DSGVO: Strenge Vorschriften, hohe Geldstrafen

Vor mehr als sieben Jahren, am 26. Mai 2018, trat die DSGVO-Verordnung in Kraft. Wir wissen, dass die Nichteinhaltung der DSGVO mit hohen Geldstrafen geahndet werden kann: Im Jahr 2023 wurden in Europa Geldstrafen in Rekordhöhe von 1,78 Milliarden Euro verhängt. Vor allem die irische Datenschutzkommission (DPC) verhängte im Mai 2023 eine Geldstrafe in Höhe von 1,2 Milliarden Euro gegen Meta.

Die Niederlande halten den Rekord für die höchste Anzahl von Meldungen über Datenschutzverletzungen pro 100.000 Einwohner (150,7). Interessanterweise hat die niederländische Datenschutzbehörde sogar die niederländische Steuer- und Zollverwaltung wegen unrechtmäßiger Verarbeitung personenbezogener Daten mit einer Geldstrafe von 3,7 Millionen Euro belegt.

In Deutschland hält H&M, mit einer Geldstrafe von 35 Millionen Euro, den Rekord und in Niedersachsen wurde kürzlich ein Online-Shop mit einer Geldstrafe von 10,4 Millionen Euro belegt.

Anonymisierung personenbezogener Daten – eine weitere Herausforderung

Gemäß den Empfehlungen der lokalen Finanzaufsichtsbehörden, oder der Zentralbank in den meisten EU-Mitgliedstaaten ist in Entwicklungs-, Test- und Analyseumgebungen nur die Verwendung anonymisierter personenbezogener Daten zulässig. In Deutschland ist dies beispielsweise in § 27 Abs. 3 des Bundesdatenschutzgesetzes (BDSG) festgelegt.

Darüber hinaus heißt es in der Präambel der DSGVO-Verordnung in Abschnitt (26): „Die Grundsätze des Datenschutzes sollten (…) nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymen Daten, auch für statistische oder für Forschungszwecke.”

Warum die Anonymisierung von Daten zu einer strategischen Geschäftsbedingung wird

In einer auf Daten basierenden digitalen Wirtschaft stehen Unternehmen unter zunehmendem Druck, ein Gleichgewicht zwischen Datennutzung und Datenschutz zu finden. Die Anonymisierung von Daten – ein Prozess, bei dem personenbezogene Identifikatoren aus Datensätzen entfernt werden – hat sich als entscheidende Lösung für die Einhaltung der DSGVO herausgestellt, während gleichzeitig wertvolle datengesteuerte Innovationen ermöglicht werden. Durch die Anonymisierung sensibler Daten können Unternehmen rechtliche, reputationsbezogene und finanzielle Risiken mindern, ohne ihre Fähigkeit zu beeinträchtigen, Erkenntnisse aus diesen Daten zu gewinnen.

Bei der Anonymisierung geht es jedoch nicht nur um die Risikominderung. Sie eröffnet auch Möglichkeiten für die sichere Wiederverwendung von Daten in Entwicklungs-, Test- und Analyseumgebungen. Ordnungsgemäß anonymisierte Daten können intern oder mit Partnern geteilt, für das Training von Machine-Learning-Modellen verwendet, oder für Analysen wiederverwendet werden, ohne gegen Datenschutzbestimmungen zu verstoßen, oder das Vertrauen zu missbrauchen. Diese Möglichkeit kann die digitale Transformation beschleunigen und gleichzeitig die Einhaltung von Vorschriften gewährleisten, insbesondere in Branchen wie dem Finanz- und Gesundheitswesen , in denen der Datenschutz von entscheidender Bedeutung ist.

Dennoch ist die Anonymisierung nicht ohne Herausforderungen. Unternehmen müssen einen komplexen Kompromiss zwischen Datennutzbarkeit und Datenschutzgarantien finden. Wie Fallstudien aus der Praxis zeigen, führt eine generische, einheitliche Anonymisierung oft zu einer unnötigen Verschlechterung der Datenqualität. Ein strategischer, anwendungsbezogener Ansatz, bei dem die Anonymisierungstechniken auf den tatsächlichen Zweck der Datenwiederverwendung zugeschnitten sind, kann den analytischen Wert erhalten und gleichzeitig die Datenschutzstandards einhalten. Für Führungskräfte bedeutet dies, in Prozesse und Technologien zu investieren die einen datenschutzkonformen Umgang  ermöglichen, ohne die Innovation zu behindern. 

Für welche Organisationen ist die Datenanonymisierung wichtig?

Im Allgemeinen ist die Anonymisierung von Daten für jedes Unternehmen oder jede Organisation wichtig, die große Mengen personenbezogener Daten verarbeitet: Dazu gehören in der Regel neben Banken und Versicherungen auch Telekommunikationsunternehmen – aber auch große Einzelhändler, die beispielsweise die personenbezogenen Daten ihrer Stammkunden in großen Mengen verarbeiten.

Darüber hinaus gewinnt die Anonymisierung von Daten auch im Gesundheits- und Pharmasektor zunehmend an Bedeutung, wo öffentliche oder private Gesundheitsdienstleister und Pharmaunternehmen ebenfalls große Mengen hochsensibler Gesundheitsdaten verarbeiten.

Schließlich kann, wie wir am Beispiel der Niederlande gesehen haben, auch der staatliche Sektor (z. B. die Steuerbehörde…) betroffen sein.

So werden personenbezogene Daten anonymisiert

Es gibt drei grundlegende Möglichkeiten, personenbezogene Daten zu anonymisieren:

• Durch Entfernen der Identifizierungsdaten – statt Hans Schmidt und Petra Schwarz haben wir hier also Kunde 1 und Kunde 2.
• Durch vollständige Kodierung der Daten – beispielsweise wird Hans Schmidt in Xkd213 Qewe geändert.
• Durch Maskierung, d. h. durch Verwendung zufällig generierter Pseudonyme – in diesem Fall werden aussagekräftige Pseudonyme erstellt, die die Merkmale der ursprünglichen personenbezogenen Daten beibehalten, z. B. wird Hans Schmidt zu Thomas Klein und Petra Schwarz zu Anna Müller

Das grundlegende Ziel des Schutzes personenbezogener Daten kann durch Anwendung der ersten beiden Methoden erreicht werden. Wenn die Datenbank mit personenbezogenen Daten jedoch in einer Entwicklungs- oder Testumgebung verwendet wird, in der routinemäßige Entwicklungs- und Testprozesse stattfinden (und auch in solchen Fällen muss der Datenschutz gewährleistet sein!), ist es wichtig, dass die anonymisierten Daten aussagekräftig und konsistent bleiben – mit bedeutungslosem Code oder fehlenden personenbezogenen Daten ist diese Bedingung offensichtlich nicht erfüllt.

Datenanonymisierung leicht gemacht, über mehrere Systeme hinweg

Um den Schutz personenbezogener Daten in Datenbanken in Entwicklungs- und Testumgebungen zu gewährleisten (und gleichzeitig die Bedeutung der anonymisierten Daten zu erhalten), hat DSS Consulting eine umfassende Lösung entwickelt, die bereits von vielen unserer Kunden (darunter Finanzinstitute, Versicherungen und Telekommunikationsanbieter) mit Zufriedenheit eingesetzt wird. Unsere Lösung, DSS Data Anonym

• erkennt und verschlüsselt Daten in den betroffenen Systemen automatisch
• unterstützt die Anonymisierung über mehrere Systeme hinweg und bewahrt dabei den geschäftlichen Kontext zwischen den Daten
• lässt sich problemlos in große Unternehmenssysteme integrieren
• bietet vollständige Audit-Protokollierung und standardisiertes Authentifikationsmanagement