[DSGVO-Schritt 3] Bestimmung von Dateninhabern
„Wer ist Eigentümer der Daten?“ Die Antwort auf diese Frage ist nach wie vor schwierig. Im Kontext der Datenschutz-Grundverordnung (DSGVO) sind manche Fragen besonders wichtig, wie zum Beispiel:
- Ist die betroffene Person oder die Organisation Eigentümer der Daten?
- Wie werden innerhalb einer Organisation die Verantwortlichkeiten bestimmt?
- Liegt die Verantwortung bei einer Person oder sind mehrere Personen gemeinsam für die Daten zuständig?
In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan vorgestellt, der Organisationen dabei unterstützt, die nötigen Voraussetzungen für die Einhaltung der DSGVO zu schaffen.
In den ersten zwei Schritten dieses Plans geht es um die Entwicklung von Richtlinien und Kontrollen und um die Datentaxonomie.Der dritte Schritt ist die Zuweisung von Dateninhabern.
Was ist Data-Ownership (Dateneigentum)?
Beim Thema Data-Ownership geht es darum, jedem Datenelement in der Taxonomie explizite Inhaber zuzuweisen. Dateninhaber sind entweder einzelne Personen oder Teams, die etwa darüber entscheiden, wer die Daten abrufen und bearbeiten darf und wie sie verwendet werden dürfen. Die Inhaber arbeiten vielleicht nicht jeden Tag mit den Daten, sind aber verantwortlich für die Überwachung und den Schutz einer Datendomäne.
Unter der DSGVO sind Dateninhaber zuständig für die Qualität, Integrität und Sicherheit ihres Datenbereichs.
Dateninhaber sind entweder direkt mit der Lösung von Datenproblemen beauftragt oder können solche Aufgaben an Data-Stewards delegieren. Data-Stewards arbeiten täglich mit Daten und haben dafür zu sorgen, dass sie korrekt sind, dedupliziert werden und in einer einzigen Version der Wahrheit vorliegen.
Beispielsweise könnte es für einen Kunden verschiedene Kontaktnummern, Adressen und E-Mail-Adressen in unterschiedlichen Systemen geben. In einem solchen Fall kann der Data-Steward die Informationen vereinheitlichen, indem er z. B. die Adresse aus dem Bestellsystem, die Mobilfunknummer aus dem Vertriebssystem und die E-Mail-Adresse aus dem Marketingsystem nimmt. Der Begriff „Data-Ownership“ wird oft mit dem rechtmäßigen Eigentum der Daten verwechselt, das – wie in der DSGVO festgelegt – bei der betroffenen Person verbleibt. Wenn wir in diesem Artikel über Data-Ownership sprechen, beziehen wir uns allerdings auf die Eigentumsverhältnisse innerhalb einer Organisation und Dateneigentum bezieht sich auf die Verantwortlichkeit.
Warum die Zuweisung von Dateninhabern so wichtig ist
In den meisten Organisationen kann die Zuweisung von Dateninhabern aufwendig sein, weil die Daten zwischen unterschiedlichen Teams und Systemen weitergegeben werden. Dennoch ist dies ein wichtiger Schritt zur Einhaltung der DSGVO. Hier erfahren Sie, warum es so wichtig ist, Dateninhaber zuzuweisen:
1. Verantwortlichkeit — Data-Ownership schafft Verantwortlichkeit. Da personenbezogene Daten mit der DSGVO vielen Kontrollen unterliegen, stellt man durch die Definition von Verantwortlichkeiten sicher, dass die Inhaber die Daten kontinuierlich auf ihre Konformität überwachen.
2. Definition von Richtlinien — Da die Inhaber ein persönliches Interesse an der Integrität ihrer Daten haben, definieren sie geeignete Richtlinien (zum Beispiel zur Aufbewahrung oder Löschung) und Standards, um sicherzustellen, dass ihre Daten den Bestimmungen der DSGVO entsprechen.
3. Schaffung verlässlicher Daten — Data-Ownership ist wichtig, um das Vertrauen der Kunden zu gewinnen und messbare Vorteile für das Unternehmen zu erzielen. Schlechte Daten führen oft zu einer schlechten Kundenerfahrung und letzten Endes zum Verlust von Kunden. Ohne eine 360-Grad-Sicht auf die betroffene Person ist es nicht möglich, ihre Zugriffsrechte umfassend einzuhalten, wie etwa das Recht auf Datenübertragbarkeit oder Vergessenwerden.
4. Eliminierung von Redundanzen — Bei der Einführung eines geeigneten Governance-Frameworks für die DSGVO haben viele Organisationen mit Produktivitätseinbußen zu kämpfen. Dies rührt daher, dass mehrere Teams dasselbe Problem haben und sie entweder kein klares Verständnis der Daten haben oder nicht einmal wissen, dass das Problem bereits von einem anderen Team gelöst wurde. Solche Schwierigkeiten lassen sich durch gemeinsame Eigentumsverhältnisse beheben.
Mithilfe dieser drei Fragen können Sie Dateninhaber leichter bestimmen
Die meisten Organisationen sind unter der DSGVO dazu verpflichtet, einen Datenschutzbeauftragten zu ernennen. Dieser ist effektiv nichts anderes als ein Stammdateninhaber. Allerdings benötigt jedes einzelne Element in einer Datentaxonomie einen eigenen Inhaber, wobei es eher unwahrscheinlich ist, dass ein einziger Datenschutzbeauftragter die Verantwortung über so viele Daten übernehmen kann – von den möglichen Sicherheitsproblemen ganz zu schweigen. Daher ist es wichtig, Aufgaben zu delegieren und zu trennen. Diese Fragen helfen Ihnen dabei, einen passenden Dateninhaber zu finden:
1. Wer ist am meisten von ungenauen Daten betroffen?
Stellen Sie sich vor, ein Kunde platziert einen Auftrag bei einer Investmentbank. Er spricht mit der Vertriebsperson, die den Auftrag in die Wege leitet. Anschließend wird der Auftrag an das Handelsteam weitergegeben, das die eigentliche Buchung vornimmt. Am Ende des Tages gleicht das operative Team diese Buchungen ab und behebt etwaige Fehler.
Wenn die Daten dieser Transaktion fehlerhaft sind, wer ist davon betroffen? Vielleicht alle. Aber wer am meisten?
2. Wer darf über den nächsten Schritt entscheiden?
In diesem Beispiel muss das Vertriebsteam den Kunden über das Problem informieren, was dazu führen kann, dass der Kunde sein Vertrauen in die Bank verliert. Das für den Abgleich zuständige Team muss die Fehler lösen, die aufgrund der fehlerhaften Buchung entstanden sind. Das technische Team muss sich mit den Auswirkungen auf die IT befassen.
Das Handelsteam muss allerdings die Verantwortung übernehmen und die Transaktion mit den korrekten Informationen erneut durchführen. Die Kernfunktion des Handelsteam wurde durch die falsche Buchung beeinträchtigt. Auch die endgültige Entscheidung bezüglich der Änderungen liegt bei diesem Team. Die für den Abgleich zuständigen Mitarbeiter und das technische Team kennen das Problem vielleicht bereits, aber sie haben nicht die Berechtigung, eine Entscheidung zu treffen. Sie könnten als Data-Stewards agieren und letzten Endes die Änderung vornehmen, aber in diesem Szenario ist das Handelsteam Eigentümer der Handelsdaten.
3. Wer ist Eigentümer der zugehörigen Datenattribute?
Beachten Sie jetzt Folgendes: Die Transaktion bezieht sich in diesem Fall auf einen Kunden. Wer ist Eigentümer der Kundeninformationen? Obwohl der Kunde mit der Transaktion in Verbindung steht, ist das Handelsteam sicherlich nicht der Inhaber der Kundeninformationen, sondern eher das Vertriebsteam. Der Datenfluss in einem Unternehmen ist sehr komplex. Durch Wiederholung dieses Prozesses für jedes Element erhalten Unternehmen mehr Klarheit darüber, wie die Daten verwendet werden. Wenn man sich die dazugehörigen Attribute und deren Eigentumsverhältnisse ansieht und den Analyseprozess fortsetzt, erhält man ein Gesamtbild zum Dateneigentum. Sobald ein Dateninhaber bestimmt wurde, wird es einfacher, die DSGVO-Vorgaben umzusetzen.
Zuweisung von Dateninhabern mithilfe von Talend
Mit Talend Metadata Manager können Unternehmen Dateninhaber und Data-Stewards für die in Schritt 2 identifizierten Datenkategorien und Unterkategorien katalogisieren und ihnen die entsprechenden Rollen und Workflows zuordnen.
Talend Data Stewardship kann diese Dateninhaber und Data-Stewards mit sicheren und prüfbaren rollenbasierten Zugriffskontrollen in Workflows integrieren, um Selfservice-Prozesse wie Datenarbitrierung, Fehlerbehebung und Genehmigung von Datenstandards umzusetzen (s. u.).
Abbildung 1: Zuweisung von Rollen für die kollaborative Klassifizierung, Fehlerbehebung und Zusammenführung/Gruppierung von Kampagnen in Talend Data Stewardship.
Die nächsten Schritte zur Einhaltung der DSGVO
Nach der Zuweisung von Dateninhabern kommen wir zu einem weiteren wichtigen Schritt: Identifizierung kritischer Datensätze und Datenelemente.
← Schritt 2 | Schritt 4 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung