You are on page 1of 31

DIE NEUE EU-DATENSCHUTZ-

GRUNDVERORDNUNG

E-Book
Auswirkungen auf Geschäftsprozesse und
Analytische Informationssysteme

Autoren: Nils Bruckhuisen | Lars von Lipinski tdwi.eu


Herausgeber

SIGS DATACOM GmbH


Lindlaustraße 2c
53842 Troisdorf

info@sigs-datacom.de
www.sigs-datacom.de

Copyright © 2018 SIGS DATACOM GmbH


Lindlaustr. 2c
53842 Troisdorf

Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwen-
dung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des He-
rausgebers urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung,
Übersetzung oder die Verwendung in elektronischen Systemen.
Es wird darauf hingewiesen, dass die in der Broschüre verwendeten Soft- und Hardware-Bezeich-
nungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen
warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Program-
me in dieser Broschüre wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Herausgeber
können jedoch für Schäden haftbar gemacht werden, die im Zusammenhang mit der Verwendung
dieser Broschüre stehen.
Wo nicht anders angegeben, wurde auf die im Text verlinkten Quellen zurückgegriffen.

TDWI E-Book in Kooperation mit und


Inhalt

Vorworte der Autoren 4

1 Ein erster Blick in die DSGVO 6


1.1 Impact auf die Wirtschaft 6
1.2 Antworten zu grundlegenden Fragen 7

2 Einfluss der DSGVO auf die Geschäftsprozesse 9


2.1 Einwilligung 9
2.2 Auskunftsansprüche aus Art. 13, 14, 15 DSGVO 10
2.3 Datenportabilität 10
2.4 Schadensersatzklagen 11
2.5 Der Datenschutzbeauftragte in seiner Funktion 11
2.6 Veränderungen gegenüber dem BDSG 11
2.7 Konsequenzen für die verarbeitenden IT-Systeme 12

3 Besondere Herausforderungen für Analytische 14


Systeme als Schlaglichter
3.1 Rechenschaftspflicht – Notwendiges Übel  14
oder Nutzen?
3.2 Datenschutzfolgenabschätzung –  16
Risiko klar bewertet
3.3 Anonymisierung und Pseudomysierung –  19
Braucht man das?
3.4 AI, KI und Artikel 22 – DSGVO gegen den Trend? 23

4 Fazit 24

Weiterführende Informationen zum Thema 25


 ZUM
ZUM
 INHALT
INHALT

Vorworte der Autoren

Das Datenschutzrecht ist eine sich dynamisch ent- Nils Bruckhuisen


wickelnde Querschnittsmaterie. Elemente des (ge-
werbe-)aufsichtlichen Ordnungsrechts sind ebenso Nils Bruckhuisen ist seit 2015
Gegenstand wie für die branchenübergreifende pri- Rechtsanwalt in Köln. Zu-
vatwirtschaftliche Betätigung bedeutsame Haftungs- vor arbeitete er freiberuflich
fragen und Schutzansprüche vertragsrechtlicher in der Wirtschaftsprüfung.
Natur. Mit EU-weiter Wirkung wird nun nach langjäh- Nach Studium der Rechts-
riger legislativer Kompromissfindung eine bedeutsa- wissenschaften an der Hum-
me Kodifikation in Kraft treten – die DSGVO. boldt-Universität zu Berlin
leistete er den juristischen
Ausgestattet mit einem Anwendungsvorrang vor na- Vorbereitungsdienst am Landgericht Koblenz ab. Von
tionalen Regelungen regelt die DSGVO mit weniger dort brach er zu einem (viel zu) kurzen Gastspiel in
Artikeln als das Grundgesetz bzw. mit unmerklich der Auslandshandelskammer in Nairobi/Kenia auf.
mehr als das GmbH-Gesetz Paragraphen aufweist Seine Praxis ist wirtschaftsrechtlich ausgelegt, wo-
eine komplexe Materie – das Datenschutzrecht. Die bei das Datenschutzrecht zunehmend an Bedeutung
relative Kürze der DSGVO lässt sich auch damit er- gewinnt. Er berät Mandanten bundesweit, aber auch
klären, dass in großem Umfang offene Rechtsbegriffe etwa in Wien und Brüssel zu Haftungsfragen, Compli-
(z. B. „erforderlich“), Öffnungsklauseln sowie das Pa- ance und Datenschutz.
radigma der Technikneutralität Anwendung finden.
Doch hierzu en détail im weiteren Verlauf der Dar- Mit Spannung erwartet er die nach Inkrafttreten der
stellung. Die DSGVO begründet europaweit durch- DSGVO einsetzende Verwaltungspraxis der Aufsichts-
setzbare Ansprüche und Rechte der Betroffenen, de- behörden sowie die zu erwartende Rechtsprechung
nen Pflichten und organisatorische Maßgaben der der europäischen Gerichte.
Datenverarbeiter gegenüberstehen.

Hierzu werden die Normadressaten, die regulierten


Datenverarbeitungen sowie der Anwendungsbereich
im Generellen quasi vor die Klammer gezogen; die
Rechtsfolgenseite, insbesondere aufsichtsbehördli-
che Bußgelder sowie Schadensersatzansprüche wer-
den in überschaubaren Artikeln normiert.

Im Folgenden soll, jeweils gekoppelt an Betrachtun-


gen aus dem Blickwinkel der analytischen Praxis,
eine überblicksweise Betrachtung der DSGVO erfol-
gen. Dies kann und soll keinesfalls die juristische Be-
ratung in einem von der konkreten Anwendung und
ihrer technischen Ausgestaltung individuell abhängi-
gen use-case ersetzen.

 3 4 5 
 ZUM
ZUM
 INHALT
INHALT

Vorworte der Autoren

Im Zusammenhang mit Big Data werden vermehrt Lars von Lipinski


Daten mit dem Rohstoff Öl verglichen: „Daten sind
das Öl des 21. Jahrhunderts“, heißt es. Nach dem Öl- Seit 1998 berät und coacht
Boom im letzten Jahrhundert und der Mobilität durch Lars von Lipinski Unterneh-
das Auto wurde deutlich, dass die ökologischen As- men der Finanzbranche in
pekte zu wenig Beachtung fanden. Heute zeigt der fachlichen, technischen und
Bau von schadstoffarmen Autos und Elektroautos, organisatorischen bzw. strate-
welche entscheidende Rolle die Ökologie in diesem gischen Business Intelligence
Industriezweig mittlerweile spielt. Nach meiner Mei- Themen in verschiedensten
nung wird in Zukunft der Datenschutz die Rolle der Rollen. Dabei ist neben der
Ökologie im Zeitalter von Big Data und Industrie 4.0 DSGVO und deren Auswirkungen auf die analytischen
übernehmen. Vertrauenswürdigkeit von Daten, Da- Informationssysteme ein weiterer aktueller Schwer-
tenqualität und der Schutz personenbezogener Da- punkt die Weiterentwicklung von Zusammenarbeits-
ten werden zu einer existenziell wichtigen Aufgabe modellen für BICCs.
im Rahmen des Daten- bzw. Informationsmanage-
ments für jedes Unternehmen. Als Leiter des Kompetenzcenters BI verantwortet er
die externe Strategie der FINCON Unternehmensbe-
Die Datenschutzgrundverordnung ist ein Türöffner in ratung für diesen Themenbereich.
die richtige Richtung, aber auch eine Herausforde-
rung, weil vieles nur in rechtlicher Theorie vorliegt
und die Praxis noch fehlt. Bei der Zusammenarbeit
mit Nils Bruckhuisen an diesem Dokument wurde mir
bewusst, wie wichtig es ist, dass Recht und IT ins-
besondere bei dem Thema Datenschutz eng zusam-
menarbeiten. Ich hoffe, das vorliegende Buch gibt
Ihnen Ideen und Anregungen für eine gelebte Daten-
schutzgrundverordnung.

Übrigens: Wir schreiben viel von Analytischen Infor-


mationsystemen und weniger über Big Data oder Bu-
siness Intelligence. Dies hängt mit der Zeitlosigkeit
des Begriffes Analytisches Informationsystem zu-
sammen, der als logische Klammer gängiger Konzep-
te wie OLAP, Data Warehouse, Data Mining, Predictive
Analytics, Big Data sowie konkreter betriebswirt-
schaftlicher Anwendungslösungen für dispositive
Zwecke im Unternehmen verstanden wird.

 4 5 6 
ZUM
INHALT

1. Ein erster Blick in die DSGVO

Zunächst soll ein knapper Überblick gegeben werden über


die Rechtsfolgenseite, insbesondere die möglichen wirt-
schaftlichen Folgen der Verletzung aufgestellter Rechts-
pflichten. Des Weiteren sollen die grundlegenden Fragen des
„Wo, wer und was?“ der Anwendbarkeit angerissen werden.

1.1. Impact auf die Wirtschaft


Zunächst wäre zu fragen, wieso die Neuerungen für In Bälde drohen erkleckliche 20.000.000 € Bußgeld
Sie, geehrte Leserschaft, von Bedeutung sein mö- gegen Unternehmen in Fällen der Verletzung wesent-
gen. Darauf soll mit einigen finanziellen Aspekten licher Grundprinzipien, etwa was Betroffenenrechte,
geantwortet werden: In Art. 82 und 83 der Daten- Einwilligungen oder die Regelungen für internatio-
schutz-Grundverordnung (im Folgenden schlicht: DS- nale Datenübermittlungen angeht. Alternativ können
GVO) sind Schadensersatzansprüche gegen Verant- bis zu 4 % des weltweiten Jahresumsatzes aus dem
wortliche oder Auftragsdatenverarbeiter geregelt. In vergangenen Geschäftsjahr bei Konzernen als Buß-
welchem wirtschaftlichen Rahmen werden diese sich geld festgesetzt werden, sofern dieser Betrag höher
bewegen? Nun, ggf. sollte man einen schüchternen sein sollte. Wirft man einen Blick auf die Umsatzzah-
Blick auf die in der DSGVO anderweitig enthaltenen len der Unternehmen, kann man von amerikanischen
Zahlen werfen. Verhältnissen bzgl. der Sanktionierung sprechen:

Abbildung 1: Potenzielle Strafen bei der DWGVO von ausgewählten DAX-Konzernen

 5 6 7 
ZUM
INHALT

1. Ein erster Blick in die DSGVO

Darüber hinaus vermag gem. Art. 40 III der DSGVO Deutschlands, zu der Einschätzung, dass „in weitaus
die Aufsichtsbehörde die Gewerbeaufsicht zur Initiie- höherem Maße und bei mehr Tatbeständen als bisher
rung gewerberechtlicher Maßnahmen einzuschalten. die Verhängung von Bußgeld möglich wird“ (Rn. 32
der Einleitung des Kommentars).
Dies umfasst gem. Art. 40 V der DSGVO etwa Grund-
stücke sowie Geschäftsräume zu betreten und Zu- Die Frequenz solcher „Hausbesuche“ lässt sich mo-
gang zu allen Datenverarbeitungsanlagen und mentan naturgemäß mangels praktischer Umset-
-Geräten zu erhalten. Weiterhin eröffnet Art. 16 IV zung noch nicht taxieren, jedoch wird demnächst mit
DSGVO der Aufsicht Zugriff auf alle personenbezo- solchen zu rechnen sein. In Art. 41 DSGVO ist daran
genen Daten. anschließend die Sanktionierung mittels Bußgeld
und Strafverfahren geregelt. An dieser Stelle soll auf
In seiner Kommentierung der DSGVO kommt Prof. die Bedeutung einer datenschutzrechtlichen Compli-
Gola, einer der profiliertesten Datenschutzrechtler ance hingewiesen sein.

1.2. Antworten zu grundlegenden Fragen


Was war der Ausgangspunkt? Verstoß gegen die DSGVO die Zwecke und Mittel der
Das Fundament des Datenschutzes in Europa hat der Verarbeitung selbst bestimmt, gem. Art. 28 X DSGVO
EUGH (Europäischer Gerichtshof) in seinen Urteilen gar selbst als Verarbeiter zu betrachten sein.
zur Vorratsdatenspeicherung vom 8.4.2014 sowie
im Fall Google gegen Gonzales (2015) gelegt. Hierin Diese Stufung der Auftragsverarbeitung verändert die
hatte der EUGH den Anspruch auf Vergessenwerden DSGVO spürbar. Dies jedoch, ohne den Verantwort-
etabliert sowie bei Vorliegen einer Niederlassung lichen in seinem rechtlichen Pflichtenprogramm zu
in einem EU-Staat dessen Datenschutzrecht für an- entlasten. Dieser muss den Auftragsverarbeiter sorg-
wendbar erklärt. Beides ist nunmehr in Art. 17 bzw. 3 fältig auswählen und ihm Weisungen erteilen, Art. 28
der DSGVO schwarz auf weiß normiert. DSGVO. Der Auftragsverarbeiter kann gem. Art. 83 DS-
GVO mit Bußgeld sanktioniert werden. Die Übertra-
Wo gilt die DSGVO? gung an ihn bedarf eines Erlaubnistatbestandes.
In Art. 3 DSGVO ist nunmehr mit dem sog. Marktort-
prinzip der Sitz der Niederlassung entscheidend für Welche Handlungen erfasst die DSGVO?
das anwendbare Recht sowie die Bestimmung der Unter Verarbeitung im Sinne der DSGVO ist jede Form
Zuständigkeit der Aufsichtsbehörde. der Verwendung (Art. 4 Nr. 2), also von der Erhebung
über die Nutzung bis zur Löschung, zu verstehen.
Damit gilt generell, dass jedes in der EU niedergelas-
sene Unternehmen betroffen ist. Dies ist denkbar weit. Gehen Sie davon aus, dass auch
Ihre Tätigkeit erfasst ist.
Für wen gilt die DSGVO?
Neben dem Verarbeiter selbst kommt dem Auftragsda- Was regelt die DSGVO?
tenverarbeiter in der DSGVO eine höhere Bedeutung Blättert man einfach einmal, findet man in den Art.
zu als im bisherigen deutschen Datenschutzrecht. Er 1-4 allgemeine Bestimmungen, in 5-10 allgemeine
wird rechtlich verstärkt adressiert und von Artikeln Grundsätze des Datenschutzes, in 11-23 Rechte der
der DSGVO direkt angesprochen. Nach dem BDSG hat betroffenen Personen, in 24-43 Pflichten des Verant-
der Auftragnehmer eher eine Hilfsfunktion mit gerin- wortlichen und des Auftragsdatenverarbeiters sowie
gerer Verantwortung im Vergleich zu derjenigen des in 44-50 Vorgaben zur Übermittlung personenbezo-
Verarbeiters. Unter der DSGVO wird er bei einer ge- gener Daten in Drittländer oder an internationale
wissen Eigenmächtigkeit, konkret dann, wenn er unter Organisationen.

 6 7 8 
ZUM
INHALT

1. Ein erster Blick in die DSGVO

Rechnet man obig erwähnte Schadensersatznorm, jene des BDSG könnte man jedoch als Präzisierung
den Art. 82 hinzu, so regelt die DSGVO das materielle der DSGVO auffassen. Zum Komplex der automati-
Datenschutzrecht in nur 51 Artikeln. sierten Entscheidung folgen noch tiefer gehende
Ausführungen (s. 3.4 AI, KI und Artikel 22 – DSGVO
Der Vollständigkeit halber sei aufgeführt, dass es in gegen den Trend?).
den übrigen Artikeln „nur“ um Aufgaben der Aufsichts-
behörden, deren Zusammenarbeit und die Kohärenz Wozu dienen die Öffnungsklauseln?
ihrer Entscheidungen, um Rechtsbehelfe und Sankti- An manchen Stellen ist eine „Vorrangigkeit“ nationa-
onen, um besondere Datenverarbeitungssituationen, len Rechts vorgesehen. Die Gestaltungsmöglichkei-
sowie in 92 und 93 um delegierte Rechts- und Durch- ten der nationalen Gesetzgeber finden sich in den
führungsrechtsakte geht. Die Artikel 94-99 sind le- 50-60 „Öffnungsklauseln“; die meisten davon eröff-
diglich Schlussbestimmungen. nen einen in das Ermessen der Staaten gestellten
Handlungsspielraum, der jedoch grundsätzlich be-
Was wird aus dem Bundesdatenschutzgesetz/BDSG? grenzt ist, weil das mit der DSGVO angestrebte Prin-
Die DSGVO hat keinen Geltungsvorrang, sondern ei- zip der Vollharmonisierung als Vorgabe gilt.
nen gem. Art. 288 II 1 AEUV (Vertrag über die Arbeits-
weise der EU) herzuleitenden Anwendungsvorrang. Die wichtigsten Öffnungsklauseln im Überblick
Daher gelten auch nach ihrem Erlass die nationalen • Art. 6 I c) DSGVO: Verarbeitung zulässig aus rechtli-
Datenschutzregelungen weiter, ohne sich quasi über cher Verpflichtung.
Nacht in Luft aufzulösen. Diese Parallelität führt teil- • Art. 8 I DSGVO: Mindestalter kann von 16 auf 13
weise dazu, dass sich Regelungen widersprechen, Jahre reduziert werden.
weshalb sich die Frage stellen kann, welche Rege- • Art. 20 II b) DSGVO: Schaffung von Ausnahmen vom
lung anwendbar ist. Wünschenswert wäre, der nati- Verbot automatisierter Einzelentscheidungen.
onale Gesetzgeber möge unstreitig verdrängte Nor- • Art. 28 III: a) + g) DSGVO: Schaffung von Rechts-
men auch formell/redaktionell aufheben. grundlagen für die Auftragsdatenverarbeitung.
• Art. 49 V DSGVO: Beschränkung von Datenüber-
Nationale Regelungen werden nicht mehr ange- mittlungen in Drittländer aus Gründen öffentlichen
wendet, wo sie im Widerspruch zur DSGVO stehen. Interesses.
Ob ein solcher Widerspruch besteht, ist im Einzel-
fall zu prüfen. In welcher Art und in welchem Ausmaß die EU-Staa-
ten von den durch Öffnungsklauseln eröffneten Re-
Ein schlichter Unterschied im Wortlaut reicht hierfür gelungskompetenzen letztendlich Gebrauch machen
nicht aus. So kann etwa gem. Art. 15 I h DSGVO ein werden, lässt sich bis dato nicht abschließend sagen.
Betroffener Auskunft über die „verwendete Logik“ der Im Hinblick auf Geschäftsmodelle, die in Interaktion
automatisierten Entscheidungsfindung verlangen. In mit ausländischen Servern oder der Cloud aufgezo-
§ 34 II, IV BDSG sind dies äquivalent die Berechnung gen werden, sollten die beiden letztgenannten Fel-
und das Zustandekommen von Wahrscheinlichkeits- der der Auftragsdatenverarbeitung und der Daten-
werten. Die Regelungen sind nicht deckungsgleich, übermittlung besonders beobachtet werden.

 7 8 9 
ZUM
INHALT

2. Einfluss der DSGVO auf die Geschäftsprozesse

Im Folgenden soll ein Überblick verschafft werden über die


Auswirkungen der VO auf die Praxis, zur Möglichkeit von
Einwilligungen in Datenverarbeitung, über die Auskunfts-
ansprüche oder gar Schadensersatzansprüche der Betroffe-
nen. Zudem sollen die Komplexe Datenportabilität, Verän-
derungen gegenüber dem bisherigen BDSG sowie die Rolle
des Datenschutzbeauftragten beleuchtet werden. Die Über-
sicht mündet in ein Aufzeigen von Konsequenzen für die
verarbeitenden IT-Systeme.

Es ist, wie dargelegt, sowohl in geografischer Hinsicht Die Abwicklung vertraglicher Leistungsbezie-
als auch im Hinblick auf die Weite der erfassten Da- hungen als solches stellt für den Bereich der
tenverarbeitungstätigkeiten davon auszugehen, dass analytischen Systeme nur einen Teilbereich des
die DSGVO nahezu alle Branchen und Geschäftsfel- Aufgabenspektrums dar. Von daher kann der Erhe-
der betrifft. bungszweck, etwa einer Hausadresse zwecks Anlie-
ferung von Waren gerade nicht die Auswertung be-
Somit stellt sich für alle Datenverarbeiter die Frage, gründen, in welchem Wohngebiet etwa Nachfrage
ob taugliche Erlaubnistatbestände zur Verarbeitung nach welcher Produktart und in welcher Preisklasse
herangezogen werden können. In den meisten Fäl- bestünde. Eine darüber hinausgehende Nutzung
len wird sich hier auf die Abwicklung gegenseitiger der Daten wird idealerweise von einer Einwilligung
vertraglicher Schuldverhältnisse oder auf Einwilli- der Person, deren Daten verarbeitet werden sollen,
gungen bezogen. abgedeckt sein.

2.1. Einwilligung
Für die meisten Geschäftsbereiche und Vorgänge Art. 6 IV der DSGVO erlaubt den Verantwortlichen
wird weiterhin eine wirksame Einwilligung verlangt; eine Abwägungsentscheidung. Bei einer Verarbei-
solches konstituiert eine „klare, bestätigende Hand- tung für einen legitimen Zweck soll dann keine ande-
lung“ (so auch Erwägungsgrund 25). Einwilligungen re Rechtsgrundlage mehr gebraucht werden (Erwä-
durch schlüssiges Handeln sind damit nicht gene- gungsgrund 50 S. 2). Ob diese Regelung strenger als
rell ausgeschlossen. Für den Onlinehandel benötigte die Zweckänderungserlaubnisse des BDSG ist, wird
elektronische Erklärungen sind mit erforderlicher In- zu beobachten sein.
formation zulässig. Eine ausdrückliche Einwilligung
ist (auch) künftig nur für die Verarbeitung besonders Ob im Bereich Big Data eine Verarbeitung zulässig
sensibler Daten erforderlich. ist, bedarf der Einzelfallprüfung.

Eine stillschweigende Einwilligung oder die Einwil- Der wichtige Erlaubnistatbestand der Interessenab-
ligung über ein vorangeklicktes Feld genügt nicht. wägung in Art. 6 I 1 f DSGVO wird von den jewei-
Bei sensiblen Daten oder automatisierten Einzel- ligen nationalen Aufsichtsbehörden und Gerichten
entscheidungen ist eine „ausdrückliche“ Erklärung, konkretisiert und daher in der Praxis von Land zu
sicherheitshalber mithin Schriftlichkeit, gefordert. In Land divers sein. Es ist naheliegend, dass man sich
allen Konstellationen muss der Verantwortliche über in Deutschland an die Interessenabwägung für Wer-
die wirksame Abgabe der Einwilligung mittels Doku- bung aus § 28 III BDSG, für Auskunfteien aus § 28 a
mentation Beweis führen können. BDSG, für Scoring aus § 28 b BDSG, und für Marktfor-
schung aus § 30 a BDSG anlehnen wird.

 8 9 10 
ZUM
INHALT

2. Einfluss der DSGVO auf die Geschäftsprozesse

Indem die DSGVO die Entscheidung über die Abwä- met. Eine Freiwilligkeit der Einwilligung wird be-
gung letztlich auf die Gerichte überträgt, entstehen zweifelt, wenn eine Vertragserfüllung von einer Ein-
womöglich divergierende Ergebnisse. Erst wenn die willigung zur Verarbeitung von nicht erforderlichen
obersten Gerichte für Rechtsklarheit bezüglich der Daten abhängig gemacht wird.
Interessenabwägung sorgen, wird Rechtssicherheit
entstehen. Eine solche Erforderlichkeit zu dokumentieren dürfte
sich im Rahmen der einschlägigen aufsichtsbehörd-
Besonderes Augenmerk sei dem Koppelungsverbot lichen Verfahren bzw. Schadensersatzprozesse wohl
aus Art. 7 IV DSGVO und Erwägungsgrund 43 gewid- kaum nachteilig für den Verantwortlichen auswirken.

2.2. Auskunftsansprüche aus Art. 13, 14, 15


DSGVO
Die Informationspflichten des Datenverarbeiters be- Gem. Art. 13 II 2 DSGVO hält der Verantwortliche
stehen nicht gegenüber denjenigen Betroffenen, de- (schriftlich) fest, aus welchen Gründen er von einer
ren Daten entweder analog gespeichert werden oder Information des Betroffenen absah oder gar eine
mit denen keine digitale Kommunikation vorliegt, Auskunft verweigerte.
auch nicht, sofern öffentliche Stellen oder die öffent-
liche Sicherheit betroffen sind oder die Geltendma- Dies ist bei nur vorübergehender Verhinderung gem. Art.
chung eine Ausübung oder Verteidigung rechtlicher 13 III DSGVO nach maximal zwei Wochen nachzuholen.
Ansprüche beeinträchtigte. Ein Auskunftsanspruch
besteht also nicht, wenn man mit Stift und Papier Art. 14 DSGVO regelt im Zusammenspiel mit Art. 18
etwa Adressdaten notiert hat. II, dass personenbezogene Daten durch nicht-öf-
fentliche Stellen (d. h. private Firmen) nicht bei der
Die meisten dieser Ausschlussgründe liegen im Be- Person erhoben werden dürfen, außer in Fällen der
reich Analytischer Systeme eher fern bzw. sind in Verfolgung zivilrechtlicher Ansprüche bzw. in Fällen,
den vorgelagerten Prozessen verankert. in denen es die Geltendmachung, Ausübung oder
Verteidigung rechtlicher Ansprüche beeinträchtigen
Auskunftsrechte bestehen weiterhin nicht, wenn würde. Dies dürfte bei Analytischen Informationssys-
aufgrund von Gesetzen oder satzungsgemäß nicht temen jedoch eher selten der Fall sein.
gelöscht werden darf oder ausschließlich Zwecke
der Datensicherung oder Datenschutzkontrolle ver- Die Gründe einer dem Betroffenen gegenüber wo-
folgt werden. möglich ausgeübten Auskunftsverweigerung sind zu
dokumentieren.

2.3. Datenportabilität
Geregelt ist nunmehr in Art. 20 DSGVO das Recht auf In diesem Bereich werden sich innerhalb bestimm-
Datenübertragbarkeit bzw. Datenportabilität. Demzu- ter Branchen (z. B. bereits heute Versicherungen mit
folge sollen auf Verlangen Betroffener Daten in gän- der Brancheninitiative Prozessoptimierung, s. www.
gigen elektronischen Formaten an sie übermittelt bipronet.net) bzw. Wirtschaftszweige wohl gewisse
werden. Zudem sind gem. Art. 20 II DSGVO die perso- Standards (weiter-)entwickeln können.
nenbezogenen Daten auf Nachfrage auch direkt an ei-
nen anderen Anbieter zu übertragen, soweit der Stand
der Technik dies auf verhältnismäßigem Wege erlaubt.

 9 10 11 
ZUM
INHALT

2. Einfluss der DSGVO auf die Geschäftsprozesse

2.4. Schadensersatzklagen
Die Rechte der Art. 77-79 und 82 DSGVO bezüglich nig quantifizierbaren Einbuße geführt hat; ggf. ver-
Schadensersatz können gem. 80 DSGVO im Wege der gleichbar sind Schmerzensgelder. Juristisch gesehen
Verbandsklage geltend gemacht werden. So können handelt es sich konzeptionell um eine mit Beweislas-
künftig Ansprüche etwa auf Löschen, Berichtigen tumkehr gekoppelte Verschuldenshaftung.
oder Schadensersatz durch Verbraucherschutzver-
bände geltend gemacht werden. Durch den dadurch Dies bedeutet, dass der Betroffene nicht detailliert
größeren öffentlichen Druck auf die Verantwortli- die Rechtsverletzung technisch sowie historisch be-
chen soll vermehrt Motivation zu datenschutzkon- weisen muss, sondern der Verantwortliche die Ein-
formem Verhalten hervorgerufen werden. haltung der maßgeblichen Normbefehle dokumen-
tieren muss.
Entgegen der Grundtendenz deutscher Haftungsre-
gelungen sind neben materiellen Schadenspositi- Die Dokumentationen sind also nicht bloß im Hin-
onen auch immaterielle erfasst. Es ist mithin nicht blick auf die Aufsichtsbehörden zu erstellen, sondern
mehr zwingend erforderlich, dass eine Verletzung werden auch zum Gegenstand von Schadensersatz-
von Datenschutzrecht zu einer in Heller und Pfen- prozessen.

2.5. Der Datenschutzbeauftragte in seiner


Funktion
Die Regelungen zum Datenschutzbeauftragten fin- stimmten – verbraucherrelevanten – Risiken für na-
den sich in den Art. 37, 13, 39 und 36 DSGVO. Im wei- türliche Personen seitens der verantwortlichen Stelle
teren Verlauf soll jedoch hierauf nicht vertieft einge- durchzuführen ist. Eine solche ist auf Anfordern der
gangen werden, da in der Hauptsache die materiellen Datenschutzaufsichtsbehörde einzureichen.
Regelungen betrachtet werden.
Schon auf Grund der anstehenden und aktuellen
Ein Datenschutzbeauftragter ist gem. Art. 38 DSG- Projekte resultiert ein Wandel vom Bild des Daten-
VO zu bestellen, sofern mehr als 10 Mitarbeiter be- schutzbeauftragten vom Kontrolleur mit mahnen-
schäftigt werden. Dies gilt nicht, sofern Markt- und dem Zeigefinger zu einem internen Berater und
Meinungsforschung betrieben, Daten geschäftsmä- Projektbegleiter. Vielleicht ist diese Veränderung
ßig zum Zweck der Übermittlung verarbeitet werden mit der Entwicklung des Berufsbilds des Controllers
oder, wenn lediglich gem. Art. 35 DSGVO eine Da- und dessen Zusammenarbeit mit Fachbereichen
tenschutzfolgeabschätzung erstellt wird, die bei be- vergleichbar.

2.6. Veränderungen gegenüber dem BDSG


Bezogen auf das deutsche Datenschutzrecht bewirkt III bis V BDSG, Auskunfteien, § 29 BDSG und Marktfor-
die DSGVO eine Überlagerung samt damit einherge- schung, § 30 a BDSG.
hender Verdrängung der Anwendbarkeit von Rege-
lungen über Grundsätze der Direkterhebung beim Entsprechend der ausgeführten Regelungssystema-
Betroffenen, § 4 II BDSG, der Datensparsamkeit, § 3 a tik werden einzelne Bereiche des bisher geltenden
BDSG, des Datengeheimnisses in § 5 BDSG, zur Zuläs- nationalen Rechts unter Geltung der DSGVO materi-
sigkeit der Datenverarbeitung für Werbung, z. B. § 28 ell anders ausgestaltet sein.

 10 11 12 
ZUM
INHALT

2. Einfluss der DSGVO auf die Geschäftsprozesse

2.7. Konsequenzen für die verarbeitenden


IT-Systeme
Schon bei den in den vorigen Abschnitten beschrie- lich der technischen und organisatorischen Maßnah-
benen Auszügen aus der DSGVO wird klar, dass mit men (TOM) notwendig werden. Folgendes Schaubild
dem Fokus auf die IT-Systeme Neuerungen hinsicht- illustriert die Zusammenhänge:

Abbildung 2: Technische und organisatorische Maßnahmen im Zusammenhang der DSGVO

Viele Aspekte sollten sowohl in operativen Systemen genügt nicht mehr, „nur“ die Daten zu speichern. Aus
als auch in Analytischen Informationssystemen „com- unserer Einschätzung werden Datenmodelle zukünf-
mon sense“ sein, da bereits im bisherigen Bundesda- tig nicht mehr nur hinsichtlich der fachlichen Funk-
tenschutzgesetz (BDSG) z. B. § 3a Datenvermeidung tionalität und technischen Optimierungen erarbeitet,
und Datensparsamkeit bzw. § 39 BDSG Zweckbin- sondern die Facette Datenschutz gewinnt eine zu-
dung eine ausführliche Erwähnung finden. Allerdings sätzliche Bedeutung. Für die Modellierung mit Data
entsteht auf Grund der DSGVO in Verbindung mit den Vault kann dies z. B. bedeuten, dass Satelliten als
potenziellen Strafen eine neue Wahrnehmung und besonders schützenswert gekennzeichnet werden.
Sensibilisierung in der Öffentlichkeit. Daher überar- Nicht nur die interne IT oder ausgelagerte Dienstleis-
beiten viele Unternehmen ihre Partner- und angren- ter sind mit dem Art. 25 konfrontiert, sondern auch
zende Systeme insbesondere hinsichtlich der Einwil- die Softwarehersteller bzw. externe ausgeschriebene
ligung und des Rechts auf Vergessenwerden. Projekte. Aktuell uns vorliegende Anfragen für Ent-
wicklungsprojekte enthalten als einen elementaren
Der Datenschutz durch Technikgestaltung (Art. 25) Passus die Darstellung von Datenschutz durch Tech-
fordert bzw. fördert ambitionierte IT-Lösungen. Es nikgestaltung.

 11 12 13 
ZUM
INHALT

2. Einfluss der DSGVO auf die Geschäftsprozesse

Hinsichtlich der Entwicklung Analytischer Informa- Grundprinzipien von Big Data und Datenschutz ein
tionssysteme wird bei der Gegenüberstellung der Zielkonflikt deutlich:

Grundprinzipien des Datenschutzes Grundprinzipien der Big-Data-Analytik

Personenbezogene Daten müssen: • Suche nach Korrelationen und Gruppenbildung


a) […] • Suche nach unbekannten Mustern
b) für festgelegte, eindeutige und legitime Zwecke und Zusammenhängen
erhoben werden und dürfen nicht in einer mit • Ergebnisoffene Datenanalyse
diesen Zwecken nicht zu vereinbarenden Weise • Auswertung verschiedener und heterogener
weiterverarbeitet werden; […] („Zweckbindung“); Datenquellen
c) dem Zweck angemessen […] sowie auf das • Schnelle Analysen
für die Zwecke der Verarbeitung notwendige • Einbezug von historisierten Daten
Maß beschränkt sein („Datenminimierung“) • Verarbeitung sehr großer Datenmengen
Aus Artikel 5 der Datenschutz-Grundverordnung

Tabelle 1: Gegenüberstellung der Grundprinzipien des Datenschutzes und Big Data

Die Vorratsspeicherung als Grund für die Zweck- Ein wichtiger Trend bei den Analytischen Informa-
bindung ist nach der DSGVO nicht möglich. Daher tionssystemen der letzten Jahre ist das Konzept
gewinnen Auftragsmanagement und Anforderungs- von Self Service BI, d. h. der Fachbereich besitzt
aufnahme mit der damit verbundenen Dokumen- die Möglichkeit, viele Analysen, Berichte etc. un-
tation eine noch größere Bedeutung in der Soft- abhängig von der IT zu erstellen. Allerdings ist zu
wareentwicklung. Allerdings herrscht insbesondere prüfen, wie mit der Zweckbindung dieser Systeme
bei der Ad-hoc-Bereitstellung von Auswertungen umgegangen wird. In einem ersten Schritt wäre die
etc. eine Teeküchenmentalität, d. h. der Anfordernde Anonymisierung bzw. Pseudonymisierung (s. 3.3
gibt seinen Bedarf mündlich an den Umsetzenden Anonymisierung- und Pseudomysierung – Braucht
weiter und der Bericht wird zeitnah undokumentiert man das?) der Datengrundlage anzustreben. Dieses
bereitgestellt. Dieses Verständnis von Umgang per- Vorgehen ist auch bei der Verarbeitung personen-
sonenbezogener Daten führt zu einer Erhöhung des bezogener Daten im Rahmen von Individueller Da-
Datenschutzverletzungsrisikos. Die entsprechende tenverarbeitung (IDV) zu beachten.
Dokumentation bzgl. des Zwecks der Auswertung
ist daher ein Bestandteil der Rechenschaftspflicht
(s. 3.1 Rechenschaftspflicht – Notwendiges Übel
oder Nutzen?).

 12 13 14 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Im Kapitel 2.7. Konsequenzen für die verarbeitenden IT-Sys-


teme wurde bereits der Zielkonflikt zwischen den Grund-
prinzipien des Datenschutzes und der Big Data Analytik
dargestellt. Nachfolgende Abschnitte beleuchten intensiver
in Form von Schlaglichtern mögliche Handlungsfelder für
Analytische Systeme hinsichtlich der DSGVO.

3.1. R
echenschaftspflicht – Notwendiges
Übel oder Nutzen?
Wie bereits verschiedentlich ausgeführt, sollte der auch aufsichtsbehördlichen (Bußgeld-)Verfahren
Dokumentation von Datenverarbeitungen angesichts künftig gesteigerte Bedeutung zukommen.
der Beweiswirkung in Schadensersatzprozessen und

3.1.1.  Rechtlicher Hintergrund


Eine Entwicklung dahingehend, dass die Transpa- Juristisch gesehen verbleibt es auch unter der DSGVO
renz- und Dokumentationsregelungen für Beteiligte bei der Grund-Systematik des Verbotes mit Erlaub-
zu Rechtsunsicherheit und gesteigertem bürokrati- nisvorbehalt. Ergo muss jegliche Datenverarbeitung
schem Aufwand führen werden, ist zu antizipieren. auf einen Erlaubnistatbestand gestützt und dies auch
Eine fehlende Dokumentation kann zu Bußgeldern dokumentiert werden.
führen.
Für diese Dokumentation interessiert sich nicht nur
Insbesondere zu beachten sind die Aufsichtsbehörde, sie muss als Beweis der Com-
• Rechenschaftspflichten der Verantwortlichen, Art. 5 pliance in Schadensersatzprozessen vorgelegt wer-
II DSGVO, zudem der Nachweis von Einwilligungen, den. Fehlende Dokumentation stellt also bereits für
Art. 7 I DSGVO. sich eine Pflichtverletzung dar.
• Nachweispflichten hinsichtlich der Installation von
technischen und organisatorischen Maßnahmen, Nochmals sei an dieser Stelle darauf hingewiesen,
Art. 24 II DSGVO. dass sowohl in aufsichtsbehördlichen Verfahren als
• Gem. Art. 30 DSGVO zu führendes „Verzeichnis von auch in Schadensersatzprozessen die ausbleibende
Verarbeitungstätigkeiten“ Vorlage von schriftlichen Dokumentationen zu er-
heblich verschlechterten Möglichkeiten der Rechts-
Datentransfer in Drittstaaten, die darauf begründete verteidigung auf Seiten der Verantwortlichen/Daten-
Risikoabschätzung und Schutzmaßnahmen des Art. verarbeiter führen wird.
28 DSGVO und deren Aufnahme in das Verfahrens-
verzeichnis, Art. 49 I 2 DSGVO.

 13 14 15 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

3.1.2.  Umsetzung in der Praxis


Betrachtet man die Resonanz auf die DSGVO, fällt der Gleichzeitig sind insbesondere Softwarehersteller
Begriff Datenschutzmanagementsystem häufiger. Die von analytischen Applikationen und Datenbanken
Inhalte sind zum jetzigen Zeitpunkt z. T. diffus und gefordert, „neue“ Metadaten zur Verfügung zu stellen.
man fühlt sich an die eierlegende Wollmilchsau oder Die Frage „Wer hat wann Analyseergebnisse nach MS
den legendären Wolpertinger erinnert. Keiner hat die Excel exportiert?“ muss wahrscheinlich in naher Zu-
Geschöpfe gesehen und jeder hat seine eigene Vor- kunft beantwortet werden können.Schon seit Länge-
stellung davon. Wir versuchen uns zunächst von den rem existieren Konzepte bzw. Softwarelösungen, die
Anforderungen bzw. Fragestellungen dem Fabelwe- als Informationssilos Antworten auf Fragen geben
sen zu nähern. bzw. deren Funktionalität zu einem Datenschutzma-
nagementsystem gehören:
Lt. der DSGVO im Erwägungsgrund 78 muss der für • Enterprise Architecture Management (EAM) als
die Verarbeitung Verantwortliche interne Strategien Zusammenspiel von Elementen der Informations-
festlegen und Maßnahmen ergreifen, um den Grund- technologie und der geschäftlichen Tätigkeit im
sätzen des Datenschutzes durch Technik und durch Unternehmen. Sie unterscheidet sich von Begrif-
datenschutzfreundliche Voreinstellungen Genüge zu fen wie Informationsarchitektur oder Softwarear-
tun. Für die Ableitung von Strategien braucht diese chitektur durch den ganzheitlichen Blick auf die
Person fundierte Informationen, um Fragen wie diese Rolle der Informationstechnologie im Unterneh-
zu beantworten: men. Oft geht damit auch ein höherer Abstrakti-
• In welchen Prozessen im Unternehmen werden onsgrad einher.
welche personenbezogenen Daten erhoben und • Master Data Management (MDM) umfasst alle
gespeichert? strategischen, organisatorischen, methodischen
• Aus welchen Gründen und wie lange werden die und technologischen Aktivitäten in Bezug auf die
Daten im Unternehmen gehalten? Stammdaten eines Unternehmens.
• Wer hat Zugriff auf welche Daten? • Internes Kontrollsystem (IKS) bestehend aus sys-
• Welche Daten verlassen das Unternehmen zu wel- tematisch gestalteten technischen und organisa-
chem Zweck? torischen Regeln des methodischen Steuerns und
• Welche Daten müssen bis wann gelöscht werden? von Kontrollen im Unternehmen zum Einhalten von
• Welche Attributkombinationen sind quasi-identifi- Richtlinien und zur Abwehr von Schäden, die durch
zierend? das eigene Personal oder böswillige Dritte verur-
• Lassen sich aus veröffentlichten Analysen Rück- sacht werden können.
schlüsse auf einzelne Personen ableiten?
Die Wikipedia-Definitionen sollen nur einen Gedan-
Antworten auf diese Fragen sind z. T. aus bestehen- kenanstoß für bereits genutzte Software, Frame-
den Metadaten wie z. B. Systemkatalogen von Da- works, Initiativen und Konzepte im Unternehmen
tenbanken, Verzeichniszugriffsprotokollen (LDAP) er- geben. Letztendlich sollten die Informationen über
mittelbar. Hinzu kommen Spezialprogramme für die personenbezogene Daten sowohl im EAM als auch
Identifizierung von personenbezogenen Daten. Jene im MDM in unterschiedlicher Granularität hiterlegt
prüfen auch Inhalte von Feldern ab, so dass z. B. auch werden. Im IKS sind die entsprechenden Daten-
Bemerkungstexte mit einem eindeutigen Personen- schutz-Regelungen und Richtlinien zu verankern.
bezug (z. B. „Herr Stefan Meier in der ABC-Straße 5
fragt, wo seine Lieferung bleibt“) identifiziert werden.

 14 15 16 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Diese Themen und Softwarelösungen erleben durch tung von personenbezogenen Daten aus?“ werden
den Regulatorik-Trend allgemein und die DSGVO im wir allerdings nicht weiter beleuchten.
Speziellen eine Renaissance. Betrachtet man die not-
wendige Zusammenführung der benötigten Informa- Für die kontinuierliche Überwachung und Verbes-
tionen, stellt man fest, dass auch das Datenschutz- serung von Maßnahmen zur Einhaltung des Daten-
system Stand heute eine spezielle Ausprägung eines schutzes ist der PDCA-Kreislauf ein geeignetes Vor-
Analytischen Informationssystems ist. Die Gretchen- gehensmodell:
frage „Wie sieht es in diesem Fall mit der Verarbei-

Abbildung 3: PDCA-Zyklus zur Aufrechterhaltung der Rechenschaftspflicht

Der PDCA-Zyklus mit seinen Phasen ist elementa-


rer Bestandteil in einem kontinuierlichen Verbesse-
rungsprozess.

3.2. Datenschutzfolgenabschätzung – Risiko


klar bewertet
Auf die in Art. 35 DSGVO normierte DSFA wurde be- tragten eingegangen. Im Folgenden soll deren Praxis
reits im Zusammenhang mit dem Datenschutzbeauf- beleuchtet werden.

3.2.1.  Rechtlicher Hintergrund


Für Datenverarbeitungen mit bestimmten näher aus- Ergänzend hierzu sei angemerkt, dass bei Daten-
zuführenden Risiken für die Rechte und Freiheiten transfer in einen Drittstaat gem. Art. 49 I 2 der DSGVO
natürlicher Personen ist künftig die Durchführung die Risikoabschätzung und die ergriffenen Schutz-
eine von der für die Verarbeitung verantwortlichen maßnahmen nach Art. 28 DSGVO zu dokumentieren
Stelle durchzuführende Datenschutz-Folgeabschät- und zum Gegenstand des Verfahrensverzeichnisses
zung verbindlich angeordnet. Auf Anforderung ist zu machen sind.
diese der Datenschutzaufsichtsbehörde vorzulegen.

 15 16 17 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

3.2.2. Umsetzung in der Praxis als grober


Ablauf
Die Datenschutzfolgenabschätzung (DSFA), auch • Neuen Verarbeitungen/Vorgängen, zu denen der
Privacy Impact Assessment (PIA), ist in England Verantwortliche noch keine DSFA durchgeführt hat
und Frankreich bereits seit Jahren gängige Praxis. • Verarbeitung großer Mengen personenbezogener Daten
Sie dient zur Erkennung und Bewertung von Risi- • Sensibilität: Verarbeitung besonderer Kategorien
ken, die für das Individuum durch den Einsatz einer personenbezogener Daten
bestimmten Technologie oder eines Systems durch • Profiling bzw. Systematische Verarbeitungen im
eine Organisation entstehen. Eine DSFA ist notwen- großen Umfang
dig bei:
• Neuen Technologien, zu denen der Verantwortliche Die Umsetzung erfolgt in den nachfolgend darge-
noch keine DSFA durchgeführt hat stellten drei Phasen:

Abbildung 4: Phasenmodell einer Datenschutzfolgenabschätzung

Die Erfassung und Dokumentation der DSFA kann Organisationshandbüchern, Anweisungs- und Rege-
sowohl mit gängigen Textverarbeitungsprogrammen lungswesen erfolgen.
als auch mit spezieller Software zur Verwaltung von

 16 17 18 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

3.2.3. Fallbeispiel für die Durchführung ei-


ner DSFA • Betriebsorganisation mit dem Fokus auf die Ge-
In dem verkürzten Fallbeispiel ist eine DSFA für ein schäftsprozesse
Analytisches Informationssystem eines mittelständi-
schen Unternehmens beschrieben. Der Prüfgegenstand, das Analytische Informations-
system, wird an Hand bestehender und ggf. zu ver-
Phase der Vorbereitung vollständigender Dokumentation möglichst genau
Das interdisziplinäre Team besteht nach Identifika- beschrieben bzw. eine Abgrenzung inkl. möglicher
tion der Stakeholder aus folgenden Personen bzw. Schnittstellen zu anderen Systemen vorgenommen.
Gruppierungen: Die Bestandsaufnahme bzgl. bereits erfolgter Maß-
• Datenschutzbeauftragter als Vertreter der Kunden nahmen (z. B. Pseudonymisierung bzw. formale Ano-
sowie zur Prüfung und Beratung zur Datenschutz- nymisierung, klare Schichtenarchitektur) runden die
konformität Vorbereitung ab.
• Fachbereiche als Nutzer des Systems
• BICC als Verantwortlicher für die Weiterentwick- Phase der Bewertung
lung des Systems Bei der Definition der Ziele vermengen bzw. über-
• Betriebsrat als Vertreter der Mitarbeiter schneiden sich häufig die Aspekte der Datensicher-
• IT-Abteilung als Zuständiger für IT-Sicherheit heit und des Datenschutzes, wie das folgende Schau-
• Vorstand bzw. CDO als derjenige, der für die Verar- bild zeigt:
beitung verantwortlich ist

Abbildung 5: Überschneidungen zwischen Datensicherheit und Datenschutz

Die IT- und Datensicherheit schützt vor allem vor Damit wäre z. B. ein Risiko die unbedachte Weiter-
Angreifern von außen, wobei nach einer Studie von gabe von personenbezogenen Daten ohne rechtliche
Forrester aus dem Jahr 2013 die größte Gefahr für Grundlage von einer Person, die eine Zugriffberechti-
den Datenschutz von den eigenen Mitarbeitern eines gung auf die Informationen besitzt.
Unternehmens ausgeht. Dabei ist Böswilligkeit nicht
der eigentliche Grund, sondern ein Gemisch aus Igno-
ranz und Unwissenheit um die Bedeutung der Daten.

 17 18 19 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Phase Berichte und Maßnahmen


Auf Grund des Angreiferprofils wird die Maßnahme durchgeführt. Gleichzeitig werden die Exportmög-
von dezidierten Schulungen zur Sensibilisierung lichkeiten aus dem Analytischen Informationssys-
hinsichtlich des Themas Datenschutz für Führungs- tem massiv eingeschränkt, so dass das Risiko der
kräfte, Poweruser und Mitglieder des Entwicklungs- unbedachten Weitergabe in erheblichem Maße ein-
teams für das Analytische Informationssystem geschränkt wird.

3.3. Anonymisierung und Pseudomysierung


– Braucht man das?

3.3.1.  Rechtlicher Hintergrund


Art. 4 DSGVO definiert Pseudonymisierung als „die men Daten grundsätzlich Datenschutzvorschriften
Verarbeitung personenbezogener Daten in einer nicht zwingend zu beachten. Die DSGVO modifiziert
Weise, dass die personenbezogenen Daten ohne Hin- diesbezüglich die bisherigen Regelungen der Daten-
zuziehung zusätzlicher Informationen nicht mehr schutzrichtlinie 95/46/EG.
einer spezifischen betroffenen Person zugeordnet Die Anonymität wird in Erwägungsgrund 26 Satz 5
werden können, sofern diese zusätzlichen Informati- und 6 der DSGVO dahingehend erwähnt, dass
onen gesondert aufbewahrt werden und technischen
und organisatorischen Maßnahmen unterliegen, die „die Grundsätze des Datenschutzes daher
gewährleisten, dass die personenbezogenen Daten nicht für anonyme Informationen gelten (soll-
nicht einer identifizierten oder identifizierbaren na- ten), d. h. für Informationen, die sich nicht auf
türlichen Person zugewiesen werden“. eine identifizierte oder identifizierbare natür-
liche Person beziehen, oder personenbezo-
Die Pseudonymisierung wird explizit in Art. 25 DSG- gene Daten, die in einer Weise anonymisiert
VO, der privacy by design bzw. privacy by default re- worden sind, dass die betroffene Person nicht
gelt, erwähnt. oder nicht mehr identifiziert werden kann.“

Noch weitergehend wird bei der Anonymisierung Die Beantwortung der Frage, inwiefern anonymisier-
die Möglichkeit der individuellen Zuordnung des je- te Daten der Anwendung der DSGVO entzogen sind,
weiligen Datums an eine konkrete natürliche Person wird allerdings erwartbar noch die Gerichtsbarkeit
aufgehoben. Somit sind beim Umgang mit anony- beschäftigen.

 18 19 20 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

3.3.2.  Umsetzung in der Praxis


Anonymisierung bedeutet, dass die Daten derart ver- über 80 % der Bevölkerung1 identifiziert werden.
ändert werden, dass sie nicht mehr personenbezieh- Bei anderen Kombinationen sind ähnliche Werte zu
bar sind. Dabei existieren unterschiedliche Stufen erwarten, so dass eine Umsetzung einer absoluten
der Anonymisierung: Anonymisierung bei gleichzeitig sinnvoll nutzbaren
• Absolute Anonymisierung: Datenbeständen nicht realistisch ist. Daher liegt die
Das Verändern der Daten derart, dass die Einzelanga- Vermutung nahe, dass die Anonymisierung aus gu-
ben nicht mehr einer bestimmten oder bestimmba- tem Grund nur im Erwägungsgrund 26 erwähnt wird,
ren natürlichen Person zugeordnet werden können dagegen die Pseudonymisierung als datenschutzre-
• Faktische Anonymisierung: levante Maßnahme betrachtet wird. Insbesondere
Das Verändern von Daten derart, dass die Einzelan- der Erwägungsgrund 28 mit der Aussage:
gaben nur mit einem unverhältnismäßig großen
Aufwand (Zeit, Kosten, Arbeitskraft) einer bestimm- „Die Anwendung der Pseudonymisierung auf
ten oder bestimmbaren natürlichen Person zuge- personenbezogene Daten kann die Risiken
ordnet werden können für die betroffenen Personen senken und die
• Formale Anonymisierung: Verantwortlichen […] bei der Einhaltung ihrer
Das Verändern der Daten derart, dass alle direkten Datenschutzpflichten unterstützen.“
Identifikatoren entfernt oder pseudonymisiert sind,
der Merkmalsumfang aber weitestgehend erhalten bringt neue Gesichtspunkte in Architekturen ein. Bei
bleibt und erst die Analyseergebnisse auf ihre Ano- der Pseudonymisierung wird der Name oder ein an-
nymität geprüft werden. deres Identifikationsmerkmal durch ein Pseudonym
(zumeist eine mehrstellige Buchstaben- oder Zah-
Da bei einer absoluten Anonymisierung der Perso- lenkombination, auch Code genannt) ersetzt, um die
nenbezug entfällt, wäre dieser Datenbestand in der Feststellung der Identität des Betroffenen auszu-
Tat nicht mehr datenschutzrelevant. Leider ist dies schließen oder wesentlich zu erschweren.
nur Wunschdenken, da anhand der Kombination der
gängigen Attribute
• Geburtsdatum 1
 L. A. Sweeney. Computational disclosure control: a primer on data
• Geschlecht privacy protection. Dissertation, Massachusetts Institute of Tech-
• Postleitzahl nology, 2001

 19 20 21 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Ein wichtiger Aspekt beim Einsatz der Pseudonymi- ten-Architekturen eines Analytischen Informations-
sierung in Analytischen Informationssystemen ist der systems, gibt es zwei mögliche Ansatzpunkte:
Zugriffspunkt. Betrachten wir klassische Mehrschich-

Abbildung 6: Mehrschichten-Architektur eines Analytischen Informationsystems

Zum einen besteht die Möglichkeit einer Pseudony- eigene Abfragen zu erstellen, erweisen sich diese
misierung on the fly beim Zugriff auf die Datamart- Verknüpfungen über ein zur Laufzeit generiertes
schicht. Hier wird in Datensichten (Views) zur Laufzeit Pseudonym als inperformant.
aus dem Klartext bzw. den direkten Identifikatoren
das entsprechende Pseudonym ermittelt. Dieses Vor- Erfolgt die Bildung des Pseudonyms dagegen beim
gehen ist hinsichtlich der Implementierungsdauer Aufbau des Core Data Warehouse und wird jenes in
schlank, da i. d. R. keine Datenwirtschaftungsprozesse diesem persistiert, können die Endanwender, sofern
zu implementieren bzw. modifizieren sind. Allerdings es aus fachlichen Gründen nötig wird, auch auf diese
muss das Core Data Warehouse vor dem Zugriff vor Schichtenebene ohne zusätzliche Vorkehrungen zu-
den Endanwendern gekapselt werden, da ansonsten greifen. Durch die Persistierung sind tabellenübergrei-
mit Klartexten gearbeitet wird. Sollte der Analyst fende Abfragen in der Verknüpfung über das Pseudo-
oder andere vergleichbare Rollen in der Lage sein, nym vergleichbar mit nicht pseudonymisierten Daten.

 20 21 22 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

Erfolgt eine Neuentwicklung eines Analytischen In- es sich daher bewährt, operative Auswertungen und
formationssystems sollte die Präferenz in der früh- Analytische Informationssysteme bereits in der stra-
zeitigen Persistierung des Pseudonyms liegen. Somit tegischen Ausrichtung strikt zu trennen. Ist allerdings
liegt in der Datenlogistik frühzeitig eine formale An- die Architektur, z. B. aus historischen Gründen, in der
onymität der Daten vor und das Risiko einer Daten- operativen und dispositiven Ausrichtung zu sehr mit-
schutzverletzung ist deutlich geringer als beim ers- einander verwoben, müssen im ersten Schritt, noch
ten Szenario. Bei einer Renovierung bzw. Sanierung vor den technischen Maßnahmen, kurzfristige orga-
des Analytischen Informationssystems sind die Kos- nisatorisch Anweisungen zur Regelung im Umgang
ten-, Nutzen- und Risikoaspekte der beiden Lösungs- mit analytischen Daten erfolgen.
szenarien abzuwägen. Dabei verspricht der Ansatz
einer On-the-fly-Pseudonymisierung häufig einen Trotzdem bleibt eine herausfordernde Frage beste-
Quick Win. hen: „Wie kann ich einen Prozess etablieren, um aus
Pseudonymen für eine zweckbestimmte Einzelfall-
Soll allerdings auf Basis des Analytischen Informa- prüfung den Klartext zu erhalten?“ Use-cases wären
tionssystems ein operatives Reporting erfolgen, er- z. B. Stornoprophylaxe oder die Identifikation von po-
weist sich die Pseudonymisierung als wenig hilfreich, tenziellen Betrugsfällen. Zur Entschlüsselung emp-
da die Empfänger hier z. B. die Namen und Anschrif- fiehlt sich die Nutzung eines TAN-Verfahrens, wie
ten von Kunden erwarten. Aus unserer Erfahrung hat man es ansonsten vom Onlinebanking her kennt:

Abbildung 7: Exemplarischer Prozess für die Depseudonymisierung im Analytischen System

Durch die Verwendung der TAN-Listen und Koppe- Verfahren zu der Pseudonymisierung, z. B. nach einem
lung der Rückmeldung an den Datenschutz wird die Hashwert, werden nicht weiter dargestellt. Diese
Zweckbindung zur Entschlüsselung des Pseudonyms sollten sich allerdings an den IT-Sicherheitsstrategi-
dokumentiert (s. 3.1 Rechenschaftspflicht – Notwen- en des jeweiligen Unternehmens orientieren.
diges Übel oder Nutzen?).

 21 22 23 
ZUM
INHALT

3. Besondere Herausforderungen für Analytische Systeme als Schlaglichter

3.4. AI, KI und Artikel 22 – DSGVO gegen den


Trend?
Eine der spannenden Fragen ist, ob und inwiefern Aus Art. 22 folgt das Recht, keiner ausschließlich
neue, innovative technologische Megatrends wie AI, automatisierten Entscheidung unterworfen zu wer-
KI regulatorisch durch den Gesetzgeber „eingefan- den; Ausnahmen werden in Absatz II aufgeführt.
gen“ oder durchreguliert werden. Soweit ersichtlich, Dessen Punkt c) erfasst Einwilligungen, vergleiche
ist kein Artikel der DSGVO speziell auf dieses The- hierzu 2.1. Punkt b) stellt auf die in Öffnungsklau-
ma zugeschnitten; dies ist jedoch im Hinblick auf die sel, bezeichnet in 1.2, ab. Punkt a) verwendet mit
Technikneutralität, auf die an anderer Stelle einge- „erforderlich“ einen offenen Rechtsbegriff, der erst
gangen wird, nicht weiter verwunderlich. durch die zu erwartende Rechtsprechung eine feste
Kontur erhalten wird.
Zu fragen ist jedoch, inwiefern nun gegebene Rege-
lungen der DSGVO Auswirkungen auf den Themen- Die Regelung des Art. 22 DSGVO verdrängt wohl
komplex AI, KI zeitigen können. jene über automatisierte Entscheidungen aus § 6 a
BDSG. Gemäß deren § 6 a III war Auskunft über den
In diesem Zusammenhang ist es angezeigt, einen „logischen Aufbau der Verarbeitung“ zu geben. Be-
vertieften Blick auf das Regelungsprogramm zur au- reits angeführt wurde, dass Diskrepanzen zwischen
tomatisierten Einzelentscheidung in Art. 22 der DS- der DSGVO sowie dem BDSG dazu führen, dass in
GVO zu werfen. Dieser Regelungsgegenstand sollte, diesen Fällen deutsches Recht nicht mehr ange-
je nach verfolgtem Geschäftsmodell, eingehender wendet wird.
betrachtet werden.

 22 23 24 
ZUM
INHALT

4. Fazit

Man mag konstatieren, die DSGVO halte an den EU-weiten politischen Kompromisses ist die DSGVO
Grundprinzipien fest, wie sie durch Art. 8 II der mancherorts durch ihre Generalklauseln und unbe-
EU-Grundrechtecharta, die Datenschutzrichtlinie stimmten Rechtsbegriffe unklar. Hier steht uns eu-
und damit auch das BDSG vorgegeben wurden, ropaweit einiges an klarstellender Rechtsprechung
ändere also das geltende Datenschutzrecht nicht ins Haus.
grundlegend.
Nichtsdestotrotz sollten Sie bereits jetzt mit der
Aber: Im Detail finden sich zahlreiche neue Vorgaben. Verbesserung von erkannten Datenschutzrisiken zu
Hinsichtlich des immens erhöhten Bußgeldrahmens beginnen. Wichtig ist dabei, sich auf ein Team zu
bedarf es einer passgenauen Umsetzung durch die verlassen, in dem IT- und Rechtsexperten gemein-
jeweils Verantwortlichen. sam Lösungen erarbeiten. Ein Ignorieren der DSG-
VO oder Verharren in Warten auf Ideen von anderen
Vor dem Hintergrund des jahrelang erarbeiteten kann teuer werden.

 23 24 25 
ZUM
INHALT

Weiterführende Informationen zum Thema

Auer-Reinsdorff/Conrad: Handbuch IT- und Datenschutzrecht, C.H. Beck Verlag, 2. Auflage 2016

Ehmann/Selmayr: DS-GVO Kommentar, C.H. Beck Verlag, 2017

Gola Peter: DS-GVO Kommentar, C.H. Beck Verlag, 2017

Härting Niko: Datenschutzgrundverordnung, Otto Schmidt Verlag, 2016

Kranig/Sachs/Gierschmann: Datenschutz-Compliance nach der DS-GVO, Bundesanzeiger Verlag, 2017

Kühling/Buchner: DS-GVO Kommentar, C.H. Beck Verlag, 2017

Roßnagel, Alexander: Europ. DS-GVO Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts,
Nomos Verlag, 2016
Wybitul, Tim: EU-Datenschutz-Grundverordnung im Unternehmen, R&W Fachmedien Recht und Wirtschaft, 2016

Informationsbroschüre inkl. Gesetzestext zur DSGVO des bfdi:


http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf?__blob=publicationFile&v=7
Webseite der Artikel 29 Datenschutz Gruppe:
http://ec.europa.eu/justice/data-protection/index_en.htm

The European Union Agency for Network and Information Security (ENISA):
https://www.enisa.europa.eu/

GDD: Gemeinnütziger Verein, der politisch aktiv ist und Datenschutzbeauftrage unterstützt:
https://www.gdd.de/

Netzwerk Datenschutzexpertise:
http://www.netzwerk-datenschutzexpertise.de/

Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.


https://www.bvdnet.de/
Privacy Preserving Record Linkage als Verfahren zur effizienten Suche nach Quasi-Identifikatoren
(aus Grunert/Heuer: Big Data und der Fluch der Dimensionalitä):
http://www.ceur-ws.org/Vol-1313/paper_6.pdf

Recht auf Datenübertragbarkeit:


http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf

Die 7 Gestaltungsprinzipien zu Privacy by design von Ann Cavouklian:


https://www.law.berkeley.edu/wp-content/uploads/2016/03/Ann-Cavoukian.pdf

 24 25 26 
ZUM
INHALT

ASG Technologies
Über unsere Sponsoren

ASG Technologies
Lyonel-Feininger-Strasse 28
80807 München

Tel: +49 (0)89 45716 300


E-Mail: emea.central@asg.com
Web: www.asg.com

ASG Technologies bietet Lösungen, mit denen Unternehmen zuverlässig wichtige Daten
verwalten und kontrollieren sowie darauf zugreifen können. Das schafft nicht nur beruhigen-
de Sicherheit. Es sorgt auch für eine bessere Produktivität der Mitarbeiter und ein präzises,
schnelles Verständnis von Informationen, auf denen wichtige Geschäftsentscheidungen
basieren. Gleichzeitig lassen sich Compliance-Anforderungen bewältigen, da die Sichtbarkeit
von Daten plattformübergreifend verbessert wird – in Altbeständen genauso wie in moder-
nen Umgebungen. Mehr als 70 Prozent der globalen Fortune 500-Unternehmen vertrauen
bei der Optimierung ihrer IT-Investitionen auf ASG. Der Anbieter von Technologielösungen
beschäftigt über 1.000 Mitarbeiter, die weltweit mehr als 3.000 mittelständische Unterneh-
men und Konzerne unterstützen.

EU-Datenschutzgrundverordnung – Bringen Sie Licht in Ihre Daten.


Mit den leistungsstarken Data-Intelligence-Lösungen von ASG können Sie Daten innerhalb
Ihres Unternehmens effektiv verwalten und regeln. Richten Sie Warnmeldungen für
potenzielle Compliance-Verletzungen ein. Damit sind Sie auf die Regulierungen durch GDPR/
DSGVO vorbereitet. Das Auffinden aller personenbezogenen Daten garantiert, dass auch dem
“Recht auf Vergessen” entsprochen wird. Data Lineage spürt alle Anwendungen auf, die
persönliche Daten nutzen. Legen Sie Reports als Datenschutz-Beweisgrundlage mit einem
Katalog geschützter Daten an – somit können Sie jederzeit aufzeigen, wie Ihre Daten
innerhalb des Bestands abgelegt und verwendet werden. Profitieren Sie von den Meta-
daten-Management-Lösungen der ASG und verstehen, kontrollieren und verwalten Sie die
Bereitstellung von Daten. Filtern Sie nach geschäftlichen oder technischen Definitionen
oder persönlichen Informationen – und finden Sie zügig genau die Daten, die Sie brauchen.
ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

FINCON Unternehmensberatung GmbH


Dorotheenstr. 64
22301 Hamburg

Telefon +49 40 650565-0


Telefax +49 40 650565-25
E-Mail info@fincon.eu
URL www.fincon.eu

Die FINCON Unternehmensberatung GmbH wurde 2003 gegründet und ist mit derzeit rund 300 Mitarbei-
tern das auf Banken, die Sparkassenorganisation und Versicherungswirtschaft spezialisierte Beratungs- und
Lösungshaus. Als der strategische Partner für renommierte Unternehmen konzentriert sich die FINCON auf
Kernkompetenzen und langfristige Geschäftsbeziehungen. Die Mitarbeiter verbinden breite Projekt- und Tech-
nologieerfahrung mit fundiertem Branchenwissen.

FINCON steht für Fach- und Prozessconsulting sowie Testmanagement, für die Realisierung individueller An-
wendungssysteme oder für die Implementierung und Integration von Standardprodukten. Die Entwicklung
und der Vertrieb innovativer Software-Lösungen gehört ebenfalls zum Leistungsspektrum.

In den Themenkomplexen Business Intelligence, Big Data und Analytik berät die FINCON ihre Kunden zur
Datenlogistik (z. B. ETL mit SAS DI, SSIS, IBM DataStage), Informationsaufbereitung (z. B. SSRS, Power BI, IBM
Cognos), Architektur (z. B. Data Vault, Mehrschichtenlösungen, Metadatenmanagement) und Strategie. Ein be-
sonderer Fokus liegt dabei in der Beratung zu schlagkräftigen Organisationsformen im Unternehmen, Vor-
gehens- bzw. Zusammenarbeitsmodellen und Data Governance. Schon frühzeitig setzte sich FINCON mit den
Themen Datenschutz, EU-DSGVO, Ethik und die Auswirkungen auf die Analytik auseinander. Mehr dazu unter
https://www.fincon.eu/beratung/management-methodenberatung/business-intelligence/.

 26 27 28 
ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

Informatica GmbH
Ingersheimer Straße 10
70499 Stuttgart

Tel: +49 (0) 711 139 84-0


Fax: +49 (0) 711 13984-600
Email: DE_reception@informatica.com
Web: http://www.informatica.com/de

Informatica ist mit mehr als 7.000 Kunden weltweit der führende Anbieter im Bereich Enterprise Cloud Data
Management und treibt die datengestützte digitale Transformation weiter voran. Informatica ermöglicht es
Unternehmen, das Potenzial ihrer Daten voll auszuschöpfen, um Innovationen voranzutreiben, agiler zu wer-
den, neue Wachstumschancen zu nutzen und sich dadurch langfristige Wettbewerbsvorteile zu verschaffen.

Mithilfe der Lösung Data Governance & Compliance von Informatica speziell für die Datenschutz-Grundver-
ordnung können Sie mit wichtigen Rollen auf Unternehmens- und IT-Seite sowie mit Datensicherheitsexper-
ten zusammenarbeiten, um sämtliche Datentypen – Cloud-, On-Premise-Daten sowie Big Data – so zu verwal-
ten, dass die Vorgaben der Datenschutz-Grundverordnung erfüllt werden können. Unsere Lösung unterstützt
Sie dabei, Compliance zu erreichen, indem Daten identifiziert, definiert und verwaltet werden.

 27 28 29 
ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

ORBIT Gesellschaft für Applikations- und Informationssysteme mbH


Mildred-Scheel-Straße 1
53175 Bonn

+49 228 95693-0


info@orbit.de
www.orbit.de

ORBIT Gesellschaft für Applikations- und Informationssysteme mbH mit Hauptsitz in Bonn ist seit 1985
kompetenter Ansprechpartner, wenn es um die umfassende und individuelle IT-Beratung geht. Kunden
profitieren davon, dass Hard- und Software sowie Serviceleistungen aus einer Hand bereitgestellt werden.

ORBIT begleitet Unternehmen auf dem Weg zur DSGVO: Im Zentrum unseres DSGVO-Starterkit steht die
genaue Analyse der IT- und Datenstruktur. Auf Basis dieser Analyse definieren und realisieren wir effektive
Maßnahmen, um
• Zugriffsregeln zu etablieren
• das Recht auf Vergessenwerden zu gewährleisten
• die Widerstandskraft der IT gegen Angriffe zu stärken.

Bei Bedarf unterstützen wir auch das Enterprise Mobility Management.


Mehr Informationen dazu gibt es unter http://www.orbit.de/leistungen/kompetenzen/dsgvo-beratung/.

Als selbstständiges, wachstumsstarkes Unternehmen gehört ORBIT zur Deutschen Telekom Gruppe.

 28 29 30 
ZUM
INHALT

Über unsere Sponsoren

Kontaktadresse

Talend Germany GmbH


Baunscheidtstraße 17
53113 Bonn

Tel.: +49 228 76 37 76 0


Fax: +49 228 76 37 76 99
info@talend.com

Talend (NASDAQ: TLND) ist ein weltweit führender Anbieter von Lösungen für Cloud- und Big-Data-In-
tegrationen. Unternehmen werden dabei unterstützt, aus ihren Daten strategische Wirtschaftsgüter zu
entwickeln. Diese helfen dabei, unternehmensweit und in Echtzeit detaillierte Informationen zu Kunden,
Partnern und Prozessen zu erhalten. Durch die offene, native und einheitliche Integrationsplattform bietet
Talend die benötigte Datenagilität, sodass Unternehmen sehr schnell aktuelle Technologie-Innovationen
nutzen können, um die sich ständig verändernden Anforderungen moderner Unternehmen zu unterstützen.
Mit Talend sind Unternehmen in der Lage, ihre Dateninfrastruktur zu skalieren und innovative Technologi-
en schnell in der Cloud einzusetzen. Die Lösungen von Talend unterstützen mehr als 1.500 globale Unter-
nehmenskunden aus allen Branchen, darunter AstraZeneca, GE, HP Inc. und Lenovo. Talend wurde sowohl
von führenden Analystenhäusern als auch von verschiedenen Branchenmedien mehrfach als führender
Anbieter positioniert. Weitere Informationen finden Sie unter www.talend.com. Folgen Sie uns auch auf
Twitter: @TalendDE

 29 30 31 
E-Book

tdwi.eu