25. April 2016 - Schutzbedarf bestimmen

Wie Kontextinformationen dem Datenschutz helfen

Mit zusätzlichen Informationen personenbezogene Daten besser zu schützen, widerspricht auf den ersten Blick der Datensparsamkeit. Tatsächlich aber helfen Ihnen ergänzende Daten, die richtigen Schutzmaßnahmen zu definieren.

Kontextinformationen können dem Datenschutz helfen Wie bekommen Big-Data-Analysen mehr Aussagekraft? Kontextinformationen machen's (datenschutzkonform) möglich (Bild: putilich / iStock / Thinkstock)

Mehr Daten für mehr Datenschutz?

Wie Studien zeigen, gibt es bei Big Data ein Problem: Meistens betrachten Unternehmen die Daten isoliert, sie sind dann kaum aussagekräftig. Für die Analysen ist es jedoch wichtig, sie in dem Kontext zu sehen, in dem sie gesammelt wurden: Wo und wann wurden sie gesammelt, wer hat sie erfasst? Die Empfehlung von Big-Data-Beratern lautet dann, die Daten während der Erfassung mit zusätzlichen Kontextinformationen zu kennzeichnen.

Im ersten Moment klingt das, als ob die Systeme noch mehr Daten erfassen. Dass Big-Data-Analysen also zu immer mehr Daten führen, die erfasst, gespeichert und ausgewertet werden. Von Datenschutz bei Big Data und Datensparsamkeit kann da keine Rede sein.

Trotzdem kann es aus Sicht des Datenschutzes und der Datensicherheit sinnvoll sein, zu schützende Daten um weitere Daten zu ergänzen. Denn das Ziel der zusätzlichen Informationen über die vertraulichen Daten ist es, den Schutzbedarf der Daten genauer zu bestimmen. So macht es einen Unterschied,

  • wo die Daten gespeichert sind,
  • wer auf die Daten Zugriff haben soll und
  • zu welchem Zweck sie eingesetzt werden.

Kontextinformationen helfen beim Schutzbedarf

Damit Sie als Datenschutzbeauftragter Daten verhältnismäßig schützen können, müssen Sie wissen, welchem Risiko sie ausgesetzt sind. Wie die Daten verarbeitet werden dürfen und wie nicht. Dazu gehört es zu wissen,

  • wer die Betroffenen sind, wenn bestimmte Daten verarbeitet werden sollen,
  • ob ein Einverständnis vorliegt und
  • welche Sicherheitsmaßnahmen ggf. vertraglich vereinbart wurden.

Mit dem Kontext der Daten und den Informationen zu Einverständnis und Nutzeridentitäten können Sie den Schutzbedarf hoch, mittel oder niedrig ansetzen.

Lösungen zur Datenklassifizierung suchen nach genau solchen Informationen, um Berichte zum Schutzbedarf zu erzeugen und je nach Anbieter direkt passende Schutzmaßnahmen wie die Verschlüsselung der Daten anzustoßen. Ohne die entsprechenden Informationen kann die Datenklassifizierung nicht zuverlässig gelingen. Sie ist ungenau und führt letztlich zu Lücken in der Datensicherheit.

Beispiel: kontextabhängige Zugriffskontrolle

Eine wichtige Entwicklung in der Datensicherheit ist es, Abwehrmaßnahmen zunehmend automatisch durchzuführen. Das geschieht auf Basis von

  • Sicherheitsanalysen,
  • erkannten Sicherheitsereignissen und
  • vorhergesagten Bedrohungen.

Diese automatische IT-Sicherheit benötigt aber Informationen über die zu schützenden Daten. Ein Beispiel ist die Zugriffskontrolle.

Laut einer Studie von Dimensional Research im Auftrag von Dell berichten 91 % der Anwender, dass sie sich durch Maßnahmen zur Zugriffskontrolle bei ihrer Arbeit eingeschränkt fühlen. 92 % von ihnen sind darüber hinaus der Meinung, dass zusätzliche Schutzvorkehrungen ihre Fernzugriffe auf die IT-Systeme beeinträchtigen.

Welche Folgen das hat, berichten die IT-Verantwortlichen: Knapp 70% von ihnen gaben an, dass ihre Mitarbeiter die Sicherheitsrichtlinien umgehen und ihr Unternehmen damit einem erhöhten Risiko aussetzen. Abhilfe versprechen sich die IT-Verantwortlichen vor allem von einem kontextsensitiven Zugriffsmanagement. So glauben 97 % von ihnen, dass es von Vorteil wäre, wenn ihr Unternehmen einen solchen Ansatz verfolgte.

Eine kontextabhängige Zugriffskontrolle ermittelt Zugriffsberechtigungen nicht anhand von Identitäten, sondern auf Basis von Attributen wie Ort, Zeit oder Gerät. Das ermöglicht dynamische Lösungen, die weniger restriktiv, aber sicher sind.

Der Kontext von Daten hilft dem Datenschutz

Wenn berechtigte Stelle und Systeme mehr über die zu schützenden Daten wissen, lässt sich

  • der Schutzbedarf besser bestimmen,
  • der Schutz anpassen und
  • der Datenschutz wie gefordert verhältnismäßig umsetzen.

Transparenz in der Datenverarbeitung dient damit dem Datenschutz. Natürlich dürfen weder die zu schützenden Daten noch die Informationen über die Daten in falsche Hände gelangen. Auch Kontextinformationen brauchen also Schutz, abhängig vom Schutzbedarf der Daten, die sie näher beschreiben.


Download: Checkliste Kontextabhängiger Datenschutz


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln