Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung in Kraft. Bis dahin gibt es für Unternehmen noch reichlich zu tun. Dies betrifft im besonderen Maße die Bereiche Marketing und Business Intelligence (BI), die stark auf Kundendaten angewiesen sind. Dieser Beitrag gibt einen Überblick darüber, wie sich die Anforderungen der DSGVO im BI-Umfeld umsetzen lassen.
Privacy by Design und Privacy by Default
Zu den Grundforderungen der DSGVO gehören die datenschutzfreundliche Technikgestaltung und datenschutzfreundlichen Voreinstellungen (engl. Privacy by Design und Privacy by Default). Diese beiden Prinzipien gehen Hand in Hand. Bei der datenschutzfreundlichen Technikgestaltung geht es darum, schon beim Entwurf neuer Software oder der Einführung neuer Systeme datenschutzfreundliche Einstellungen vorzusehen. Dabei ist nicht nur auf die Code-Sicherheit zu achten, sondern gleich der Datenschutz mit zu implementieren, zum Beispiel durch Daten-Minimierung, Maskierungen von Daten und Pseudonymisierung.
Das Prinzip datenschutzfreundliche Voreinstellungen sorgt dafür, nur die für die Erfüllung eines Zwecks notwendigen Informationen zu erfassen. Daneben sind auf die Minimierung des Verarbeitungsumfangs, die minimale Speicherungsdauer der personenbezogenen Daten und die Minimierung des Personenkreises, welcher Zugriff hat, zu achten. Technische und organisatorische Maßnahmen müssen sicherstellen, dass der unberechtigte Zugriff und die Veröffentlichung der personenbezogenen Daten nicht möglich sind.
Vorgesehen sind ferner Möglichkeiten, datenschutzfreundliche Software zu zertifizieren. Wie diese Zertifizierungsverfahren aussehen, müssen die Aufsichtsbehörden noch entscheiden. Auch das Zertifizierungsverfahren eines gesamten Unternehmens zum Erhalt des Gütesiegels zur Einhaltung der DSGVO muss noch definiert werden.
Welche Daten unterliegen der DSGVO?
Alle (Kunden-)Daten, die Rückschlüsse auf konkrete Personen zulassen, müssen entsprechend geschützt, respektive korrekt behandelt werden. Die datenschutzfreundlichen Einstellungen erfordern in einigen Fällen die Pseudonymisierung oder die Anonymisierung, dies ist immer abhängig von der jeweiligen Kundensituation.
Während bei der Pseudonymisierung noch die DSGVO anzuwenden ist, entfällt diese bei der Anonymisierung. Eine Pseudonymisierung lässt sich wieder aufheben, sodass sich die einzelne natürliche Person identifizieren lässt. Eine Anonymisierung lässt sich nicht rückgängig machen, deshalb findet die DSGVO keine Anwendung mehr.
In einem Business-Intelligence-System tragen detaillierte Kundendaten zur Analyse des Kundenverhaltens bei. Derartige Analysen werden etwa für gezielte Marketingaktionen verwendet, um den Geschäftserfolg zu erhöhen. Eine Anforderung kann etwa sein, Kunden zu kategorisieren, respektive zu gruppieren (clustern), um diese besser und erfolgreicher anzusprechen. Wie kann das Analyseziel unter Einhaltung der DSGVO trotzdem erreicht werden?
Anonymisierung und Analyse
In der Regel sind BI-Analysen auf Basis detaillierter Informationen über einzelne Personen gar nicht zwingend notwendig. In den meisten Fällen ist es ausreichend, Personen bestimmten Gruppen zuweisen zu können, beispielsweise eine Kategorisierung nach Alter, Berufsgruppe, Geschlecht, Hobbies oder Einkommen vorzunehmen. Unter Umständen sind derartige Daten zum Beispiel in einem CRM-System mit einem hohen Detaillierungsgrad gespeichert.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Diese Daten werden nun mit einem niedrigeren Detaillierungsgrad in das BI-System überführt, so dass keine Rückschlüsse auf eine einzelne Person mehr möglich sind. Der Detaillierungsgrad wird reduziert, indem etwa keine Namen (auch keine Spitz- oder Log-in-Namen) und keine E-Mail-Adressen übernommen werden, das Geburtsdatum auf den Monat und das Geburtsjahr reduziert wird oder in der Adresse mindestens die Hausnummer entfernt wird,. Natürlich hängt die notwendige Reduktion der Daten immer vom jeweiligen Datenbestand ab.
Mit derartigen Daten-Reduktionen wird sichergestellt, dass möglichst wenig Daten im BI-System vorhanden sind, die Rückschlüsse auf konkrete Personen zulassen. Dieses Vorgehen wird als Anonymisieren der Kundendaten bezeichnet. Ohne einzelne Personen direkt analysiert zu haben, verfügt man aber durch das Clustering über Zielkundengruppen, die man über das CRM-System mit gezielten Aktionen ansprechen kann.
Dieser Schritt darf nur durch Mitarbeiter durchgeführt werden, die über eine entsprechende Berechtigung verfügen und im Umgang mit sensiblen Daten geschult sind. Wenn es nicht mehr möglich ist, ohne Umweg konkrete Personen für Marketingaktionen direkt aus dem BI-System zu ermitteln, ist eine weitere Anforderung des Datenschutzgesetzes erfüllt.
Für den Fall, dass im Data Warehouse die Daten in der höchsten Detaillierungsstufe zwingend benötigt werden, ist eine Verfahrensaufnahme mit anschließender Risikoanalyse durchzuführen und zu dokumentieren. Kommt diese Bewertung zu dem Ergebnis, dass beispielsweise ein hohes Risiko für einen Datenverlust besteht, muss eine Datenschutzfolgenabschätzung durchgeführt werden.
Aus diesen Analysen resultieren entsprechende technische und organisatorische Maßnahmen (TOMs). Je höher die Wahrscheinlichkeit eines Datenverlustes und je schwerwiegender der Schaden einzuschätzen ist, desto umfassendere TOMs müssen ergriffen werden, um den Schutz der Daten sicherzustellen. Die Analysen sowie die TOMs müssen natürlich regelmäßig überprüft und gegebenenfalls angepasst werden.
Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.
Betrachtet man die Daten im dimensionalen Modell nach Kimball, so erhält man klassische Kunden-Dimensionen, welche typischerweise personenbezogene Informationen enthalten, die schützenswert sind.
Aus Sicht der DSGVO ergeben sich daraus mehrere Herausforderungen: So ermöglichen Dimensionen wie Name, Vorname, Adresse (Straße inklusive Hausnummer) und Geburtstag eine eindeutige Identifikation einer Person. Hier muss im Sinne der Privacy-Grundlagen entschieden werden, ob es ausreicht, diese Daten nur einer definierten Benutzergruppe zugänglich zu machen, etwa speziell geschulten Analysten, oder ob diese Daten gelöscht werden müssen, da sie nicht gebraucht werden oder zu sensibel sind. Das muss im Einzelfall abhängig vom jeweiligen Einsatzzweck der Daten geprüft werden.
Die Speicherung von Attributen wie Herkunftsland oder sexuelle Orientierung ist gemäß Artikel 9, Absatz 1 der DSGVO untersagt; sollten derartige Attribute gespeichert sein, müssen sie mit Inkrafttreten der DSGVO gelöscht sein. Allerdings sieht der Artikel 9 zahlreiche Ausnahmen vor.
Bei Widerruf Löschung, überall
Die Zustimmung zur Speicherung personenbezogener Daten kann übrigens jederzeit widerrufen werden (unter anderem mit Ausnahmen, etwa wo sie zum Erhalt der Geschäftsbeziehungen notwendig sind). Das heißt, dass diese Daten im Falle eines Widerrufs aus allen Systemen, auch dem BI-System, zu entfernen sind.
Loading ...
Sie dürfen auch nicht historisiert werden, das Attribut ist also auch aus alten Datensätzen, womöglich Backups, und Auswertungen zu entfernen; auch die Löschung darf nicht mit dem Attribut dokumentiert werden. Der betroffene Datensatz darf möglicherweise nicht mehr in Analysen mit einbezogen werden. Eine Folge: Auswertungen, welche auf diesen Attributen basieren, bleiben nicht stabil.
Eine proaktive Betrachtungsweise hilft, auf der sicheren Seite zu bleiben. Im Zweifelsfall empfiehlt es sich, für Analysen und Cluster-Bildung viele Daten zu erfassen, dabei aber auf personenbezogene Daten, die die Identifizierung einer bestimmten Person erlauben, zu verzichten; beispielsweise könnte die Lieblingsfreizeitbeschäftigung abgefragt werden, die Postanschrift aber nicht. Attribute, welche nicht unbedingt benötigt werden, sind zu löschen.
Fazit
Die neue Datenschutzgrundverordnung (DSGVO) wird weitreichende Folgen für datenverarbeitende Systeme haben. Wie alle Neuerungen dieses Ausmaßes, birgt aber auch die Einführung der DSGVO große Chancen. Wer in der Pflicht steht, alle Datenbestände zu analysieren und zu bewerten, kann diesen Prozess zu einer Reduzierung der Anzahl der Datenbanken und einer kostensparenden Restrukturierung nutzen. Zudem verfügt jedes Unternehmen, das in der Lage ist, die Vorgaben zu erfüllen und diese mit einer Zertifizierung zu belegen, über einen Wettbewerbsvorteil. Die Zertifizierung, und der damit verbundene Schutz der Kundendaten, ist nicht zuletzt ein Argument für das Unternehmen.