Article

Personally Identifiable Information (PII)

Der Schlüssel zu rechtskonformer Datenauswertung

Um eine rechtskonforme Transformation von personenbezogenen und personenbeziehbaren Daten flexibel, strukturiert und einfach zu ermöglichen, hat Deloitte die „PII Suite“ entwickelt: Einen Werkzeugkasten, der Prozesse, Ressourcen und Technologien umfasst, die auf technischer Expertise sowie langjähriger Erfahrung in der Umsetzung datenschutzkonformer Analytics-Projekte beruhen.

Schöne digitale Welt

Ob Buchung, Transaktion oder der Versand einer E-Mail – mit jedem Klick entstehen Daten. Diese erlauben es Unternehmen, Aussagen zum Status quo zu treffen oder Prognosen zu erstellen. Mit steigender Rechenleistung werden weltweit zunehmend große Datenmengen aus unterschiedlichen Quellen zusammengeführt, aufbereitet und strukturiert ausgewertet. Viele Unternehmen machen sich diese Datenauswertungen zunutze und optimieren mittels der generierten Erkenntnisse ihre Geschäftsprozesse, die Zusammenarbeit mit Zulieferern und Marketingmaßnahmen. 

Die Möglichkeiten der Datennutzung scheinen immens und vielversprechend, bergen jedoch vielfältige Herausforderungen für Unternehmen aller Größenordnungen. Denn bedingt durch die wachsende Bedrohung durch Cyberangriffe und Datenlecks sowie Neuerungen in der Datenschutzgrundverordnung (DSGVO) hat sich die gesellschaftliche Perspektive in Bezug auf das Thema Datenschutz geändert. Unternehmen müssen ihre personenbezogenen Daten immer besser schützen und sind verpflichtet, Verbraucher transparent über die Speicherung und Verwendung ihrer Daten zu informieren. Dabei stellt sich nicht nur die Frage, wie Verbraucher über Trackingmöglichkeiten und die Verwendung ihrer Daten, z.B.  für Marketingzwecke, aufgeklärt werden, sondern auch, wie sich Datenanalysen und der Schutz der Rechte natürlicher Personen bestmöglich vereinbaren lassen.

Fachartikel "The key to legally compliant data anaylsis – GDPR & PII"

In: Deutscher AnwaltSpiegel Going Digital. 03/2022. S. 9-11.

Zwischen Verfremdung und struktureller Integrität

Die Klärung der rechtlichen Grenzen, insbesondere der Frage, wann und in welchem Ausmaß personenbezogene Daten verarbeitet und ausgewertet werden dürfen, ist umso wichtiger, wenn personenbezogene Daten als Grundlage einer Verdachtsuntersuchung herangezogen werden sollen. Rechtlich sind durch die DSGVO in diesen Fällen oft enge Grenzen gesetzt. Beispielsweise können sensible Daten – wie etwa E-Mails oder die Daten des Buchhaltungssystems – nicht ohne einen begründeten Anlass analysiert und als „Beweismittel“ in eine Untersuchung einbezogen werden. Welche Voraussetzungen gelten und unter welchen Rahmenbedingungen eine Verarbeitung und Auswertung personenbezogener Daten rechtlich zulässig ist, hängt von vielen Faktoren ab und ist im Einzelfall individuell abzuwägen und aus datenschutzrechtlicher Perspektive formal zu beurteilen. Wurde die Verarbeitung und Auswertung personenbezogener Daten als zulässig erklärt und erfolgte die datenschutzrechtliche Freigabe für eine forensische Untersuchung, sind weitere Maßnahmen wie das Schwärzen, Pseudonymisieren oder Anonymisieren von Daten umzusetzen, um sicherzustellen, dass die sensiblen Daten während der gesamten Untersuchung geschützt sind.

PII - Personally Identifiable Information 

Persönlich identifizierbare Informationen, kurz: PII, sind alle Daten, die theoretisch zur Identifizierung einer bestimmten Person verwendet werden könnten. Beispiele hierfür sind Namen, Steuer-identifikationsnummern, Kontodaten oder auch Telefonnummern.

Pseudonymisierung

Wenn es um Daten geht, versteht man laut DSGVO unter Pseudonymisierung „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“. Sofern Daten mithilfe verfügbarer zusätzlicher Informationen wieder kenntlich gemacht werden könnten, werden sie entsprechend der DSGVO weiterhin als personenbezogene Daten betrachtet. 

Anonymisierung 

Daten gelten laut Erwägungsgrund 26 der DGSVO als anonym, wenn sie “sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder […] in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann“.

Mehr als nur die Farbe ändern: Dokumentenschwärzung

Das Schwärzen von Daten ist häufig erforderlich, wenn sie Dritten zur Verfügung gestellt werden sollen, zum Beispiel, wenn „Beweismittel“ an ausländische Behörden oder gegnerische Parteien in einem Rechtsstreit herauszugeben sind, oder wenn im Rahmen von M&A Transaktionen Unternehmensdaten an potentielle Käufer übermittelt werden sollen. Das Schwärzen dient dem Schutz der Rechte der natürlichen Personen und auch dem Schutz von Unternehmen, denn auf diese Weise wird sichergestellt, dass keine personenbezogenen Daten oder vertraulichen Informationen offengelegt werden. Wurde in der Vergangenheit noch wortwörtlich der Stift gezückt, um einzelne Schwärzungen auf Papierdokumenten vorzunehmen, so stellt es im Zeitalter von E-Mails und Dokumentenablagen für Unternehmen eine technische und prozessuale Herausforderung dar, elektronische Dokumente zuverlässig von personenbezogenen Daten und anderen vertraulichen Informationen zu befreien. 

Sogenannte Discovery-Software, die schon lange etablierter Standard in forensischen Untersuchungen ist, kann zum Auffinden und Schwärzen von Daten und Metadaten eingesetzt werden. Häufig ist dies jedoch ein manuell getriebener und aufwändiger Prozess, da zunächst festgestellt werden muss, welche Daten geschwärzt werden sollen. Ergänzend findet auch die sogenannte ‚Named Entity Recognition‘ vermehrt Anwendung, welche durch den Einsatz von Algorithmen eine automatisierte Identifizierung von Eigennamen und anderen Entitäten (z.B. Orten) ermöglicht.

Unabhängig von den eingesetzten Tools und Techniken muss in jedem Fall individuell abgewogen werden, welche Anforderungen an die Dokumentenschwärzung bestehen und welche Ressourcen dafür zur Verfügung stehen. Häufig wird in einem ersten Schritt eine automatische Schwärzung durchgeführt, auf welche in einem zweiten Schritt die manuelle Sichtung und Anpassung der Schwärzungen folgt, um die Qualität der Ergebnisse abzusichern. Angesichts fortschreitender Möglichkeiten ist davon auszugehen, dass vollautomatisierte Schwärzungen bald verfügbar sein werden, die neue Möglichkeiten der Auswertung von Daten, insbesondere von E-Mail-Daten, nach sich ziehen. Als wesentliche Frage bleibt dann zu klären, inwiefern AI-basierte Schwärzungen vor Gericht anerkannt werden können.

Die PII Suite – mit Technik und Methodik zum Erfolg

Die PII Suite von Deloitte ist praxiserprobt und hat sich bereits im Rahmen der Teilautomatisierung von Dokumentenschwärzungen bewährt, welche mittels automatisierter Schwärzungen (basierend auf Regeln oder Listen mit zu schwärzenden Begriffen) durchgeführt wurden.

Ein Bestandteil der PII Suite, der ‚Transformer‘, ermöglicht es zudem, den technischen Anforderungen an die Pseudonymisierung und Anonymisierung strukturierter Datenbestände einfach und flexibel gerecht zu werden. Große Mengen strukturierter Daten können in einem geleiteten Workflow in den PII-Transformer geladen und anschließend die enthaltenen personenbezogenen Felder einfach entfernt oder verfremdet werden. Sofern erforderlich, ist auch ein kontrolliertes Rückgängigmachen, d.h. eine Umkehr der Pseudonymisierung für einzelne Datenpunkte oder den gesamten Datenbestand möglich. PII-Transformer kann sowohl im Deloitte-Datencenter als auch On-Premise bei den Mandanten betrieben werden und bietet maximale Flexibilität bei der Umsetzung datenschutzrechtlicher Anforderungen. Gegenwärtig arbeitet Deloitte routinemäßig mit PII-Transformer im Rahmen von forensischen Datenanalysen. Das Tool wird aber auch außerhalb der Forensik erfolgreich von unseren Mandanten genutzt.

Fazit: Macht man sich die Möglichkeiten der Pseudonymisierung und Anonymisierung zu eigen, können Unternehmen das volle Potenzial von Daten ausschöpfen. Die PII Suite hilft dabei, strukturierte Daten einfach und schnell datenschutzkonform aufzubereiten und ressourceneffizient den Pflichten nachzukommen, die der Datenschutz an die Verarbeitung und Auswertung von personenbezogenen Daten stellt.

Für Fragen und Anfragen stehen wir Ihnen jederzeit gern zur Seite.

Fanden Sie diese Information hilfreich?