Am 25. Mai dieses Jahres ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Was wurde nicht alles im Vorfeld berichtet – da war zum Beispiel die Rede von einem Meilenstein in Sachen Datenschutz. Schaut man ein paar Monate später auf die Schlagzeilen, so kann man lesen, dass ein Verstoß gegen die Verordnung noch kein Grund zur Panik sei. Aber: Würden Sie es darauf ankommen lassen?

In den letzten Tagen vor dem Inkrafttreten gab es eine regelrechte Spam-Flut von Unternehmen, die schnell noch per E-Mail das Einverständnis einholen wollten, mich weiterhin anschreiben zu dürfen. Haken setzen und schon ist alles gut mit der DSGVO – das reicht mit Sicherheit nicht aus.

Was alles Kurioses in Vor-DSGVO-Zeiten möglich war, zeigt das Beispiel einer App der spanischen Fußballiga, die über das Smartphone-Mikro nach unlizensierten Fußballübertragungen suchte. Dieser Praxis wurde mit der DSGVO zum Glück ein Riegel vorgeschoben: Jetzt ist sozusagen „Schloss mit lustig“.

Solchen positiven Aspekten der Verordnung stehen aber auch negative gegenüber. So hat Facebook die Richtlinie zum Anlass genommen, den durch ein deutsches Gericht untersagten Datenaustausch mit WhatsApp wiederzubeleben. Natürlich geschieht dieser Datenaustausch laut Netzwerk nur unter Sicherheitsaspekten, um etwa Fake-Accounts zu identifizieren und somit Fake-News zu verhindern. Die Verhinderung von Fake-Accounts/News wäre schließlich ein Anliegen der EU an das Netzwerk – so die Argumentation. Das Unternehmen hat im Juni den US-Kongress umfassend über seine Datensammelei informiert. In einem PDF-Dokument mit sagenhaften 229 Seiten Umfang gibt Facebook Einblick, was das Unternehmen alles von Nutzern sammelt.

Es ist längst noch nicht alles getan

Trotzdem: Man sollte meinen, dass Unternehmen seit dem DSGVO-Stichtag den Schutz personenbezogener Daten von EU-Bürgern endlich ernst nehmen. Und dass sie – jenseits potenzieller Strafen – die positiven Aspekte der DSGVO erkennen. Ich sehe hier nämlich durchaus Chancen, offensiv mit dem Thema umzugehen und dieses zur Image-Verbesserung zu nutzen.

Auch wenn die Erfolgsmeldungen überwiegen, gibt es nach wie vor Baustellen, was die Umsetzung der Verordnung angeht. Im Geschäftsalltag habe ich den Eindruck, dass auch nach dem 25. Mai nicht alle Unternehmen DSGVO-konform sind. Gerade im Hinblick auf den Umgang mit personenbezogenen Daten in dispositiven Systemen besteht noch Handlungsbedarf. Mangelnde Datenqualität erschwert es zum Beispiel, den von der Verordnung geforderten Lösch- und Auskunftspflichten nachzukommen, ganz zu schweigen von den schon bekannten Herausforderungen, wie die zu löschenden Datensätze in Backups zu finden. Problematisch sind versteckte personenbezogene Daten an Stellen, die man nicht auf dem Radar hat, Stichwort: Freitextfelder in CRM-Systemen. SAS kann bei dem Umgang mit personenbezogenen Daten helfen, sei es mit einem Scanner, der die personenbezogenen Daten in strukturierten oder unstrukturierten Datenbeständen findet, oder mithilfe von Pseudonymisierung/Anonymisierung der Daten, um weiterhin Analysen durchführen zu können.

In fünf Schritten DSGVO-konform

Im Folgenden zeige ich, wie man mit SAS Viya schnell Ordnung in die personenbezogenen Daten bekommt. Als erstes schaue ich mir die Daten mittels automatischem Profiling an und gewinne so einen guten Überblick. Standard-Metriken geben Auskunft über Inhalte und Problematiken. Danach bediene ich mich der Methode „Field Identification“: Diese analysiert die Daten und liefert Informationen darüber, ob es sich beispielsweise um eine Person, Anschrift, Telefonnummer oder einen Ort handelt. Damit kann eine erste Risikoeinschätzung hinsichtlich der Dateninhalte erfolgen.

Nachdem die Daten nun unter der automatischen „Lupe“ betrachtet wurden, mache ich mich auf die Jagd nach Dubletten. Mittels Standardtransformationen wie Standardisierung, Matchcode-Generierung und Match & Cluster lassen sich doppelte Datensätze einfach und schnell identifizieren.