Suchen

Der „Gläserne Nutzer“ ist bereits Realität Was Big Data Protection können müsste

Autor / Redakteur: Oliver Schonschek / Jürgen Sprenzinger

Wenn Datenschützer vor Big Data warnen, sehen sie die Gefahr, dass die enormen Datenmengen zahlreiche Ansatzpunkte dafür liefern, um personenbezogene und personenbeziehbare Daten zu umfassenden Nutzerprofilen zu verknüpfen. Der viel zitierte „Gläserne Nutzer“ könnte in einer Form Realität werden, die früher kaum vorstellbar war.

Firmen zum Thema

Will man die personenbezogenen Daten in einem Projekt schützen, muss man sie zuerst einmal identifizieren – doch und oft sind die Analyse-Tools zu langsam.
Will man die personenbezogenen Daten in einem Projekt schützen, muss man sie zuerst einmal identifizieren – doch und oft sind die Analyse-Tools zu langsam.
(Bild: ChaotiC PhotographY/ Fotolia.com)

Die Sorgen der Daten- und Verbraucherschützer muss man ernst nehmen, insbesondere schon deshalb, weil viele der klassischen Datenschutzmaßnahmen und Sicherheitswerkzeuge nicht für die riesigen Datenvolumina ausgelegt sind. Das wird deutlich, wenn man sich das übliche Vorgehen bei der Planung von Datenschutzmaßnahmen einmal am Beispiel eines Big-Data-Projektes ansieht.

Will man die personenbezogenen Daten in einem Projekt schützen, muss man diese zuerst einmal identifizieren. Es stellt sich dabei die Frage, welche Kategorien personenbezogener Daten denn vorliegen, denn davon hängt der Schutzbedarf ab.

Was sind eigentlich „personenbezogene Daten“?

Besonders kritisch sind die so genannten besonderen Arten personenbezogener Daten. Dies sind laut Bundesdatenschutzgesetz (BDSG) Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Fallen in einem Projekt solche Daten an, ist der Schutzbedarf besonders hoch.

Ähnliches gilt für personenbezogene Daten, die einem Berufsgeheimnis unterliegen, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen und für personenbezogene Daten zu Bank- oder Kreditkartenkonten. Auch bei diesen Daten treten nämlich unter bestimmten Voraussetzungen die für den Unternehmensruf meist schädlichen Informationspflichten (§ 42a BDSG) ein, wenn es zu einer Datenpanne kommt.

Herkömmliche Analyse-Tools sind überfordert und zu langsam

Klassische Ansätze sehen vor, dass die anfallenden personenbezogenen Daten entsprechend klassifiziert und geschützt werden. Dazu werden in den Daten bestimmte Schlüsselworte (Keywords) gesucht, die den Hinweis darauf geben, dass es sich um eine bestimmte Datenkategorie handelt.

Hier ist ein Auszug aus dem Big Data Vendor Benchmark der Experton Group von 2013: In der Grafik geht es um die in der Kategorie Appliances bewerteten Unternehmen und ihre Positionierung im Wettbewerbsumfeld.
Hier ist ein Auszug aus dem Big Data Vendor Benchmark der Experton Group von 2013: In der Grafik geht es um die in der Kategorie Appliances bewerteten Unternehmen und ihre Positionierung im Wettbewerbsumfeld.
(Bild: Experton Group)

Ein Wort wie „Kreditkartennummer“ weist auf die besonders zu schützenden Kreditkartendaten hin. Doch herkömmliche Werkzeuge zur Keyword-Suche sind bei großen Datenmengen schnell überfordert oder brauchen für die Analysen viel zu lange.

Wo liegt die Herausforderung?

Die im Datenschutz so zentrale Anonymisierung personenbezogener Daten stellt ebenfalls eine große Herausforderung dar, wenn umfangreiche Datenmengen einer so genannten Maskierung unterzogen werden sollen. Die Daten mit Personenbezug sollen dabei so verändert werden, dass kein Rückschluss auf einzelne Personen mehr möglich ist.

Auch hierzu müssen die personenbezogenen Daten aufgespürt und dann einer automatischen Bearbeitung unterzogen werden. Bereits bei überschaubaren Datenmengen klappt dies nicht immer zuverlässig.

Die deshalb geforderte Kontrolle, ob die Datenmaskierung erfolgreich war, würde aber ein Werkzeug erfordern, dass zuverlässiger und schneller arbeitet als das Anonymisierungsprogramm selbst. Eine manuelle Kontrolle ist ebenso ausgeschlossen wie die Beschränkung auf wenige Stichproben.

Der Ausweg aus dem Dilemma

Die gute Nachricht ist, dass es zunehmend Werkzeuge gibt, die sich der Herausforderung Big Data stellen, die eine Big Data Protection, die Übertragung der Datenschutzmaßnahmen auf Big Data, möglich machen wollen. Die Experton Group wird im nächsten Big Data Vendor Benchmark deshalb auch Security-Lösungen untersuchen, die den Datenschutz bei Big-Data-Anwendungen unterstützen wollen, also dabei helfen, personenbezogene Daten innerhalb von großen Datenmengen zu identifizieren, zu klassifizieren und bei Bedarf zu anonymisieren.

Über den Autor:

Der Autor Oliver Schonschek
Der Autor Oliver Schonschek
(Bild: privat)
Oliver Schonschek ist als Research Fellow bei der Experton Group AG tätig. Parallel zu seiner Advisor-Tätigkeit arbeitet er als Herausgeber, Fachautor und Fachjournalist für verschiedene Fachverlage und Redaktionen. Die Schwerpunkte seiner Analysen und Publikationen liegen bei der Informationssicherheit und dem Datenschutz. Dabei behandelt er insbesondere die Schnittstellen zwischen IT, Business, Recht, Compliance, Datenschutz und Datensicherheit.

(ID:42598974)