Unternehmen tragen Verantwortung im Umgang mit Daten – dazu sind sie durch die Vorschriften der Datenschutz-Grundverordnung (DSGVO) verpflichtet. Zugleich bilden Daten die Grundlage der digitalen Gesellschaft. Fast alle Unternehmen sind heutzutage auf menschengenerierte Daten angewiesen. Beim Umgang mit Daten kommt es auf das richtige Maß und auf technische Ausgestaltung an. Die Otto Group engagiert sich im Rahmen der CDR-Initiative des BMUV und setzt auf Pseudonymisierung, Anonymisierung und Synthetisierung.

Dr. Simon Menke ist Leiter des Bereichs Group IP & Data Protection der Otto Group Holding und verantwortet in dieser Funktion die rechtliche Beratung der Konzerngesellschaften der Otto Group u. a. im Bereich Datenschutz sowie das Schwerpunktthema Datenschutz im CMS des Konzerns.

DiFü-News: Herr Menke, einmal in Ihren Worten: Was ist „Corporate Digital Responsibility“?

Dr. Simon Menke: CDR umfasst freiwillige unternehmerische Aktivitäten, die insbesondere im Sinne der Verbraucherinnen und Verbraucher über das gesetzlich Vorgeschriebene hinausgehen und durch die Unternehmen dazu beitragen, die digitale Welt aktiv zum Vorteil der Gesellschaft mitzugestalten. Dies gilt gerade auch für den Umgang mit Daten.

DiFü-News: Warum erheben Unternehmen eigentlich Daten?

Dr. Simon Menke: Unsere eCommerce-Unternehmen erheben im Rahmen ihrer Geschäftstätigkeit zwangsläufig Daten über Endnutzer. Einen Teil dieser Daten werten sie aus, um ihr Angebot zu verbessern. Usability ist zum Beispiel ein Thema: Die digitalen Angebote sollen gut nutzbar sein und das auch bleiben.

DiFü-News: Lassen sich einzelne Endnutzer aus den Daten zurückverfolgen?

Risiken können minimiert werden

Dr. Simon Menke: Datenverarbeitung ist nicht risikofrei. Die Risiken können aber dadurch minimiert werden, dass Daten derart stark geschützt werden, dass praktisch ausgeschlossen ist, dass die Personen, die mit ihnen arbeiten bzw. Auswertungen vornehmen, diese Daten realen Personen zuordnen können.

DiFü-News: Wie sieht das in der Praxis aus?

Dr. Simon Menke: Die Gesellschaften der Otto Group setzen auf die Pseudonymisierung und Anonymisierung von Daten. Mögliche Identifikationsmerkmale, zum Beispiel Kundennummern, werden durch eine unabhängige Drittpartei verschlüsselt – eine „Trusted Third Party“. Nach der Verschlüsselung werden die Daten an einen unabhängigen Datentreuhänder zum Zweck der Auswertung transferiert.

DiFü-News: Was macht der Datentreuhänder anders als andere?

Dr. Simon Menke: Ein Datentreuhänder ist ein unabhängiger Vermittler oder Intermediär, der Daten vor dem Zugriff Unbefugter schützt. Der Datentreuhänder verwaltet bzw. verarbeitet Daten, die zuvor pseudonymisiert worden sind. Wichtig zu wissen ist: Ein Treuhänder speichert keine Daten, die er selbst einer Person zuordnen kann. Auch der Versuch der Herbeiführung einer Identifikationsmöglichkeit ist dem Datentreuhänder untersagt. Abhängig vom jeweiligen Datenformat werden die Daten zuvor auch noch synthetisiert.

DiFü-News: Was bedeutet das?

Dr. Simon Menke: „Synthetisierung“ bedeutet in diesem Fall, dass eine Repräsentation eines Datensatzes erzeugt wird. Ein mathematisches Modell „erklärt“ den Datensatz, es ahmt ihn gewissermaßen nach. Die neuen Daten – also die synthetischen Daten – ähneln dann den Originaldaten, sind aber vollständig anonym. Es stecken keine echten Personen mehr dahinter, sondern realistische Platzhalter.

DiFü-News: Und das funktioniert?

Über die CDR-Initiative

Ziel der CDR-Initiative (‚Corporate Digital Responsibility‘-Initiative) ist es, digitale Verantwortung zu einer Selbstverständlichkeit für Unternehmen aller Branchen werden zu lassen. Ins Leben gerufen wurde die Initiative im Mai 2018 durch das seinerzeitige Bundesministerium der Justiz und für Verbraucherschutz gemeinsam mit ausgewählten Unternehmen. Seit 2022 ist die Initiative im BMUV verortet. Weitere Informationen zur CDR-Initiative gibt es hier. Zum Gespräch mit Dr. Frank Esselmann über die Grundlagen von CDR geht es hier.

Dr. Simon Menke: Wir machen damit gute Erfahrungen. Unsere These ist, dass intelligente technische Maßnahmen zur Anonymisierung, Verschlüsselung oder Synthetisierung von Daten durch einen Datentreuhänder die Datenschutzrechte von Verbraucher:innen wahren und gleichzeitig Unternehmen bei der verantwortungsvollen Nutzung von Daten entlang ihrer Wertschöpfungskette unterstützen können.

Die von der Bundesregierung beauftragte Datenethikkommission hat übrigens schon 2019 in ihrem Gutachten darauf hingewiesen, dass sie in innovativen Datenmanagement- und Datentreuhandsystemen großes Potenzial sieht, sofern diese praxisgerecht, robust und datenschutzkonform ausgestaltet sind. Aber am Ende ist das Vertrauen der Verbraucher bzw. unserer Kunden und Kundinnen ausschlaggebend. Sie müssen sich darauf verlassen können, dass ihre Daten geschützt sind.

DiFü-News: Vielen Dank für den Einblick!

  

Artikelfoto: Julio Lopez via pexels.com

Foto Dr. Simon Menke: privat