3 Datenumgebungen spezifizieren
In dieser Komponente werden die einzelnen Datenumgebungen im Detail charakterisiert.
Benötigte Vorlage: Charakterisierung Datenumgebung
In dieser Komponente werden die identifizierten Datenumgebungen genauer charakterisiert. Dazu werden die Eigenschaften jeder Datenumgebung gesammelt und im Detail beschrieben. Unterschiedliche Arten der Datenverarbeitung und -speicherung wirken sich auf das Risiko für die Privatsphäre der
Charakterisierung der Datenumgebungen
Die Beschreibung jeder Datenumgebung setzt sich aus vier Elementen zusammen (siehe Komponente 2). Diese vier Elemente müssen für jede Datenumgebung separat betrachtet werden und können in der bereitgestellten Vorlage "Charakterisierung Datenumgebung" gesammelt werden.
- Akteur:innen sind Personen(gruppen) und Einrichtungen, welche Verantwortung in der Datenumgebung haben oder mit den Daten in dieser Datenumgebung interagieren können. Zur Einordnung des Risikos ist es hier auch die Anzahl der Personen in einer Gruppe oder Einrichtung wichtig. Es gibt Datenumgebungen, in denen alle potenzielle Akteur:innen in einer Gruppe sind. Man sollte sich allerdings fragen, ob wirklich alle Personen den gleichen Zugriff zu den Daten haben, oder ob sich die Rollen / Zugriffsmöglichkeiten / Verantwortlichkeiten der Akteur:innen unterscheiden. Es könnte zum Beispiel sein, dass eine Gruppe von Datenanalyst:innen nur mithilfe von bestimmten Anfragen auf die Daten zugreifen kann, während andere Personen im Bereich der Server-Administration direkten Zugriff besitzen. Je genauer die unterschiedlichen Gruppen beschrieben werden, desto genauer kann auch das Risiko abgeschätzt werden, dem die Daten in dieser Datenumgebung ausgesetzt sind.
Typischer Weise fallen alle Akteur:innen einer Datenumgebung unter die gleiche Rolle (The fallback content to display on prerendering,The fallback content to display on prerenderingoderThe fallback content to display on prerendering). Falls in einer Datenumgebung verschiedene Rollen vertreten sind, sollten diese Rollen für jede Gruppe von Akteur:innen gesondert erfasst werden.
- Governance beschreibt die Menge aller Regeln, die bestimmen, wie die Beziehungen der Akteur:innen zu den Daten gestaltet sein sollen. Dazu gehören formelle Regelungen wie Datenzugriffskontrollen, Lizenzvereinbarungen und Richtlinien, die die erlaubten Interaktionen der Akteur:innen vorschreiben. Ebenso gehören hierzu nicht-formalisierte Verhaltensmuster, geprägt durch Normen und Praktiken, z.B. Risikoaversion, eine Kultur, die dem Datenschutz Vorrang einräumt. Die Regelungen umfassen auch den rechtlichen Rahmen, bzw. die Frage wer sich mit legalen Mitteln Zugriff auf die Daten verschaffen kann. Relevant ist hier beispielsweise die Möglichkeit, dass Strafverfolgungsbehörden im Rahmen strafrechtlicher Ermittlungen die Herausgabe bestimmter Daten verlangen können.
- Infrastruktur fasst die Strukturen und Einrichtungen zusammen, die den Datenfluss ermöglichen und die Datenumgebung prägen. Das schließt die physische und virtuelle Sicherheitsinfrastruktur ein, aber auch die umfassenderen sozialen und wirtschaftlichen Strukturen. Im engeren Sinne kann man sich die Infrastruktur am besten als die Gesamtheit der miteinander verbundenen Strukturen (physisch, technisch) und Prozesse (organisatorisch, verwaltungstechnisch) vorstellen, die in der Datenumgebung existieren. Die Infrastruktur kann aber auch immaterielle Strukturen wie politische, wirtschaftliche und soziale Institutionen umfassen, die die Entwicklung von Technologien zur Datennutzung, die Praktiken des Datenzugangs und den Datenschutz beeinflussen.
- Weitere Datensätze beschreibt alle Informationen, die in dieser Datenumgebung mit den betreffenden Daten in Verbindung gebracht werden können und somit potenziell eine Re-Identifizierung ermöglichen. Eine entscheidende Frage ist, ob diese anderen Daten einen Personenbezug enthalten. Datensätze mit Personenbezug sollten in der Vorlage unbedingt markiert werden. Die Menge der verknüpfbaren Datensätze kann in The fallback content to display on prerendering, die in jeder Datenumgebung verfügbar sind, undThe fallback content to display on prerendering, die nur in einer Datenumgebung oder nur in einem Teil der Datenumgebungen verfügbar sind, aufgeteilt werden.
- Wohnadressen (z.B. über das Einwohnermeldeamt, Rechnungsdaten)
- Arbeitsadressen (z.B. über die Teamseiten von Unternehmen, Professional Social Networks)
- Informationen über öffentliche Orte und Einrichtungen (z.B. Gesundheitseinrichtungen, Restaurants, Nachtclubs)
- Statistische georeferenzierte Informationen (z.B. Durchschnittseinkommen, durchschnittliche Wohnungspreise, Anzahl der Straftaten)
- Die wichtigsten Eigenschaften der Datenumgebungen sind die Eigenschaften, die sie von den anderen Datenumgebungen unterscheiden. Diese Eigenschaften sollten bereits im Datenflussdiagramm eingetragen sein und sind auch hier ein guter Ausgangspunkt.
- Bei der Erstellung der Eigenschaften der Datenumgebungen kann es nötig sein, die verantwortliche Institution einzubeziehen, um die Eigenschaften so spezifisch wie möglich zu erfassen.
- Sollte es schwer sein, Unterschiede zwischen zwei Datenumgebungen in mindestens einer der vier Kategorien zu finden, könnte es sein, dass die zwei Datenumgebungen zu einer zusammengefasst werden können.
- Sollte es schwer sein, eine der Kategorien eindeutig zu beantworten, könnte es sein, dass die Datenumgebung besser in zwei Datenumgebungen geteilt werden sollte. Dann ergibt sich auch ein neuer Datenfluss.
Das Shared Mobility-Unternehmen Scoooot teilt seine Nutzungsdaten mit dem regionalen ÖPNV-Unternehmen, das für die Bereitstellung von Mobility Hubs für die Förderung intermodaler Mobilität verantwortlich ist. Durch einen Kooperationsvertrag zwischen Scoooot und dem ÖPNV-Unternehmen besteht eine Verpflichtung zur Übermittlung dieser Daten an das ÖPNV-Unternehmen. Scoooot nutzt einen Dienstleister zum Betreiben der App, der entsprechend die Rohdaten sammelt.
Für jede der vier zuvor identifizierten Datenumgebungen werden nun die vier Elemente 'Akteur:innen', 'Governance', 'Infrastruktur' und 'weitere Datensätze' festgehalten. Für die Übersicht sind die Informationen für jede Datenumgebung in eine eigene Tabelle eingetragen, die mit den Registerkarten "Datenumgebung 1" bis "Datenumgebung 4" ausgewählt werden können.
- Datenumgebung 1
- Datenumgebung 2
- Datenumgebung 3
- Datenumgebung 4
Akteur:innen |
|
---|---|
Governance |
|
Infrastruktur |
|
andere Datensätze | Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten |
Akteur:innen |
|
---|---|
Governance |
|
Infrastruktur |
|
andere Datensätze | Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten |
Akteur:innen |
|
---|---|
Governance |
|
Infrastruktur |
|
andere Datensätze | Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten |
Akteur:innen |
|
---|---|
Governance |
|
Infrastruktur |
|
andere Datensätze | Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten Fahrgastzahlen, Ticketkäufe |
Datenumgebungen vergleichen
Nachdem die Eigenschaften der Datenumgebungen ausgearbeitet wurden, können die Datenumgebungen, die durch einen Datenfluss miteinander verbunden sind, miteinander verglichen werden. Je größer die Unterschiede in den Beschriebenen vier Kategorien zwischen zwei Datenumgebungen sind, desto genauer müssen auch die Schutzmechanismen betrachtet werden. Der Datenfluss, bei dem sich die Ursprungs-Datenumgebung und die Ziel-Datenumgebungen am meisten unterscheiden, sollte als primärer Datenfluss in den folgenden Komponenten die größte Aufmerksamkeit bekommen. Erwartungsgemäß sollte dieser primäre Datenfluss auch im ursprünglichen Steckbrief des Projekts beschrieben worden sein. Wenn das nicht der Fall ist, sollte die Charakterisierung des Projekts (siehe Komponente 1) noch einmal geprüft werden. Die Zielumgebung dieses primären Datenflusses bezeichnen wir im folgenden als die kritische Umgebung oder Fokusumgebung.
In dem Projekt des Shared Mobility-Unternehmens Scoooot ist die stärkste Veränderung der Datenumgebungen durch den Datenfluss von Scoooot zu dem ÖPNV-Unternehmen gegeben. Hier ändern sich potentiell alle vier Elemente (Akteur:innen, Governance, Infrastruktur, weitere Datensätze) der Datenumgebung. Dieser Datenfluss ist auch im Steckbrief beschrieben und wird den größten Fokus der Untersuchung in den folgenden Komponenten bekommen.