Es werden heute überall Daten gesammelt – in Unternehmen, in der Forschung, im Gesundheitswesen oder im Alltag durch Apps und verschiedene Online-Dienste. Doch was passiert eigentlich mit all diesen Informationen? Genau hier kommt das Auswerten von Daten ins Spiel. Wir befassen uns im heutigen Beitrag mit dem Thema Daten, die für Auswertungen bzw. Reports verwendet werden.

Was versteht man unter dem Auswerten von Daten?

Die gesammelten Einzelinformationen (Rohdaten) werden hierbei systematisch geordnet, um daraus Erkenntnisse zu gewinnen. Die Rohdaten – also einzelne Zahlen, Antworten aus Befragungen oder Messwerte – sagen für sich genommen oft noch wenig aus. Erst durch das Auswerten vieler Rohdaten werden sie verständlich und aussagekräftig. Dies wird auch als Aggregation von Daten verstanden, indem viele einzelne Werte zusammengefasst werden, z. B. zu einer Summe, einem Durchschnitt oder einer Prozentangabe. Statt jede einzelne Zahl zu betrachten, schaut man sich also das „große Ganze“ an.

Wofür werden Auswertungen – speziell in Unternehmen – genutzt?

Daten sind in vielen Unternehmen längst mehr als nur eine Sammlung von Zahlen. Richtig ausgewertet werden sie zu einem wichtigen Steuerungsinstrument des Unternehmens. Doch wofür genau werden Auswertungen eigentlich eingesetzt?

Viele Unternehmen nutzen Auswertungen um bspw. Trends zu erkennen, Muster zu identifizieren oder bestimmte Annahmen zu überprüfen. Das Auswerten von Daten (ob personenbezogen oder nicht) spiegelt ein ganz bestimmtes Bild eines Bereichs im Unternehmen wider und hilft diesem, fundierte Entscheidungen zu treffen, Wettbewerbsvorteile zu erzielen oder Geschäftsabläufe zu optimieren.

Durch Auswertungen verschaffen sich Unternehmen einen Überblick über das „große Ganze“. Besonders größere Unternehmen verfügen über eigene Abteilungen – etwa das Controlling –, in denen Daten aus verschiedenen Quellen sammelt und ausgewertet werden, um sodann die Unternehmensführung mit entscheidungsrelevanten Daten zu unterstützen. Aber auch in anderen Bereichen eines Unternehmens – wie bspw. in der Buchhaltung, im Personalwesen oder in der Produktion – bieten die regelmäßig verwendeten IT-Systeme sog. Reportfunktionen an. Hierbei werden sodann die bereits vorhandene Daten innerhalb des gleichen IT-Systems aufbereitet und den Usern direkt in grafischen Dashboards angezeigt. Aber auch die klassische Exceldatei spielt nach wie vor eine wesentliche Rolle.

Ab wann haben Auswertungen datenschutzrechtliche Relevanz?

Datenschutzrechtliche Relevanz haben allerdings nur solche Auswertungen, die entweder personenbezogene Daten enthalten oder aufgrund der Art und Weise der Aufbereitung der Informationen Rückschlüsse auf bestimmte Personen ziehen lassen.

Gemäß Art. 4 Nr. 1 DSGVO sind Daten personenbezogen, wenn sie Informationen enthalten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierbei reicht bereits aus, dass eine mittelbare oder eine indirekte Bestimmbarkeit von Betroffenen möglich ist (Erwägungsgrund 26 der DSGVO). D. h. eine Bestimmbarkeit liegt bereits dann vor, wenn die Informationen in Verbindung mit anderen Informationen eine Unterscheidung bzw. Identifizierbarkeit einer ganz konkreten Person ermöglichen.

Vereinfacht ausgedrückt bedeutet dies für Auswertungen aller Art, dass man stets genau prüfen sollte, ob es sich hierbei tatsächlich nicht doch um personenbezogene Daten handelt. Die Tatsache allein, dass eine Person nicht namentlich in der Statistik auftaucht oder nur mit einer ihr zurückverfolgbaren Nummer wie bspw. der Personalnummer angezeigt wird, reicht nicht aus, um mit Sicherheit sagen zu können, dass KEINE personenbezogenen Daten verarbeitet werden.

Im Rahmen von aggregierten Daten spielt vor allem die Personenmindestgröße der Aggregationsgruppe eine besondere Rolle, aber auch die Beurteilungsperspektive bzw. der Empfängerhorizont muss betrachtet werden. Eine Identifizierbarkeit entsteht insbesondere auch dann, wenn mehrere Datensätze bzw. Werte, welche dieselbe Person oder Personengruppe betreffen, verknüpft werden können bzw. wenn bestimmte Schlussfolgerungen auf eine vermeintlich anonyme Person gezogen werden können (vgl. Artikel-29-Datenschutzgruppe, WP 216).

So äußerte sich auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) zu statistischen Auswertungen u. a. für Beschäftigtendaten. So ist der LfDI BW der Ansicht, dass zudem vermeintlich aggregierte Angaben über Beschäftigte erst dann als sicher anonym zu bewerten sind, wenn die Aggregationsgruppe, welcher die Person zuzuordnen ist, aus mindestens sieben Personen oder mehr besteht. In der medizinischen Forschung geht er sogar von zwölf oder mehr Personen aus (vgl. Ratgeber Beschäftigtendatenschutz, S. 46).

Fazit

Die Bewertung, ob aggregierte Daten noch einen Personenbezug aufweisen, ist schwierig und stets eine Frage des Einzelfalls. Grundsätzlich sollte daher jede Auswertung für sich – ob als Exceldatei oder grafische Vorschau in Dashboards oder sonstige Art der Aufbereitung – durch den Datenschutzbeauftragten geprüft werden, denn jede Auswertung mit personenbezogenen Daten zieht die Anwendbarkeit der DSGVO nach sich, was folglich das Erfordernis einer Rechtsgrundlage und die Einhaltung aller weiteren Regelungen der DSGVO impliziert. Nur Auswertungen von Daten, die keiner Person zuordenbar sind, wie bspw. reine Systeminformationen oder Auswertungen aus bereits anonymisierten Daten, spielen datenschutzrechtlich keine Rolle.

| | | , , , , , , , , , ,