Am 28. Januar war Europäischer Datenschutztag und ab sofort gilt dann verschärftes EU-Recht – so kommt es einem zumindest vor bei Gesprächen mit Datenschutz-Experten, bei ihrem Streben, die neue EU-Datenschutz-Grundverordnung (DSGVO) zu bewältigen. Was ist schutzwürdig? Alles bekannt Personenbezogene, sowieso. Mehr aber noch das Unbekannte.
Opa war Bankbeamter. Opa hatte daheim auch einen Tresor: Kugelsicher war dort alles Personenbezogene verwahrt. Jede ihm relevant erscheinende Information hat er sauber inventarisiert und dokumentiert, um sie quasi amtlich abzulegen. Eine schöne, da übersichtliche Aufgabe. Damals war ja die Telefonnummer fest im Flur verschraubt, die Scoring Engine hieß „Gemeinderat“ und Stammdaten gab’s auf Mikrofilm, als Lochkarte im Stahlschrank.
An den Strafen vorbei „wurschteln“ mit mehr vom Selben?
Als Datenschutzbeauftragter hat man auch 2017 Verfahrensverzeichnisse – auf geduldigem (elektronischem?) Papier, auf Basis des BDSG des letzten Jahrtausends. Gut so, aber nächstes Jahr im Mai endet die Gemütlichkeit. Und eigentlich ist sie bereits vorbei …
Big Data Analytics und rasante Digitalisierung sind Realität. Da erscheint die Idee verwegen, jene datensaugenden Algorithmen doch bitte sauber in Schriftform zu erklären, jedes Quellfeld aufgelistet aktuell zu halten und alle angemessenen Maßnahmen zum Datenschutz dann dokumentenecht nachweisen zu können.
Wie kann ein analytisches Such-Tool hier unterstützen?
Für ein Durchschauen, Nachfragen und Anmahnen Tausender Felder bleibt keine Zeit mehr. Da muss ein automatisches Werkzeug „drüberlaufen“: regelbasiert jene Muster in den Texten finden, die „etwas Persönliches“ haben. Und schlicht mitzählen.
Und das muss nicht perfekt und allumfassend sein, aber transparent und erweiterbar. Solch ein Scan funktioniert wie beim Virensuchen quer über alle Platten: Suspekte Datenbanken werden angeklickt, und je Tabelle wird eine Stichprobe gezogen, gewogen und gemessen – beispielsweise „Wie viel Prozent in Feld X klingen nach E-Mail, IBAN oder Ausweisnummer?“.
Heraus kommt eine Liste zur Bewertung des Risikos. Ob als Report an die Verantwortlichen verteilt, drangetackert ans Verzeichnis der Verarbeitungstätigkeiten oder initial als Inventur – zur Abschätzung anstehender Aufwände 2017 mit dieser lästigen DSGVO. Flankiert wird dieser „Personal Data Sniffer“ (zu Deutsch: Spürhund) von Datenfluss- und Metadaten-Analysen … bis hin zu Text-Mining-Algorithmen oder KI.
Das schafft Rechtssicherheit. Insbesondere für die Datenforscher beim „Profiling“.
Zu früh für ein Fazit? Oder bereits „höchste Zeit“?
„Jahrtausendwechsel war besser!“, beharrt der Senior-Berater hinter mir am Gate. Er meint sicher die teuren Zeiten, wo es für’s Aufspüren zweistelliger Zahlen in COBOL-Programmen noch 200 DM Belohnung gab – pro Stunde! Dieser Blog hingegen erscheint bei einem Softwareanbieter. Und die Botschaft lautet schlicht: There’s an App for that! Analytische Tools erschnüffeln in Ihren Datenmassen diverse personenbezogene Schnipsel. Die Sie nicht kennen. Die Sie daher nicht schützen. Aber müssen. Und sollten, denn irgendwann kommt Murphy (Law) oder Axel (Springer) oder ihr Chef drauf.
Schauen Sie sich an, was SAS dazu beitragen kann! Kommen Sie vorbei auf unserer Roadshow in Frankfurt oder München. Mehr dazu erfahren Sie unter www.sas.com/datenschutz.
Weitere Termine in Wien und Wallisellen.
