[DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
Der Zweck der Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, liegt darin, bessere Datenschutzrichtlinien zu erstellen und Organisationen, die personenbezogene Daten verarbeiten, stärker in die Verantwortung zu nehmen als bisher. Das bedeutet, dass sich Unternehmen jetzt auf die Data-Governance konzentrieren müssen. Dazu brauchen sie ein klares Verständnis darüber, was personenbezogene Daten sind und wie sie gespeichert, genutzt und geschützt werden.
In unserem vor Kurzem veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms vorgestellt, der die Einhaltung der DSGVO erleichtern soll.
Die Identifizierung kritischer Datensätze und kritischer Datenelemente (Critical Data Elements, CDEs) ist der vierte Schritt. Werfen Sie hier einen Blick auf die ersten drei Schritte: Erstellung von Richtlinien, Standards und Kontrollen, Schaffung einer Datentaxonomie und Zuweisung von Dateninhabern.
Warum die Identifizierung kritischer Datenelemente so wichtig für die DSGVO ist
Die folgenden DSGVO-Artikel befassen sich mit Datenelementen:
Artikel 4 der DSGVO definiert personenbezogene Daten als „Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen ... [also eine Person, die mittels Zuordnung zu einer Kennung] wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.
Artikel 9 der DSGVO schränkt die Verarbeitung besonderer Kategorien personenbezogener Daten wie z. B. rassische und ethnische Herkunft oder politische Meinungen ein.
Um diese Artikel der DSGVO einzuhalten, ist es erforderlich, solche personenbezogenen Daten als kritische Datenelemente zu identifizieren und anschließend die nötigen Schritte einzuleiten, um sie zu schützen. Wenn eine Organisation beispielsweise Sensordaten oder die Koordinaten eines Kraftfahrzeugs erfasst und das Fahrzeug über Nacht am selben Ort bleibt, könnte man daraus schließen, dass diese Koordinaten der Adresse des Fahrzeughalters entsprechen. Somit ist es einfacher, die Identität der Person herauszufinden. Sensordaten oder Koordinaten wären somit kritische Datenelemente, da sie indirekt zur Aufdeckung der Identität der betroffenen Person führen. Durch die Identifizierung kritischer Datenelemente zeigt sich ein Unternehmen bereit, personenbezogene Daten vor Kompromittierung zu schützen.
Wie Sie mithilfe von Talend kritische Datenelemente identifizieren
Data-Stewards kommt eine wichtige Rolle in diesem Prozess zu. Ihre oberste Priorität sollte darin bestehen, kritische Datensätze und CDEs in ihren jeweiligen Datenkategorien zu identifizieren. Zum Beispiel umfasst die Mitarbeiteridentität eine Reihe von CDEs, einschließlich Name, Geschlecht, Geburtsdatum und Personenkennzeichen. Die Social-Media-Informationen von Mitarbeitern enthalten eine Reihe kritischer Datensätze wie etwa Facebook-, Twitter- und LinkedIn-Profilinformationen.
Das Data-Governance-Team muss festlegen, ob die Datenerfassungs- und Datennutzungsstandards besser auf der Ebene kritischer Datensätze oder auf der Ebene individueller CDEs angewendet werden sollen. Zum Beispiel könnte es besser sein, Standards für akzeptable Nutzung und Sicherheit für die gesamten Facebook-Informationen (kritischer Datensatz) anstatt für die Facebook-ID (CDE) festzulegen.
Talend Metadata Manager unterstützt ein ISO-11179-konformes Business-Glossar, das geschäftliche Begriffe im Zusammenhang mit personenbezogenen Daten enthält. Zum Beispiel könnte es ein Inventar mit geschäftlichen Begriffen für die Kundenidentität wie etwa „Name“, „E-Mail-Adresse“ und „Telefonnummer“ umfassen. Es könnte auch die Semantik der kritischen Datenelemente mithilfe vordefinierter semantischer Kriterien (wie E-Mail, Vorname, Nachname, IBAN etc.) definieren, sodass der Fußabdruck dieser kritischen Datenelemente automatisch über verschiedene Datensätze hinweg erfasst werden kann. Somit fungiert Metadata Manager nicht nur als Business-Glossar, sondern vielmehr als zentrale Stelle für die Erfassung des Fußabdrucks personenbezogener Daten über alle Datensätze hinweg.
Talend Metadata Manager unterstützt zwei Ansätze zur Identifizierung von CDEs für die DSGVO:
- Top-down-Ansatz — Hier wird die Datenlandschaft des Unternehmens als Ganzes beschrieben. Dabei unterstützt das Tool die Zuordnung von übergeordneten Datendefinitionen zu den tatsächlichen physischen Feldern in unternehmensweiten Quellsystemen.
- Bottom-up-Ansatz — Bei diesem Ansatz werden physische Datenpunkte automatisch erfasst und gegebenenfalls mit übergeordneten DSGVO-Datendefinitionen verknüpft. Die physischen Felder beruhen auf technischen Metadaten, die wiederum aus Quellsystemen auf Basis einer großen Vielfalt an Konnektoren aus dem Talend Metadata Manager gewonnen werden (siehe Abbildung 1).
Abbildung 1: Definition oder Retro-Engineering von Datenmodellen und Datenelementen mit Talend Metadata Manager.
Die große Bandbreite an Konnektoren ermöglicht einen genauen Überblick über die Datenlandschaft – ähnlich wie ein GPS-Navigationssystem, das den Fahrer auf veränderte Verkehrsbedingungen hinweist.
Dieser zweite Ansatz ist im Big-Data-Zeitalter beliebter, da die Daten aus unterschiedlichen Quellen stammen. Daher sind Prozesse zum automatischen Profiling und zur automatischen Erkennung von Daten wichtig, um zu prüfen, ob sie personenbezogene Informationen beinhalten, und gegebenenfalls Maßnahmen zur Einhaltung der geltenden Vorschriften zu treffen.
Die nächsten Schritte für die Identifizierung kritischer Daten
Rechts- und Compliance-Teams müssen die Verarbeitung personenbezogener Daten in der Designphase eines Projekts genehmigen. Unabhängig vom gewählten Ansatz müssen die Data-Governance-Mitarbeiter gemeinsam mit diesen Teams die „personenbezogenen Daten“ für die DSGVO definieren.
Die Identifizierung von CDEs im Zusammenhang mit personenbezogenen Daten ist essenziell, um Maßnahmen für DSGVO-Kontrollen zu treffen. Talend Metadata Manager spielt hierbei eine große Rolle. Beim nächsten Schritt im 16-stufigen Plan geht es um die Festlegung von Standards für die Datenerfassung.
← Schritt 3 | Schritt 5 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung