Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) trat am 25. Mai 2018 in Kraft. Die Verordnung gilt nicht nur für personenbezogene Daten, die in zentralen IT-Systemen genutzt werden, sondern auch für End-User-Computing-Anwendungen. Hierbei handelt es sich oft um nativ entwickelte Standalone-Tools.

In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms zur Förderung der DSGVO-Compliance vorgestellt.

Die Verwaltung des End-User-Computings ist der 13. Schritt. Wenn Sie mehr über die ersten zwölf Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.

Laden Sie Verwaltung des End-User-Computings [DSGVO-Schritt 13] jetzt herunter.
Weitere Informationen

End-User-Computing-Anwendungen unter der DSGVO

Beim End-User-Computing (EUC) erstellen Business-Anwender ihre eigenen Ad-hoc-Anwendungen, die auf bestimmte Anforderungen zugeschnitten sind. Da diese User gewöhnlich keine Core-Programmierer sind, handelt es sich bei diesen EUC-Anwendungen normalerweise um Skripts oder eine visuelle Oberfläche, die Code bearbeitet.
Unternehmen nutzen eine beträchtliche Menge an EUC-Anwendungen in Form von Spreadsheets und Datenbanken, die möglicherweise auf Desktop-PCs oder in cloudbasierten Repositorys gespeichert sind. Zum Beispiel verwenden viele User Standalone-Spreadsheets, die Berichte generieren und Kennzahlen berechnen.

Artikel 32 der DSGVO beschäftigt sich mit der Sicherheit bei der Verarbeitung personenbezogener Daten. Diese hohen Datenschutzanforderungen gelten auch für End-User-Computing-Anwendungen.

EUC-Anwendungen befinden sich normalerweise außerhalb der Kontrolle der IT und enthalten in einigen Fällen sensible personenbezogene Daten. Sie sind häufig anfällig für Schwachstellen, da sie im Gegensatz zu IT-Systemen keiner Regulierung unterliegen. Um Reputationsverluste und hohe Geldstrafen zu vermeiden, sollte sich das Data-Governance-Team daher um diese Anwendungen gesondert kümmern.

Die Verwaltung von EUC-Apps ist auch deswegen von Bedeutung, weil betroffene Personen laut Artikel17 der DSGVO ein „Recht auf Vergessenwerden“ haben. Unternehmen können es sich daher nicht erlauben, Restbestände solcher Daten in diesen unbewachten Anwendungen zu halten, da User von ihrem Recht Gebrauch machen könnten, ihre Daten aus den Systemen zu löschen.

Verwaltung von End-User-Computing-Anwendungen: 5 wichtige Schritte

Den meisten Unternehmen entgeht, dass EUC-Apps unter die Zuständigkeit des Data-Governance-Teams fallen. Unter der DSGVO müssen allerdings sämtliche Organisationen, die mit Daten von EU-Bürgern zu tun haben, die Verantwortung über solche Apps übernehmen und umgehend entsprechende Maßnahmen einleiten, um die Compliance sicherzustellen.
 
Im Folgenden erfahren Sie, wie Sie EUC-Anwendungen am besten verwalten:
  1. Definition von Richtlinien — Das Data-Governance-Team sollte gemeinsam mit der Rechts- und Compliance-Abteilung Richtlinien entwerfen, die dafür sorgen, dass diese Apps den geltenden Datenschutzstandards unterliegen. Zudem sollten sie sicherstellen, dass EUC-Apps künftig keine sensiblen personenbezogenen Daten mehr enthalten.
  2. Identifizierung der Apps — Die Verwaltung von EUC-Anwendungen kann eine Herausforderung sein, weil es sich bei den meisten um oft verborgene Standalone-Apps handelt. Compliance-Teams wissen vielleicht nicht einmal, dass es solche Anwendungen gibt. Das Data-Governance-Team sollte eine Liste dieser Apps erstellen, um Datenschutzrichtlinien entsprechend umzusetzen.
  3. Datenanalyse — Nach Identifizierung der vorhandenen EUC-Apps sollten die Daten analysiert werden, um zu sehen, ob sensible Informationen im Spiel sind. Zum Beispiel ist die Nutzung besonderer Kategorien von Daten (z. B. Daten zur ethnischen Herkunft, zum Alter etc.) ein direkter Verstoß gegen die DSGVO. Um solche Situationen zu vermeiden, müssen entsprechende Maßnahmen getroffen werden.
  4. Festlegung von Datenschutzstandards — Nachdem Unternehmen die EUC-Apps identifiziert haben und verstanden haben, auf welche Weise sie Daten nutzen, müssen sie entsprechende Datenschutzmechanismen einrichten, wie etwa die Maskierung von Feldern, um bei Bedarf die Identität zu verbergen.
  5. EUC-Anwendungen unter die Kontrolle der IT bringen — Das langfristige Ziel sollte darin liegen, Standalone-EUC-Apps zu vermeiden. Stattdessen sollten sie unter der Kontrolle der IT stehen, um eine bessere Überwachung und einen besseren Support zu möglichen.

Verwaltung von End-User-Computing-Anwendungen mithilfe von Talend

Die Tools von Talend bieten zwei Möglichkeiten, um die Kontrolle über das End-User-Computing zurückzuerlangen.

1. Alternative Lösung für EUC

Die erste Lösung liegt darin, denjenigen Nutzern, die mit personenbezogenen Daten arbeiten, eine bessere Option als Büroautomatisierungstools zu bieten. Tatsächlich verwenden zwölf Prozent der Mitarbeiter in einem Unternehmen Selfservice-Funktionen für die Datenaufbereitung über verschiedene Spreadsheets. Am meisten werden diese für das operative Geschäft und Prognosen eingesetzt (49 %).

Talend Data Preparation bietet Business-Anwendern einen effektiveren Ansatz für ihre Datenaufbereitungsaufgaben einschließlich solchen Aufgaben, die mit personenbezogenen Daten zu tun haben. Zusammenhängende Aktivitäten lassen sich zurückverfolgen, indem personenbezogene Daten bzw. Attribute innerhalb einer Datenquelle zusammen mit den Aktionen, die Business-User auf diese Daten angewendet haben, automatisch erfasst werden (Abbildung 1).

end user computing

Abbildung 1: Talend Data Preparation bietet bessere Selfservice-Optionen als Microsoft Excel und andere Büroanwendungen für die Datenaufbereitung und für die Erfassung der Aktivitäten von Business-Anwendern, was eine zuverlässigere Kontrolle und eine sicherere Wiederverwendung ermöglicht.

2. Datenschutz innerhalb von EUC-Anwendungen

Der zweite Ansatz, um die Kontrolle über das End-User-Computing zurückzuerlangen, besteht darin, personenbezogene Daten aus der Phase nach der Datenerhebung oder Freitext zu erfassen und dann angemessene Aktionen wie Kategorisierung oder Maskierung durchzuführen.

Talend Data Quality nutzt Machine-Learning-Funktionen in Form von Natural Language Processing, um mögliche personenbezogene Daten aus Freitext innerhalb eines Dokuments (z. B. E-Mail, Microsoft Word oder PDF), einer Anwendung (z. B. Salesforce, Zendesk oder Service Now) oder nutzergenerierter Inhalte in einer Web- oder mobilen Anwendung (z. B. Social Media oder Diskussionsforen) zu extrahieren und zu markieren. Auf diese Weise lassen sich Referenzen auf personenbezogene Daten in Freitext automatisch markieren und weiterverarbeiten. Der gesamte Prozess lässt sich für Echtzeit- und Big-Data-Verarbeitungsanforderungen skalieren.

Die nächsten Schritte bei der Verwaltung des End-User-Computings

Gewöhnlich stehen EUC-Anwendungen aufgrund ihrer geringen Sichtbarkeit nicht auf der Prioritätenliste. Mit Einführung der DSGVO können diese Anwendungen allerdings nicht länger vernachlässigt werden. Unternehmen müssen also entweder auf ein anderes Automatisierungssystem umsteigen oder Datenschutzmaßnahmen innerhalb der EUC-Anwendung durchsetzen. Talend bietet für beide Fälle nützliche Tools.

Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Verwaltung des Informationslebenszyklus.

Um mehr darüber zu erfahren und alle 16 Schritte kennenzulernen, sollten Sie sich das On-Demand-Webinar Practical Steps to GDPR Compliance anschauen. Darin geht es u. a. um Themen wie die Entwicklung von Standards und Kontrollen, die Identifizierung von Dateninhabern und kritischen Datenelementen, die Durchführung von Risikobewertungen und die Verbesserung der Datenqualität – um nur einige zu nennen.