27.01.2014

Da­ten­schutz – Mehr als nur eine Be­rück­sich­ti­gung ge­setz­li­cher Re­ge­lung­en

Im Zusammenhang von Datenanalyse und speziell Massendatenaus-wertungen („Big data“) taucht immer wieder das Thema „Datenschutz“ auf. In Hinblick auf die Änderung des Bundesdatenschutzgesetzes (im Fokus §32 BDSG) gab und gibt es hierzu immer wieder Diskussionen über Handhabung und Auslegung. Das Institut Interne Revision e.V. (IIR) hatte dazu in Kooperation mit der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) ein Positionspapier erstellt.
[http://www.diir.de/fileadmin/fachwissen/downloads/09DIIRDatenanalyseWeb.pdf]

Dieses zeigt Szenarien, wie in der Praxis die Balance zwischen dem Interesse des Unternehmens, also der Analyse von betriebswirtschaftlichen Daten, und den personenbezogenen Datenschutzinteressen gehalten werden können.

Doch der Schutz von Daten ist nicht nur im Kontext von Arbeitnehmerdaten spannend und wichtig. Es gibt noch andere Szenarien, in denen Daten durchaus geschützt werden sollten, auch wenn es sich nicht um personenbezogene Daten von Arbeitnehmern handelt, etwa

  • Daten von Geschäftspartnern (Kunden- und Lieferanten)
  • Materialdaten und Stücklisten

Doch vor der inhaltlichen Betrachtung werfen wir einen Blick auf technische Aspekte.

Folgende Tabellen zeigen auf der linken Seite eine Liste von SAP© Benutzernamen inklusive Wert der von ihnen getätigten Transaktionen; auf der rechten Seite ist die Verdichtung abgebildet (Summe und Gesamtzahl).

 

 

Benutzername
Transaktionswert
MRIEDL5,000.00 €
SWENIG3,894.94 €
MBAUMGARTNER4,574.10 €
MBAUMGARTNER7,999.00 €
MARTIN 0.10 €
MRIEDL5,000.00 €
MARTIN1.99 €
MARTIN 156,357.65 €

Transaktionen unverschlüsselt

 

 

Benutzername
Anzahl
Gesamtwert
MRIEDL 210,000.00 €
SWENIG13,894.94 €
MBAUMGARTNER 212,573.10 €
MARTIN3156,359.74 €

Verdichtung unverschlüsselt

Aus Gründen des Datenschutzes können diese Benutzernamen nun verschlüsselt werden. Dies geschieht bereits im Rahmen der Datenextraktion mit geeigneten Tools (z.B. dem dab:Exporter bzw. dem Addon dab:PrivacyProtection).

Die Daten liegen dem Analysten erst einmal also nicht mehr unverschlüsselt (mit Klartext-Benutzernamen) vor.

In der folgenden Grafik sind dieselben Transaktionen nochmal abgebildet, diesmal aber mit verschlüsselten Benutzernamen:

 

 

Benutzername
Transaktionswert
3!ky34JLYX 5,000.00 €
ab12-4+4!9393,894.94 €
tlk44+8zZzV914,574.10 €
tlk44+8zZzV917,999.00 €
vAC3klMNO 0.10 €
3!ky34JLYX 5,000.00 €
vAC3klMNO1.99 €
vAC3klMNO 156,357.65 €

Transaktionen verschlüsselt

 

 

Benutzername
Anzahl
Gesamtwert
3!ky34JLYX210,000.00 €
ab12-4+4!93913,894.94 €
tlk44+8zZzV91212,573.10 €
vAC3klMNO3 156,359.74 €

Verdichtung verschlüsselt

 

Dieses Beispiel zeigt zwei wesentliche Aspekte (und Vorteile) einer derartigen Verschlüsselung:

  • Sensible Daten wie die Benutzernamen sind nicht einsehbar und können nicht direkt im Rahmen von Massendatenauswertungen verwendet werden
  • Betriebswirtschaftliche Analysen sind nach wie vor möglich, da der Verschüsselungsalgorithmus nichts an der Eindeutigkeit der Daten ändert. Auch SoD-Tests (Segregation of Duties) sind so weiterhin möglich, da z.B. wenn Änderer der Bankverbindung und Freigeber der Rechnung dieselbe Person sind, dies nach wie vor als Entsprechung („Treffer“) in den Analysen auftauchen würde.

Im Rahmen konkreter Verdachtsfälle kann ggf. mit geeigneten Tools eine Entschlüsselung der betroffenen einzelnen Datensätze vorgenommen werden. Eine verdachtsunabhängige Massendatenanalyse personenbezogener Daten findet nicht statt.

Doch wie eingangs angesprochen, ist die Verschlüsselung nicht nur im Rahmen des Arbeitnehmerdatenschutzes wichtig.

  • Der Schutz von Daten ist grundsätzlich in Betracht zu ziehen. Man denke an die Analyse von Patientendaten im Gesundheitswesen. Es muss möglich sein, Vorgänge eindeutig einem Patienten zuordenbar zu machen, ohne dass seine personenbezogenen Daten einsehbar sind.
  • Im Bankbereich sind möglicherweise die Kundendaten besonders schutzbedürftig, stehen aber trotzdem im Zentrum vieler Analysen.
  • Geschäftsgeheimnisse wie Materialdaten, die in Stücklisten patentierter Produkte einfließen oder Daten von Kunden oder Lieferanten in sensiblen Bereichen wie Luft- und Raumfahrt oder Rüstungsindustrie sind weitere Anwendungsbeispiele.
  • Auch kritische Aspekte der Auftragsdatenverarbeitung lassen sich durch Weitergabe verschlüsselter Daten abfedern.

Kurzum, in allen Fällen, in denen Daten basierend auf Merkmalen analysiert werden müssen, die besonders schutzbedürftig sind, kann die Verschlüsselung von Daten Mehrwert und Sicherheit bei der Auswertung liefern. Dies ist idealerweise bereits im Rahmen der Datenextraktion zu berücksichtigen, denn jede Speicherung der Daten im Klartext kann ein Risiko bedeuten.

Datenschutz, Datensicherheit und die Verschlüsselung von Informationen ist nicht immer ein Muss. Technisch gesehen können Daten jederzeit auch unverschlüsselt analysiert werden. Trotzdem sollte bei jedem Datenanalyseprojekt bewusst eine Entscheidung über die jeweilig beste Vorgehensweise getroffen werden.


Kommentare (0)
Sei der erste, der diesen Blog-Beitrag kommentiert.
Blog Anmeldung

Sie sind nicht angemeldet. Bitte melden Sie sich an um diesen Blogbeitrag zu kommentieren.

anmelden