meisten AVVs mit einer Definition der im Dokument verwendeten Begriffe. Dazu gehören Definitionen für wichtige Begriffe wie Verantwortlicher und Verarbeiter sowie Verweise auf Vorschriften und andere im Dokument verwendete Begriffe.
Details und Umfang
Dies ist der wichtigste Abschnitt, den Sie als Betroffener verstehen müssen. Dieser Abschnitt umreißt die Einzelheiten der Datenverarbeitung und grenzt den Anwendungsbereich so gut wie möglich ein. Wie in diesem Beispiel von Mailjet wird hier in der Regel die Art der verarbeiteten personenbezogenen Daten, die Art und Weise und die Gründe für die Verarbeitung dieser Daten sowie die Verantwortlichkeiten des Datenverantwortlichen und des Datenverarbeiters dargelegt. Diese Abschnitte können voller Fachjargon sein – gehen Sie also jeden Satz durch und formulieren Sie ihn für sich selbst in eine einfachere Sprache um. Sollten Sie Schwierigkeiten haben, einen Satz oder einen Abschnitt zu verstehen, während Sie die Dienstleistungen für Ihre Arbeit überprüfen, sollten Sie Ihre Rechtsabteilung zurate ziehen, um sich Klarheit zu verschaffen.
Rollen des Datenverantwortlichen und des -verarbeiters
Da diese Vereinbarung explizit zwischen einem Datenverantwortlichen und einem Datenverarbeiter geschlossen wird, gibt es in der Regel lange Abschnitte über die Rollen und Verantwortlichkeiten beider Parteien.
Sicherheits- und Datenschutzmaßnahmen und Einhaltung der Datenschutzrechte
Wenn der Datenverarbeiter besondere Sicherheits- und Datenschutzvorkehrungen getroffen hat, werden diese in einem oder mehreren der folgenden Abschnitte beschrieben. Ein kurzer Blick genügt, um herauszufinden, welche Abschnitte für Ihre Arbeit relevant sein könnten, oder wenn Sie aus Neugier mehrere Datenverarbeiter einschätzen und deren Datenschutz- und Sicherheitsstandards vergleichen möchten.
Andere gesetzlich vorgeschriebene Abschnitte: Übertragung, Verarbeitung durch Subunternehmen, Beendigung
Es gibt eine Reihe weiterer erforderlicher Abschnitte, die sich im Laufe der Zeit wahrscheinlich ändern werden. Der Abschnitt zur Übermittlung von Daten kann unterhaltsam sein, denn so erfahren Sie, wie das Unternehmen die transatlantischen Datenflüsse nach Schrems II einhält, aber die meisten dieser Abschnitte sind für Ihre Arbeit als Data Scientist oder Privacy Engineer nicht relevant.
Wenn Sie ein Datenverarbeiter sind, sollten Ihre Rechtsabteilung und Ihr Datenschutzteam in der Lage sein, Ihnen mitzuteilen, welche AVVs Ihr Unternehmen derzeit verfolgt, und Ihnen erklären können, wie die in diesen Dokumenten beschriebenen Maßnahmen bestmöglich zu verstehen sind. Diese können auch auf andere interne Richtlinien und Verträge verweisen oder Auswirkungen auf interne Richtlinien haben. Es ist wichtig, sie zu verstehen, da sie das Gesamtkonzept für die Datenverarbeitung, die Datenrisiken und die behördliche Kontrolle beinhalten können.
Interne Datenschutzgrundsätze bzw. -richtlinien sind der beste Einstieg, um zu verstehen, wie der Datenschutz in Ihrem Unternehmen umgesetzt wird. Diese werden häufig von Unternehmen verwendet, um die Vielzahl von Datenschutzanforderungen zusammenzufassen und eine einzelne Zusammenfassung für die Belegschaft zu erstellen.
Wie bei allen Dokumenten, die Grundsätze oder Leitlinien enthalten, sollten Sie nicht erwarten, dass sie beschreiben, wie Sie die Datenschutzmaßnahmen tatsächlich umsetzen. Wenden Sie sich zu diesem Zweck an das Infosec-Team, das häufig über eine Liste geeigneter Sicherheits- und Datenschutzmaßnahmen verfügt.
Diese Grundsätze oder Richtlinien zeigen, wie Ihr Datenschutzteam über Datenschutz spricht und Empfehlungen ausspricht. Das Datenschutzteam legt auch die Grundprinzipien für das Unternehmen dazu fest, wie der Datenschutz gehandhabt und umgesetzt wird. Sie können bestimmen, welche Verwendungszwecke zulässig sind, oder Bewertungsprozesse für Anwendungsfälle beschreiben. Möglicherweise haben Sie bereits einen Bewertungsprozess für Anwendungsfälle durchlaufen, wenn Sie ein Memo an das Datenschutzteam schreiben mussten, in dem Sie einen bestimmten Anwendungsfall beschreiben und erklären, warum Sie die Daten verwenden.
Wenn Ihr Unternehmen andere wichtige interne Verträge hat, wie z. B. Vereinbarungen mit Drittanbietern, sollten diese an irgendeiner Stelle in den anderen Dokumenten erwähnt werden. Es kann nicht schaden, explizit nachzufragen, wenn Sie die Risiken und Verantwortlichkeiten für diese Drittanbieter besser verstehen wollen.
Wenn Sie an längeren Rahmenwerken und Möglichkeiten interessiert sind, wie Sie den Datenschutz aus technischer und rechtlicher Sicht angehen sollten, finden Sie hier eine Reihe von längerer Artikel:
Für alles, was nicht in diesen Grundsätzen oder Standards beschrieben ist, hilft es, sich direkt an das Datenschutzteam zu wenden und Rat einzuholen. Im nächsten Abschnitt erfahren Sie, wie Sie Ihr Arbeitsverhältnis mit dem Datenschutzteam zu einer effektiven und aufschlussreichen Zusammenarbeit ausbauen können.
Wenn Sie im Bereich Data Governance tätig sind, arbeiten Sie sehr eng mit Rechtsexperten zusammen. Die Zusammenarbeit mit Teams der Rechts- und der Compliance-Abteilung mag schwierig erscheinen, aber das liegt vor allem daran, dass sich deren Fachgebiet so sehr von Ihrem eigenen unterscheidet. Die juristische Sprache – genau wie Ihre statistische Sprache – ist verständlich für diejenigen, die in dem gleichen Bereich arbeiten, und völlig unverständlich für Außenstehende. Sie müssen kein Jurastudium absolvieren, sollten aber dennoch versuchen, sich genügend juristischen Fachjargon anzueignen, um ein produktives Gespräch über Datenschutzrisiken und mögliche Schutzmaßnahmen oder Lösungen zur Vermeidung dieser Risiken zu führen.
Mit Datenschutz und Datennutzung betrauten Unternehmensanwältinnen und -anwälten wird in der Regel beigebracht, ein Problem als eine Art Risikoanalyse zu betrachten. Sie sind dazu befähigt, die entsprechenden Gesetze zu verstehen, zu interpretieren und zu bewerten, was das Unternehmen unternimmt, um die gesetzlichen Vorgaben einzuhalten bzw. zu übertreffen. Betrachten Sie sie als »Datenschutzschiedsrichter« – sie kennen die Regeln, beobachten das Spiel und leiten es. Einige Schiedsrichter wissen auch, wie es ist, als Spieler auf dem Feld zu sein, andere weniger.
Das technische Verständnis dieser Rechtsexperten wird unterschiedlich ausgeprägt sein, aber auch hier gilt, dass das technische Deployment von Datenschutz- und Governance-Richtlinien nicht ihre Hauptaufgabe ist. Es ist allerdings ein Teil Ihrer Arbeit. Und genau hier wird es interessant. Wenn Sie lernen, neugierig auf sie und ihr Fachwissen zuzugehen, werden Sie oft auch deren Neugierde auf Ihre Arbeit und Ihr Fachwissen wecken. Betrachten Sie das »Nein, Sie können diesen Dienst aufgrund von Datenschutzbedenken nicht nutzen« nicht als das Ende der Diskussion, sondern sehen Sie dieses »Nein« als Gelegenheit, mehr über Datenschutzrisiken zu erfahren. Was genau an diesem Dienst ist nicht erlaubt? Gibt es Möglichkeiten, das »Nein« in ein »Ja« abzuändern, wenn Sie einen anderen Dienst nutzen oder die Daten mit Techniken aus diesem Buch aufbereiten würden? Das sind die Momente, in denen Sie zusammenarbeiten und lernen können, anstatt sich voneinander abzuwenden.
Im Bereich Privacy Engineering besteht ein großer Teil der Aufgabe darin, Rechtsexperten dabei zu unterstützen, sicherzustellen, dass geplante und anstehende Datenschutzinitiativen im gesamten Unternehmen befolgt, genutzt und befürwortet werden. Die meisten Governance-Gremien, Vorstände oder Organe setzen sich aus Juristinnen und Juristen zusammen, ergänzt durch ein paar Technologen und Wirtschaftsexperten, um sicherzustellen, dass die Governance-Richtlinien und -Maßnahmen den Möglichkeiten der Organisation gerecht werden.
Wenn Sie mehr über ihre Arbeit und ihre wichtigsten Anliegen herausfinden, eröffnet sich Ihnen die Möglichkeit, ein Gespräch aufzunehmen. Juristen, die sich mit Datenmanagement beschäftigen, sind mit besonderen Problemen konfrontiert. Sehen wir uns diese an, damit Sie ein allgemeines und grundlegendes Verständnis für die Situation haben.
Wenn Ihr Unternehmen an der gemeinsamen Nutzung von Daten beteiligt ist, wird dies wahrscheinlich durch einen Vertrag geregelt, der dem Vertragsrecht unterliegt und von den anderen Vertragsparteien abhängt. Im Idealfall befinden Sie sich in einem Umfeld, in dem vertragliche Vereinbarungen standardisiert sind und nicht oft geändert werden, sodass Sie die grundlegenden Regelungen lernen und sich daran halten können. Falls nicht, müssen Sie sich regelmäßig bei der Rechtsabteilung erkundigen, ob für die von Ihnen verwendeten oder bereitgestellten Daten bestimmte Einschränkungen gelten, die neu sind oder aktualisiert wurden.
Verträge über die gemeinsame Nutzung von Daten enthalten in der Regel strenge Klauseln bezüglich der Datennutzung. Dies ist vor allem für Data-Science-Teams wichtig zu wissen. Wenn diese Daten nur im Zusammenhang mit einer bestimmten Aufgabe oder einer Reihe von Aufgaben verwendet werden können (z.B. wenn die Daten nur zur Aktualisierung eines gemeinsam genutzten Diensts oder Modells verwendet werden dürfen, auf das alle Parteien Zugriff haben), dann würde die Verwendung dieser Daten oder sogar ihrer Artefakte in anderen Bereichen der Arbeit des Teams gegen den Vertrag und möglicherweise gegen die Rechte der betroffenen Personen verstoßen. Reden Sie mit einem Anwalt und verschaffen Sie sich eine klare Vorstellung davon, welche Teile des Vertragsrechts und welche Arten von Verträgen Ihre Daten und Ihre Arbeit betreffen.
Es ist mittlerweile gang und gäbe, dass es in Unternehmen Juristen gibt, die sich auf den Datenschutz spezialisiert haben. Diese sind absolutes Gold für Ihre Arbeit im Bereich des Datenschutzes. Vernetzen Sie sich mit den Personen, die auf diese Bereiche spezialisiert sind. Zu ihren Aufgaben gehört es, sich über Datenschutzfragen, künftige Gesetze und Änderungen in der Rechtsprechung und Präzedenzfällen zum Thema Datenschutz auf dem Laufenden zu halten. Oft spezialisieren sie sich, weil ihnen der Datenschutz wirklich am Herzen liegt. Sie sind also eine Fundgrube für interessante Geschichten und Beispiele!
Im Rahmen ihrer täglichen Arbeit müssen die für den Datenschutz zuständigen Juristinnen und Juristen ihre Bedenken äußern und beurteilen, welche Datenschutzbestimmungen in der oder den Gerichtsbarkeiten Ihres Unternehmens einzuhalten sind, und die internen Richtlinien entsprechend mitgestalten. Wenn Sie Kunden in einer Region haben, in der es keine umfassenden Datenschutzbestimmungen gibt, sind die Juristen in Ihrem Unternehmen dafür zuständig, grundlegende Präzedenzfälle zu finden und Standards zu setzen. Wenn Sie Kunden haben, die in mehreren Regionen tätig sind, von denen mindestens eine strengere Vorschriften hat als die anderen, sind diese Fachleute die Personen, die dafür sorgen, dass die Datenschutzbestimmungen eingehalten werden. Daher ist es Teil ihres Jobs, auch mal Nein zu einem Projekt oder Produkt zu sagen, wenn sie der Ansicht sind, dass dies vor dem gesetzlichen Hintergrund das Sinnvollste ist.
Als beispielsweise Schrems II (https://oreil.ly/-wuqR) in Kraft trat, änderte sich das Rechtsverständnis hinsichtlich des Datenverkehrs zwischen der Europäischen Union und den Vereinigten Staaten. Im Grunde genommen wurde damit die jahrelange Praxis der Unternehmen für ungültig erklärt. Aus Sicht der Data Science glich dies einer globalen Pandemie, die alle zur Verfügung gestellten Modelle zerstörte und jeden dazu zwang, die Scherben wieder zusammenzukehren. Glücklicherweise hat der Europäische Gerichtshof eine Orientierungshilfe herausgegeben, anhand deren die Juristen neue Verträge erstellen konnten, die vorerst mit den neuen Standards vereinbar sind.
Wenn Sie beispielsweise als US-Unternehmen mit Datenflüssen in die EU zu tun hat bzw. europäische Kunden bedient, dann kontrollieren die Datenschutzbehörden, ob Sie sich an die DSGVO halten. Dementsprechend muss Ihr Unternehmen mithilfe von Datenschutz-Folgenabschätzungen, Datenverarbeitungsvereinbarungen und internen Standards jederzeit darlegen können, inwiefern das Datenmanagement und die Datenverarbeitung konform sind, falls es zu einer Überprüfung kommt. Sollten die Behörden feststellen, dass die DSGVO nicht eingehalten wird bzw. die Rechte Ihrer Nutzer nicht gewährleistet sind, werden sie mit Ihren Datenschutzteams in Kontakt treten.
Da jedes Unternehmen diese Vorschriften etwas anders auslegt und Rechtsprechung sowie Durchsetzung sich von Land zu Land unterscheidet, empfiehlt es sich, eng mit den Datenschutzexperten in Ihrem Unternehmen zusammenzuarbeiten und dafür zu sorgen, dass die Art und Weise, wie Ihr Team arbeitet, datenschutzkonform ist. In Ihrer Rolle als Data Scientist, der auch mit fortgeschrittenen Datenschutzdefinitionen und -technologien vertraut ist, können Sie eine große Hilfe sein, wenn es darum geht, Daten, Unternehmen, Produkte und Compliance-Anforderungen in Einklang zu bringen. Das ist wahrscheinlich auch einer der Gründe, warum Sie sich für dieses Buch entschieden haben.
Damit Sie eine gute Beziehung zu Rechtsexperten und ein besseres Verständnis für die rechtlichen Aspekte, die für Ihr Unternehmen gelten, entwickeln können, sollten Sie mit Ihrem Datenschutz- und Compliance-Team sprechen. Dafür sollten Sie das Gespräch suchen und um Unterstützung und Rat bitten, wenn Sie Fragen zu einem bestimmten Anwendungsfall haben.
Ich hatte die Gelegenheit, eng mit George Jones, einem Datenschutzexperten bei Thoughtworks (https://oreil.ly/RPjhI), zusammenzuarbeiten. Ein Gespräch ist mir besonders im Gedächtnis geblieben, bei dem er sagte: »Manchmal kommen Datenoder Softwareteams mit Problemen nicht zu uns, weil sie denken, dass sie schlafende Hunde wecken, die dann herumschnüffeln und herausfinden wollen, was sie da tun. Aber genau das ist unser Job – und wir werden herumschnüffeln, ganz egal, ob Sie uns darum bitten oder nicht!« Es ist also besser, proaktiv zu sein als reaktiv.
Die meisten Juristen wissen, dass ihr Fachgebiet bei Technologen nicht gerade im Vordergrund steht, und haben deshalb verschiedene Wege für sich gefunden, das Thema für Daten- und Technologieexperten besser verständlich zu machen. Es hilft, sie dort abzuholen, wo ihre Interessen liegen, und sie ein wenig über ihr Fachgebiet zu informieren. Wussten Sie, dass der Schutz der Privatsphäre als Menschenrecht in der Menschenrechtskonvention verankert ist (https://oreil.ly/d2BrP), die nach dem Zweiten Weltkrieg ins Leben gerufen wurde? Wenn Sie den Bereich und die Anliegen Ihres Teams besser nachvollziehen können, trägt dies dazu bei, dass Sie eine gute Beziehung zu ihnen aufbauen und sich mit ihnen abstimmen können.
Wenn Sie sich mit Rechtsexperten aus dem Bereich des Datenschutzes treffen, sollten Sie sich auf Fragen vorbereiten und sicherstellen, dass Sie bereits mögliche Vorgehensweisen ausgelotet haben. Das macht das Gespräch effizienter und zeigt, dass Sie deren Zeit und Arbeit respektieren. Es kann sehr aufschlussreich sein, ihre Meinung zu wichtigen Entscheidungen über die Datenarchitektur und -verarbeitung einzuholen, insbesondere zu Beginn eines Projekts oder Produkts, solange es noch einfacher ist, Anpassungen vorzunehmen und Feedback einzuarbeiten.
Ein regelmäßiger Austausch fördert das gegenseitige Verständnis, was für die Zusammenarbeit und die ordnungsgemäße Implementierung von Datenschutztechnologien in Ihrem Unternehmen von großem Wert ist. Zudem bedarf es eines gemeinsamen Vokabulars.
Eine der Aufgaben des Datenschutz- und Compliance-Teams ist es, wichtige Begriffe wie PII, persönliche Daten und vertrauliche Daten zu definieren. Ihr Datenschutzteam hat dieses Glossar wahrscheinlich bereits vorliegen, und Sie sollten es sich durchlesen, um sich mit den organisatorischen Definitionen vertraut zu machen.
Für Datenschutzmaßnahmen und Maßnahmen zur Risikominderung gibt es möglicherweise bereits klare Definitionen, oder sie sind eher vage gehalten und ähneln mehr den Empfehlungen, die in den Vorschriften enthalten sind. Während einige Unternehmen vielleicht eine Liste genehmigter Technologien oder ihr eigenes Verständnis von Themen wie Anonymisierung und Pseudonymisierung besitzen, haben andere möglicherweise Definitionen, die den Prozess beschreiben, jedoch nicht, wie er tatsächlich umgesetzt werden soll. Diese Teams möchten vielleicht sogar, dass es eher allgemein gehalten wird, und nicht, dass bestimmte Technologien von vornherein als konform oder nicht konform eingestuft werden. In jedem Fall ist es ein Gespräch wert, da Sie sich mit diesen Technologien und ihre Anwendungsmöglichkeiten inzwischen gut auskennen.
Die Zusammenarbeit mit dem Datenschutz- und dem Compliance-Team, um einige gemeinsame technische Definitionen und Ansätze zu schaffen, kann sehr lohnenswert und informativ sein. Dadurch können Technologen das Risiko von Projekten frühzeitig verringern, indem sie bewährte Technologien in ihr Design einbeziehen. Es kann auch dem Datenschutzteam dazu verhelfen, besser zu verstehen, welche Ziele mit den Daten verfolgt werden, und Ihnen somit konkretere Ratschläge geben. Zwar werden sie die Entscheidungen wahrscheinlich immer noch von Fall zu Fall überprüfen wollen, aber durch diese Gespräche werden geeignete Ansätze für verschiedene Arten der Datenverarbeitung geklärt, und Ihr angeeignetes Wissen kann dazu beitragen, dass künftige Entscheidungen schneller getroffen werden können.
Wenn Sie das Gespräch suchen, haben Sie vielleicht auch die Möglichkeit, sie über Datenschutztechnologien und deren Bedeutung für Ihr Unternehmen zu informieren.
Datenschutzexperten sind in der Regel sehr offen für Neues. Ich persönlich habe noch keinen Datenschutzexperten getroffen, der nicht gern mehr über die technischen Aspekte seiner Arbeit erfahren möchte. Wenn Sie eine kollegiale Beziehung zu Ihren Datenschutzexperten aufbauen, kommen diese vielleicht auch mit technischen Fragen auf Sie zu.
Was Sie vielleicht nicht erwarten, ist, wie viel sie bereits über die Daten im Unternehmen wissen – bis Sie sich daran erinnern, dass dies ein Teil ihrer Arbeit ist! Wenn Sie diese Teams technisch beraten, lassen Sie sie zunächst einmal darlegen, was sie bereits über die betreffende Datenverarbeitung wissen, um die Zeit sinnvoll zu nutzen und sich auf spezifischere Fragen zu konzentrieren, anstatt zu allgemein zu bleiben.
Einige Rechtsexperten, die sich mit dem Thema Datenschutz befassen, möchten wirklich tiefer in die Funktionsweise der Materie eintauchen. Sie möchten zum Beispiel lernen, wie Machine-Learning-Modelle trainiert werden oder wie Verschlüsselungsprotokolle oder auch Differential-Privacy-Mechanismen funktionieren. Hierbei kann das in diesem Buch erworbene Wissen sehr hilfreich sein. Ihnen die Standards auf dem Gebiet der Daten- und Datenschutztechnik zu vermitteln, wird ihnen dabei helfen, ein besseres Verständnis über die Risiken und deren Minderung zu entwickeln – was zukünftige Gespräche über Daten wahrscheinlich viel einfacher macht.
Auf diese Weise werden Sie auch bessere Ideen und Lösungen finden, wenn Sie mit neuen Vorschlägen bezüglich der Daten in Ihrem Unternehmen an sie herantreten. Wie können Sie lernen, Datenschutzprobleme zu erkennen, wenn ein neues Datenprojekt oder -produkt entworfen bzw. entwickelt wird? Wie können Sie auch ein besseres Verständnis der möglichen Lösungen entwickeln, um sinnvolle Maßnahmen oder Anpassungen vorzuschlagen? Wenn Sie diese Fragen regelmäßig mit dem Datenschutzteam besprechen, werden Sie besser verstehen, welche Risiken sie sehen, und Sie können immer bessere Ideen einbringen.
Diese Beziehung beruht auf Gegenseitigkeit. Wenn Sie Ihren Kolleginnen und Kollegen helfen, ihre Arbeit effektiver und mit einem größeren Fachwissen zu erledigen, hilft das auch Ihnen und umgekehrt. Betrachten Sie diese Beziehung als gegenseitige Unterstützung und ziehen Sie persönlich und für das gesamte Team einen Nutzen daraus. Wenn Sie lernen, wie Datenschutzexperten die Welt sehen, eröffnen sich neue Perspektiven, z.B. wie Data Governance zukünftig aussehen könnte.
Beim Lesen dieses Buchs ist Ihnen wahrscheinlich bewusst geworden, dass die meisten Unternehmen Governance-Prozesse einführen, ohne von den interessanten Forschungsergebnissen und technischen Errungenschaften der letzten zehn Jahre zu profitieren. Die Prozesse sind möglicherweise nicht einmal mit den rasanten Veränderungen in der Datenschutzgesetzgebung vereinbar, sodass eine »Nachrüstung« der Richtlinien und Prozesse erforderlich ist. Leider kann dies dazu führen, dass alle Beteiligten noch verwirrter sind als zuvor.
Genau aus diesem Grund muss der Governance-Prozess überarbeitet werden. Sie haben nun gelernt, wie man innovative Datenschutztechnologien und -verfahren anwendet und mit Rechtsabteilungen und Aufsichtsbehörden zusammenarbeitet. Die nächste Stufe der Governance – die ich als Data Governance 2.0 bezeichne – besteht darin, Governance mit agilen Arbeitsweisen und einem iterativen wissenschaftlichen Ansatz anzugehen. Governance bedarf der Möglichkeit, neue Ideen zu entwickeln, zu experimentieren, zu testen und zu integrieren, die so reibungslos wie möglich funktionieren. Anstelle eines verhaltenen reaktiven Ansatzes könnte Governance ein proaktiver und explorativer Bereich sein, in dem Rechts-, Compliance- und Risikospezialisten mit Technologen zusammenarbeiten, um Roadmaps zu entwickeln und Technologien bereitzustellen, in die Datenschutz integriert ist.
Dazu muss Governance etwas sein, das alle im Unternehmen begreifen können. Es muss etwas sein, über das die Teams sprechen und das sie in ihrer Planung berücksichtigen können. Um das zu erreichen, muss Governance stärker föderalisiert und weniger zentralisiert werden. Doch wie könnte das funktionieren?
Als ich Anfang 2022 zu Thoughtworks kam, begegnete ich zum ersten Mal dem Konzept der Data Meshes (https://oreil.ly/OQFFv), einer von Zhamak Dehghani entwickelten Methode, Daten durch Domänendesign, Produktdenken und multidisziplinäre Teams neu zu denken. Unabhängig davon, was man von der gesamten Philosophie und dem Ansatz hält, hat mich das Konzept der Federated Governance fasziniert. Es hat mich zu einer Reihe von Blogbeiträgen (https://oreil.ly/Z-gCz) über Privacy-first-Mesh und zu diesem kleinen Abschnitt des Buchs inspiriert.
Was ist Federated Governance? In Data Mesh (Dehghani, 2022) wird es eigentlich Federated Computational Governance genannt und zielt darauf ab, Daten-SLAs/-SLOs und Metriken zur Bewertung der Datenproduktqualität zu erstellen. Diese Form von Governance ist föderal organisiert, da sie sich über verschiedene Bereiche erstreckt, die sehr unterschiedlich sein können. Der Teil zur Governance von Zhamak Dehghanis ursprünglicher Idee (https://oreil.ly/7Dbf7) schafft Konsistenz, Interoperabilität und erleichtert es, die verschiedenen Datenprodukte zu vergleichen und zu überblicken.
Als ich das Buch gelesen hatte, wurde mir bewusst, dass es noch eine andere Möglichkeit gibt. Ich habe realisiert, dass das, was ich als Governance bezeichne (die auf den Schutz der Privatsphäre und die Einhaltung von Vorschriften ausgerichtet ist), in etwas Handhabbareres, Proaktiveres und Agileres transformiert werden könnte. Was wäre, wenn die Teams mit Datenschutztechnologien experimentieren und über ihre Ergebnisse berichten könnten? Was wäre, wenn diese Erfolge von Grund auf neu erarbeitet werden könnten, anstatt von der obersten Unternehmensebene vorgegeben zu werden (Top-Down), die sich nicht unbedingt mit den Technologien befasst, die zum Einsatz kommen könnten oder sollten? Und was wäre, wenn sich dadurch klarere Kommunikationswege zwischen diesen Teams und der Rechtsabteilung selbst eröffnen würden?
Für mich ist Federated Governance ein Weg, um von Experten geführte Bewertungen kritischer Governance-Fragen in den Tagesbetrieb eines Technologieunternehmens zu integrieren. Dabei muss die Unternehmensführung nach wie vor eine starke Rolle spielen. Dazu gehört auch die Analyse der bevorstehenden und sich ändernden Vorschriften sowie der Beziehungen des Unternehmens zu seinen Kunden. Diese Planung durch die Geschäftsleitung kann eine Agenda vorgeben, die eine Vision und Prioritäten vermittelt, die zu Ideen und Experimenten führen, die von den Teams selbst entwickelt und getestet werden. Durch diesen Prozess werden das Wissen und die Kompetenz des Teams genutzt und die Geschäftsziele mit der täglichen Arbeit in Einklang gebracht.
Einige dieser Experimente werden erfolgreich sein, andere werden misslingen. Dadurch lernen sowohl die Teams als auch die Führungsebene mehr darüber, was funktioniert und was nicht. Die Experimente, die von Erfolg gekrönt sind, weisen den Weg in die Zukunft und können schließlich auf andere drängende Governance-Fragen übertragen werden. Statt für eine weitreichende Verordnung wie die DSGVO nachträglich Anpassungen vorzunehmen, hätten die Teams in den zwei Jahren, in denen das Gesetz schon bekannt, aber noch nicht in Kraft getreten war, bereits entsprechend vorbereitet sein können.
Dieser Prozess könnte wie in Abbildung 8-2 dargestellt aussehen. Es handelt sich um denselben iterativen Zyklus, den Sie vielleicht von Ihrer Arbeit im Bereich der Data Science kennen. Begonnen wird mit einer Bewertung durch Experten, um festzustellen, welche Governance-Anforderungen am wichtigsten sind. Dann werden die Teams einbezogen, die sich mit den betreffenden Daten bzw. deren Verarbeitung befassen. Diese Teams analysieren, wo ihre Prioritäten liegen und wo es einen Nachholbedarf gibt, und entscheiden, wie sie ein Experiment im Rahmen ihrer anstehenden Arbeit durchführen können. Ihre Kenntnisse und die anderer Personen mit ähnlichen Kompetenzen werden benötigt, um bei der Erprobung und Integration von Datenschutztechnologien zu helfen.
Abbildung 8-2: Agile Federated Governance
Dann führen sie das jeweilige Experiment durch und erzielen ein Ergebnis – d.h., es verlief entweder erfolgreich oder nicht, sodass es – sofern es weiterverfolgt wird – umgestaltet und wiederholt werden muss. Anschließend berichten sie den Governance-Spezialisten und anderen Führungskräften, wie das Experiment verlief, und geben eine Empfehlung ab: Soll dieses Experiment zum neuen Standard werden, oder muss es noch an die Arbeitsweise der Teams angepasst werden? Welche anderen Teams könnten daran interessiert sein, es zu erproben oder weiterzuentwickeln? In dieser Phase müssen sich auch die Plattform- und Systemteams überlegen, wie sie die Lösung skalierbar machen können.
Selbst wenn ein Experiment fehlschlägt, gibt es immer noch Lehren, die Sie an verwandte Teams und Governance-Akteure weitergeben können. Der Zyklus beginnt von Neuem – mit weiteren Überlegungen dazu, was möglich ist und wie Governance-Initiativen neben technologischen und geschäftlichen Anforderungen priorisiert werden können.
Damit dieser Prozess Früchte tragen kann, muss Ihr Unternehmen aufgeschlossen für Experimente sein. Wenn dies in Ihrem Unternehmen noch nicht der Fall ist, gibt es Möglichkeiten, den Prozess anzustoßen.
Sie sind bereits mit einer Kultur des Experimentierens vertraut. Als Data Scientist wird im Rahmen Ihrer täglichen Arbeit von Ihnen verlangt, zu experimentieren, aus Erfahrungen zu lernen und zu iterieren. Sie dürften daher wissen, ob Ihr Unternehmen diese Kultur begrüßt oder sie als lästig empfindet.
Wenn Ihr Unternehmen bereits iterative und inkrementelle Experimente befürwortet, können Sie diesen Abschnitt überspringen und zum nächsten Abschnitt übergehen – prima! Falls nicht, finden Sie in diesem Abschnitt Anhaltspunkte dafür, wie Sie mehr Bereitschaft zum Experimentieren schaffen können. Das fängt schon da an, wo Sie es vielleicht nicht erwartet hätten – bei den Gefühlen!
In meiner Laufbahn habe ich es mit Führungskräften zu tun gehabt, die nicht bereit waren, die Bedürfnisse der Forschung zu unterstützen. Bei diesen Konflikten wurde mir klar, dass sie einfach Angst vor dem Unbekannten hatten. Wenn man täglich experimentiert, lernt man, dem Prozess zu vertrauen. Selbst wenn ein bestimmtes Experiment fehlschlägt, weiß man, dass man irgendwann etwas finden wird, das funktioniert, und dass man durch diese Fehlschläge lernt und wächst. Viele Führungskräfte sind jedoch nicht auf diese Weise zum Erfolg gekommen und betrachten diesen Prozess vielleicht als chaotisch, störend und ungewiss – getreu dem Motto: Warum ein unnötiges Risiko eingehen, wenn man den gleichen Erfolg auch ohne diese Risiken haben kann?
Psychologische Sicherheit bzw. das Gefühl von Sicherheit in Teams zu schaffen, bedeutet, ein einfühlsames Verständnis für die Bedürfnisse der anderen Person aufzubauen (https://oreil.ly/DBX3d). Wenn Sie feststellen, dass eine Person im Management bzw. in der Führungsebene emotional auf Gespräche im Hinblick auf Experimente reagiert, fragen Sie sich, warum diese Person so reagiert. Welche Gründe könnte sie haben, die sich hinter ihrer Reaktion verbergen? Wie können Sie einen Weg finden, dass diese Person mit Ihnen über den Prozess und die Fakten spricht, anstatt emotional zu reagieren? Es gibt viele Ansätze, aber bei mir funktionierte, mehr über gewaltfreie Kommunikation (https://www.nycnvc.org) zu lernen, nach der alle Gefühle von unerfüllten Bedürfnissen herrühren und bei der aufzeigt wird, wie eine mitfühlende Kommunikation zwischen Menschen funktionieren kann. Für Sie kommt vielleicht ein anderer Weg oder eine andere Methode infrage, aber der erste wichtige Schritt ist der Aufbau von Empathie und somit zugleich auch ein Gefühl der Sicherheit.
Sobald Sie es geschafft haben, dass Gefühle außen vor bleiben, sollten Sie eine Veränderung im Dialog feststellen. Da die Personen nicht mehr aus Furcht, Angst oder Frustration reagieren, sind sie eher bereit, einen Kompromiss einzugehen. Sie sollten ihnen nahebringen, dem wissenschaftlichen Prozess zu vertrauen. Das kann auch mit Kompromissen Ihrerseits einhergehen, z.B. bei der zeitlichen Eingrenzung von Experimenten oder bei der Frage, wann ein Experiment als erfolglos zu betrachten ist und nicht weitergeführt wird. Entscheidend ist, dass sich alle Beteiligten einvernehmlich darauf einigen, Experimente durchzuführen und aus diesen zu lernen.
Bis zu diesem Punkt ist das Gespräch eher zwischenmenschlicher Natur gewesen. Nachdem Sie sich die Bereitschaft dieser Personen gesichert haben, können Sie das Gespräch auf die betriebliche Ebene verlagern. Darüber hinaus sollten Sie sich mit Experten für Unternehmenswandel und psychologische Sicherheit zusammenschließen, um diesen Wandel zu beschleunigen. Das können Sie aber auch nach und nach angehen.
Letztendlich streben Sie eine Kultur an, die ein gewisses Maß an Experimentierfreude zulässt, auch in den Bereichen Datenschutz und Governance. Dies wird die Art und Weise verändern, wie über Governance diskutiert wird, und zwar weg von einer Diskussion, die sich auf alte Methoden konzentriert, hin zu einer Diskussion über zukunftsorientierte Initiativen, einschließlich der Nutzung von Technologien zur Verbesserung des Datenschutzes und anderer Techniken, die Sie in diesem Buch kennengelernt haben.
Wenn Sie das, was Sie inzwischen gelernt haben, in Ihre tägliche Arbeit einfließen lassen, können Sie dazu beitragen, Leitplanken zu setzen, die den Einsatz von Datenschutztechnologien begünstigen. Wie können die Teams dazu befähigt werden, dass die Daten dokumentiert werden, wenn sie in Ihr System eingespeist werden? Wie kann Ihr Unternehmen PETs einführen und in seine Software- und Datensysteme integrieren?
Wenn die Branche zu Governance 2.0 übergehen soll, müssen diese Technologien zum Standard gehören. Datenteams sollten nicht wissen müssen, wie Encrypted Computation konkret funktioniert, um sie nutzen zu können, so wie sie auch nicht die Interna einer Abfrage mit Spark kennen müssen, um sie auszuführen. Aus diesem Grund sollten diese Tools leichter zugänglich gemacht und, wenn möglich, direkt in die verwendeten Plattformsysteme integriert werden.
Ein weiteres großes, ungelöstes Problem ist der Aufbau selbstdokumentierender Systeme, deren Dokumentation gut nachvollzogen werden kann und leicht verständlich ist. Die Nachverfolgung der Datenhistorie und die Durchsetzung von Richtlinien erfolgt in vielen Unternehmen weitgehend manuell. Damit Governance 2.0 tatsächlich Realität werden kann, muss sich daran etwas ändern. Diese Aspekte müssen direkt in Software- und Datenworkflows integriert werden, um die Berücksichtigung von Datenschutzrechten in Softwarelösungen möglichst einfach zu gestalten und zur Gewohnheit werden zu lassen.
Das ist sicherlich eine Aufgabe, die von mehr als nur einer Person getragen werden muss und daher im Rahmen einer Unternehmens-, Software- oder Technologievision diskutiert werden sollte. Wenn Sie zu den Führungskräften gehören oder Einfluss im Unternehmen haben, können Sie dazu beitragen, dass dieses Thema zu einem wichtigen Tagesordnungspunkt wird, um so Initiativen voranzutreiben.
Wenn Sie noch am Anfang Ihrer beruflichen Laufbahn stehen, können Sie das Gelernte trotzdem in Ihrer Arbeit anwenden, wenn auch in kleinerem Rahmen. Schauen Sie sich Ihr nächstes Projekt an und überlegen Sie, ob es eine Möglichkeit gibt, eine automatisch erstellte Dokumentation in Ihre Pipeline zu integrieren. Sind Sie für die Bewertung neuer Technologien zuständig, wie könnten Sie das Thema PETs einbringen?
In den nächsten beiden Kapiteln erfahren Sie mehr darüber, wie Sie reale Probleme angehen und die Eignung von Technologien zur Verbesserung des Schutzes der Privatsphäre bewerten können, einschließlich der Schritte hin zu einer neuen Art von Governance, die in die Systeme integriert und nicht einfach im Nachhinein hinzugefügt wird.
In diesem Kapitel haben Sie gelernt, wie Sie Vorschriften lesen, die Auswirkungen des Datenschutzes bewerten, Nutzungsbedingungen und Datenschutzrichtlinien durchgehen und interpretieren und wie diese Texte Ihre Arbeit als Data Scientist beeinflussen könnten. Sie haben auch erfahren, dass es wichtig ist, sich in Rechtsexperten hineinzuversetzen, und verschiedene Möglichkeiten kennengelernt, wie sie Gespräche gestalten können, die die gemeinsame Zusammenarbeit fördern. Zudem Sie haben Sie begonnen, die Grundlagen der Governance, die Sie in Kapitel 1 gelernt haben, neu zu evaluieren. Wie sieht die Governance der Zukunft aus? Was wäre, wenn PETs ein normaler Bestandteil der täglichen Datenworkflows und Plattformen wären?
In den nächsten Kapiteln werden Sie sich nun gezielter mit diesen zukunftsweisenden Fragen befassen. Dadurch können Sie Ihr theoretisches Wissen auf die Praxis übertragen und sich mit realen Problemstellungen und Fragen beschäftigen.
