22. März 2021 von Tobias Deininger
Datenschutz in der Softwareentwicklung Teil III – Datenminimierung – weniger ist mehr
Der Begriff Industrie 4.0 ist in aller Munde und definiert einen Wandel von der reinen Produktion von Gütern hin zu digitalisierten Produkten und Dienstleistungen. In dieser postindustriellen Gesellschaft sind Daten die neue Währung, anhand derer Unternehmen gemessen werden. Wie sich dies mit dem Datenschutz in Einklang bringen lässt und warum es sogar positiv sein kann, mitunter weniger Daten zu besitzen, zeige ich euch im Folgenden.
Datenminimierung – Was ist das?
Der – zugegebenermaßen etwas sperrige Begriff – Datenminimierung bedeutet, dass die verantwortliche Person verpflichtet ist, technische und organisatorisch Maßnahmen zu treffen, sodass der Bestand an personenbezogenen Daten so klein wie möglich gehalten wird.
Diese Anforderung bezieht sich auf die folgenden Kriterien:
- Datenmenge
- Umfang der Verarbeitung
- Speicherfrist
- Zugänglichkeit
Folgt man diesen Kriterien, dürfen vom User der Software nur personenbezogene Daten erhoben werden, die man für die Verarbeitung zwingend benötigt. Alle weiteren Angaben des Users müssen optional sein. Beispielsweise wird man auf vielen Portalen bei der Registrierung eines Accounts nach dem Geburtsdatum gefragt, damit der Betreiber zur Stärkung der Kundenbindung pünktlich zum Geburtstag einen Gutschein für seinen Shop verschicken kann. Dies ist grundsätzlich zulässig, allerdings muss die Angabe optional sein, um die Entscheidung über die Preisgabe dieser Daten dem User zu überlassen. Für den Fall, dass die Altersangabe für die Bestellung des Produktes verifiziert werden muss - zum Beispiel beim Kauf eines Gins im Internet - gilt die Optionalität selbstverständlich nicht mehr.
Nach Erhebung der personenbezogenen Daten wird durch den Umfang der Verarbeitung definiert, in welchem Rahmen diese Daten eingesetzt werden dürfen. Für jede Erhebung von personenbezogenen Daten muss ein Verarbeitungszweck vorliegen. Für diese Zwecke dürfen die Daten gespeichert und bei der Verarbeitung eingesetzt werden. Dies bedeutet, dass personenbezogene Daten in einem Unternehmen nicht beliebig für andere Prozesse eingesetzt oder gar mit anderen Daten eines Unternehmens kombiniert werden dürfen.
Ist nun die Verarbeitung der Daten abgeschlossen und somit deren Einsatzzweck erfüllt, müssen diese personenbezogenen Daten – etwa nach einer gesetzlichen Speicherfrist, die sich je nach Art der Dokumente unterschiedlich gestaltet – gelöscht werden.
Diese Vorgabe existiert unter anderem aus Sicherheitsgründen: Personenbezogene Daten, die gelöscht sind, da sie ihre „Existenzberechtigung“ verloren haben, können bei einem Hackerangriff auf ein Unternehmen nicht gestohlen werden. Den Betroffenen soll jedoch auch die Selbstbestimmung über ihre Daten gesichert werden, weshalb die Daten vom Gesetz der Bestimmung durch Unternehmen und Organisationen entzogen werden muss.
Muss ich nun tatsächlich mein mühsam geschürftes Gold des digitalen Zeitalters – Daten – wieder löschen?
Nein, es gibt eine Lösung: Anonymisierung. Bevor ihr die Daten in eurer Applikation endgültig löschen müsst, ist es möglich, diese unter Zuhilfenahme von Anonymisierung in Drittsysteme zu übertragen und somit zu archivieren.
Bei der Anonymisierung werden die Originaldaten auf solch eine Art und Weise chiffriert, dass die ursprünglichen Daten nicht wiederhergestellt werden können. Der Chiffrierungsschlüssel, mit dem die Verschlüsselung durchgeführt wurde, wird nämlich vernichtet. Die irreversible Verschlüsselung ist hier entscheidend.
Exkurs: Die Anonymisierung darf nicht mit der Pseudonymisierung verwechselt werden. Bei letzterem wird der ursprüngliche Datensatz durch ein Pseudonym ersetzt, der Originaldatensatz wird stattdessen separat persistiert und eine Verknüpfung zu diesem angelegt. Ein einfaches Beispiel für eine solche Pseudonymisierung ist die Kundennummer eines Kunden. Speichert man auf diese Weise die über die Kundennummer verlinkten personenbezogenen Daten eines Kunden (Name des Kunden, Adresse, Telefonnummer) separiert von den anderen Nutzdaten, so erhöht sich der Schutz der personenbezogenen Daten. Der Teil der Unternehmensmitarbeitenden, die im Zuge der Datenverarbeitung direkt an personenbezogenen Kundendaten arbeiten, sind in der Lage, diese zu sehen und zu verwenden. Die Mitarbeitenden, für deren tägliche Arbeit die personenbezogenen Daten nicht relevant sind, bekommen lediglich die Kundennummer als Referenz auf die Kundendaten angezeigt. Auf diese Weise schützt ihr die sensiblen Daten des Kunden - unter anderem vor illegalem Datenabfluss durch Insider. Da bei diesem Verfahren eine Wiederherstellung der Originaldaten jedoch möglich ist, gelten die Anforderungen zum Schutz der personenbezogenen Daten nach wie vor. Pseudonymisierte Daten bleiben personenbezogene Daten.
Da im Zuge der Anonymisierung verschlüsselte Daten nach Vernichtung des Schlüssels, der zur Verschlüsselung verwendet wurde, nicht wiederherstellbar sind, unterliegen diese nicht mehr dem Datenschutz. Sie sind eben keine personenbezogenen Daten mehr. Dies kommt also rechtlich einer Löschung der Daten gleich. Auf diese Weise könnt ihr ein Stück weit unbeschwerter mit den Daten in einem Datawarehouse oder anderen Lösungen, in welche die Daten exportiert wurden, interagieren. Aus historischen Daten könnt ihr dann Erkenntnisse für euer zukünftiges Geschäftsmodell erlangen, ohne dass der Datenschutz eine Rolle spielt. Oder ihr könnt die Daten als Trainingsdaten für eure geplante KI-Lösung einsetzen. Die Anonymisierung der personenbezogenen Daten schafft eurem Unternehmen somit mitunter Freiheiten, die vorher nicht möglich gewesen wären und erlaubt es, mehr Analysen und Statistiken zu erstellen als zuvor. Es lassen sich Daten über lange Zeiträume hinweg speichern, da es keine Speicherfristen mehr gibt und aufgrund des Wegfalls der Bindung an den Verarbeitungszweck können die Daten beliebig aggregiert werden.
Darüber hinaus leistet die Anonymisierung auch bei der Generierung von Daten für Testsysteme gute Arbeit.
Es empfiehlt sich, bei einer ganzheitlichen Betrachtung also auf jeden Fall schon in der Designphase einer Software daran zu denken, ein entsprechendes „Löschkonzept“ umzusetzen. Dieses sollte vorsehen, wie personenbezogene Daten, deren Speicherfrist überschritten ist, automatisch ohne Zutun eines Users oder Administrators gelöscht oder anonymisiert werden.
Im Falle einer Altanwendung, bei der das Löschen von Datensätzen nicht vorgesehen war und unter Umständen zum Funktionsversagen führen würde, kann die Anonymisierung äußerst hilfreich sein. Eine Lösung kann nämlich schlicht sein, statt eines Löschvorgangs die personenbezogenen Daten nach Ablauf der Speicherfrist auf die oben genannte Weise direkt im Datenbestand der Applikation zu anonymisieren.
Ihr seht also: Je mehr Möglichkeiten dem User in Bezug auf die Eingabe von personenbezogenen Daten gegeben werden, desto mehr Aufwand muss mitunter für das Löschen oder Verschlüsseln der Daten aufgewendet werden.
Fazit
Schlussendlich lassen sich durch die richtige Kombination von Verfahren große Fortschritte bei der datenschutzkonformen Datenhaltung und Datenanalyse erreichen. So könnt ihr die Prozesse in eurem Unternehmen und damit auch die Kundenerfahrung optimieren und somit den größtmöglichen Nutzen aus euren Daten zu ziehen.
Ihr möchtet gern mehr über spannende Themen aus der adesso-Welt erfahren? Dann werft doch auch einen Blick in unsere bisher erschienenen Blog-Beiträge.
Weitere Teile dieser Blog-Serie: