SAS Cloud Analytics: Datenschutz in der Cloud

0

Da immer mehr unserer Kunden erwägen, ihre Daten in die Cloud auszulagern, möchten wir uns hier mit einigen der wichtigsten Fragen im Zusammenhang mit dem Datenschutz auseinandersetzen.

Cloud

Definition von Data Privacy, Data Protection und Data Security

Datenschutz und Datensicherheit sind Schlüsselbereiche für Organisationen, die die Cloud, insbesondere die öffentliche Cloud, nutzen möchten. Die Bedeutung dieser Begriffe hängt oft vom jeweiligen Land ab, in dem man sich befindet, und in manchen Fällen auch von der Industrie oder den entsprechenden gesetzlichen Rahmenbedingungen. Doch es scheint einige allgemein akzeptierte Bedeutungen zu geben, wenn diese Begriffe in unserer Branche verwendet werden:

„Datenschutz“ (Privacy bzw. Data Protection)

  • Data Privacy (US) und Data Protection (EU) bezeichnen die Regeln, die bestimmen, wie persönliche Daten gesammelt, verwendet und verarbeitet werden dürfen, während das Wort „persönlich“ bedeutet, dass sich die Daten auf eine lebende und identifizierbare Person beziehen.

Datensicherheitist ein verwandtes, aber andersartiges Konzept, obgleich auch dafür die Anforderungen für den „Datenschutz“ gelten.

  • Hier geht es vor allem um den Schutz der Daten vor unbeabsichtigtem oder unbefugtem Zugang, vor Verlust oder Zerstörung (und nicht nur um persönliche Informationen).
  • Der Ausdruck „Datensicherheit“ bezieht sich daher auf die Maßnahmen, die verwendet werden, um die Vertraulichkeit, Vollständigkeit und Verfügbarkeit der Daten zu garantieren, die von einer Organisation entweder für sich selbst oder im Namen anderer verwendet werden.

Die identifizierbare Person

  • Die Gesetze zum Datenschutz kommen nur dann zum Tragen, wenn die betreffenden Daten die Identifizierung einer lebenden Person erlauben.
  • Die Definition „persönlicher Daten“ war bislang in der Gesetzgebung einiger europäischer Länder unterschiedlich. Heute können wir mit der Annahme der Allgemeinen Datenschutz­verordnung (General Data Protection Regulations – GDPR) eine einheitlichere Definition dessen erwarten, wer eine „identifizierbare Person“ ist.

Wann und wo ist die Gesetzgebung zum Datenschutz anwendbar?

  • Für Analysezwecke ist es oft nicht nötig, die Person zu identifizieren, da wir mit anonymisierten oder anderweitig unkenntlich gemachten Daten arbeiten können.
  • So kann man etwa mit der Pseudonymisierung alle Daten durch einen Code oder ein Pseudonym ersetzen, womit sich eine Person identifizieren lässt. Damit lassen sich dennoch nützliche Analysen durchführen, während der Datenschutz für die jeweilige Person garantiert ist. Obwohl pseudonymisierte Daten innerhalb der Bestimmungen der EU zum Datenschutz verbleiben, werden sie aufgrund des geringeren Risikos für die betreffende Person mit größerer Nachsicht behandelt.
  • Andererseits ist die Verarbeitung tatsächlich anonymisierter Daten, also jener Daten, die keinen Rückschluss auf die jeweilige Person zulassen, durch die Datenschutzgesetze nicht verboten, doch sind diese aus analytischer Sicht weniger nützlich.

Was ist die GDPR?

Die General Data Protection Regulation (GDPR) (Verordnung (EU) 2016/679) ist ein von der EU angenommenes Gesetz, das das aktuelle Datenschutzgesetz der EU (Directive 95/46/EC) ersetzt und ab dem 25. Mai 2018 in allen EU-Mitgliedsstaaten gültig sein wird. Die GDPR aktualisiert die Gesetzgebung der EU zum Datenschutz einschließlich der Bestimmungen, die sich auf die Übertragung persönlicher Daten aus der EU an Drittländer beziehen.

Wenn die GDPR im Mai 2018 in Kraft tritt, müssen unsere Kunden ihre Politik und ihre Verfahren in Bezug auf den Datenschutz angepasst haben. Nach der neuen Gesetzgebung ist der „Datenverarbeiter“ in Bezug auf den Schutz der von ihm im Auftrag seiner Kunden verarbeiteten Daten „gesamtschuldnerisch haftend“ („Datenverantwortlicher“).

Neu – Privacy Shield

Am 8. Juli 2016 wurde der neue EU-US Privacy Shield angenommen, der in Kürze in Kraft treten wird. Es handelt sich dabei um die Nachfolgeregelung des bislang geltenden Safe-Harbour-Abkommens. Stand heute haben bereits zahlreiche Organisationen  Datenverarbeitungsvereinbarungen mit uns unterzeichnet, die Modellklauseln beinhalen, wie z.B. die angenommene rechtliche Basis für jede Übertragung persönlicher Daten in die USA. Dies sorgt für vertragliche Sicherheiten in Hinblick darauf, wie ein Datenverarbeiter aus den USA die Daten seiner Kunden verwendet. Zudem zieht SAS derzeit eine Zertifizierung gemäß dem neuen EU-US Privacy Shield in Betracht, der im August 2016 in Kraft treten soll. Unser Ziel besteht darin, die Bedürfnisse und Anforderungen unserer Kunden in Hinblick auf die Übertragung persönlicher Daten in die USA zufriedenzustellen.

Zusammenfassung

Insgesamt sind wir überzeugt, dass die aktuell eingeschlagene Richtung positiv ist und die Entscheidung für Cloud-Angebote erleichtern wird. Bei SAS verfolgen wir die Änderungen weiterhin aus der Nähe und werden unsere Kunden über alle Auswirkungen informieren, um mit ihnen entsprechend zusammenzuarbeiten.

Das Thema Datenschutz und Datensicherheit haben wir auch in einem Webinar für Sie betrachtet:

Datenschutz im Rahmen von Cloud Analytics

Share

About Author

David Annis

Director, Sales Support and Enablement (Cloud)

Dave Annis has been specializing in the field of data and business analytics for over 30 years. In that time, he has seen trends come and go, but one thing remains the same – organizations have the potential to get enormous value from analytics. Back in the 80s when Dave was starting out, cool job titles like “data wrangler” didn’t exist, and although he wishes they had (“assistant statistician” didn't have quite the same ring), he’s excited to see how Data Science has come into the limelight, and continues to grow.

Related Posts

Back to Top