Der erste rechtsverbindliche internationale Vertrag über den Schutz der Privatsphäre und den Datenschutz wurde vor 43 Jahren unterzeichnet. Die Autoren konnten sich damals kaum vorstellen, wie groß die Datenflut und auch das Potenzial für Datenmissbrauch in den folgenden Jahrzehnten sein würde. Das liegt vor allem am Aufkommen des World Wide Web, der sozialen Medien, Big Data sowie der Entwicklung generativer KI. Die diesjährige Data Privacy Week, eine internationale Initiative zur Förderung des Bewusstseins für Datenschutz und Datensicherheit, steht unter dem Motto „Take Control of your Data“. Hier wird dazu aufgefordert, genauer darauf zu achten, wann persönliche Informationen weitergeben und welcher Wert dafür zurückgegeben wird. Jason du Preez, Vice President Product Development, Privacy and Security at Informatica, gibt daher einige Tipps für Unternehmen, wie sie den Datenschutz am besten handhaben können. 

1. Den Kontext erfassen

Datenschutz ist von Natur aus an Bedingungen geknüpft. So sind viele Personen durchaus damit einverstanden, ihre Daten unter bestimmten Voraussetzungen weiterzugeben,  halten sie aber ansonsten geheim. Sie sind zum Beispiel damit einverstanden, dass Banken ihre Daten verwenden, um Algorithmen zu entwickeln, die Betrug aufdecken, oder um ihnen relevante Produkte anzubieten. Gleichzeitig können sie aber auch ihre Zustimmung zur Weitergabe der Daten an Dritte verweigern, die sie dann mit ungewollter Werbung adressieren würden.  

Der Kontext für die Datennutzung besteht aus einer ganzen Reihe von Faktoren und die Erfassung detaillierter kontextbezogener Informationen ist von entscheidender Bedeutung. Die entsprechenden Datenmanagement-Tools stehen den Unternehmen glücklicherweise bereits zur Verfügung. So liefern Datenkataloge umfassende Beschreibungen der Datenelemente. Klassifizierungstools ihrerseits weisen den Daten eine Bedeutung zu und erkennen sensible Informationen. Datenmarktplätze sorgen wiederum für Transparenz bei Datenzugriffsanfragen, indem sie erfassen, wer die Daten anfordert und wofür sie verwendet werden sollen.

2. Erstellen von Richtlinien

Ad-hoc-Entscheidungen über den Datenzugang können langsam, ineffizient, subjektiv und fehleranfällig sein. Sie bieten wenig Anhaltspunkte, um Entscheidungen später zu stützen und zu verteidigen. Stattdessen verringern richtlinienbasierte Ansätze das Risiko und sorgen für Konsistenz im Prozess. Richtlinien definieren die Maßnahmen, die zum Schutz von Daten ergriffen werden sollten, wenn der Zugriff in einem bestimmten Kontext beantragt wird. Sie kodieren zudem den Ansatz einer Organisation in Bezug auf den Datenschutz und sorgen für mehr Transparenz und Überprüfbarkeit der Datennutzung. 

3. Einsatz von Technologie zur Verbesserung des Datenschutzes 

Selten sind Situationen so einfach geregelt, dass der Zugang zu ganzen Datensätzen entweder komplett erlaubt oder gänzlich verweigert werden kann. Als Best Practice sollte daher der Zugriff auf die Felder und Datensätze beschränkt sein, die für ein bestimmtes Projekt benötigt werden. Unternehmen können die gemeinsame Nutzung von Daten weiter kontextualisieren und Richtlinien in großem Umfang durchsetzen, indem sie granulare Zugangskontrollen, De-Identifizierung sowie Technologien zur Verbesserung des Datenschutzes einsetzen. 

Daten, die eine Person direkt identifizieren, wie Kundenkontonummern, können durch einen pseudonymen Wert ersetzt werden, der keine direkte Verbindung zur Person herstellt. Indirekte Identifikatoren wie Geburtsdatum, Geschlecht und Standortdaten können so verallgemeinert werden, dass sie ihre Spezifität verlieren, ohne an Wert für die Datenanalyse einzubüßen.  

Andere, noch im Entstehen begriffene, Technologien zur Verbesserung des Datenschutzes gehen noch weiter, um einen sicheren Datenaustausch zu ermöglichen. Beispiele hierfür sind die vollständig homomorphe Verschlüsselung (FHE), die Berechnungen mit verschlüsselten Daten ermöglicht, und der differenzielle Datenschutz (DP), der sicherstellt, dass die Ergebnisse einer Berechnung keine Rückschlüsse auf eine bestimmte Person zulassen. 

4. Automatische Durchsetzung von Datenzugriffsrichtlinien 

Richtlinien ermöglichen ein hohes Maß an Automatisierung und stellen sicher, dass in ähnlichen Szenarien dieselben Zugriffsentscheidungen getroffen werden. Der volle Nutzen kann erzielt werden, wenn die Durchsetzung von Richtlinien in alle Prozesse integriert wird, die ein Unternehmen zur Übertragung und Freigabe von Daten verwendet. Dann ist der Schutz der Privatsphäre bei jeder Verwendung von Daten standardmäßig in den Prozess einbezogen. 

5. Erweiterung des Datenzugangs 

Datenschutz ist ein Wegbereiter. Der Erfolg der datengesteuerten Wirtschaft hängt jedoch davon ab, dass der Einzelne darauf vertrauen kann, dass seine persönlichen Daten sicher und angemessen bei Geschäftsaktivitäten wie Data Science und KI verwendet werden. Die Belohnung für verantwortungsbewusste Unternehmen sind dann Produktinnovationen, verbesserte Dienstleistungen, Effizienzsteigerungen, fundierte geschäftliche und politische Entscheidungen, bessere Kundenbeziehungen, zufriedene Mitarbeiter und vieles mehr.  

Fazit

Unternehmen können die Privatsphäre respektieren und gleichzeitig die Vorteile von Daten, Analysen und KI nutzen, selbst angesichts der jüngsten Explosion von Datenvolumen und Komplexität. Die Data Privacy Week ist deshalb der perfekte Zeitpunkt für Unternehmen, um ihre Datenposition zu überprüfen und Verbesserungen vorzunehmen, die allen Beteiligten zugutekommen.