3 Datenumgebungen spezifizieren

Ergebnis nach erfolgreicher Durchführung

In dieser Komponente werden die einzelnen Datenumgebungen im Detail charakterisiert.

Benötigte Vorlage: Charakterisierung Datenumgebung

In dieser Komponente werden die identifizierten Datenumgebungen genauer charakterisiert. Dazu werden die Eigenschaften jeder Datenumgebung gesammelt und im Detail beschrieben. Unterschiedliche Arten der Datenverarbeitung und -speicherung wirken sich auf das Risiko für die Privatsphäre der

The fallback content to display on prerendering

aus. Im Allgemeinen ist dieses Risiko allerdings nur schwierig quantifizierbar. Deswegen ist eine umfassende Beschreibung der Datenumgebung essenziell, da diese hilft, die bestehenden Datensituationen zu vergleichen und die entstehenden Risiken abzuschätzen.

Charakterisierung der Datenumgebungen

Die Beschreibung jeder Datenumgebung setzt sich aus vier Elementen zusammen (siehe Komponente 2). Diese vier Elemente müssen für jede Datenumgebung separat betrachtet werden und können in der bereitgestellten Vorlage "Charakterisierung Datenumgebung" gesammelt werden.

• Akteur:innen sind Personen(gruppen) und Einrichtungen, welche Verantwortung in der Datenumgebung haben oder mit den Daten in dieser Datenumgebung interagieren können. Zur Einordnung des Risikos ist es hier auch die Anzahl der Personen in einer Gruppe oder Einrichtung wichtig. Es gibt Datenumgebungen, in denen alle potenzielle Akteur:innen in einer Gruppe sind. Man sollte sich allerdings fragen, ob wirklich alle Personen den gleichen Zugriff zu den Daten haben, oder ob sich die Rollen / Zugriffsmöglichkeiten / Verantwortlichkeiten der Akteur:innen unterscheiden. Es könnte zum Beispiel sein, dass eine Gruppe von Datenanalyst:innen nur mithilfe von bestimmten Anfragen auf die Daten zugreifen kann, während andere Personen im Bereich der Server-Administration direkten Zugriff besitzen. Je genauer die unterschiedlichen Gruppen beschrieben werden, desto genauer kann auch das Risiko abgeschätzt werden, dem die Daten in dieser Datenumgebung ausgesetzt sind. Typischer Weise fallen alle Akteur:innen einer Datenumgebung unter die gleiche Rolle (
  The fallback content to display on prerendering
  ,
  The fallback content to display on prerendering
  oder
  The fallback content to display on prerendering
  ). Falls in einer Datenumgebung verschiedene Rollen vertreten sind, sollten diese Rollen für jede Gruppe von Akteur:innen gesondert erfasst werden.
• Governance beschreibt die Menge aller Regeln, die bestimmen, wie die Beziehungen der Akteur:innen zu den Daten gestaltet sein sollen. Dazu gehören formelle Regelungen wie Datenzugriffskontrollen, Lizenzvereinbarungen und Richtlinien, die die erlaubten Interaktionen der Akteur:innen vorschreiben. Ebenso gehören hierzu nicht-formalisierte Verhaltensmuster, geprägt durch Normen und Praktiken, z.B. Risikoaversion, eine Kultur, die dem Datenschutz Vorrang einräumt. Die Regelungen umfassen auch den rechtlichen Rahmen, bzw. die Frage wer sich mit legalen Mitteln Zugriff auf die Daten verschaffen kann. Relevant ist hier beispielsweise die Möglichkeit, dass Strafverfolgungsbehörden im Rahmen strafrechtlicher Ermittlungen die Herausgabe bestimmter Daten verlangen können.
• Infrastruktur fasst die Strukturen und Einrichtungen zusammen, die den Datenfluss ermöglichen und die Datenumgebung prägen. Das schließt die physische und virtuelle Sicherheitsinfrastruktur ein, aber auch die umfassenderen sozialen und wirtschaftlichen Strukturen. Im engeren Sinne kann man sich die Infrastruktur am besten als die Gesamtheit der miteinander verbundenen Strukturen (physisch, technisch) und Prozesse (organisatorisch, verwaltungstechnisch) vorstellen, die in der Datenumgebung existieren. Die Infrastruktur kann aber auch immaterielle Strukturen wie politische, wirtschaftliche und soziale Institutionen umfassen, die die Entwicklung von Technologien zur Datennutzung, die Praktiken des Datenzugangs und den Datenschutz beeinflussen.
• Weitere Datensätze beschreibt alle Informationen, die in dieser Datenumgebung mit den betreffenden Daten in Verbindung gebracht werden können und somit potenziell eine Re-Identifizierung ermöglichen. Eine entscheidende Frage ist, ob diese anderen Daten einen Personenbezug enthalten. Datensätze mit Personenbezug sollten in der Vorlage unbedingt markiert werden. Die Menge der verknüpfbaren Datensätze kann in
  The fallback content to display on prerendering
  , die in jeder Datenumgebung verfügbar sind, und
  The fallback content to display on prerendering
  , die nur in einer Datenumgebung oder nur in einem Teil der Datenumgebungen verfügbar sind, aufgeteilt werden.

Typische Attribute und Datensätze, die mit Standortdaten verknüpft werden können:

• Wohnadressen (z.B. über das Einwohnermeldeamt, Rechnungsdaten)
• Arbeitsadressen (z.B. über die Teamseiten von Unternehmen, Professional Social Networks)
• Informationen über öffentliche Orte und Einrichtungen (z.B. Gesundheitseinrichtungen, Restaurants, Nachtclubs)
• Statistische georeferenzierte Informationen (z.B. Durchschnittseinkommen, durchschnittliche Wohnungspreise, Anzahl der Straftaten)

Hinweise

• Die wichtigsten Eigenschaften der Datenumgebungen sind die Eigenschaften, die sie von den anderen Datenumgebungen unterscheiden. Diese Eigenschaften sollten bereits im Datenflussdiagramm eingetragen sein und sind auch hier ein guter Ausgangspunkt.
• Bei der Erstellung der Eigenschaften der Datenumgebungen kann es nötig sein, die verantwortliche Institution einzubeziehen, um die Eigenschaften so spezifisch wie möglich zu erfassen.
• Sollte es schwer sein, Unterschiede zwischen zwei Datenumgebungen in mindestens einer der vier Kategorien zu finden, könnte es sein, dass die zwei Datenumgebungen zu einer zusammengefasst werden können.
• Sollte es schwer sein, eine der Kategorien eindeutig zu beantworten, könnte es sein, dass die Datenumgebung besser in zwei Datenumgebungen geteilt werden sollte. Dann ergibt sich auch ein neuer Datenfluss.

Beispiel

Das Shared Mobility-Unternehmen Scoooot teilt seine Nutzungsdaten mit dem regionalen ÖPNV-Unternehmen, das für die Bereitstellung von Mobility Hubs für die Förderung intermodaler Mobilität verantwortlich ist. Durch einen Kooperationsvertrag zwischen Scoooot und dem ÖPNV-Unternehmen besteht eine Verpflichtung zur Übermittlung dieser Daten an das ÖPNV-Unternehmen. Scoooot nutzt einen Dienstleister zum Betreiben der App, der entsprechend die Rohdaten sammelt.

---

Für jede der vier zuvor identifizierten Datenumgebungen werden nun die vier Elemente 'Akteur:innen', 'Governance', 'Infrastruktur' und 'weitere Datensätze' festgehalten. Für die Übersicht sind die Informationen für jede Datenumgebung in eine eigene Tabelle eingetragen, die mit den Registerkarten "Datenumgebung 1" bis "Datenumgebung 4" ausgewählt werden können.

Datenumgebung 1

Akteur:innen	Backend Team (15 Personen, Datenverarbeiter:innen, voller Zugriff) Service Team (3 Personen, Datenverarbeiter:innen, sehr eingeschränkter Zugriff)
Governance	Erfassung aller Zugriffe im Zugriffs-Log Dienstleistungsvertrag
Infrastruktur	Verschlüsselte Datenbank Server unter eigener Kontrolle
andere Datensätze	Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten

Datenumgebung 2

Akteur:innen	Data Science Team (5 Personen, Datenverwalter:innen, voller Zugriff auf Auszug) IT-Support (3 Personen, Datenverwalter:innen, voller Zugriff auf Auszug) Management (4 Personen, Datenverwalter:innen, voller Zugriff auf Auszug)
Governance	Erfassung aller Zugriffe im Zugriffs-Log Datenschutzvereinbarung mit Kund:innen
Infrastruktur	Eingeschränkte Zugriffs-Berechtigungen Security Maßnahmen
andere Datensätze	Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten

Datenumgebung 3

Akteur:innen	Alle Mitarbeiter:innen (250 Personen, Datenverwalter:innen, voller Zugriff)
Governance	Verpflichtung zur Geheimhaltung und Zweckbindung
Infrastruktur	Security Maßnahmen
andere Datensätze	Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten

Datenumgebung 4

Akteur:innen	Management (5 Personen, Datennutzer:innen, voller Zugriff) Data Science Team (15 Personen, Datennutzer:innen, voller Zugriff) IT Service (4 Personen, Datennutzer:innen, voller Zugriff)
Governance	Erfassung aller Zugriffe im Zugriffs-Log Verpflichtung zur Geheimhaltung und Zweckbindung Kooperationsvertrag Scoooot - ÖPNV-Unternehmen
Infrastruktur	Zugriffsbeschränkter Speicherort Weitergabe mittels verschlüsselter E-Mail Kommunikation
andere Datensätze	Wohnadressen, Arbeitsadressen, Unternehmensstandorte, POIs, georeferenzierte statistische Daten Fahrgastzahlen, Ticketkäufe

Datenumgebungen vergleichen

Nachdem die Eigenschaften der Datenumgebungen ausgearbeitet wurden, können die Datenumgebungen, die durch einen Datenfluss miteinander verbunden sind, miteinander verglichen werden. Je größer die Unterschiede in den Beschriebenen vier Kategorien zwischen zwei Datenumgebungen sind, desto genauer müssen auch die Schutzmechanismen betrachtet werden. Der Datenfluss, bei dem sich die Ursprungs-Datenumgebung und die Ziel-Datenumgebungen am meisten unterscheiden, sollte als primärer Datenfluss in den folgenden Komponenten die größte Aufmerksamkeit bekommen. Erwartungsgemäß sollte dieser primäre Datenfluss auch im ursprünglichen Steckbrief des Projekts beschrieben worden sein. Wenn das nicht der Fall ist, sollte die Charakterisierung des Projekts (siehe Komponente 1) noch einmal geprüft werden. Die Zielumgebung dieses primären Datenflusses bezeichnen wir im folgenden als die kritische Umgebung oder Fokusumgebung.

Beispiel

In dem Projekt des Shared Mobility-Unternehmens Scoooot ist die stärkste Veränderung der Datenumgebungen durch den Datenfluss von Scoooot zu dem ÖPNV-Unternehmen gegeben. Hier ändern sich potentiell alle vier Elemente (Akteur:innen, Governance, Infrastruktur, weitere Datensätze) der Datenumgebung. Dieser Datenfluss ist auch im Steckbrief beschrieben und wird den größten Fokus der Untersuchung in den folgenden Komponenten bekommen.