Process Mining bietet große Möglichkeiten zur Effizienzsteigerung in Unternehmen, aber die richtige Nutzung heißt auch den Bedenken hinsichtlich Privatsphäre Rechnung zu tragen und die Datenschutzrechte der Menschen zu bewahren.
Process Mining ist ein ziemlich neuer, immer schneller wachsender Markt mit Werkzeugen zur Rekonstruktion, Überwachung und Verbesserung von Prozessen durch die Auswertung von Ereignisprotokollen, die in den heutigen Informationssystemen leicht verfügbar sind. Doch inwiefern tangiert dies persönliche Daten? Beim Process Mining geht es darum, aufzudecken, wie sich Prozesse nicht nur in der Theorie, sondern tatsächlich verhalten, Prozessengpässe aufzudecken und Bereiche für die Prozessoptimierung zu identifizieren. Oberflächlich betrachtet scheint das keine Auswirkungen auf den Datenschutz zu haben.
Doch dies ist falsch: Geschäftsprozesse sind oft personenbezogen, wie z.B. das Onboarding von Mitarbeitern und Kunden, die Bearbeitung von Versicherungsansprüchen und unzählige andere Kundenservice-Vorgänge. Diese Prozesse mit Datenbezug auf Personen sind hochgradig variabel in ihren Prozesswegen und ihrer Ausführung. Deshalb spielt der Datenschutz in der Tat eine wichtige Rolle im Process Mining und dies in zwei essentiellen Bereichen:
- Beim Process Mining von Ereignisprotokollen, die persönlich identifizierbare Mitarbeiterinformationen enthalten, die im Laufe ihrer Beschäftigung gesammelt wurden.
- Beim Process Mining von speziellen Anwendungsfällen, wie z. B. Patientenakten, Kreditvergabe und Call-Center-Betrieb, die personenbezogene Daten Dritter enthalten.
Diese Anwendungsfälle verlangen, dass organisatorische und technologische Maßnahmen implementiert werden, um den Schutz der Rechte von Personen sicherzustellen, wozu auch die Einhaltung der Privacy-by-Design-Prinzipien gehört. Privacy by Design umfasst sieben Schlüsselprinzipien. Das vielleicht wichtigste ist das Prinzip des Datenschutzes als Standardeinstellung. Es bedeutet, dass die Erhebung und Verarbeitung personenbezogener Daten auf einer rechtmäßigen Grundlage erfolgen muss, dass sie auf das absolut Notwendige beschränkt ist und ausschließlich zu dem Zweck durchgeführt wird, für den diese Daten ursprünglich erhoben wurden.
Wo Datenschutzüberlegungen Auswirkungen auf die Ergebnisse des Process Mining haben
Der Ausgangspunkt für das Process Mining ist ein Ereignisprotokoll. Ereignisprotokolle speichern Informationen wie die Instanz (Person oder Gerät), die eine Aktivität ausführt oder initiiert, den Zeitstempel eines Ereignisses oder mit einem Ereignis aufgezeichnete Datenelemente (z.B. die Größe eines Auftrags). Organisationen können Ereignisprotokolle verwenden, um Prozesse zu verbessern, die auf Fakten und nicht auf Fiktion beruhen. Diese Ereignisprotokolle können direkte und indirekte Identifikatoren persönlicher Daten enthalten und z.B. persönlich identifizierbare Informationen offenlegen:
Wie bereits erwähnt, kann die Analyse kundenorientierter Prozesse wie Versicherungsansprüche, Kreditvergabe und Kunden-Callcenter-Tätigkeiten Ereignisprotokolle enthalten, aus denen hervorgeht, wie genau die Arbeit in automatisierten Aktivitäten und menschlichen Arbeitsabläufen abläuft.
Compliance-getriebene Prozesse wie Know Your Customer und Fraud Detection können sensible Ereignisprotokolldaten enthalten. Auch IoT-Geräte sind am Arbeitsplatz immer häufiger anzutreffen. Sie sammeln in Echtzeit enorme Mengen an Informationen, die Teil eines Ereignisprotokolls sein können. Und diese können indirekt persönlich identifizierbare Informationen wie Ort, Gewohnheiten, Leistung und physiologische Eigenschaften preisgeben. Diese Attribute werden als Quasi-Identifikatoren definiert, was bedeutet, dass sie isoliert vielleicht nicht ein Datensubjekt identifizieren können, aber in Kombination mit anderen Datenquellen schon.
Verwendung von De-Identifizierungsmethoden zum Schutz der Privatsphäre
Die De-Identifizierung von persönlich identifizierbaren Informationen ist eine bereits etablierte Methode zum Schutz der Persönlichkeitsrechte. Es gibt zwei allgemein anerkannte Techniken: Anonymisierung und Pseudonymisierung. Die Anonymisierung stellt den strengsten Mechanismus dar, der alle direkten Identifikatoren persönlicher Informationen dauerhaft entfernt, aber den Nutzen der Ergebnisse des Process Mining beeinträchtigt. Pseudonymisierung bedeutet, dass die Verarbeitung persönlicher Daten nicht ohne die Verwendung zusätzlicher Informationen den betroffenen Personen zugeordnet werden kann. Es kann jedoch immer noch möglich sein, persönliche Informationen aus pseudonymisierten Ereignisaktivitäten durch einen Brute-Force-Angriff oder durch einen Angreifer, der mit dem Datensatz vertraut ist, neu zu identifizieren.
Die Verallgemeinerung ist eine weitere mögliche Methode der De-Identifikation, bei der spezifische Attribute innerhalb der Ereignisprotokolle zu einem allgemeineren oder breiteren Wert aggregiert werden können. Auf diese Weise kann jedoch der Nutzen des Process Mining zur Identifizierung von Abweichungen und Ausreißern bei der Prozessausführung beeinträchtigt werden.
Best Practices zur Gewährleistung des Datenschutzes mit Process Mining-Tools
Es gibt einige Möglichkeiten zur Sicherstellung, dass De-Identifizierungsmethoden erfolgreich sind und gleichzeitig die Vorteile des Process Mining erhalten bleiben.
- Bewerten Sie das mit der Analyse von Ereignisdaten verbundene Risiko der Re-Identifikation. Wenn die Ereignisdaten persönlich identifizierbare oder sensible persönliche Informationen enthalten, müssen diese eindeutig anonymisiert und durch einen Ersatzwert ersetzt werden. Es kann jedoch immer noch eine Möglichkeit der Re-Identifikation auf der Grundlage der Kombination von Ereignisprotokollattributen mit anderen verfügbaren Datenquellen bestehen.
- Minimieren Sie das Risiko der Re-Identifikation durch eine Data-Governance-Struktur und -Richtlinie. Die Richtlinie sollte die nachfolgenden Punkte beinhalten.
- Kontrollieren Sie die Begriffe, wenn Daten verwendet werden. Es gibt verschiedene Freigabemodelle im Zusammenhang mit der sekundären Nutzung persönlicher Daten: öffentliche, quasi-öffentliche und nicht-öffentliche Freigabemodelle. Öffentliche Freigabemodelle sollten die strengsten De-Identifizierungsprotokolle anwenden, während quasi-öffentliche und nicht-öffentliche Freigabemodelle spezifische vertragliche Bestimmungen hinsichtlich der Vertraulichkeit und der Nutzungsbedingungen enthalten sollten.
- Bewerten Sie die Art der Variablen in Ereignisprotokollen, indem Sie einige Fragen stellen: Enthalten sie sensible Daten? Enthalten sie indirekte Identifikatoren, die das Risiko einer erneuten Identifizierung bergen können? Gibt es zusätzliche Quellen öffentlich zugänglicher Datenquellen, die mit indirekten Identifikatoren in Ereignisprotokollen verknüpft werden können? Wie hoch ist die Wahrscheinlichkeit, dass ein Angreifer, der mit den Ereignisprotokollen vertraut ist und in der Lage sein könnte, die betroffenen Personen neu zu identifizieren?
- Messen und identifizieren Sie das Re-Identifikationsrisiko. Dieses hängt vom Kontext der Ereignisprotokolle ab, von der Anzahl der Attribute, aus denen die Ereignisprotokolle bestehen, und von der Anzahl ähnlicher Attribute, die als Äquivalenzklassen bezeichnet werden. Je weniger Äquivalenzklassen es gibt, desto höher ist der Grad der Wahrscheinlichkeit einer Re-Identifikation. In solchen Fällen sollten strengere De-Identifizierungsmaßnahmen in Betracht gezogen werden.
- Dokumentieren Sie interne Kontrollen zum Schutz der Persönlichkeitsrechte. Die Allgemeine Datenschutzverordnung erlegt sowohl den Datenverarbeitungsverantwortlichen als auch den Anwendern strenge Pflichten auf, was die Aufzeichnungen über die in ihrer Verantwortung liegenden Verarbeitungsaktivitäten betrifft. Darüber hinaus unterliegen Organisationen Prüfungsbestimmungen und müssen auf Anfrage der Aufsichtsbehörden mit diesen zusammenarbeiten und diese Aufzeichnungen offenlegen.
Process Mining und Datenschutz können sich die Balance halten
Process Mining kann Unternehmen umfassende Einblicke in ihre Prozesse verschaffen und Verbesserungsinitiativen vorantreiben. Das Ziel von verantwortungsbewusstem Process Mining ist es, ein Gleichgewicht zwischen seinem Nutzen und dem Schutz der Persönlichkeitsrechte zu erreichen. Die Integration datenschutzgerechter Technologien und etablierter Verfahren wird Vertrauen und Zuversicht in deren kontinuierliches Wachstum schaffen. Es liegt im besten Interesse der Industrie und der Anbieter, sich für datenschutzfördernde Praktiken einzusetzen.
Susanne Richter-Wills ist Head of Enterprise Sales DACH bei ABBYY