[DSGVO-Schritt 12] Verwaltung von Analysemodellen
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO müssen Organisationen sicherstellen, dass ihre Analysemodelle nicht die Rechte von betroffenen Personen wie Kunden, Mitarbeitern und potenziellen Neukunden beeinträchtigen.
In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Einrichtung eines Data-Governance-Programms vorgestellt, der die Einhaltung der DSGVO erleichtern soll.
Im zwölften Schritt geht es um die Verwaltung von Analysemodellen. Wenn Sie mehr über die ersten elf Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.
Analysemodelle unter der DSGVO
Analysemodelle nutzen Kundenprofile, um künftige Verhaltensmuster vorauszusagen. Da diese Modelle personenbezogene Daten für Berechnungen verwenden, müssen Unternehmen unbedingt wissen, wie genau diese Informationen genutzt werden und ob personenbezogene Daten gefährdet sind.
Automatisierte Entscheidungsfindung und automatisiertes Profiling
Artikel 22 der DSGVO befasst sich mit automatisierten Entscheidungen im Einzelfall einschließlich Profiling. Demnach hat die betroffene Person das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber eine rechtliche Wirkung oder andere wesentliche Wirkungen entfaltet.
Dies impliziert, dass die betroffene Person einem Profiling durch ein Unternehmen explizit zustimmen muss, sofern es sich nicht um rechtmäßige Geschäftszwecke handelt, wie etwa die Überprüfung eines vorbestraften Bewerbers.
Hier ein weiteres Beispiel: Ein Unternehmen nutzt ein Analysemodell, um automatisch Bonusauszahlungen zu berechnen. Wenn das Unternehmen die Daten umfassend durch Verfahren wie die Anonymisierung schützt, die keinen Aufschluss über die Identität der betroffenen Person geben, ist eine Zustimmung nicht erforderlich. Sollte das Unternehmen für die Berechnung allerdings bestimmte Daten nutzen, die eine Identifizierung ermöglichen, muss die Zustimmung des entsprechenden Mitarbeiters eingeholt werden. Demnach kann der Artikel auch als Anreiz interpretiert werden bessere Datenmaskierungsstandards einzurichten.
Laut Erwägungsgrund 71 etwa sind Unternehmen dazu verpflichtet, Angaben über eine automatisierte Verarbeitung zu machen und die entsprechenden Ergebnisse der betroffenen Person zur Verfügung zu stellen („Recht auf Erklärung“).
Ungleiche Behandlung und nachteilige Auswirkung
Laut Artikel 9 der DSGVO müssen Rechts- und Compliance-Abteilungen die Nutzung besonderer Kategorien personenbezogener Daten wie etwa ethnischer Herkunft, politischer Meinungen und sexueller Orientierung genehmigen. Trifft ein Unternehmen eine Entscheidung auf Basis einer dieser besonderen Kategorien, kann dies als diskriminierende Handlung ausgelegt werden. Daher muss zunächst eine Genehmigung eingeholt werden, um zu bestätigen, dass diese Information für die Verarbeitung absolut notwendig ist.
Allerdings könnte es Situationen geben, in denen das Unternehmen nicht absichtlich eine diskriminierende Handlung durchführt (disparate treatment), aber Ungleichheiten als mögliche Folge auftreten (disparate impact).Nehmen wir als Beispiel eine Bank, die Postleitzahlen in ihren Analysemodellen nutzt, um ihren Kunden Kreditangebote zu unterbreiten. Die Nutzung von Postleitzahlen könnte zu einer nachteiligen Auswirkung führen, wenn die Bank bestimmte Postleitzahlen für Gebiete ausschließt, in denen besonders viele Minderheiten leben.
Verwaltung von Analysemodellen
Analysemodelle in Unternehmen sind oft von mangelnder Transparenz geprägt und bieten keinen Einblick in die Logik hinter den Entscheidungsprozessen. Diese Modelle dürfen nicht länger unter dem Vorwand der Komplexität unter Verschluss gehalten werden. Wenn eine Bank etwa einem potenziellen Kunden kein Darlehen für eine Immobilie gewähren möchte, sollte der Grund dafür klar kommuniziert werden. Im Folgenden finden Sie einige Strategien für die Verwaltung von Analysemodellen:
- Einrichtung von Kontrollen durch ein Data-Governance-Team, welches sicherstellt, dass alle Modelle zuerst von der Rechts- und Compliance-Abteilung genehmigt werden, bevor sie für die Produktion freigegeben werden
- Schaffung gezielter Governance-Prozesse für Analysemodelle unter Berücksichtigung von Risiken und marketingbezogenen Verhaltenswahrscheinlichkeiten
- Gründliche Konzeption und Prüfung prädiktiver Modelle, um eine nachteilige Wirkung zu vermeiden
- Erstellung eines Modellinventars, um die Auswirkungen zu evaluieren, die entstehen, wenn neue Elemente hinzugefügt oder bestehende Elemente modifiziert werden
- Vereinfachung der Kommunikation zwischen Datenanalyse-, Governance-, Rechts- und Compliance-Teams
Data-Governance-Teams können ein Modellinventar mithilfe von Talend Metadata Manager erstellen, das den Namen und den Inhaber des Modells, Eingangs- und Ausgangsgrößen, Modellmethode, Erstellungsdatum und den Nachweis der Genehmigung durch die Rechts- und Compliance-Abteilung enthält. Da im Metadata Manager die Datenlandschaft bereits definiert ist, bietet er ein ideales Framework für die Integration des Modellinventars.
Die nächsten Schritte für die Verwaltung von Analysemodellen
Die Herausforderung bei der Verwaltung von Analysemodellen besteht darin, dass unterschiedliche Teams zusammenarbeiten müssen, wie etwa das Data-Science-Team (strategisch) und die Rechts- und Compliance-Abteilung (operativ). Damit diese Zusammenarbeit erfolgreich verläuft, müssen Unternehmen alte Denkmuster aufbrechen und den Schutz personenbezogener Daten gegenüber anderen Entscheidungskriterien priorisieren.
Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Verwaltung des End-User-Computings.
← Schritt 11 | Schritt 13 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung