Im Gegenzug für den größeren rechtlichen Spielraum ist jedes vierte Unternehmen bereit, strengere technische und organisatorische Auflagen zum Schutz personenbezogener Daten zu erfüllen. Für die Studie „Potenzialanalyse Digital Security“ von Sopra Steria Consulting wurden im April 2017 insgesamt 205 IT-Entscheider aus Unternehmen ab 500 Mitarbeitern befragt. Durch die Digitalisierung gelten Daten mittlerweile als der wichtigste Rohstoff der Wirtschaft. Mit den Möglichkeiten zur Verknüpfung gewinnen Unternehmen unter anderem Ideen und Erkenntnisse für neue Produkte, und sie verbessern Kundenservice und Werbestrategien. Der Internetkonzern Google hat in den USA beispielsweise Zugriff auf anonymisierte Daten von Kreditkartentransaktionen, um Online- und Offlinedatenwelt zusammenzuführen. Zudem wird durch den Fortschritt auf dem Gebiet der künstlichen Intelligenz künftig Arbeit verstärkt durch Algorithmen übernommen. Diese vollautomatisierten Verfahren leben ebenfalls vom selbstständigen Sammeln und Zusammenführen von Daten.
Big-Data-Analysen kaum möglich
In Deutschland sind Big-Data-Analysen nur eingeschränkt möglich. Grund ist die Zweckbindung im Bundesdatenschutzgesetz. Demnach muss neben einer gesetzlichen Erlaubnis oder der Einwilligung des Kunden der genaue Verwendungszweck feststehen, bevor personenbezogene Daten erhoben werden. „Durch das Verknüpfen vieler Daten, aus denen auch neue Daten entstehen können, kann die einmal festgelegte Zweckbestimmung verletzt werden“, sagt Gerald Spiegel, Leiter Information Security Solutions bei Sopra Steria Consulting. Auch eine Anonymisierung oder Pseudonymisierung von Daten reicht nicht immer aus. „Oft genügen wenige Angaben, um eine Person dennoch zu erkennen“, so Spiegel. Etwa 70 Prozent der US-amerikanischen Bevölkerung lassen sich mit drei Merkmalen wie Geschlecht, Postleitzahl und Geburtsdatum eindeutig identifizieren, zeigen Untersuchungen.
Hoffen auf DSGVO-Öffnungsklauseln
Der Wunsch nach einer Modernisierung im Datenschutz wird vor allem aus der Chefetage geäußert. Rund 60 Prozent der Manager der oberen Führungsebene sind für eine Lockerung der Zweckbindung. Davon sind 29 Prozent bereit, künftig zusätzliche IT-Sicherheitsmaßnahmen durchzuführen – beispielsweise in Form von Datenschutzaufklärung der Mitarbeiter, weniger fehleranfälligen Abläufen und speziellen Tools, die bei der datenschutzkonformen Datenverarbeitung unterstützen. Viele Entscheider hoffen auf eine Öffnung der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO). Sie befürworten die Anpassung von der strengen Zweckbindung der Datenverarbeitung hin zu einer mehr zweckkompatiblen Verarbeitung. Die Regelung gibt Unternehmen und Behörden mehr Möglichkeiten, einmal erhobene Daten auch für ähnliche Zwecke zu verwenden als ursprünglich vorgesehen. Die DSGVO enthält insgesamt 70 Öffnungsklauseln, die dem deutschen Gesetzgeber Spielraum zu eigener Ausgestaltung lassen. Unklar ist, inwieweit das Bundesinnenministerium diesen nutzt.
Technischer Datenschutz erforderlich
„Angesichts der enormen Möglichkeiten, aus Daten Geschäft zu erzeugen, wollen Top Manager in Deutschland am liebsten das Maximum an Erkenntnis aus der Verknüpfung interner und externer Daten herausholen“, so Spiegel. Der Zielkonflikt zwischen Persönlichkeitsschutz und digitaler Innovationen sowie Nutzerfreundlichkeit ließe sich unter anderem durch einen verstärkten technischen Datenschutz lösen. Dazu zählt beispielsweise eine verbesserte Verschleierung und Zusammenfassung persönlicher Daten, die weniger Rückschlüsse auf die Person zulassen. Beim datengetriebenen Einsatz künstlicher Intelligenz wird zudem die Installation von Kontrollalgorithmen diskutiert. Eine mit Datenschutzregeln gefütterte und von Datenschützern überwachte Software soll die Einhaltung von Persönlichkeitsrechten gewährleisten. Eine weitere Chance besteht darin, die Blockchain-Technik zu nutzen. Die Technologie kann beispielsweise Speicherereignisse aufzeichnen, die über verschiedene Beteiligte oder Unternehmen verteilt sind.