Während KI, Datenschutztechnik und Quantencomputer die Datenlandschaft neu definieren, wird die Komplexität der Compliance immer beängstigender. Jorge Cuevas von TWIPLA sprach mit Aaron Weller, Leiter des Bereichs Datenschutz bei HP, um zu erfahren, wie Unternehmen mit zufälligen Datenrisiken umgehen, Datenschutzpraktiken vereinfachen und die Anforderungen sich überschneidender Vorschriften erfüllen können.

Was von und über uns durch die Nutzung der Technologie weitergegeben wird, kann beunruhigend sein. Unsere Aktivitäten erzeugen eine enorme Menge an Daten, die zu einer Vielzahl von Erzählungen über unser Leben beitragen, die dann in größeren Datensätzen zusammengestellt werden, um Werbung für uns zu erstellen, Inhalte auf uns abzustimmen und Vorhersagen über uns zu treffen.

Je mehr Informationen Unternehmen sammeln können, desto differenzierter ist das Bild, das sie von einer Person zeichnen können. Eine der größten Herausforderungen für den Schutz der Privatsphäre durch KI ist das Risiko, das von den Daten ausgeht, die wir als nicht personenbezogen oder zufällig betrachten, die aber dennoch zu einem Gesamtprofil einer Person beitragen können. Unternehmen, die Datenschutzprüfungen nur dann auslösen, wenn personenbezogene Daten vorliegen, setzen sich und ihre Kunden daher unwissentlich einem erhöhten Risiko aus.

KI eignet sich hervorragend zur Mustererkennung, was ein Risiko für deidentifizierte, aggregierte und pseudonymisierte Daten darstellt. Selbst verschlüsselte Daten können im Zuge des technologischen Fortschritts gefährdet sein. Führende Unternehmen setzen bereits quantenresistente Verschlüsselungstechniken ein, um sich gegen die zunehmenden Möglichkeiten der Quantencomputer zu schützen. Ohne robuste, klar definierte und regelmäßig aktualisierte Standards für die Aggregation, De-Identifizierung und Verschlüsselung laufen wir Gefahr, Daten entgegen den Präferenzen des Einzelnen zu verwenden und seine Rechte zu verletzen. Wir laufen auch Gefahr, personenbezogene Daten, die neu identifiziert oder versehentlich mit einer Person in Verbindung gebracht wurden, nicht genau identifizieren und lokalisieren zu können, wodurch wir nicht in der Lage sind, auf Anfragen von Einzelpersonen oder Datenbehörden nach Zugang oder Rechenschaftspflicht angemessen zu reagieren.

Zufällige Daten können Daten umfassen, die über eine betroffene Person unbeabsichtigt, durch Schlussfolgerung, Zufall oder aus indirekten Quellen gesammelt oder beigetragen wurden. Es gibt viele Datenpunkte, die sich auf eine Person beziehen, die keine direkten oder unmittelbaren Identifikatoren sind, die aber mit bekannten Profilen oder zusätzlichen Datensätzen kombiniert werden können, um Informationen über eine Person zu liefern, die diese nicht absichtlich angegeben hat.

Neue Technologien und Werkzeuge können auch neue Möglichkeiten zur Erfassung zufälliger Daten schaffen, die zuvor nicht identifizierte Daten identifizierbar machen oder neue Erkenntnisse aus einem alten Datensatz gewinnen. In vielen Fällen konnten diese neuen Datenanwendungen von den betroffenen Personen nicht vorhergesehen werden, was die Frage aufwirft, ob es legitim ist, sich darauf zu verlassen, dass der Einwilligungs- und Erfassungsprozess die Präferenzen der Nutzer im Laufe der Zeit wirklich widerspiegelt.

Zweckbindung und ein Einwilligungsverfahren, das die Achtung der Rechte und Präferenzen der Personen in den Vordergrund stellt, sind der Schlüssel zur Entschärfung dieser Probleme. Die Verwendung von Informationen nur für die zum Zeitpunkt der Erhebung angegebenen Zwecke trägt dazu bei, das Risiko zu verringern, dass zufällige Informationen für nicht autorisierte Zwecke verwendet werden, und stellt sicher, dass sowohl der Wortlaut als auch der Geist der Zustimmung beachtet werden.

Informationen, die deidentifiziert oder verschlüsselt wurden, sollten nicht zur Erstellung von Personenprofilen verwendet werden, unabhängig davon, ob neue Technologien die Möglichkeit dazu bieten. Indem wir das Risiko der Re-Identifizierung verringern, reduzieren wir das Risiko, dass wir Anfragen von Einzelpersonen oder behördlichen Prüfungen nicht nachkommen können.

Mit der zunehmenden Komplexität der Datenerhebungsmethoden wird auch die transparente Offenlegung der Datennutzung und -verarbeitung entsprechend komplex. Um sicherzustellen, dass Sie diese komplexen Konzepte auf eine Art und Weise kommunizieren, die zugänglich und verständlich ist, gibt es drei wichtige Schritte zur Erstellung einer Datenschutzrichtlinie oder eines Hinweises, die Sie befolgen können.

2.1. Seien Sie konkret

Viele regionale und sektorale Gesetze verlangen, dass Organisationen, die Daten verarbeiten, in ihren Richtlinien transparent darlegen, wie Daten erfasst, verwendet und weitergegeben werden. Diese Transparenzanforderungen können zu einem Flickenteppich von Richtlinien und Prozessen führen, der für die Benutzer sowohl entfremdend als auch verwirrend zu entschlüsseln ist. Wenn Sie beispielsweise mehrere Datenerfassungsschnittstellen, -schemata und -prozesse haben, sollten diese Prozesse klar unterschieden werden, um Verwirrung zu vermeiden. Der Versuch, die Beschreibung dessen, was Sie sammeln, auf den kleinsten gemeinsamen Nenner zu bringen, kann zu einer übermäßig verallgemeinerten und irreführenden Sprache führen.

Nicht alle Benutzer werden an allen Aspekten eines angebotenen Dienstes teilnehmen, und diese Benutzer sollten in der Lage sein, einfach und schnell zu bestimmen, welche Interaktionen mit dem Dienst zu jeder Art von Datenerfassung führen werden. Dies wird den Nutzern helfen, fundierte Entscheidungen darüber zu treffen, wie sie mit den angebotenen Diensten interagieren.

2.2. Einheitlich sein

Ihr Dokument sollte übersichtlich und einfach zu navigieren sein. Verwenden Sie interne Verweise und Hyperlinks, um sicherzustellen, dass verwandte Konzepte und Angaben miteinander verknüpft sind, damit der Zugang erleichtert wird. Die Verwendung einer einheitlichen Sprache und einheitlicher Begriffe kann dazu beitragen, dass die Konzepte übersichtlich und klar bleiben.

Die Begriffe sollten im Vorfeld klar definiert werden, und die Definitionen sollten in einem verlinkten Glossar nachgeschlagen werden können, um sicherzustellen, dass jedes Dokument auf einer grundlegenden Ebene analysiert und verstanden werden kann. Die Verwendung einer einheitlichen Sprache in allen Dokumenten verringert die Verwirrung und verhindert die Vermischung verwandter Konzepte oder Dienstleistungen. Sie sollten auch die Zielgruppe(n) für diese Dokumente berücksichtigen. Kommunikation ist dann gegeben, wenn die Botschaft empfangen und verstanden wird. Sie möchten, dass Ihre Dokumente kommuniziert werden und nicht nur zur Überprüfung zur Verfügung stehen.

2.3. Bieten Sie abgestuften Zugang zu den Dokumenten

Nicht alles muss auf der Titelseite erscheinen. Die Komplexität Ihrer Offenlegungen kann mit zunehmender Spezifität steigen. Wenn Sie den Nutzern die Möglichkeit geben, schrittweise auf weitere Informationen zuzugreifen, vermeiden Sie, dass sie von vornherein überfordert werden, und bieten eine klare und spezifische Methode für den Zugriff auf weitere Informationen.

Diese Dokumente so zu organisieren, dass sie für die Nutzer, die Informationen suchen, zugänglich und umfassend sind, ist nicht nur eine Gefälligkeit, sondern eine strategische Investition in die kontinuierliche Transparenz Ihrer Prozesse und in den Wert Ihrer Marke.