[DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO werden Organisationen intensiv dahingehend geprüft, wie sie die personenbezogenen Daten von Kunden, Mitarbeitern und potenziellen Kunden verarbeiten. Eine Nichteinhaltung der Verordnung kann hohe Geldstrafen nach sich ziehen. Daher ist es für Organisationen extrem wichtig, zu wissen, welche Daten sie gespeichert haben, und die nötigen Maßnahmen zu treffen, um sie zu schützen.
In unserem vor Kurzem veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms zur Förderung der DSGVO-Compliance vorgestellt.
Werfen Sie zunächst einen Blick auf den ersten Schritt des Plans: “Entwicklung von Richtlinien, Standards und Kontrollen”. Im zweiten Schritt geht es nun um die Schaffung einer Datentaxonomie.]
Was ist Datentaxonomie?
Unter Datentaxonomie versteht man die Klassifizierung von Daten in Kategorien und Unterkategorien. Sie ermöglicht eine einheitliche Sicht auf die Unternehmensdaten sowie eine einheitliche Terminologie und Semantik über verschiedene Systeme hinweg. Durch den Aufbau einer Hierarchie innerhalb eines Satzes von Metadaten und die Unterteilung in Kategorien lassen sich die Zusammenhänge zwischen einzelnen Datenpunkten besser nachvollziehen.
Um die nötigen Voraussetzungen zur Einhaltung der DSGVO zu schaffen, muss das Data-Governance-Team gemeinsam mit den Verantwortlichen für die Enterprise-Dateninfrastruktur die Daten klassifizieren. Beispielsweise befinden sich Mitarbeiterinformationen in der Kategorie der ersten Stufe. Diese Mitarbeiterinformationen könnten dann weiter in mehrere Kategorien der zweiten Stufe unterteilt werden, z. B. Gehälter und Leistungen, Identität, Kontakt, geschützte Gesundheitsdaten, Social Media und Mitarbeiterleistung.
Warum ist eine Datentaxonomie so wichtig für die DSGVO?
Unter der DSGVO sind Organisationen dazu verpflichtet, personenbezogene Daten zu schützen, die Art der Speicherung und Nutzung dieser Daten offenzulegen und die Verantwortung für den Datenschutz zu übernehmen. Hierfür ist die Schaffung einer Datentaxonomie unumgänglich. Im Folgenden werfen wir einen Blick auf einige Vorteile der Datentaxonomie:
- Grundlegendes Verständnis der Daten — Als unmittelbare Folge der DSGVO kann es sein, dass viele bereits vorhandene Datenelemente nicht der Verordnung entsprechen und korrigiert werden müssen. Durch Datentaxonomie können Unternehmen ein grundlegendes Verständnis der Daten und Datenherkunft gewinnen und somit derartige Datenqualitätsprobleme leichter identifizieren.
- Datenzugriff — Unter der DSGVO haben betroffene Personen das Recht, jederzeit auf ihre Daten in einem elektronischen Format zuzugreifen. Eine Kategorisierung ermöglicht einen schnelleren Abruf der Daten, da die Suche nach einem Schlagwort automatisch auf andere, eng damit verbundene Begriffe ausgeweitet wird.
- Risikoanalyse — Durch die Klassifizierung der Daten lässt sich einfacher feststellen, ob das Risiko eines Verstoßes besteht. So lassen sich Daten identifizieren, die in die Kategorie besonders sensibler Daten fallen. Laut DSGVO erfordern solche Informationen eine Anonymisierung. Nicht sensible Daten können hingegen für die Compliance-Analyse ignoriert werden, was Zeit und Aufwand spart.
- Verringerung unerwünschter Daten — Die DSGVO empfiehlt eine Minimierung der Datenbestände – es sollten möglichst nur solche personenbezogene Daten erfasst und gespeichert werden, die wirklich erforderlich sind. Durch eine Taxonomie ist es einfacher, vorhandene ROT-Daten (ROT = redundant, obsolet, trivial) zu entfernen. So wird das Risiko minimiert, dass personenbezogene Daten gespeichert werden, die nicht den geltenden Vorschriften entsprechen.
Talend-Tools für eine automatische Taxonomie
Im Talend Metadata Manager kann man mit einem Business-Glossar Gruppen von Begriffen definieren und mit Kategorien und Unterkategorien verknüpfen (s. Abbildung 1). Ein Business-Glossar lässt sich ganz einfach erstellen: zum Beispiel indem Sie ein bereits vorhandenes, gut dokumentiertes Datenmodell per Drag-and-drop einfügen, Begriffe und Definitionen aus anderen Quellen importieren (z. B. CSV, Microsoft Excel) oder bei der Klassifizierung der Objekte interaktive Gestaltungsmöglichkeiten über die Benutzeroberfläche nutzen.
Sobald das Glossar veröffentlicht ist, können sämtliche Nutzer mit entsprechender Autorisierung über eine suchbasierte Oberfläche darauf zugreifen.
Abbildung 1: Business-Glossar im Talend Metadata Manager
Die nächsten Schritte bei der Schaffung einer Datentaxonomie
Die Schaffung einer Taxonomie ist erst der Anfang. Nach dieser umfassenden Klassifizierung ist es wichtig, Dateninhaber zuzuweisen und diese übergeordneten Kategorien entsprechenden Datenpunkten in unterschiedlichen IT-Systemen zuzuordnen. Auf diese Weise ist es einfacher, Profiling- und Bereinigungsjobs auf diese Datenpunkte anzuwenden, um sicherzustellen, dass sie zuverlässig und DSGVO-konform sind.
← Schritt 1 | Schritt 3 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung