Gesetzesinitiative zum Datenschutz

DSGVO: Herausforderungen meistern mit Data Discovery

| Autor / Redakteur: Adam Kuhn* / Regina Willmeroth

Auf Behörden wartet bis zum Inkrafttreten der DSGVO noch viel Arbeit
Auf Behörden wartet bis zum Inkrafttreten der DSGVO noch viel Arbeit (Bild: sdecoret/ Fotolia.com)

Bis zum Inkrafttreten der DSGVO ist noch rund ein Jahr Zeit. Auf IT-Verantwortliche in deutschen Unternehmen und Behörden wartet allerdings noch eine Menge Arbeit, um ihre Organisation fit für die Herausforderungen der neuen Gesetzesinitiative zu machen.

Es gilt neue Prozesse zu etablieren, um personenbezogene Daten zukünftig noch besser zu schützen. Wer dies versäumt, wird ab 25.5.2018 mit empfindlichen Strafen rechnen müssen. Um die genutzten und verarbeiteten, personenbezogenen Daten nachvollziehen und schützen zu können, müssen Organisationen über Records Management und Datensicherheit hinausdenken. Neue Formen von Business Intelligence und maschinellem Lernen können helfen, die Risiken der DSGVO einzudämmen.

Der Preis mit personenbezogenen Daten

Mit der DSGVO werden eine Menge Information-Governance- (IG)-Regularien für personenbezogene Daten eingeführt. Die neue Gesetzesinitiative schafft persönliche Rechte für diese Informationen, wie beispielsweise das Recht auf Vergessen, das Recht zur Überprüfung von Daten und das Recht, diese zu ändern oder zu übertragen. Des Weiteren beinhaltet die DSGVO erweiterte Informations- und Reaktionspflichten im Fall eines Datenlecks. Bei Nichteinhaltung drohen Strafen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Solche drakonischen Strafen bewegen Organisationen dazu, Datenschutz-Folgenabschätzungen durchzuführen und die eigenen Daten zu überprüfen, um die Risiken besser einschätzen zu können. Eine besondere Herausforderung ist es, nachzuvollziehen, wie und wo die personenbezogenen Daten verwendet werden.

Daten sind nicht gleich Daten

Um die Nachvollziehbarkeit der Daten zu garantieren, werden spezielle Tools benötigt, mit denen sich Dokumente suchen, zuordnen, kategorisieren und kennzeichnen lassen. Die traditionelle Methode, Verträge einzeln per Hand auf Textpassagen zur Aufbereitung, Verarbeitung und Speicherung von personenbezogenen Daten zu durchforsten, ist unzuverlässig und ineffizient. Hier kommen Data Discovery und maschinelles Lernen ins Spiel. Ansätze zur Mustererkennung helfen, Dokumente mit standardisierten, personenbezogenen Daten schnell zu identifizieren. Dazu zählen unter anderem Kreditkarten, Führerscheine oder Krankenakten.

Da personenbezogene Daten nicht immer einem Muster folgen, sondern stark kontextabhängig sind, reicht diese Technologie alleine jedoch nicht aus, um alle notwendigen Dokumente für eine Datenschutz-Folgenabschätzung zu identifizieren. Die Kontextanalyse – ein eigenständiger Algorithmus für maschinelles Lernen – analysiert, welche Worte gemeinsam auftreten und fasst sie ohne menschliche Unterstützung entsprechend ihrer kontextuellen Themenbereiche zusammen. Diese Tools unterscheiden sehr genau zwischen verschiedenen Zusammenhängen, die die Interpretation von bestimmten Wörtern beeinflussen.

Teamarbeit Mensch und Maschine

Automatisierte Tools helfen dabei, ihre Datenschutzprüfung zu initiieren. Sie sollten bei der endgültigen Analyse jedoch nicht nur auf eine rein maschinelle Kategorisierung vertrauen. Menschliche Kontrolle ist ein unverzichtbares Element, weshalb Workflows und Tools zur Dokumentenprüfung erforderlich sind.

Organisationen müssen folglich in der Lage sein, thematisch ähnliche Dokumente stoßweise auszugeben, damit rechtliche Gutachter mit den passenden Inhalten versorgt werden. Unternehmen können mit bekannten Datenbeständen, etwa der Lieferantenvertragsdatenbank, beginnen, um bisher unbekannte, risikoträchtige Dokumente zu identifizieren. Je mehr Dokumente geprüft werden, desto mehr lernt der Algorithmus im Hintergrund. Er durchsucht die Masse der verbleibenden Daten und priorisiert Datenmengen, die voraussichtlich personenbezogene Daten enthalten. Diese Art Algorithmen können sogar themenspezifisch arbeiten – eine wichtige Eigenschaft, da die DSGVO zwischen „personenbezogenen Daten“ und „sensiblen personenbezogenen Daten“ unterscheidet.

Wissen ist die halbe Miete

Welche Auswirkungen die DSGVO tatsächlich hat, wird sich erst in den nächsten Jahren zeigen. Wie werden Einzelpersonen ihre Rechte einfordern? Wie werden Datenschutzbehörden die Regelungen vollstrecken? Das alles ist ungewiss. Organisationen können jedoch bereits jetzt die ersten Schritte unternehmen, um ihr Gefahrenpotential zu erkennen und sich gegen die drohenden Folgen zu wappnen.

* Der Autor: Adam Kuhn, Anwalt für eDiscovery und Product Marketing Manager für OpenText Discovery. Er hält eine Advanced Certification für die Axcelerate eDiscovery Plattform und ist verantwortlich für Forschung, Ausbildung und Erweiterungsprogramme und ist als Senior Research Fellow beim McCarthy Institute for IP & Technology Law der San Francisco School of Law tätig.

Weitere Informationen finden Sie hier.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44730130 / System & Services)