Wie sich Privacy by Design praktisch umsetzen lässt
Das wirtschaftliche Potenzial von Daten bleibt ungenutzt, innovative Projekte werden ausgebremst: Unklarheiten bei der Umsetzung der DSGVO bleiben nicht ohne Folgen. Ein Königsweg, um Datenschutz technisch zu gewährleisten, ist Privacy by Design. Doch viele Unternehmen wissen nicht, wie sie dies erreichen können. Ein neuer Report von ENISA kann helfen.
Unsicherheit im Datenschutzrecht ist nicht alles
Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz setzen Unternehmen in Deutschland unter Dauerdruck, so der Digitalverband Bitkom.
In den vergangenen Jahren haben die Probleme bei der Umsetzung der Datenschutz-Grundverordnung (DSGVO) laut Bitkom deutlich zugenommen. So sagen inzwischen mehr als drei Viertel (78 Prozent) der Unternehmen, dass Rechtsunsicherheit die größte Herausforderung sei, vor zwei Jahren waren es erst 68 Prozent. Eine schwierige technische Umsetzung behindert dagegen 34 Prozent der befragten Unternehmen.
Als Folgen der Datenschutz-Probleme nennt Bitkom zum Beispiel die Verzögerung innovativer Projekte. So geben drei Viertel aller Unternehmen (76 Prozent) an, dass Innovationsprojekte aufgrund konkreter Vorgaben der DSGVO gescheitert sind.
Schwierigkeiten im technischen Datenschutz sind ein weiteres Hemmnis
Eine Untersuchung des Instituts der deutschen Wirtschaft (IW Köln) im Auftrag des BDI (Bundesverband der Deutschen Industrie e. V.) ergab unter anderem, welche Schwierigkeiten bei bestimmten Datenschutzmaßnahmen bestehen und das Potenzial einer wirtschaftlichen Datennutzung oftmals ungenutzt lassen.
Als größtes Hemmnis für eine stärkere wirtschaftliche Datennutzung nennen neun von zehn der befragten Unternehmen (91 Prozent) die Sorge vor unautorisiertem Zugriff Dritter auf ihre Daten. Fast ebenso viele (85 Prozent) bezeichnen „datenschutzrechtliche Grauzonen“ als weitere zentrale Hürde. Die fehlende Rechtssicherheit bei der Anonymisierung von Daten bezeichnen drei von vier der Befragten als konkretes Hemmnis (73 Prozent).
Offensichtlich würden Datenschutzfunktionen, die bereits in den eingesetzten Lösungen zur Datennutzung stecken, eine große Hilfe darstellen. Dazu gehören Funktionen, die Privacy by Design und Privacy by Default sicherstellen, wie es die DSGVO einfordert.
Das bietet Data Protection by Design
Der Bundesdatenschutzbeauftragte erklärt die Vorteile von „Data Protection by Design“ (Datenschutz durch Technikgestaltung) so: Angesichts des rapiden und dramatischen technologischen Wandels gilt es, die besonderen Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt zu berücksichtigen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht.
Daher ist es sinnvoll, etwaige Datenschutzprobleme schon bei der Entwicklung neuer Technologien festzustellen und zu prüfen und den Datenschutz von vorneherein in die Gesamtkonzeption einzubeziehen, anstatt Datenschutzprobleme im Nachhinein mühsam und mit viel Zeitaufwand durch Korrekturprogramme zu beheben, so der Datenschutzbeauftragte des Bundes.
Doch wie funktioniert „Data Protection by Design“ in der Praxis? Welche Technologien oder technische Verfahren können dabei helfen? Diese Fragen stellen sich Unternehmen schon seit langem, denn die Forderung nach Datenschutz durch Technikgestaltung besteht bereits seit Jahren.
ENISA: Hinweise für die technische Umsetzung von Datenschutzprinzipien
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat sich mit Datenschutz-Engineering befasst, um Praktiker und Unternehmen bei der Umsetzung des Datenschutzes zu unterstützen. Datenschutz-Engineering ist zu verstehen als praktische Umsetzung der technischen Aspekte von Data Protection by Design und by Default. Dabei müssen Unternehmen nicht auf Zukunftstechnologien warten, um den Datenschutz gleich in die Entwicklung von IT-Verfahren einzubeziehen.
Es sind bestehende (Sicherheits-)Technologien und -techniken, die dabei helfen können, die Datenschutzgrundsätze der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, wie ENISA erklärt. Wer Privacy by Design erreichen will, muss aber die geeigneten technologischen Maßnahmen und Techniken zu diesem Zweck auswählen, einsetzen, konfigurieren und warten.
Schon heute gibt es passende Verfahren zur Anonymisierung, Datenmaskierung, für die Transparenz der Datenverarbeitung und Tools zur Benutzerkontrolle, um einige Beispiele zu nennen.
Von Ende-zu-Ende-Verschlüsselung bis zum Zero Knowledge Proof
Data Protection Engineering kann als Teil von Data Protection by Design and by Default gesehen werden. Es zielt darauf ab, die Auswahl, den Einsatz und die Konfiguration geeigneter technischer und organisatorischer Maßnahmen zu unterstützen, um wichtige Datenschutzgrundsätze zu erfüllen.
Die entsprechenden Untersuchungen von ENISA berühren viele Bereiche, in denen Unternehmen von Schwierigkeiten bei der Umsetzung berichtet haben, wie die Anonymisierung. Doch ENISA erwähnt auch Datenschutzverfahren, wie weniger im Fokus stehen, aber in der Praxis viel Unterstützung bieten können.
Als ein Beispiel sei Differential Privacy genannt. Sie ermöglicht die Untersuchung größerer statistischer Trends in einem Datensatz, schützt aber die Daten über Einzelpersonen, die in diesem Datensatz vorkommen. ENISA erläutert die Methode und gibt Hinweise auf weitere Informationen zur Umsetzung.
Ein weiteres Beispiel von ENISA ist TEE. Eine Trusted Execution Environment (TEE) ist eine manipulationssichere Verarbeitungsumgebung auf dem Hauptprozessor eines Geräts. TEEs werden in verschiedenen Geräten wie Smartphones, Tablets und IoT-Geräten verwendet, könnten aber noch stärker zum Einsatz kommen.
ENISA erwähnt auch Synthetische Daten, also Daten, die so aufbereitet werden, dass sie realen Daten (sowohl personenbezogenen als auch nicht personenbezogenen) ähneln, aber tatsächlich beziehen sie sich nicht auf eine bestimmte identifizierte oder identifizierbare Person. Beispielsweise können solche Daten zum Einsatz kommen, um Dienste oder Softwareanwendungen möglichst datenschutzfreundlich zu testen.
Empfehlung: Nicht warten, sondern verfügbare Verfahren nutzen
Die EU-Agentur für Cybersicherheit zeigt auf, wie vielfältig bereits die vorhandenen Möglichkeiten sind, um die Datenschutzvorgaben besser technisch umzusetzen. Allerdings sind sich viele Unternehmen der bereits verfügbaren Verfahren und Technologien noch gar nicht bewusst. Deshalb sind Initiativen wie die der IT-Sicherheitsbehörde ENISA, über Datenschutztechnologien in der Praxis zu berichten, mehr als wertvoll, für den Datenschutz, aber auch für die wirtschaftliche Nutzung von Daten, die dadurch datenschutzkonform ermöglicht wird.
