In etwas mehr als einem Monat beginnt die Überwachung der Einhaltung der Datenschutzgrundverordnung. Was bedeutet das für Ihre Arbeit als Entwickler oder Datenwissenschaftler? "Sie müssen sich ständig fragen, welche Daten Sie wirklich brauchen und wie Sie die Auswirkungen ihrer Verwendung minimieren können."

Die GDPR bietet keine klar formulierten Regeln, sondern Rahmenwerke. Und genau das macht die Verordnung für Unternehmen kompliziert, meint Juliette van Balen, Rechtsanwältin und Datenschutzexpertin bei IP Advocaten: Die GDPR oder AVG auf Niederländisch verlangt einen organisatorischen Wandel. "Das Gesetz verlangt daher eine Vision, wie Unternehmen mit ihren Daten und Kunden umgehen wollen. Als Nächstes ist die Führung gefragt, um diese Vision zu konkretisieren und in den Prozessen umzusetzen."

"Bei dem Gesetz geht es nicht um den Schutz der Privatsphäre, wie viele Leute denken, sondern um den Schutz persönlicher Informationen und damit darum, wie wir mit Daten umgehen. Das Gesetz schreibt nicht vor, was wir tun dürfen und was nicht. Tatsächlich ist vieles erlaubt, solange man es erklären kann, die richtigen Datenschutzbewertungen vornimmt und Maßnahmen zur Schadensbegrenzung ergriffen hat." Und genau das ist es, was Entwickler und Datenwissenschaftler bei ihrer Arbeit berücksichtigen müssen.

Die Kunden werden es verlangen, und sei es nur, weil die DSGVO von ihnen verlangt, dass sie ihre Daten nur an Dienstleister auslagern, die nachweisen können, dass sie die DSGVO einhalten. Daher ist es klug, als Entwickler oder Datenwissenschaftler eine GDPR-Schulung zu absolvieren, damit Sie Ihren Kunden ein Zertifikat zeigen und sie beraten können.

Bewertung der Privatsphäre

Für Entwickler ist die Datenschutz-Grundverordnung in technologischer Hinsicht nicht wirklich eine Herausforderung, sagt Dave van Stein, selbsternannter Sicherheits- und Datenschutz-Experte des IT-Unternehmens Xebia. "Es wird mehr mit Verschlüsselung und Hashes gemacht werden, aber damit haben wir bereits eine Menge Erfahrung. Das Was ist daher viel weniger interessant als das Wie. Die vorgeschriebene Datenschutzprüfung hat Auswirkungen auf Ihre Softwareentwicklung. Wie gehen Sie als Fachmann, aber auch als Unternehmen damit um?"

Wenn Sie agil arbeiten und ständig kurzfristige Sprints durchführen, kann die Bewertung Sie einschränken, warnt van Stein. "Wenn Sie immer ein Formular an Ihren Datenschutzbeauftragten schicken müssen, bedeutet das eine enorme Verzögerung."

Ein Entwickler braucht daher ein Mandat und das Vertrauen des Datenschutzbeauftragten, um seine eigenen Bewertungen vornehmen zu dürfen. Außerdem müssen ihm die richtigen Werkzeuge an die Hand gegeben werden, damit er eine solche Selbsteinschätzung vornehmen kann. Wie die Datenschutzbeurteilungen dann gestaltet werden, hängt ganz von der Art der Organisation ab.

Es gibt nicht viele Standardlösungen, aber laut Van Stein können Sie die Bewertung recht einfach in die bestehenden Prozesse der Entwickler integrieren. "Weben Sie sie in die Jira Flow User Stories ein und bestimmen Sie einen Verantwortlichen. Dann müssen Sie keinen neuen Prozess entwickeln."

Register verarbeiten

Neben der Bewertung des Datenschutzes muss ein weiterer Punkt zu den bestehenden Prozessen hinzugefügt werden: ein Verarbeitungsregister. Van Stein: "Sie müssen in der Lage sein, für jedes Datenelement, das Sie verwenden, aufzuzeigen, wie es erhoben wurde und welche Lebensdauer es in Ihrem Unternehmen haben wird. Nur dann können Sie beurteilen, ob es noch in den Kontext passt, in dem Sie es erfasst haben, wenn die Daten weiterverarbeitet werden."

Auch für ein solches Register gibt es noch nicht viele Werkzeuge. "Sie können es in Ihrer eigenen Infrastruktur aufbauen oder aufbauen lassen und z.B. mit automatischen Verträgen arbeiten. Anwendung A muss dann die ausdrückliche Zustimmung von Anwendung B einholen, um Zugriff auf die darin enthaltenen Daten zu erhalten. Ein paar fortschrittliche Unternehmen experimentieren bereits mit einem Metadatenregister.

Datenwissenschaftler und die GDPR

Für Datenwissenschaftler ist das Gesetz nicht sonderlich schockierend, sagt Giovanni Lanzani, Chief Science Officer bei GoDataDriven. "Das derzeitige Gesetz ist bereits ziemlich streng in Bezug auf persönliche Daten. Persönliche Daten müssen in Übereinstimmung mit dem Gesetz verarbeitet werden. Sie brauchen bereits eine Erlaubnis, um bestimmte Daten zu verwenden, und zumindest ein berechtigtes Interesse. Es gibt auch keine neuen Regeln für das Profiling. Neu ist, dass Ihre Kunden, wenn Sie automatisierte Entscheidungen auf der Grundlage von Daten treffen, das Recht haben, eine Erklärung darüber zu erhalten, wie diese Entscheidung getroffen wurde. Vorausgesetzt, die Entscheidung hat einen erheblichen Einfluss auf das Leben der Menschen. Denken Sie zum Beispiel an automatisierte Entscheidungen bei der Einstellung von Mitarbeitern oder bei der Vergabe von Krediten. Profiling für Direktmarketing ist immer noch möglich. Allerdings gibt die DSGVO den Verbrauchern das Recht, dagegen Einspruch zu erheben.

Dieser Teil über Profiling im Gesetz erfordert, dass Datenwissenschaftler sehr genau wissen, welche Datenelemente für ein Urteil verwendet werden und wie sie die Entscheidung des Algorithmus beeinflussen. "Aber es wird auch erwartet, dass Sie das als Datenwissenschaftler jetzt wissen, denn nur so können Sie gute Algorithmen entwickeln."

Mehr Defensiv-Codierung

Lanzani geht davon aus, dass Datenwissenschaftler aufgrund der DSGVO anfangen werden, defensiver zu kodieren, und daher viele zusätzliche Prüfungen einbauen werden. "Stellen Sie sich vor, Sie haben einen Online-Shop und möchten eine Marketing-E-Mail versenden. Dafür erhalten Sie einen Dump aus den Daten des Online-Shops. Wenn die Dinge so sind, wie sie sein sollten, haben die Leute, die diesen Dump liefern, die Personen herausgefiltert, die angegeben haben, dass sie keine E-Mails erhalten möchten, aber in großen Organisationen funktionieren diese Prozesse nicht immer perfekt. Ich kann mir vorstellen, dass Sie jetzt zusätzliche Überprüfungen einbauen werden. Ein Metadatenregister kann Ihnen dabei helfen."

Das Recht auf Datenübertragbarkeit bedeutet auch, dass die GDPR Chancen für Datenwissenschaftler bietet, sagt Lanzani. "Wenn die Verbraucher ihre Daten tatsächlich von einem Unternehmen zum anderen mitnehmen können, können wir sie viel besser bedienen."

100 Prozent konform

Um es klar zu sagen: Wenn Unternehmen sagen, dass Sie zu 100 Prozent compliant sein wollen, hat das keinen Sinn, wenn Sie keine klaren und bewussten Entscheidungen treffen und Ihre Prozesse nicht als nächstes umstrukturieren. Viele Unternehmen sind noch nicht so weit.

Die GDPR ist ein guter Grund für Unternehmen, sich die Speicherung und Nutzung ihrer Daten genau anzusehen, sagt Van Balen. "Um dann damit zu beginnen, die notwendigen Änderungen innerhalb der Organisation vorzunehmen. Denn am 25. Mai geht es dann richtig los."

Juliette van Balen, Dave van Stein und Giovanni Lanzani unterrichten die GDPR & Datenschutzschulung an der Xebia Academy. Sie werden jeweils die wichtigsten Aspekte des Gesetzes aus ihrer Sicht erörtern. Klicken Sie hier für Daten und weitere Informationen