Wie lassen sich Datenanalysen gemäß dem neuen Datenschutzgesetz (DSGVO) weiterhin durchführen?
Seit dem 25. Mai 2018 gilt ein neues Datenschutzgesetz in Form der Datenschutzgrundverordnung (DSGVO). Dieses Gesetz hat erhebliche Auswirkungen auf den öffentlichen Sektor wie auch auf die Privatwirtschaft. Der Bedarf an Datenanalysen ist in den vergangenen Jahren stark angestiegen und der Mehrwert von Lenkungsmaßnahmen, die auf Grundlage der Ergebnisse von Datenanalysen ergriffen werden, tritt immer deutlicher zutage. Die große Frage lautet deshalb: Wie lassen sich Datenanalysen gemäß dem neuen Datenschutzgesetz weiterhin durchführen?
Die DSGVO in Kürze
Die DSGVO wurde im Mai 2016 mit einer zweijährigen Übergangsfrist verabschiedet. Das Gesetz bringt für viele Firmen und Organisationen tiefgreifende Veränderungen und Verpflichtungen mit sich. Es wurde beispielsweise vorgeschrieben, jede Verarbeitung personenbezogener Daten in einem Verarbeitungsverzeichnis festzulegen. Die Rechte von Individuen wurden ausgeweitet, wodurch der Datenschutz von Betroffenen besser gewährleistet wird. Außerdem ist die Verarbeitung personenbezogener Daten nur zulässig, wenn sie gemäß einer der Rechtsgrundlagen (wie die Einwilligung der Betroffenen) und zu einem im Voraus bestimmten Verwendungszweck erfolgt.
Werden uns jetzt hinsichtlich der Analyse personenbezogener Daten Einschränkungen auferlegt?
Firmen und Organisationen werden nicht so sehr bei der Durchführung von Datenanalysen eingeschränkt, die Auflagen hinsichtlich der Art und Weise, wie sie durchgeführt werden, wurden jedoch im Vergleich zum bisherigen Datenschutzgesetz verschärft. Daten müssen nach Treu und Glauben auf eine rechtmäßige und transparente Weise verarbeitet werden und man darf nicht mehr Daten verwenden als für den im Voraus bestimmten und definierten Zweck erforderlich sind. Abgesehen von den neuen Regeln hinsichtlich der Verarbeitung und Festlegung personenbezogener Daten erhalten Firmen und Organisationen eine größere Verantwortung hinsichtlich etwaiger negativer Folgen für die Betroffenen. Sie müssen nachträglich Rechenschaft dafür ablegen können, weshalb sie bestimmte personenbezogene Daten verwendet haben. Die Ergreifung angemessener technischer und organisatorischer Maßnahmen zur Wahrung des Datenschutzes der Betroffenen hat deshalb große Bedeutung erlangt.
Welche Maßnahmen lassen sich zur Wahrung der Datenschutzinteressen der Betroffenen ergreifen?
Es stehen mittlerweile gute Lösungen zur Durchführung von Analysen zur Verfügung, ohne dass die Daten Individuen zuzuordnen sind und damit werden die Datenschutzinteressen der Betroffenen gewahrt. Man kann Daten beispielsweise aggregieren, wodurch ausschließlich Gesamtzahlen sichtbar gemacht werden („1000 Kunden haben den Laden besucht ”). Außerdem gibt es Techniken, wie das Anonymisieren und Pseudonymisieren, wodurch die Daten nicht oder nicht mehr unmittelbar einer Person zuzuweisen sind.
Ein häufig vorkommendes Praxisbeispiel
Viele Betriebe erforschen das Kundenverhalten (Kaufverhalten, Wiederholungskäufe, Zufriedenheit). Für diese Studien verwendet man Daten aus verschiedenen Quellen, um einen Einblick in die Gründe zu erhalten, weshalb ein Kunde zurückkehrt oder nicht. Bei solchen Untersuchungen, in deren Rahmen der Kunde seine Zustimmung dazu erteilt, seine Daten zu diesem Zweck zu verarbeiten, ist es in der Regel nicht von Bedeutung genau zu wissen und festzulegen, was ein individueller Kunde von dem Unternehmen hält. Es geht darum, wie die Kunden das Leistungsangebot als Gruppe bewerten und in welchen Bereichen das Unternehmen sein Leistungsangebot ihrer Ansicht nach verbessern könnte.
Das ist genau der Punkt, der mit der DSGVO hinsichtlich der Durchführung von Untersuchungen unter Einsatz personenbezogener Daten hervorgehoben wird: Wenn es nicht notwendig ist, Untersuchungsergebnisse individuellen Personen zuordnen zu können, sollte sichergestellt werden, dass Maßnahmen ergriffen wurden, die zu einer möglichst geringen Zuordenbarkeit führen.
Pseudonymisierung personenbezogener Daten
Ein gutes Beispiel für eine Maßnahme, die die Möglichkeit der Zuordnung auf ein Mindestmaß beschränkt, ist die Pseudonymisierung. Durch den Einsatz der Pseudonymisierung ist es möglich, personenbeziehbare bzw. personenbezogene Daten (wie eine Kundennummer oder ein Kundenname) in ein Pseudonym zu verwandeln, wodurch eine Untersuchung mit für die Beauftragten nicht zuzuordnenden Kundenangaben durchgeführt werden kann. Damit erhält die Firma oder Organisation einen Einblick in die Kundenzufriedenheit und das Verbesserungspotential ihres Leistungsangebotes. Das erfolgt auf eine Art und Weise, die die Datenschutzinteressen der Betroffenen wahrt.
Zusammengefasst: Datenanalysen sind auch nach der Einführung der DSGVO sehr gut möglich. Wichtig ist jedoch, bereits im Vorfeld über die zu ergreifenden Maßnahmen zum Schutz der Daten und zur Vorbeugung der mittebaren oder unmittelbaren Zuordnung nachzudenken. Dann können Sie bei Bedarf nachträglich unter Beweis stellen, ausreichende Maßnahmen zur Wahrung der Datenschutzinteressen der Betroffenen ergriffen zu haben.
Definition von “Pseudonymisierung” in der DSGVO: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Lesen Sie auch:
- Ein Jahr nach der Einführung der DSGVO – personenbezogene Daten dank Data Usage Board im Griff
- Was ist Pseudonymisieren?
- Was ist der Unterschied zwischen Anonymisieren und Pseudonymisieren?
- Pseudonymisieren: selbst übernehmen oder Auftragsverarbeiter einschalten?
Patrick van den Bos
Patrick ist CIPP/E zertifiziert und engagiert sich seit 2016 als Datenschutzberater. In diesem Rahmen unterstützt er Firmen und Organisationen dabei, auf verantwortungsvolle Weise mit personenbezogenen Daten umzugehen und die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu erfüllen. Außerdem berät er die Verantwortlichen im Hinblick auf die Ergreifung technischer und organisatorischer Maßnahmen und den Einsatz von Technologien zum Schutz der Privatsphäre (Privacy Enhancing Technologies, PET).