Wie sich Privacy by Design praktisch umsetzen lässt

Unsicherheit im Datenschutzrecht ist nicht alles

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz setzen Unternehmen in Deutschland unter Dauerdruck, so der Digitalverband Bitkom.

In den vergangenen Jahren haben die Probleme bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) laut Bitkom deutlich zugenommen. So sagen inzwischen mehr als drei Viertel (78 Prozent) der Unternehmen, dass Rechtsunsicherheit die größte Herausforderung sei, vor zwei Jahren waren es erst 68 Prozent. Eine schwierige technische Umsetzung behindert dagegen 34 Prozent der befragten Unternehmen.

Als Folgen der Datenschutz-Probleme nennt Bitkom zum Beispiel die Verzögerung innovativer Projekte. So geben drei Viertel aller Unternehmen (76 Prozent) an, dass Innovationsprojekte aufgrund konkreter Vorgaben der DSGVO gescheitert sind.

Schwierigkeiten im technischen Datenschutz sind ein weiteres Hemmnis

Eine Untersuchung des Instituts der deutschen Wirtschaft (IW Köln) im Auftrag des BDI (Bundesverband der Deutschen Industrie e. V.) ergab unter anderem, welche Schwierigkeiten bei bestimmten Datenschutzmaßnahmen bestehen und das Potenzial einer wirtschaftlichen Datennutzung oftmals ungenutzt lassen.

Als größtes Hemmnis für eine stärkere wirtschaftliche Datennutzung nennen neun von zehn der befragten Unternehmen (91 Prozent) die Sorge vor unautorisiertem Zugriff Dritter auf ihre Daten. Fast ebenso viele (85 Prozent) bezeichnen „datenschutzrechtliche Grauzonen“ als weitere zentrale Hürde. Die fehlende Rechtssicherheit bei der Anonymisierung von Daten bezeichnen drei von vier der Befragten als konkretes Hemmnis (73 Prozent).

Offensichtlich würden Datenschutzfunktionen, die bereits in den eingesetzten Lösungen zur Datennutzung stecken, eine große Hilfe darstellen. Dazu gehören Funktionen, die Privacy by Design und Privacy by Default sicherstellen, wie es die DSGVO einfordert.

Das bietet Data Protection by Design

Der Bundesdatenschutzbeauftragte erklärt die Vorteile von „Data Protection by Design“ (Datenschutz durch Technikgestaltung) so: Angesichts des rapiden und dramatischen technologischen Wandels gilt es, die besonderen Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt zu berücksichtigen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht.

Daher ist es sinnvoll, etwaige Datenschutzprobleme schon bei der Entwicklung neuer Technologien festzustellen und zu prüfen und den Datenschutz von vorneherein in die Gesamtkonzeption einzubeziehen, anstatt Datenschutzprobleme im Nachhinein mühsam und mit viel Zeitaufwand durch Korrekturprogramme zu beheben, so der Datenschutzbeauftragte des Bundes.

Doch wie funktioniert „Data Protection by Design“ in der Praxis? Welche Technologien oder technische Verfahren können dabei helfen? Diese Fragen stellen sich Unternehmen schon seit langem, denn die Forderung nach Datenschutz durch Technikgestaltung besteht bereits seit Jahren.

ENISA: Hinweise für die technische Umsetzung von Datenschutzprinzipien

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat sich mit Datenschutz-Engineering befasst, um Praktiker und Unternehmen bei der Umsetzung des Datenschutzes zu unterstützen. Datenschutz-Engineering ist zu verstehen als praktische Umsetzung der technischen Aspekte von Data Protection by Design und by Default. Dabei müssen Unternehmen nicht auf Zukunftstechnologien warten, um den Datenschutz gleich in die Entwicklung von IT-Verfahren einzubeziehen.

Es sind bestehende (Sicherheits-)Technologien und -techniken, die dabei helfen können, die Datenschutzgrundsätze der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, wie ENISA erklärt. Wer Privacy by Design erreichen will, muss aber die geeigneten technologischen Maßnahmen und Techniken zu diesem Zweck auswählen, einsetzen, konfigurieren und warten.

Schon heute gibt es passende Verfahren zur Anonymisierung, Datenmaskierung, für die Transparenz der Datenverarbeitung und Tools zur Benutzerkontrolle, um einige Beispiele zu nennen.

Von Ende-zu-Ende-Verschlüsselung bis zum Zero Knowledge Proof

Data Protection Engineering kann als Teil von Data Protection by Design and by Default gesehen werden. Es zielt darauf ab, die Auswahl, den Einsatz und die Konfiguration geeigneter technischer und organisatorischer Maßnahmen zu unterstützen, um wichtige Datenschutzgrundsätze zu erfüllen.

Die entsprechenden Untersuchungen von ENISA berühren viele Bereiche, in denen Unternehmen von Schwierigkeiten bei der Umsetzung berichtet haben, wie die Anonymisierung. Doch ENISA erwähnt auch Datenschutzverfahren, wie weniger im Fokus stehen, aber in der Praxis viel Unterstützung bieten können.

Als ein Beispiel sei Differential Privacy genannt. Sie ermöglicht die Untersuchung größerer statistischer Trends in einem Datensatz, schützt aber die Daten über Einzelpersonen, die in diesem Datensatz vorkommen. ENISA erläutert die Methode und gibt Hinweise auf weitere Informationen zur Umsetzung.

Ein weiteres Beispiel von ENISA ist TEE. Eine Trusted Execution Environment (TEE) ist eine manipulationssichere Verarbeitungsumgebung auf dem Hauptprozessor eines Geräts. TEEs werden in verschiedenen Geräten wie Smartphones, Tablets und IoT-Geräten verwendet, könnten aber noch stärker zum Einsatz kommen.

ENISA erwähnt auch Synthetische Daten, also Daten, die so aufbereitet werden, dass sie realen Daten (sowohl personenbezogenen als auch nicht personenbezogenen) ähneln, aber tatsächlich beziehen sie sich nicht auf eine bestimmte identifizierte oder identifizierbare Person. Beispielsweise können solche Daten zum Einsatz kommen, um Dienste oder Softwareanwendungen möglichst datenschutzfreundlich zu testen.

Empfehlung: Nicht warten, sondern verfügbare Verfahren nutzen

Die EU-Agentur für Cybersicherheit zeigt auf, wie vielfältig bereits die vorhandenen Möglichkeiten sind, um die Datenschutzvorgaben besser technisch umzusetzen. Allerdings sind sich viele Unternehmen der bereits verfügbaren Verfahren und Technologien noch gar nicht bewusst. Deshalb sind Initiativen wie die der IT-Sicherheitsbehörde ENISA, über Datenschutztechnologien in der Praxis zu berichten, mehr als wertvoll, für den Datenschutz, aber auch für die wirtschaftliche Nutzung von Daten, die dadurch datenschutzkonform ermöglicht wird.

Lesen Sie auch : KI-Regulierung Fehlanzeige
Oliver Schonschek

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

3 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

3 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

5 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

7 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

7 Tagen ago