“Weniger Daten” als Privacy-by-Design-Strategie

Die Minimierung der erforderlichen Personendaten ist die offensichtlichste Strategie zur Umsetzung von Privacy-by-Design und explizit in der EU-DSGVO formuliert (s. Art. 5). Wenn keine oder wenige Daten mit Personenbezug in einem Service verarbeitet werden, reduziert sich logischerweise das Risiko für Datenschutzbedrohungen (z.B. Diebstahl der Daten). Aufwendige Schutzmassnahmen entfallen, wenn es keine schützenswerten Daten gibt.

Naheliegend wird die Strategie «Datenminimierung» dadurch umgesetzt, dass weniger Daten gesammelt werden («Select before you collect»). Dies bedeutet, dass – anders als heute oftmals üblich – nicht zunächst breit Personendaten gesammelt werden und später entschieden wird, wie und ob diese genutzt werden können. Stattdessen werden die Daten nur in dem Umfang gesammelt, wie sie für einen Verarbeitungszweck auch tatsächlich erforderlich sind. Dies setzt natürlich voraus, dass der Zweck überhaupt hinreichend im Vorfeld bekannt ist. Während der Zweck der Datennutzung z.B. für die Verarbeitung von Bestellungen im Online-Shop noch klar definiert werden kann, ist dies bei Big Data-Analysen deutlich schwieriger. Bei Letzteren geht es ja gerade darum explorativ noch nicht bekannte Muster in den Daten zu entdecken und für neue, unbekannte Verfahren zu nutzen. Typische Beispiele aus Datenschutzerklärungen sind Begriffe wie «Marketing-Analysen» oder «Verbesserung des Nutzererlebnisses».

Die Verwendung von Pseudonymen und die Anonymisierung sind weitere Beispiele zur Umsetzung der Datenminimierung. Wenn die Person statt Name und Anschrift ein Pseudonym zur Registrierung auf einer Website nutzt oder wenn identifizierbare Merkmale im Nachhinein durch ein Pseudonym ersetzt werden, erhöht dies das Datenschutz-Niveau. Die EU-DSGVO nennt die Pseudonymisierung explizit als Beispiel für eine technische Schutzmassnahme (s. Art. 25). Ein soziales Netzwerk könnte z.B. statt der Anmeldung mit dem Klarnamen auch lediglich ein Pseudonym zur Anmeldung einfordern ohne den Zweck «Kommunikation» zwangsläufig einzuschränken (bei Facebook wird dies durch die Nutzungsbedingungen untersagt). Weiter führt die Anonymisierung. Hierbei werden z.B. Identifikatoren bzw. Eigenschaften der Daten, die zur Identifikation führen, gelöscht. «Statistische Auswertungen» können dann immer noch umsetzbar sein. Von Datenminimierung kann im Fall von Pseudonymisierung bzw. Anonymisierung jedoch nur gesprochen werden, wenn nicht die Zuordnung zwischen Identifikator und Pseudonym bzw. die Eingangsdaten vor der Anonymisierung trotzdem gespeichert werden.

Die genannten Umsetzungswege sind nur einige Beispiele für die Strategie «Datenminimierung». Weitere Strategien sind z.B. das Löschen von Daten, wenn diese nicht mehr genutzt werden, die Begrenzung der Verteilung von Daten über verschiedene Systeme bzw. Abteilungen oder der «Zero-Knowledge Proof».  Egal, wie die Datenminimierung umgesetzt wird: in jedem Fall muss der genaue Zweck der Verarbeitung im Vorfeld klar oder festgelegt werden, damit die Datenminierung bereits im Entwurf von Systemen stattfinden kann.

Weiterführende Literatur: Hoepmann (2014) und Gürses et al. (2011) 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s