Ein Jahr nach der Europäischen Datenschutz-Grundverordnung sind bei den meisten Unternehmen noch nicht alle Punkte umgesetzt. Die promovierte Fachanwältin für IT-Recht, Christiane Bierekoven, benennt die gravierendsten Probleme und beleuchtet die speziellen Herausforderungen beim Einsatz von Big Data, IoT und KI.
- Unternehmen müssen genau dokumentieren und darüber informieren, wie sie personenbezogene Daten verwenden. Besonders schwierig gestaltet sich die Dokumentation und Information für Big Data und KI-Anwendungen. Eine durchgehende Anonymisierung ist vorzugswürdig, um eine datenschutzkonforme Auswertung der Daten sicherzustellen.
- Technische Lösungen, wie Privacy-by-Design und -Default erhalten eine immer stärkere Bedeutung, wenn es um die datenschutzkonforme Nutzung von Daten bei Big Data Auswertungen, IoT-Plattformen und KI geht.
Christiane Bierekoven berät seit über 20 Jahren Unternehmen im Bereich Datenschutz und IT-Recht. Im Interview mit der NürnbergMesse beantwortet sie Fragen zur Umsetzung der europäischen Datenschutz-Grundverordnung und deren Auswirkung auf Cloud, KI und Big Data.
Frau Bierekoven, seit rund einem Jahr ist die Datenschutz-Grundverordnung (DSGVO) in der EU rechtsverbindlich. Wie weit ist sie in den Unternehmen umgesetzt und wo treten noch Probleme auf?
Längst noch nicht alle Unternehmen haben die DSGVO vollständig umgesetzt. Große Unternehmen sind dabei weiter, sie haben aber auch andere Compliance-Anforderungen. Kleine und mittlere Unternehmen tun sich hingegen schwerer, sie verfügen allerdings über weniger Manpower.
Bei der Umsetzung stehen die meisten Unternehmen vor den gleichen Problemen. Betroffene, wie beispielsweise Kunden, haben gemäß der DSGVO ein Auskunftsrecht: Sie können abfragen, welche Daten über sie gespeichert sind und können auch die Löschung dieser Daten verlangen. Doch die Umsetzung dieses Auskunftsrechts für personenbezogene Daten ist bei vielen noch nicht auf dem Stand, auf dem es sein müsste und auch die Umsetzung eines Löschkonzepts bereitet in vielen Fällen große Schwierigkeiten. Für Unternehmen ist es oft nicht einfach, den vollständigen Überblick über alle zu einer Person erfassten Daten zu erhalten. Das ist aber Voraussetzung für das Auskunfts- und Löschrecht. Zugleich ist eine technische Umsetzung notwendig, damit das Unternehmen Auskunftsansprüche und Löschersuchen automatisiert erfüllen kann.
Wie veränderte die DSGVO den betrieblichen Datenschutz? Müssen Datenschutzbeauftragte von vorne beginnen?
Neu anfangen müssen sie nicht, aber sie müssen erst mal geschult werden, denn sie haben große Aufgaben vor sich, wenn alle Vorgaben umgesetzt werden sollen. Gut aufgestellt sind diejenigen, die das BDSG bereits komplett umgesetzt hatten. Dennoch muss man an einigen Punkten umdenken, etwa bei der Auskunftspflicht oder der Festlegung von Verarbeitungszwecken, denn die erhobenen Daten dürfen ja nur für den angegebenen Zweck verwendet werden. Man muss jetzt europäisch denken.
Hingegen dürften in größeren Unternehmen Schulungen nicht ausreichen. Dort wird man zusätzliches Personal einstellen müssen. Denn es ist ziemlich aufwendig, die benötigten Löschkonzepte und Verarbeitungsverzeichnisse zu erstellen. Das trifft besonders für Löschkonzepte zu, denn die müssen zusätzlich technisch umgesetzt werden. Dazu bedarf es IT-Spezialisten.
Steht der neue Datenschutz dem Einsatz neuer Technologien wie Big Data oder KI im Wege?
Die DSGVO steht dem nicht entgegen, erleichtert aber auch nicht den Einsatz. Wie erwähnt, muss in der Information zur oder Einwilligung in die Verarbeitung personenbezogener Daten der Verarbeitungszweck genannt sein. Das erfordert, dass jeder Vorgang genau definiert wird. Big-Data-Analysen werden aber oft erst später eingeführt, die Daten dafür wurden ursprünglich zu einem anderen Zweck, beispielsweise in einem Online-Shop zur Vertragserfüllung erhoben. Die Datenanalyse ist sodann eine Zweckänderung, darüber müsste das Unternehmen die Kunden genauestens informieren: Wie werden die Daten verarbeitet, was wird mit den Daten gemacht, man müsste also den Algorithmus beschreiben und das in verständlicher Sprache.
Bei einem KI-System ist das aber kaum möglich. Deshalb macht das bislang auch fast keiner. An der verständlichen Sprache scheitern ja schon viele Datenschutzerklärungen auf Webseiten. Es ist sinnvoll, Systeme von vornherein so aufzusetzen, dass gar nicht erst Probleme auftreten, weil die auszuwertenden Daten zum Beispiel durchgehend anonymisiert werden. Die DSGVO fordert nicht umsonst Privacy by Design, das wäre eine Lösung. Doch bei Technologien wie KI sind die Anforderungen des Privacy by Design noch nicht wirklich erfüllt. Bei KI kommt erschwerend hinzu, dass vielfach hinzugekaufte Algorithmen eingesetzt werden. Dann müssen Unternehmen sich deren Funktionsweise erst erklären lassen, bevor sie über hierüber informieren können.
Wie sieht es beim Cloud Computing aus, was sollten Unternehmen dabei beachten?
Zunächst muss man klären, wo die Daten verarbeitet werden, in Deutschland, der EU oder in Drittstaaten. Das ist nicht immer ganz einfach, denn oft wird zwar in der EU gehostet, aber Wartung und Support erfolgt aus Drittländern. Wenn aber aus Drittstaaten Zugriff auf Daten erfolgt, muss man mit den Unternehmen zusätzlich Standarddatenschutzklauseln vereinbaren. Auf jeden Fall braucht es immer eine Vereinbarung zur Auftragsdatenverarbeitung. Dazu muss man das technische Konzept des Anbieters kennen. Viele Anbieter wollen das aber gar nicht offen legen, gerade bei den großen amerikanischen Anbietern ist das häufig schwierig. Da muss auch ich als Anwältin manchmal lange nachhaken.
Dr. Christiane Bierekoven spricht am Mittwoch, den 9. Oktober, im Forum 10.1 zum Thema Daten- und Geheimnisschutz bei KI-, IoT- und Big Data Anwendungen.
it-sa - Die IT-Security Messe und Kongress
Messezentrum Nürnberg
90471 Nürnberg