[DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
Data-Governance ist nichts Neues. Schon seit Jahren nutzen Organisationen Verfahren, um ihre Daten zu strukturieren, zu schützen und zu analysieren. Viele streng regulierte Branchen, wie etwa der Finanzdienstleistungs- oder Lifesciences-Sektor, haben Data-Governance-Initiativen ins Leben gerufen, um Compliance-Vorschriften wie BCBS 239, Solvency 2 oder HIPAA zu erfüllen. Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) und anderer Datenschutzvorgaben auf der ganzen Welt sind jetzt die meisten Unternehmen unabhängig von Größe oder Branche dringend auf Best Practices zur Data-Governance angewiesen.
Zu diesem Thema haben wir das Webinar Practical Steps to GDPR Compliance veranstaltet, das jetzt on demand verfügbar ist. Hier erfahren Sie, wie Sie in 16 praktischen Schritten die Voraussetzungen zur Einhaltung der DSGVO schaffen.
Was ist die DSGVO?
Die von der Europäischen Union (EU) eingeführte DSGVO gilt für die Verarbeitung personenbezogener Daten sämtlicher EU-Bürger, einschließlich Kunden, Mitarbeitern und potenzieller Kunden. Nach einer zweijährigen Übergangsphase trat die Verordnung am 25. Mai 2018 in Kraft.
Die DSGVO gilt für Personen in der EU, selbst wenn die Daten von Organisationen außerhalb der EU verarbeitet werden (z. B. USA, Asien-Pazifik, Naher Osten und Afrika). Unternehmen, die gegen die DSGVO verstoßen, drohen hohe Geldbußen von 20 Millionen Euro bzw. vier Prozent ihres weltweiten Umsatzes – je nachdem welcher Betrag höher ist.
Zweck der DSGVO ist es, bessere Datenschutzrichtlinien zu erstellen und Organisationen, die personenbezogene Daten verarbeiten, stärker in die Verantwortung zu nehmen. In 99 detaillierten Artikeln beschreibt die DSGVO eine Reihe von Regeln, die Organisationen einhalten müssen. Gemeinsam gewährleisten diese Artikel, dass Unternehmen äußerst behutsam mit personenbezogenen Daten umgehen und diese schützen, die Datenqualität im Auge behalten und sicherstellen, dass die betroffenen Personen über die Anwendung ihrer Daten informiert sind.
Der Übergang ist allerdings nicht einfach. Die neuen Prozesse müssen systemisch und automatisiert anstatt ad hoc, manuell und intrusiv sein. Wenn die DSGVO auch für Ihr Unternehmen gilt, sollten Sie unbedingt einen Blick auf unseren umfassenden, strukturierten 16-stufigen Plan zur Einhaltung der DSGVO werfen.
In einem ersten Schritt sieht der Plan die Entwicklung relevanter Richtlinien zur Stärkung des Data-Governance-Programms vor.
Entwicklung von Richtlinien, Standards und Kontrollen
Jede Organisation muss Richtlinien entwerfen, die sich direkt oder indirekt auf die DSGVO-Artikel beziehen. Diese umfassen verschiedene Bereiche wie Data-Ownership, Datenschutz, Zugriff, Schutz, Sicherheit, Metadatenmanagement und Datenqualitätsmanagement. Folgende Fragen sollten beachtet werden:
- Was sind personenbezogene Daten? Wo werden sie verarbeitet und aus welchem Grund? Woher stammen die Daten und wohin werden sie übertragen?
- Wie lassen sich Einwilligungen (Opt-ins) zurückverfolgen?
- Wie kann man die Verarbeitung personenbezogener Daten einschränken?
- Wer kann auf diese Daten zugreifen und wie wird der Zugriff zurückverfolgt?
- Wie lassen sich Daten maskieren oder löschen, wenn es keine explizite Einwilligung gibt oder wenn die Aufbewahrungsfrist abgelaufen ist?
- Sind diese Daten wirklich erforderlich oder sind sie optional?
Sofern es keinen Grund gibt, solche Aufgaben manuell zu bearbeiten, sollten diese Richtlinien besser in irgendeiner Form in den IT-Systemen automatisiert werden.
Die Plattform und Produktsuite von Talend bieten eine einfache Methode hierfür. Unten finden Sie ein paar Beispiele für DSGVO-Kontrollen und die entsprechenden Talend-Tools für eine einfache Implementierung.
Artikel 6 der DSGVO: Rechtmäßigkeit der Verarbeitung
Artikel 6 der DSGVO sieht angemessene Einwilligungen durch die Rechts- und Compliance-Abteilung während der Designphase beliebiger neuer Projekte vor, die eine Verarbeitung personenbezogener Daten erfordern.
Nützliche Tools: Talend Metadata Manager und Talend MDM.
Artikel 7 der DSGVO: Bedingungen für die Einwilligung
Die Einwilligung bezieht sich auf die explizite Einwilligung des Kunden zur Weitergabe personenbezogener Daten. Dies ist ein besonders wichtiger Aspekt der DSGVO. Es ist absolut erforderlich, dass Unternehmen einen Nachweis dieser Einwilligung vorlegen können. Dies kann nicht mehr implizit erfolgen – es muss lückenlos nachgewiesen werden, wann und wie die Einwilligung erteilt wurde (Telefon, E-Mail etc.). Wenn Kunden nur eine teilweise Zustimmung geben, muss auch diese aufgezeichnet werden.
Nützliche Tools: Talend Data Quality, Talend Big Data und Talend Master Data Management (MDM).
Artikel 9 der DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Besondere Kategorien personenbezogener Daten beziehen sich etwa auf ethnische Herkunft oder politische Meinungen. Unter der DSGVO gelten solche besonderen Parameter als kritische Datenelemente. Laut Artikel 9 müssen Rechts- und Compliance-Abteilungen der Nutzung besonderer Kategorien direkt in der Designphase eines Projekts zustimmen.
Nützliche Tools: Talend Metadata Manager und Talend Data Quality.
Artikel 11 der DSGVO: Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
Die Anonymisierung der betroffenen Person in Form von Datenmaskierung ist eine wichtige Säule des Datenschutzes und der Datensicherheit (Artikel 11). Somit wird das Risiko vermindert, dass vertrauliche Informationen gestohlen werden. Richtlinien und Standards, die eine Identifizierung der betroffenen Person erschweren, sind enorm wichtig für die Wahrung der Anonymität. Die Definition eindeutiger Rollen und Verantwortlichkeiten mit angemessenen administrativen Rechten ist ein weiterer Schritt hin zu einem eingeschränkten Zugriff auf private Daten.
Nützliche Tools: Talend Data Quality und Talend Data Preparation.
Artikel 30 der DSGVO: Verzeichnis von Verarbeitungstätigkeiten
Artikel 30 der DSGVO sieht eine klare Prüfkette für vertrauliche Daten in einem Unternehmen (einschließlich Dritten) vor. Dies stellt sicher, dass die Datenherkunft über den gesamten Datenlebenszyklus hinweg lückenlos zurückverfolgt werden kann.
Nützliche Tools: Talend Metadata Manager.
Die nächsten Schritte bei der Erstellung von DSGVO-Richtlinien
Durch die Einrichtung eines Data-Governance-Regelwerks stellen Sie die Kontrolle über kritische Daten sicher. Zudem ermöglicht ein solches Regelwerk eine bessere Abstimmung zwischen Rechts-, Compliance-, Datenschutz- und Enterprise-Datenmanagementteams und sorgt dafür, dass alle auf dem gleichen Stand sind, bevor es in die nächste Implementierungsphase geht.
Schritt 2 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung