Der von vielen Unternehmen lange gefürchtete Tag steht kurz vor der Tür: Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO, GDPR) in Kraft. Die Verordnung in Unternehmen umzusetzen bedeutet für diese nicht nur einen erheblichen Mehraufwand, sondern verschlingt auch immense finanzielle Ressourcen: Schätzungen zufolge werden europäische Unternehmen durchschnittlich 1,4 Millionen Dollar dafür ausgeben, die Vorschriften einzuhalten, während US-Unternehmen mindestens 1 Million Dollar investieren.
Zu Recht: Denn die Nichteinhaltung der DSGVO-Vorschriften könnte Unternehmen hohe Geldstrafen kosten. Bei schweren Verstößen betragen diese bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens. Aktuelle Untersuchungen gehen davon aus, dass bis Ende 2021 mehr als eine Milliarde Euro an Sanktionen wegen Nichteinhaltung der Verordnung verhängt werden. Kein Wunder, denn in der Realität hapert es noch an der Umsetzung: Auch Ende dieses Jahres werden weniger als 50 Prozent der von der DSGVO betroffenen Unternehmen Compliance-fähig sein. Aber was können Technologie-Verantwortliche tun? Wie können Daten- und Security-Führungskräfte der Komplexität dieser Verordnung fristgerecht Herr werden?
Datenschutz 4.0
Die DSGVO geht weit über den puren Schutz personenbezogener Daten hinaus. Sie erfordert vom Unternehmen Prozessmanagement, den Nachweis von Compliance und die Anerkennung der (erlaubten) Nutzung in Form der "Rechtsgrundlagen für die Verarbeitung" und "Verarbeitungszwecke". Für Unternehmen, die der neuen Regelung unterliegen, ist es wichtig, mit der erforderlichen Umsetzung der Verordnung so früh wie möglich zu beginnen, um einen reibungslosen Übergang zu ermöglichen.
Unternehmen, die nicht daran gewöhnt sind, im Rahmen des umfassenden Konzepts personenbezogener Daten zu arbeiten, müssen nun neue Richtlinien, erweiterte Verfahren und Compliance-Mechanismen einführen und entwickeln. Denn nach den neuen Regeln der DSGVO müssen alle Maßnahmen zur Datenverarbeitung berücksichtigt werden - von der Beschaffung oder Erstellung der Daten bis hin zu ihrer Vernichtung am Ende des Lebenszyklus. Diese Verarbeitung umfasst das Kopieren, Ändern, Pseudonymisieren, Übertragen und Speichern - also im weiteren Sinne jeden Kontaktpunkt mit Daten.
Herkömmliche Plattformen konzentrieren sich jedoch meist nur auf einen Prozess. Beispielsweise unterscheidet sich der Ansatz für strukturierte Daten häufig von dem für unstrukturierte oder halbstrukturierte Daten in einem Unternehmen. In Anbetracht der Millionen von Datenpunkten strukturierter und unstrukturierter Daten ist die Automatisierung durch Künstliche Intelligenz von entscheidender Bedeutung, um die DSGVO-Konformität in der Praxis zu erreichen und nachzuweisen.
Intelligente Daten dank Künstlicher Intelligenz
Herkömmliche Compliance-Lösungen können die Komplexität der Datenschutzgrundverordnung meist nicht bewältigen, da die Produkte oft prozessspezifisch sind und sich nur auf eine enge Interpretation von Daten beziehen, anstatt auf die viel weiter gefasste Definition von personenbezogenen Daten der DSGVO. Nach der neuen Verordnung gilt jeder Datenpunkt, der einen Menschen identifizieren könnte, als personenbezogen: Name, Geschlecht, biometrische Merkmale, aber auch IP-Adressen und Autokennzeichen.
Anwendungen, die mit Künstlicher Intelligenz in Form von Machine Learning (ML) arbeiten, können schnelle, zuverlässige und vor allem sich permanent weiterentwickelnde granulare Einblicke liefern, die allen Anforderungen des Lebenszyklus - von der Aufzeichnung über die Veränderung und Auswertung - von persönlichen Daten der DSGVO entsprechen.
Basierend auf gesammelten Daten, Nutzungsanalysen und anderen Beobachtungen lernen Anwendungen der Künstlichen Intelligenz permanent dazu, ohne explizit programmiert zu werden. Im Gegensatz zu herkömmlichen Datensicherheitslösungen können Produkte, die selbstorganisierte KI-basierte Anwendungen in Form von ML-Algorithmen verwenden, die Verfolgung und Katalogisierung von Daten über hybride Implementierungen hinweg verbessern.
Diese Produkte können Unternehmen auch bei einer genaueren Berichterstattung unterstützen und gleichzeitig helfen die DSGVO-Compliance zu erreichen. Denn die Leistungsfähigkeit von ML beruht auf Algorithmen, die Muster in und zwischen Datensätzen identifizieren und vorhersagen können. Dadurch ist es auch möglich, versteckte Informationen aufzudecken, die möglicherweise gegen die Richtlinien der DSGVO verstoßen könnten.
Weil KI-Anwendungen den Prozess für die Erkennung und ordnungsgemäße Erfassung aller Arten von Daten und Datenbeziehungen automatisieren, können Unternehmen einen umfassenden Überblick gewinnen, in welchen strukturierten und unstrukturierten Quellen sich Compliance-bezogene Daten verbergen. KI-Tools können Unternehmen zudem dabei helfen, schnell auf Audit-Anfragen von Regulierungsbehörden zu reagieren.
KI-basierte Datenverarbeitung
Datenerkennungsfunktionen ermöglichen es Unternehmen, Daten über mehrere Silos hinweg optimal zu lokalisieren und zu schützen. Mit Hilfe von Algorithmen lassen sich die Effektivität und das Clustering erweitern und manchmal sogar Daten aus der Signal- und Bildverarbeitung klassifizieren. Darüber hinaus sind KI-Lösungen zunehmend in der Lage, Daten auf der Basis semantischer Ähnlichkeiten zu entdecken und sogar zu aggregieren. Beispielsweise verlangt die DSGVO von Unternehmen, dass sie neben Text- und Zahleninformationen auch Audiodateien berücksichtigen, was oftmals eine große Herausforderung für viele Unternehmen darstellt.
Abhilfe im Daten-Wirrwarr können Sprach-zu-Text-Lösungen mit Discovery- und Mining-Funktionalität bieten. Sind die Daten erst einmal identifiziert, müssen sie noch klassifiziert (z.B. durch Metadatenbeschriftung beziehungsweise Tagging) und gemappt werden. Auch die autorisierte Nutzung während des gesamten Datenlebenszyklus ist zu erfassen. Dazu gehören Funktionen zur Bereitstellung von Indikatoren für Datenverstöße, Datenabstammung und ähnliche Informationen, die für die Einhaltung von Vorschriften relevant sind.
Datenschutz und Compliance
Effektives Datenschutzmanagement erfordert Strategien, Mitarbeiter-Ressourcen, neue Prozesse und intelligente Tools, um das Vertrauen der Mitarbeiter und Kunden zu wahren und gleichzeitig die Datenschutzanforderungen zu erfüllen. Verschiedene Gesetze und Vorschriften auf der ganzen Welt überschneiden sich in dem, was dafür erforderlich ist. Funktionen für die Prüfung oder die Anwendung von Regulierungsalgorithmen können dabei helfen, die Einhaltung der Vorschriften in verschiedenen Rechtsordnungen nachzuweisen. Compliance-Dashboards, die oft leicht durch Gap-Analysen und identifizierte Abhilfemaßnahmen ergänzt werden können, sind wichtig für jede Compliance- und risikobasierte Aktivität - insbesondere auch für die Anforderungen der DSGVO.
Die Fähigkeiten Künstlicher Intelligenz können für Bereitschaftsberichte, prinzipien- und/oder risikobasierte Dashboards sowie gezielte zusammenfassende Berichte für Business Risk Manager und Datenschutzbeauftragte eingesetzt werden. Ebenso sind risikobasierte und revisionssichere Berichte für die Erkennung und Nachbereitung von Datenverstößen relevant.
Technologien wie Chatbots und Natural-Language-Processing (NLP) können für hochfrequente Kundeninteraktionen eingesetzt werden: Beispielsweise, um Anfragen von Privatpersonen zu beantworten, die sich erkundigen, welche personenbezogenen Daten von ihnen verarbeitet werden.
Die Europäische Datenschutzgrundverordnung erfordert einen neuen, skalierbaren, den Schutz der Privatsphäre wahrenden Ansatz für die Analyse und Verarbeitung personenbezogener Daten. Damit fordert sie sicherlich eine radikale Veränderung im Umgang mit personenbezogenen Daten. Sie ändert den Begriff der personenbezogenen Daten vollständig, erweitert den Begriff und gibt Individuen mehr Macht über ihre Daten.
Darüber hinaus werden sehr wahrscheinlich weitere Verordnungen folgen. Beispiele hierfür sind die ePrivacy-Verordnung und andere Rechtsordnungen, die ähnliche Anforderungen an die Kontrolle personenbezogener Daten stellen. Mit Hilfe von Künstlicher Intelligenz haben Unternehmen die Möglichkeit diesen Verordnungen Herr zu werden. (mb)