Das neue Datenschutzgesetz (nDSG) in der Schweiz wird im Herbst 2023 in Kraft treten. In den meisten Punkten nähert sich das Gesetz dem europäischen Standard (DSGVO) an, um eine Konformität zu erreichen. Konkret geht es um die Bearbeitung von Personendaten und die Anpassung der Gesetze an die heutige Gesellschaft und aktuellen Technologien. Die Rechte der betroffenen Personen sollen verstärkt werden. Auf die genauen Gesetzestexte und rechtlichen Pflichten und Folgen verweisen wir auf die Bundesseite. In diesem Beitrag möchten wir fünf Punkte vorstellen, die mit dem neuen Datenschutzgesetz beachtet werden sollten, wenn Personendaten zu Data Analytics Zwecken verwendet werden.
Wer Personendaten verarbeitet oder analysiert, wird künftig genauer dokumentieren und katalogisieren müssen, denn das Datenschutzgesetz verlangt mehr Transparenz. Es muss innerhalb kurzer Zeit Auskunft gegeben werden können, welche Daten wo und zu welchem Zweck verarbeitet werden. Personen haben das Recht, ihre Daten einzusehen, löschen zu lassen oder zu transferieren. Damit sämtliche neue Anforderungen erfüllt werden können, ist vor allem eine laufende Data Governance unvermeidlich.
Basierend auf dem neuen Gesetz haben wir fünf Themen rausgesucht, die unserer Ansicht nach wichtig sind, wenn man Data Analytics betreibt.
1. Schützenswerte Daten aus dem Dataset entfernen
Das neue Datenschutzgesetz regelt die Verarbeitung von Personendaten, insbesondere schützenswerte Daten. Wer also keine Personendaten bei der Analyse verarbeiten muss, sollte diese an erst möglichster Stelle aus den Datensets entfernen. Daten werden oft aus den operativen Systemen (wo sie für operative Zwecke tatsächlich verwendet werden) in einen Staging-Bereich geladen. Falls (Personen-) Daten nicht verwendet werden, dann sollten sie bereits an dieser Stelle aus dem Datenset entfernt resp. gar nicht erst in das Staging übernommen werden. So ist man bereits an einer frühen Stelle im Data Flow auf der sicheren Seite.
Falls es aber relevante Personen-Daten gibt, die für Data Analytics Zwecke benötigt werden, sollte eine Anonymisierung in Betracht gezogen werden. Das Ganze entschärft sich, wenn Attribute nicht zur Identifikation einer Person führen. Die Verwendung von Personendaten sollte immer kritische hinterfragt werden. Besonders schützenswerte Personendaten benötigen zusätzlich eine Einwilligung zur Verarbeitung. Als besonders schützenswert gelten z.B. genetische Daten, biometrische Daten, Daten bezüglich religiösen oder politischen Ansichten, gesundheitliche Daten oder Zugehörigkeit zu einer Rasse oder Ethnie.
2. Datenkatalog führen
Ein Datenkatalog ist zentraler Bestandteil einer Data oder BI Governance (dazu unser Beitrag Business Intelligence Governance). Hier werden die verfügbaren Daten eines Unternehmens aufgelistet. Das sind technische Informationen zur Datenbank, Tabellen, Felder, Metadaten, Beschreibung, Besitz, Klassifizierung, etc. Wer einen solchen Katalog führt, hat die Übersicht welche Daten wo gespeichert sind. Diese Kenntnis wird mit dem neuen Datenschutzgesetz noch wichtiger. Denn nun dürfen betroffene Personen bei Unternehmen Auskunft über Ihre Daten anfordern, eine Löschung oder Transfer beantragen. Gleichzeitig muss eine Firma schnell Auskunft geben, welche Daten in welchen Systemen bei einem Datenverlust betroffen sind.
Bei diesem Punkt kommt eine zusätzliche Sensibilisierung der Mitarbeitenden ins Spiel. Gerade bei Data Analytics kommt es regelmässig vor, dass eine ad hoc Analyse eines Datensets durchgeführt wird. Jemand exportiert z.B. eine gefilterte Ansicht aus einer operativen Applikation und möchte mit Excel schnell eine Auswertung machen. Hierzu wird dann das Excel in einem lokalen oder geteiltem Verzeichnis gespeichert. Das ist schnell und unkompliziert. Mit dieser Praxis “verlassen” die Daten den bekannten Bereich des Datenkatalogs. Beinhalten diese Dateien nun Personendaten, kann es kritisch werden. Denn oft vegetieren diese Daten dann für lange Zeit unverschlüsselt und ausserhalb des Data Governance Radars vor sich hin.
3. Verarbeitung dokumentieren
Ein weiterer Punkt, der neu zwingend wird, ist das Führen eines Bearbeitungsverzeichnisses. Während der Datenkatalog zur schnellen Auffindung des Speicherorts und Ownership dient, ist dieses Verzeichnis eine Dokumentation, welche Bearbeitungstätigkeiten zu Personendaten stattfinden. Unter Bearbeitung versteht man das Beschaffen, Speichern, Aufbewahren, Verwenden (hier sind wir bei der Data Analytics), Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Personendaten.
Idealerweise wird der Datenkatalog mit diesem Verzeichnis kombiniert oder zumindest referenziert, da die Themen nahe beieinander liegen. Auf die Data Analytics bezogen sind hier vor allem die Dokumentation von Data Pipelines und Reports relevant. Eine Dokumentation des Data Flows ist also von zentraler Bedeutung.
4. Zugang zu Reports einschränken
Viele Unternehmen nutzen für ihre Data Analytics moderne BI Tools wie Power BI, Tableau oder Qlik. Andere haben ein integriertes Reporting im CRM, ERP oder anderer Plattform. Wieder andere stellen die Daten als API oder Data Connector für individuelle Zwecke zur Verfügung. Hier ist es besonders wichtig, die Daten und Reports nur für jene Personen oder Personengruppen freizuschalten, welche die Daten auch tatsächlich benötigen. Das Need-To-Know Prinzip sollte so weit wie möglich implementiert werden.
Firmen sind in der Pflicht die Datensicherheit mit technischen und organisatorischen Mitteln zu erhöhen. Dazu gehört auch das regelmässige Überwachen und Aktualisieren von Zugriffsrechten auf Reports und Dashboards. Schauen Sie deshalb genau, welche Daten, Reports und Dashboards welchen Personen zur Verfügung stehen und ob diese die Informationen wirklich benötigen. Es kann gut sein, dass Personen durch ihre Funktion oder Stellung Zugriff haben, aber diesen nicht für ihre Aufgaben benötigen. Es gibt geeignete Mittel, um dedizierte Benutzergruppen zu erstellen, ohne gleich Einzelrechte vergeben zu müssen.
5. Verantwortlichkeiten klären
Hier kommt nochmals die Data Governance zum Zug. Es ist wichtig die Verantwortlichkeiten zu klären, welche die Daten Assets mit sich ziehen. Eine klare Ownership der Daten und der zughörigen Prozesse erlaubt es zu jeder Zeit den Überblick zu wahren und im Notfall Massnahmen aufzugleisen. Gerade in grösseren Firmen mit vielen Daten und Prozesse ist es nicht möglich eine einzelne Person damit zu beauftragen.
Für die Geschäftsleitung und obersten Verantwortlichen ist dies vor allem deswegen wichtig, weil sie als Personen bei Datenschutzverletzung haften, nicht als Firma. Es ist also im Interesse aller Personen – Leitung, Data Owner und natürlich betroffenen Personen (z.B. Kunden) – die Verantwortlichkeiten zu klären.
Fazit zum Datenschutzgesetz für Data Analytics
Wie man sieht, sind das keine neuen Themen in der Welt der Datenanalyse. Eine Data Governance mit einem Datenkatalog und geklärten Verantwortlichkeiten ist unabhängig vom neuen Datenschutzgesetz ein wichtiger Bestandteil einer Organisation. Das saubere Aufsetzen von Zugriffsberechtigungen gehört in ein Rollenkonzept und die Dokumentation von Datentransfer und Bearbeitungen schafft Transparenz. Mit dem neuen Datenschutzgesetz ist es nun umso wichtiger, diese Elemente umzusetzen, da die finanziellen und somit wirtschaftlichen Folgen für Unternehmen (resp. deren Leitung und verantwortlichen Personen) höher ausfallen als bisher. Ein Verstoss hat hohe Geldbussen zu Folge.
Um diese Punkte umzusetzen bedarf es auch nicht weitere komplexe Tools oder Applikationen. Eine Dokumentation oder Katalogisierung kann mit Office Tools umgesetzt werden. Wichtiger ist die Organisation der Bestandteile und definierte Prozesse, so dass bei einem Vorfall nachvollzogen werden kann, dass Massnahmen definiert und umgesetzt worden sind.
Es lohnt sich also, sich jetzt intensiver mit dem Thema zu beschäftigen, so dass zum Zeitpunkt der Einführung (Plan Herbst 2023) die Organisation und alle Prozesse bereit sind, um Datenschutz-konform arbeiten zu können.