6 Datensituation evaluieren
Diese Komponente hilft einzuschätzen, wie hoch das Offenlegungsrisiko der Datenverarbeitung ist und welche Schutzmaßnahmen ergriffen werden können
Benötigte Vorlagen:
In den vorangegangenen Schritten sollte ein Überblick über die Datensituation entstanden sein. Diese beinhaltet im besten Fall:
- den detaillierten Datenfluss (Komponente 2)
- die Charakterisierung der unterschiedlichen The fallback content to display on prerenderinginklusive der Rollen und Verantwortlichkeiten (Komponente 3)
- die Beschreibung der Eigenschaften der Daten (Komponente 4)
Nun werden die gesammelten Elemente zusammengeführt und evaluiert, indem sowohl die Sensibilität der Daten als auch das Risiko für die Identifizierung abgeschätzt und in ein Verhältnis zueinander gesetzt werden. Falls das Ergebnis dieser Evaluation positiv ist (die geplanten Schutzmechanismen reduzieren das Risiko auf ein angemessenes Maß im Verhältnis zu der Sensibilität der Daten), kann mit der Datenweitergabe fortgefahren werden. Andernfalls wird ein besseres, detaillierteres Risikoverständnis benötigt, um geeignete Mittel und Instrumente zur Eindämmung des Risikos auszuwählen. In diesem Fall geht es im nächsten Schritt zur detaillierteren Risikoeinschätzung (Komponente 7).
In der bereitgestellten Tabelle wird die Sensibilität der Datensituation in vier Aspekten erfasst: Einwilligung, Erwartungen der Betroffenen, Dateneigenschaften und schließlich Faktoren zur De-Sensibilisierung. Für jeden dieser Aspekte steht ein Fragebogen bereit. Jede Antwort in diesen Fragebögen wird anhand der angegebenen Bewertung in eine Punktzahl übersetzt. Aus diesen Ergebnissen ergibt sich eine Gesamtpunktzahl, die die Sensibilität der Datensituation grob abschätzt. Je höher die Punktzahl, desto sensibler ist die Datensituation. Der Sensibilität der Datensituation wird das Risiko gegenübergestellt. Dieses Risiko wird in einem gesonderten Fragebogen abgeschätzt.
Anhand der dortigen Antworten lässt sich eine Gesamtbewertung vornehmen, aus der eine Empfehlung für das weitere Vorgehen hervorgeht.
Im Folgenden bearbeiten wir die Fragebögen für unser zuvor eingeführtes Beispiel mit dem Micro-Mobilitäts Anbieter Scoooot.
Sensibilität der Daten
Einwilligung
Es gibt zahlreiche Gründe, warum betroffene Personen nicht wollen, dass ihre Daten weitergegeben oder verarbeitet werden. Deswegen sollten die betroffenen Personen im Idealfall der Verarbeitung zugestimmt haben. Im Prinzip ist diese Einwilligung eine einfache Idee: Die betroffenen Personen werden gefragt "Darf ich X mit Ihren Daten machen?" und sie antworten mit "Ja" oder "Nein". In der Praxis ist die Situation jedoch sehr viel komplizierter als das.
Es geht hier nicht um die Einwilligung im rechtstechnischen Sinne (im Rahmen der DSGVO oder anderer Rechtsinstrumente), sondern vielmehr um das generelle Konzept.
Bewertungs-Schema
| Antwort | Punktzahl |
|---|---|
| Ja | 0 Punkte |
| Nein / Weiß ich nicht | 1 Punkt |
Fragebogen
| Frage | Antwort | Punktzahl | Erklärung |
|---|---|---|---|
| 1. Sind sich die betroffenen Personen bewusst, dass ihre Daten überhaupt erhoben wurden? | Ja | 0 | Kund:innen führen aktiv Transaktionen in der App aus und sind sich daher dessen bewusst. |
| 2. Haben die betroffenen Personen (ausdrücklich oder stillschweigend) der Erhebung ihrer Daten zugestimmt? | Ja | 0 | Die App erfordert Einwilligung zur Datenerhebung. |
| 3. War es den betroffenen Personen völlig freigestellt, der Erhebung ihrer Daten zuzustimmen (oder haben sie der Erhebung zugestimmt, weil sie etwas wollen (eine Ware oder eine Dienstleistung), für die sie einige Daten preisgeben müssen, bevor sie sie erhalten können)? | Nein | 1 | Kund:innen müssen zustimmen um den Service nutzen zu können. |
| 4. Sind die betroffenen Personen über die ursprüngliche Verwendung ihrer Daten informiert? | Ja | 0 | In der Datenschutzerklärung wird die Verwendung der Daten erläutert. |
| 5. Haben die betroffenen Personen (ausdrücklich oder stillschweigend) der ursprünglichen Verwendung ihrer Daten zugestimmt? | Ja | 0 | Die Personen haben der ursprünglichen Verwendung, der Rechnungsstellung der getätigten Fahrten, zugestimmt. |
| 6. Haben die betroffenen Personen generell der Weitergabe einer funktional anonymisierten Version ihrer Daten zugestimmt? | Ja | 0 | In der Datenschutzerklärung wird die Möglichkeit der anonymisierten Weitergabe der Daten aufgeführt. |
| 7. Sind den betroffenen Personen die spezifischen Organisationen bekannt, mit denen Sie eine funktional anonymisierte Version ihrer Daten teilen? | Nein | 1 | Das ÖPNV-Unternehmen ist nicht spezifisch in der Datenschutzerklärung genannt. |
| 8. Haben sie zugestimmt, dass Sie ihre Daten an diese Organisationen weitergeben? | Nein | 1 | s.o. |
| 9. Sind sich die betroffenen Personen über die besondere Verwendung ihrer funktional anonymisierten Daten bewusst? | Ja | 0 | Die Verwendung zur Weitergabe für Zwecke der Verbesserung der öffentlichen Infrastruktur wurde in der Datenschutzerklärung abgedeckt. |
| 10. Haben sie diesen Verwendungen zugestimmt? | Ja | 0 | Eine Einwilligung ist notwendig für die Verwendung der App. |
| Gesamtpunkte Einwilligungs-Sensibilität: | 3 |
Erwartung
Neben der Einwilligung ist auch die Frage wichtig, ob eine bestimmte Weitergabe oder Freigabe den berechtigten Erwartungen der betroffenen Personen entspricht. Das wird in den nachfolgenden Fragen evaluiert.
Bewertungs-Schema
| Antwort | Punktzahl Frage 1-2 | Punktzahl Frage 3-6 |
|---|---|---|
| Ja | 0 Punkte | 1 Punkt |
| Weiß ich nicht | 1 Punkt | 1 Punkt |
| Nein | 1 Punkt | 0 Punkte |
Fragebogen
| Fragen | Antwort | Punktzahl | Erklärung |
|---|---|---|---|
| 1. Besteht eine solche Beziehung zwischen Ihrer Organisation und den betroffenen Personen, dass eine durchschnittlich informierte betroffene Person erwarten würde, dass die Organisation Zugang zu den Daten hat? | Ja | 0 | Ja, da wir als Mobility Sharing Provider eine direkte Kundenbeziehung zu den Betroffenen haben. |
| 2. Steht die empfangende Organisation in einer Beziehung zu den betroffenen Personen, so dass eine durchschnittlich informierte betroffene Person erwarten würde, dass sie Zugang zu ihren Daten hat? | Nein | 1 | Unsere Kund:innen haben nicht zwangsläufig eine Beziehung zum ÖPNV-Unternehmen. |
| 3. Handelt es sich bei der empfangenden Organisation um eine staatliche oder kommerzielle Einrichtung? (Ja / weiß nicht -> 1; Nein -> 0) | Ja | 1 | Das ÖPNV-Unternehmen ist ein staatlich gefördertes kommerzielles Unternehmen. |
| 4. Handelt es sich bei dem Arbeitsbereich Ihrer Organisation um einen Bereich, in dem Vertrauen operativ wichtig ist (z. B. Gesundheit oder Bildung)? | Nein | 0 | Vertrauen ist nicht in dem Maße wichtig wie beispielsweise im Gesundheitsbereich. |
| 5. Werden Sie einen finanziellen oder kommerziellen Nutzen aus dem Datenaustausch ziehen? | Nein | 0 | Nein, da es eine vertragliche Verpflichtung zur Datenvermittlung gibt. |
| 6. Besteht ein tatsächliches oder wahrscheinliches Ungleichgewicht der Vorteile, die sich aus der vorgeschlagenen Weitergabe oder Freigabe ergeben? Z. B. profitiert der für die Datenverarbeitung Verantwortliche, nicht aber die betroffenen Personen? | Nein | 0 | Insgesamt profitieren auch Stadtbewohner:innen und damit unsere Kund:innen von einem integriertem Mobilitätsangebot. |
| Gesamtpunkte Erwartungs-Sensibilität: | 2 |
Daten
Schließlich können die Daten selbst Eigenschaften aufweisen, die die Situation mehr oder weniger sensibel machen.
Bewertungs-Schema
| Antwort | Punktzahl |
|---|---|
| Ja / Weiß ich nicht | 2 Punkte |
| Nein | 0 Punkte |
Fragebogen
| Fragen | Antwort | Punktzahl | Erklärung |
|---|---|---|---|
| 1. Sind einige der Variablen sensibel? | Ja | 2 | Standortdaten gelten als sensibel. |
| 2. Beziehen sich die Daten auf eine vulnerable Bevölkerungsgruppe? | Nein | 0 | Shared Mobility User können nicht allgemein als eine vulnerable Gruppe angesehen werden. |
| 3. Betreffen die Daten ein sensibles Thema? | Nein | 0 | Mobilität ist per se kein sensibles Thema. |
| 4. Ist die Verwendung der Daten wahrscheinlich als sensibel einzustufen? | Ja | 2 | Standortdaten gelten als sensibel. |
| 5. Haben Sie Grund zu der Annahme, dass die beabsichtigte Verwendung der Daten zu einer Diskriminierung der betroffenen Personen oder einer Gruppe, der sie angehören, führen könnte? | Nein | 0 | Ein plausibler Grund zu dieser Annahme ist nicht ersichtlich. |
| Gesamtpunkte Daten-Sensibilität: | 4 |
De-Sensibilisierung
Wie in Komponente 5 erörtert, muss eine hohe Sensibilität der Daten nicht passiv hingenommen werden. Es gibt Dinge, die getan werden können, um die Sensibilität der Datensituation zu verringern. Dabei geht es vor allem um Engagement, Transparenz und öffentlichen Nutzen. Die folgenden Fragen zielen darauf ab, solche Faktoren der De-Sensibilisierung zu erfassen.
Bewertungs-Schema:
siehe Angaben je Frage
Fragebogen
| Fragen | Antwort | Punktzahl | Erklärung |
|---|---|---|---|
| 1. Ergibt sich aus der nachgelagerten Nutzung der Daten ein öffentlicher Nutzen? (Ja = -3, Nein =0) | Ja | -3 | Ein verbessertes, integriertes Mobilitätsangebot. |
| 2. Haben Sie Konsultationen mit Gruppen von Stakeholdern (insbesondere mit der breiten Öffentlichkeit und/oder betroffenen Personen) durchgeführt? (Ja = -3, Nein =0) | Nein | 0 | Bisher wurden keine Maßnahmen zur Stakeholder Integration durchgeführt. |
| 3. Haben Sie Konsultationen mit Gruppen von Stakeholdern (insbesondere der breiten Öffentlichkeit und/oder betroffenen Personen) durchgeführt und die daraus resultierenden Empfehlungen umgesetzt? (Ja = -10, Nein =+3) | Nein | 3 | Bisher wurden keine Maßnahmen zur Stakeholder Integration durchgeführt. |
| 4. Schafft Ihr Kommunikationsplan Vertrauen durch Transparenz (ausreichend, um negative Antworten im Abschnitt "Erwartungs-Sensibilität" auszugleichen)? (Ja = -5, Nein =0). | Ja | -5 | Eine klar und verständlich formulierte Datenschutzerklärung bietet Transparenz. |
| Gesamtpunkte De-Sensibilisierung: | -5 |
Auswertung Sensibilität der Daten
Entsprechend der erreichten Punktzahl wird die Daten-Sensibilität wie folgt eingestuft:
| Punktzahl | Sensibilitätslevel |
|---|---|
| -50 bis 4 | niedrig |
| 5 bis 10 | mittel |
| 11 bis 100 | hoch |
Im Beispiel von Scoooot ergibt sich folgendes Sensibilitätslevel:
| Punktzahl | Level | |
|---|---|---|
| Einwilligung | 3 | |
| Erwartung | 2 | |
| Daten | 4 | |
| De-Sensibilisierung | -5 | |
| Gesamt Sensibilität | 4 | niedrig |
Gesamtrisiko
Bevor eine tiefgreifende Risikoanalyse durchgeführt wird, soll der folgende Fragebogen eine grobe Intuition des Risikos liefern, um festzustellen, ob eine solche Analyse notwendig ist.
Mit Blick auf die kritische Umgebung (Fokusumgebung) (s. Komponente 3) werden nun die folgenden Fragen bezüglich der Risikobewertung beantwortet, die sich auf die Datenbeschreibung in dieser Datenumgebung aus Komponente 4 beziehen.
In unserem Beispiel ist Datenumgebung 4 die Fokusumgebung.
Bewertungs-Schema:
siehe Angaben je Frage
Fragebogen
| Fragen | Antwort | Punktzahl | Erklärung | |
|---|---|---|---|---|
| 1. Sind die Daten von hoher Qualität? | Bei jeder Transaktion über die App werden der genaue Zeitpunkt des Mietbeginns und der Standort entsprechend der GPS-Genauigkeit gespeichert und mit den hinterlegten Kundendaten verknüpft. Hier ist eine hohe Genauigkeit der Daten anzunehmen. | |||
| a. Ja, die Daten sind bereinigt und enthalten keine oder nur minimale Fehler und keine oder nur wenige fehlende Daten. (2 Punkte) | x | 2 | ||
| b. Die Daten enthielten Fehler, wurden aber bereinigt. (1 Punkt) | ||||
| c. Die Daten enthalten einige Fehler und/oder fehlende Daten. (1 Punkt) | ||||
| d. Die Daten sind nicht bereinigt - sie enthalten viele Fehler und fehlende Daten. (0 Punkte) | ||||
| 2. Wie alt sind die Daten? | Die Daten stammen aus dem aktuellen Monat. | |||
| a. Weniger als 1 Jahr. (5 Punkte) | x | 5 | ||
| b. 1-5 Jahre. (4 Punkte) | ||||
| c. 5-10 Jahre. (3 Punkte) | ||||
| d. 10-20 Jahre. (2 Punkte) | ||||
| e. Mehr als 20 Jahre alt (0 Punkte) | ||||
| 3. Handelt es sich bei den Daten um eine Grundgesamtheit oder um eine Stichprobe? | Es handelt sich um die Grundgesamtheit der App Nutzer:innen. | |||
| a. Grundgesamtheit. (5 Punkte) | x | 5 | ||
| b. Teilpopulation (4 Punkte) | ||||
| b. Stichprobe. (0 Punkte) | ||||
| 4. Wie viele Variablen fallen unter die Standard-Schlüsselvariablensätze? | Standard-Schlüsselvariablen sind z.B. Alter, Geschlecht, Adresse, Beziehungsstatus, Wohnort, Arbeitsort. Siehe [ADF Companion Document A](https://msrbcel.files.wordpress.com/2020/11/standard-key-variables.pdf). Im Datensatz der in der Fokusumgebung dem ÖPNV-Unternehmen zugänglich ist, wurden sämtliche dieser Schlüsselvariablen bereits entfernt. | |||
| a. 0. (0 Punkte) | x | 0 | ||
| b. 1-4. (1 Punkt) | ||||
| c. 5-9. (4 Punkte) | ||||
| d. 10+. (5 Punkte) | ||||
| 5. Welche der folgenden Aussagen beschreibt die Daten am besten? | Hierarchische Beziehungen aus Bündelungen in den Attributen wurden in der Fokusumgebung entfernt. Die Daten wurden nicht aggregiert und liegen als Mikrodaten vor. | |||
| a. Die Daten werden zu einem einzigen Ergebnis aggregiert. (0 Punkte) | ||||
| b. Die Daten werden zu mehreren Ergebnisse aggregiert, die sich nicht überschneiden. (1 Punkt) | ||||
| c. Die Daten werden zu eine Menge von Ergebnissen aggregiert, die sich überschneiden. (4 Punkte) | ||||
| d. Die Daten sind Mikrodaten ohne Bündelungen in den Attributen. (4 Punkte) | x | 4 | ||
| e. Die Daten sind Querschnitts-Mikrodaten mit einer Bündelung in den Attributen. (7 Punkte) | ||||
| f. Die Daten sind Längsschnitts-Mikrodaten, aber ohne Bündelung. (7 Punkte) | ||||
| g. Die Daten sind Längsschnitts-Mikrodaten mit Bündelung. (10 Punkte) | ||||
| 6. Enthalten die Daten Datentypen, die eine besondere Herausforderung für die Anonymisierung darstellen (z. B. Genomikdaten, Fotografien, aussagekräftige Texte, zeitlich erfasste Standortdaten oder andere zeitlich erfasste Sequenzen)? | Es sind zeitgestempelte Standortdaten enthalten. | |||
| Nein/Ja (0/10 Punkte) | Ja | 10 | ||
| 7. Wenn Sie nun die Details der Fokusumgebung betrachten, welche der folgenden Aussagen beschreibt diese Umgebung am besten? | Der Datensatz wird an das ÖPNV-Unternehmen gesendet. | |||
| a. Es handelt sich um einen entfernten Analyseserver, bei dem die Nutzer:innen Code für Analysen einreichen können, aber keinen direkten Zugriff auf die Daten haben. Der Code und die Ergebnisse werden überprüft, bevor die Ergebnisse für den:die Nutzer:in freigegeben werden. (-25 Punkte) | ||||
| b. Es handelt sich um eine sichere Einrichtung mit Zugang vor Ort, bei der nur begrenztes Personal auf die Daten zugreifen kann. Eine Liste der befugten Personen ist in der entsprechenden Infrastruktur definiert (-25 Punkte) | ||||
| c. Es handelt sich um eine sichere Einrichtung im Besitz der verantwortlichen Organisation. (-20 Punkte) | ||||
| d. Es handelt sich um einen Fernzugriffsserver, bei dem kontrolliert wird, wer Zugriff hat und wie dieser erfolgt. Die Nutzer:innen können mit den Daten interagieren, haben aber selbst keine Kopie (und können daher keine Verknüpfungen zu anderen Datensätzen herstellen). Die Art und Weise, wie die Nutzer:innen auf die Daten zugreifen und mit ihnen arbeiten, ist im Voraus festgelegt. (-20 Punkte) | ||||
| e. Es handelt sich um eine Punkt-zu-Punkt-Datenfreigabe auf der Grundlage einer (oder mehreren) maßgeschneiderten Datenfreigabevereinbarung(en) mit Zweckbeschränkungen, Datenminimierung und bestimmten, namentlich genannten Nutzer:innen. Die Einhaltung der Bestimmungen wird teilweise überprüft. (-5 Punkte) | ||||
| f. Es handelt sich um eine Lizenzierungsumgebung. Die Nutzer:innen unterzeichnen eine Lizenzvereinbarung, um auf die Daten zuzugreifen, und können sie dann herunterladen. (-2 Punkte). Beschränkungen und Kontrollen der Sekundärnutzung sind begrenzt. | ||||
| g. Die Umgebung ist offen oder quasi-offen (mit minimalen Anmeldebedingungen). (0 Punkte) | x | 0 | ||
| 8. Gibt es Daten in der Fokusumgebung - oder solche, die dorthin verschoben werden könnten -, die zur Re-Identifizierung von betroffenen Personen in den Daten verwendet werden könnten? | Es sind zeitgestempelte Standortdaten enthalten, die potenziell zur Re-Identifizierung verwendet werden könnten. | |||
| Ja/Nein/weiß ich nicht (10/0/10) | Ja | 10 | ||
Auswertung Gesamtrisiko
Die Gesamtpunktzahl für das Risiko setzt sich zusammen aus der Summe der Punktzahlen aus dem Risiko-Fragebogen und der Hälfte der Gesamtpunktzahl aus dem Fragebogen "Daten"
Entsprechend dieser erreichten Gesamtpunktzahl wird das Gesamtrisiko wie folgt eingestuft:
| Punktzahl | Risikolevel |
|---|---|
| -25 bis 0 | vernachlässigbar |
| 1 bis 5 | mittel |
| 6 bis 50 | hoch |
Im Beispiel von Scoooot ergibt sich folgendes Risikolevel:
| Frage | Punktzahl | Level |
|---|---|---|
| 1 | 2 | |
| 2 | 5 | |
| 3 | 5 | |
| 4 | 0 | |
| 5 | 4 | |
| 6 | 10 | |
| 7 | 0 | |
| 8 | 10 | |
| Übertrag Fragebogen "Daten" | 2 | |
| Gesamtrisiko | 38 | hoch |
Gesamteinschätzung
Die Gesamtbeurteilung umfasst zwei Elemente: das Gesamtrisiko (Antwort auf Frage: "Besteht in deinem Verantwortungsbereich ein nicht zu vernachlässigendes Offenlegungsrisiko, das adressiert werden muss?") und die Sensibilität der Datensituation (Antwort auf Frage: "Wie sensibel ist deine Datensituation?"). Um eine Gesamtbewertung vorzunehmen, musst die Beziehung zwischen diesen beiden Elementen erfasst werden. Aufgrund der ermittelten Werte kann der Anonymisierungsaufwand in eine der drei folgenden Kategorien eingestuft werden:
| | Sensibilität der Datensituation | Niedrig | Mittel | Hoch | Gesamtrisiko | Hoch | | | Mittel | | | | Vernachlässigbar | | | | | ||||
Die farbigen Kategorien haben die folgende Bedeutung:
1. Unnötig (grün): Das Gesamtrisiko ist vernachlässigbar, und die Sensitivität der Datenlage ist gering, sodass du diese Aufgabe jetzt abschließen kannst.
2. Notwendig (rot): Das Gesamtrisiko und/oder die Sensibilität der Datensituation sind erhöht, sodass eine Risikobewertung und Kontrollprozesse erforderlich sind.
3. Grenzwertig (gelb): Zum jetzigen Zeitpunkt ist unklar, ob Kontrollen notwendig sind, daher ist eine detailliertere Bewertung erforderlich.
Im Beispiel von Scoooot ergibt sich folgendes Ergebnis:
- Sensibilität der Datensituation: 4 (Niedrig)
- Gesamtrisiko: 38 (Hoch)
Damit wird das Vorhaben in die Kategorie Notwendig eingeordnet.
| | Sensibilität der Datensituation | Niedrig | Mittel | Hoch | Gesamtrisiko | Hoch | X | | | Mittel | | | | Vernachlässigbar | | | | | |||