Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Datenschutzbeauftragte sind in Europa Mangelware

Für viele Unternehmen wird der 28. Mai 2018 zu einem Wendepunkt in der Datensicherheit werden: Ab diesem Tag gilt die Datenschutz-Grundverordnung (DS-GVO), die den Datenschutz für alle natürlichen Personen in der Europäischen Union stärken und vereinheitlichen soll. Unternehmen in der gesamten EU (und weltweit) müssen für die Einhaltung der Bestimmungen gerüstet sein, denn unzureichender Datenschutz oder falscher Umgang mit Kundendaten wird mit hohen Geldbußen geahndet. Zur Überwachung des Datenschutzes schreibt die DS-GVO Unternehmen, die in großem Umfang Daten verarbeiten, die Benennung eines unabhängigen Datenschutzbeauftragten (DSB) vor. Der DSB wird sozusagen zur „Stimme“ für den Datenschutz und die DS-GVO-Compliance im Unternehmen.

Angesichts der Notwendigkeit, einen DSB zu benennen, drängt sich nicht zuletzt die folgende Frage auf: Wer soll diese Rolle eigentlich übernehmen, wenn es noch nicht einmal genügend Fachkräfte mit Sicherheitserfahrung gibt, um die bereits bestehenden Positionen zu besetzen? Laut einer IAPP-Studie vom April 2016 (http://bit.ly/1T2hZOi) werden in Europa „mindestens“ 28.000 DSB (Datenschutzbeauftragte) benötigt, um die Compliance-Anforderungen zu erfüllen. Und bezieht man alle Unternehmen weltweit ein, die Daten von Personen in der EU verarbeiten, dürfte die Zahl auf schätzungsweise 75.000 DSB steigen. Ein gravierender Mangel an qualifizierten Datenschutzexperten ist somit wahrscheinlich, wenn nicht gar unausweichlich.

Allerdings weisen einige Vertreter der Technologiebranche in letzter Zeit darauf hin, dass künstliche Intelligenz und maschinelles Lernen Mittel sein könnten, um den Datenschutzbeauftragten unter die Arme zu greifen. Angesichts der sensiblen Daten, um die es hier geht, könnte es jedoch strittig sein, ob Maschinen eingesetzt werden dürfen, die so komplexe Prozesse erlernen und ausführen können, wie sie für den Datenschutz notwendig sind. Um einschätzen zu können, wie erfolgversprechend diese Art der Problemlösung tatsächlich ist, muss man erst verstehen, welche Aufgaben ein DSB zu erfüllen hat.

Gemäß DS-GVO soll der DSB als unabhängige Instanz fungieren, die dafür sorgt, dass die Daten natürlicher Personen in der EU korrekt gehandhabt und verwendet werden. Der DSB soll sich über die geltenden Datenschutzgesetze und -praktiken auf dem Laufenden halten, interne Datenschutz-Folgenabschätzungen durchführen und dafür sorgen, dass auch alle anderen Datenschutzbelange berücksichtigt werden. Typische Zuständigkeiten eines DSB werden unter anderem sein: Aufbewahrung von Daten; Anonymisierung von Daten; Einschätzung der Sicherheitsrisiken durch Geschäftspraktiken, für die personenbezogene Daten erforderlich sind; Datenschutz-Folgenabschätzungen für neue Produkte, Dienstleistungen und Plattformen, bei Anbieterbewertungen und Audits; sowie Aufgaben im Zusammenhang mit dem Internet der Dinge (IoT) und Sicherheitsverletzungen.

Dass die Aufgaben des DSB arbeitsintensiv sind, liegt auf der Hand. In einer kürzlich durchgeführten Umfrage unter IT-Sicherheitsexperten (http://bit.ly/2wiNy49) äußerten allerdings mehr als die Hälfte der Befragten (55 Prozent) die Meinung, dass KI-Lösungen oder maschinelle Lernverfahren einen Teil der beträchtlichen Arbeitsbelastung des DSB verringern könnten.

Da die meisten Unternehmen, die der DS-GVO unterliegen, mit großen Datenmengen arbeiten, bietet sich eine Lösung auf Basis maschinellen Lernens oder künstlicher Intelligenz geradezu an. Machine-Learning-Technologien sind unglaublich gut darin, große Datensätze zu analysieren und Muster für gutes und schlechtes Verhalten anzulegen. Statt eines Datenschutzbeauftragten, der mehrere Experten braucht, um Trends und Muster innerhalb der Datensätze zu analysieren, könnte für diese Tätigkeit eine Machine-Learning-Lösung eingesetzt werden, die sie viel schneller, gründlicher und letztlich kostengünstiger erledigt. Dies kann dazu beitragen, eine automatisierte Antwort auf eine der häufigsten Gefahren für Daten im Unternehmen zu finden: interne Bedrohungen. Internen Bedrohungen können zwar unterschiedliche Motive zugrunde liegen – manche Benutzer sind einfach sorglos oder nachlässig, während andere tatsächlich böse Absichten haben und aus dem Verkauf von Daten Profit schlagen wollen. Jedoch dürfte allen internen Bedrohungen gemein sein, dass sie sich in Anomalien äußern, die durch den unangemessenen Zugriff auf Daten entstehen.

Spezifische Techniken der künstlichen Intelligenz, wie etwa die Verarbeitung natürlicher Sprache (NLP), könnten Lösungen für einige Probleme liefern, die im Zusammenhang mit sensiblen Daten entstehen. Technologien zur Verarbeitung natürlicher Sprache werden bereits auf anderen Gebieten eingesetzt, zum Beispiel im juristischen Bereich, um große Mengen von Dokumenten zu analysieren und festzustellen, welche für einen Fall relevant erscheinen. Mithilfe der gleichen Technologie ließe sich beispielsweise auch ermitteln, ob Daten abgelaufen sind oder nicht mehr benötigt werden.

Lösungen auf Basis künstlicher Intelligenz und maschinellen Lernens könnten die Tätigkeit des DSB wesentlich verändern, da sie in der Lage sind, große Datenmengen in einem Bruchteil der Zeit zu bewerten und zu analysieren, die selbst der kompetenteste Sicherheitsmitarbeiter benötigen würde.

Fazit:

Doch wie so oft, wenn es um die Vorteile von menschlicher Arbeit gegenüber künstlicher Intelligenz geht, gilt auch hier: Es gibt Aufgaben, bei denen Schlüsse gezogen werden müssen, die für ein automatisiertes DSB-System schlichtweg zu komplex sind – zumindest vorerst. Für eine Reihe der diffizileren Aspekte im Umgang mit den Daten eines Unternehmens – zum Beispiel die notwendigen Abläufe im Fall einer Datenschutzverletzung, die Erteilung erforderlicher Empfehlungen zur Einhaltung von Vorschriften oder die Weiterleitung datenbezogener Anfragen an die entsprechenden Mitarbeiter – wird zweifellos nach wie vor eine Fachkraft benötigt, die im Umgang mit Daten und Sicherheitsfragen versiert ist und zudem mit den rechtlichen Strukturen rund um die Daten-Compliance vertraut ist und die Folgen von Sicherheitsmängeln versteht. Aus diesen und anderen Gründen können Unternehmen, die personenbezogene Daten aus der EU verarbeiten, nicht ausschließlich auf Maschinen setzen. Hoffen dürfen wir jedoch, dass künstliche Intelligenz und maschinelles Lernen die Bürden eines DSB künftig verringern können.

Autor: Terry Ray, CTO von Imperva