Daten trotz DSGVO ohne Einschränkung nutzen

Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 stecken Unternehmen in der Zwickmühle: Einerseits verlangt die DSGVO, die persönlichen Daten der Kunden zu schützen und sie auf Verlangen sogar zu löschen, andererseits sind Unternehmen auf diese Daten für Tests und Analysezwecke angewiesen. Gerade die schützenswerten Kundendaten müssen ausgewertet werden, um das Business zu optimieren und die eigene Klientel besser bedienen zu können.

Besonders betroffen von diesem Datenschutz-Dilemma sind Betriebe und Forschungseinrichtungen, die mit großen Datensätzen arbeiten und Analytics und neue Technologien wie KI oder IoT zwingend benötigen. Gerade KI beispielsweise braucht große Datenmengen, um in Machine-Learning-Modellen trainiert werden zu können. Nur können viele KI-Anwender diese Daten wegen der DGSVO-Regularien nicht nutzen.

„Datenschutz und Datensicherheit sind die beiden größten Probleme in Unternehmen, die schon Big-Data-Initiativen in ihren Unternehmensprozessen implementiert haben“, lautete bereits 2015 ein zentrales Ergebnis der BARC-Studie „Big Data Use Cases“. Analysen über die Wünsche, Motive, Bedürfnisse sowie das Verhalten der Kunden - eines der häufigsten strategischen Ziele solcher Projekte - kollidieren mit den zu schützenden Kundendaten, heißt es in dem Report.

Mit der DSGVO hat sich die Situation weiter verschärft. Nicht nur die Wirtschaft stöhnt unter den DSGVO-Auflagen. In Wissenschaft und Medizin kann der strenge Datenschutz den Fortschritt und neue Erkenntnisse behindern: „Gesundheitsdaten werden oft nur wegen der DSGVO weggeschlossen“, berichtet etwa Sebastian Weyer, CEO des Berliner Start-ups Statice, das mit seinen Verfahren medizinische Daten anonymisieren will. „Dabei haben diese Daten für die Forschung großen Mehrwert. Ein Algorithmus könnte zum Beispiel die Wahrscheinlichkeit oder das Risiko von Krankheiten ausrechnen. Dafür bräuchte er aber spezielle Daten. Die sind momentan leider nur schwer oder gar nicht zugänglich.“

Trotz der unbestreitbaren Vorteile der DSGVO für den Datenschutz - die Kollateralschäden der Verordnung sind hoch: Viele Unternehmen sind so verunsichert, dass aufgrund von Bedenken Data Analytics reduziert oder ganz eingestellt wird. Dem Beratungshaus PwC zufolge stellt die DSGVO für 92 Prozent aller US-Unternehmen die größte Herausforderung im Datenschutz dar. Denn auch US-Firmen sind von der europäischen Datenschutz-Regelung betroffen, wenn sie persönliche Daten von EU-Bürgern sammeln.

Die PwC-Analysten fordern deshalb „sichere, automatisierte und einfach zu handhabende Technologielösungen, die sensible Daten nach dem Grundsatz ‚Privacy by Design‘ durch ein Gesamtkonzept schützen“. Hinter „Privacy by Design“ oder „Privacy by Default“ verbirgt sich nichts anderes als „Datenschutz durch Technikgestaltung“ - die Idee, dass der Datenschutz am besten eingehalten wird, wenn er bereits technisch integriert ist. Die DSGVO selbst schlägt mit Blick auf diese Herausforderungen die Pseudonymisierung oder Anonymisierung personenbezogener Daten vor - zwei zen­trale Begriffe, die in der Verordnung eine wichtige Rolle spielen.

Auch die Aufsichtsbehörden für den Datenschutz betonen die Bedeutung von Pseudonymisierung und Anonymisierung bei der Nutzung von Kundendaten. „Ich setze darauf, dass die strengen Regeln der Datenschutz-Grundverordnung einen Anreiz für die europäische Digitalwirtschaft darstellen, datenschutzfreundliche Anwendungen zu entwickeln und diese am Markt als Qualitätsprodukte zu platzieren“, erklärte etwa Andrea Voßhoff, zum Zeitpunkt der DSGVO-Umsetzung Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. „Gerade die Entwicklung von Anonymisierungs- und Pseudonymisierungsverfahren als Privacy-by-Default-Lösungen stellen einen wichtigen Beitrag zur Wahrung des Datenschutzes dar.“ Auch der Digitalverband Bitkom empfiehlt in seinen „Leitlinien für den Big-Data-Einsatz“, bevorzugt anonymisierte oder pseudonymisierte Daten zu verarbeiten.