Big Data ist in aller Munde als einer der zentralen Grundpfeiler der aktuellen IT-Hypes. Big Data-Technologie findet seinen Eingang in die Unternehmens-IT, als Grundlage vieler Zukunftsstrategien von Predictive Analytics bis Machine Learning und von Visualisierung bis zur Business Intelligence. Doch Big Data-Technologien benötigen natürlich auch das notwendige zu analysierende Rohmaterial, eben die Daten als Rohstoff.
Im Kern steht vielfach die Digitalisierung des Geschäftslebens, bei der potentiell große Mengen Daten, zum Beispiel über Kunden und Interessenten anfallen. Darüber hinaus können diese Informationen auch aus weiteren Quellen angereichert werden, etwa aus der Marktforschung oder aus demographischen Statistiken. Je mehr ein datenverarbeitendes Unternehmen über seine Klientel weiß, desto besser kann es positiv formuliert auf diese und ihre tatsächlichen oder analysierten Anforderungen eingehen, kann angemessene Angebote unterbreiten und auf individuelle Bedürfnisse oder konkrete Situationen eingehen.
Datensparsamkeit und –vermeidung im BDSG
Hingegen stellt § 3a des Bundesdatenschutzgesetzes (BDSG) mit den Prinzipien der Datensparsamkeit und der Datenvermeidung personenbezogene Daten und deren Verwendung unter einen besonderen Schutz. Das bedeutet insbesondere, dass tatsächlich nur die Daten verarbeitet und gespeichert werden dürfen, die für die tatsächliche Erbringung einer Aufgabe innerhalb einer Anwendung notwendig werden. Eine mögliche Zweitverwendung bereits erhobener Daten im Rahmen von Big Data-Analyseverfahren ist eine neue Aufgabe innerhalb einer neuen Anwendung und damit im Zweifelsfall vermutlich neu zu betrachten.
Genau diese Datensparsamkeit ist ein wichtiger Bestandteil der Souveränität des einzelnen Bürgers und versetzt diesen in die Lage, sein Grundrecht auf informationelle Selbstbestimmung weitreichend auszuüben. Auch international gewinnt die Überzeugung, dass die Zustimmung (engl.: „consent“) des Einzelnen zur Verarbeitung ausgewählter Daten die zentrale Voraussetzung für eine rechtmäßige Auswertung dieser Verarbeitung ist. Dies umfasst damit auch quasi selbstverständlich die Analyse in Big-Data-Verfahren zu jeglichen Zwecken.
Wegbereiter zu Lasten des Datenschutzes
Es ist nun nicht außergewöhnlich, dass im Kampf um den Aufbau oder die Erhaltung des Wirtschaftsstandortes Deutschland Lobbyisten und Branchenvertreter gerne mit Maximalforderungen in den Ring gehen. Dies gehört zum Handwerk dieser Personengruppen.
Schwieriger ist es dann schon, wenn aus der Politik heraus Forderungen erhoben werden, die eigentlich als Konsens betrachtete Bürgerrechte quasi im Vorbeigehen irrelevant machen. Wenn Vertreter der amtierenden Bundesregierung im Einklang mit dem Branchenverbandes Bitkom diese Prinzipien der Datensparsamkeit und der Datenvermeidung für personenbezogene Daten medienwirksam als „überholt“ und als „falschen rechtlichen Rahmen“ bezeichnen, muss dies wachsam beobachtet werden. Zeigt dies doch eine grundlegende Haltung gegenüber schützenswerten Informationen und damit auch individuellen Persönlichkeitsrechten der Bürger.
Die Tatsache allein, dass eine Technologie wie Big Data (die durchaus mit ihren eigenen, Sicherheitsrisiken belastet ist) als Zukunftstechnologie positive Auswirkungen auf einen Technologie-Standort haben kann und wird, wird benutzt, um quasi im Handstreich mit dem Datenschutz Persönlichkeitsrechte zur vermeintlich besseren Nutzung einer Technologie zu opfern. Da hilft auch der Versuch wenig, den Begriff „Datenreichtum“ als Alternativkonzept zu prägen, wenn es am Ende doch um den Zugriff auf individuelle, private und damit schutzbedürftige Daten eines jeden geht. Diese sind eben kein einfacher Rohstoff, den es nur abzubauen und zu nutzen gilt.
Marktchancen im Spannungsfeld zwischen Big Data, Sicherheit und Privatsphäre
Vielmehr sind Technologie und Gesellschaft, aber auch Wirtschaft und Politik gefordert, intelligente Wege zu finden, um im Spannungsfeld zwischen rechtlichen Anforderungen und zukunftsorientierter Technologienutzung Rahmenbedingungen zu schaffen, die alle, auch widerstreitende Interessenbereiche angemessen berücksichtigen. Dass die Beachtung strenger Datenschutzrichtlinien durchaus erhebliche Marktchancen birgt, zeigt nicht zuletzt der Aufbau von Cloud-Rechenzentren in Deutschland, die einerseits den EU-Richtlinien genügen und andererseits den Zugriff durch US-Behörden verhindern sollen.
„Security by Design“ und „Privacy by Design“ sind Konzepte, die das Potential bieten, marktgerechte Angebote zu definieren, die Technologien und insbesondere die Big Data-Technologie im Einklang mit den zu Recht hohen Schutzanforderungen miteinander zu verknüpfen. Sicherheit und Privatsphäre dürfen nicht als Hindernis, sondern müssen als Chance begriffen werden, gerade auch für Anbieter aus Deutschland und Europa. Das gilt ironischerweise sowohl für Kunden aus Europa, die etwa durch Datenschutz- oder Compliance-Richtlinien hierzu veranlasst sind, als auch für außereuropäische (insbesondere amerikanische) Unternehmen, die den erhöhten Schutz der Daten in einem europäischen Kontext heute schon als Marktvorteil begreifen.
Security und Privacy by Design am Beispiel benutzerdefinierter Zugriffsrichtlinien
Die Technologie scheint hier in der Lösungsfindung konzeptionell deutlich weiter und insbesondere weiter auf der Seite der Bürger zu sein, als die aktuelle Politik: Beispielsweise mit dem Konzept des User Managed Access (UMA), das von der Kantara-Initiative vorgelegt wurde und das bereits heute in standardisierte und nutzbare Protokolle und deren Spezifikationen umgesetzt ist, rückt die Selbstbestimmung des Anwenders in das Zentrum der Datenbereitstellung. Zwischen Totalblockade auf der einen Seite und völliger Aufgabe des Datenschutzes auf der anderen zeigt dieses Konzept einen dritten Weg auf, der den Anwender in die Lage versetzt, autonom und durchaus einzelfallbezogen Entscheidungen über die Nutzung personenbezogener Informationen treffen.
Den Bürger wie den Konsumenten hier als mündigen und eigenverantwortlichen Partner zu begreifen, der auf Basis seiner jeweils eindeutigen Identitäten Zugriff gewähren kann, steht für diese Konzepte im Vordergrund. Dies ist umso wichtiger, als diese Prinzipien in Zukunft in einer Vielzahl von Szenarien zum Einsatz kommen werden, somit also eine neue Grundlage auch für den Austausch von Informationen im Business-to-Business oder Business-to-Enterprise -Kontext bilden, wo Datensparsamkeit aus vielerlei Gründen, etwa dem Schutz des intellektuellen Eigentums vor ungerechtfertigtem Zugriff durch Partner und Mitarbeiter geboten sein kann.
Sicherheitslösungen und der Schutz personenbezogener Daten als untrennbare Bestandteile von Systemarchitekturen zusammen mit der Umsetzung dynamischer Richtlinien zur Ermittlung erwünschter wie unerwünschter Zugriffe bieten die Grundlage für moderne, agile und sichere Lösungen, gerade auch im Big Data-Umfeld. Diese vorhandenen Stärken zu nutzen und den Herausforderungen des Marktes im Kontext von Sicherheit und Privatsphäre durch intelligente, reife Big Data-Lösungen zu begegnen, sollte im Fokus sein. Nicht der Verzicht auf Grundrechte.
Tipp: Was wissen Sie über Big Data? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Matthias Reinwarth ...
... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.