Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO müssen Unternehmen sich mit der Datenherkunft beschäftigen, die Informationen ihrer Kunden, Mitarbeiter und potenziellen Kunden zurückverfolgen und einen Überblick darüber haben, wie sich personenbezogene Daten durch ihre Systeme bewegen.

In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms vorgestellt, der die Einhaltung der DSGVO erleichtern soll.

Im elften Schritt geht es um die Konsolidierung der Datenherkunft. Wenn Sie mehr über die ersten zehn Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.

Laden Sie Konsolidierung der Datenherkunft [DSGVO-Schritt 11] jetzt herunter.
Weitere Informationen

Datenherkunft unter der DSGVO

Bei der Datenherkunft geht es darum, den Fluss der Daten zu verstehen: wo ihr Ursprung ist, durch welche Systeme sie gewandert sind und wo sie letzten Endes gespeichert wurden. Zur Veranschaulichung wird dies oft grafisch dargestellt.

Durch ein besseres Verständnis der Datenherkunft können Unternehmen Informationen über Datenänderungen – etwa wer die Änderung vorgenommen hat, was aktualisiert wurde, wann dies passiert ist und welches System genutzt wurde – eindeutig zurückverfolgen und so die Datenqualität verbessern.

Mit diesem Wissen können Unternehmen sicherstellen, dass sensible Daten nur an Systeme weitergeleitet werden, die mit angemessenen Datenschutzmethoden wie Anonymisierung und Pseudonymisierung ausgestattet sind. Außerdem können sie sich besser auf die behördliche Berichterstattung vorbereiten. Somit spielt die Datenherkunft eine wesentliche Rolle für die DSGVO.

Verzeichnis von Verarbeitungstätigkeiten

Artikel 30 der DSGVO verpflichtet Organisationen dazu, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Die Aufzeichnungsanforderungen gelten auch für Auftragsverarbeiter, die Daten im Auftrag einer Organisation verarbeiten.

Dieses Verzeichnis muss folgende Angaben umfassen:
  • eine Beschreibung der Kategorien personenbezogener Daten
  • eine Beschreibung der Kategorien von Empfängern personenbezogener Daten einschließlich Empfängern in Drittländern oder internationalen Organisationen
  • Weiterleitung personenbezogener Daten an ein Drittland oder an eine internationale Organisation

Recht auf Vergessenwerden

Laut Artikel 17 der DSGVO haben betroffene Personen ein Recht auf Löschung, allgemein bekannt als „Recht auf Vergessenwerden“. Dies bedeutet, dass Unternehmen Funktionen implementieren müssen, mit denen sie die personenbezogenen Daten eines Kunden vollständig aus dem Speicher löschen können. Das ist aber nur möglich, wenn das Unternehmen alle Systeme kennt, in denen sich Kundendaten befinden.

Recht auf Datenzugriff und Datenübertragbarkeit

Laut Artikel 20 der DSGVO hat die betroffene Person ein Recht auf Datenübertragbarkeit (d. h. Kunden können all ihre Daten in einem maschinenlesbaren Format anfordern). Diese Daten können sie zu Informationszwecken oder für die Migration in eine andere Plattform nutzen. Auch hier ist die Datenherkunft fundamental, um Kunden diese Dienstleistung erbringen zu können.

Zurückverfolgung der Datenherkunft

Um die Anforderungen an die Datenherkunft unter der DSGVO zu erfüllen, müssen Unternehmen:
Wenn diese Voraussetzungen geschaffen wurden, müssen Data-Governance-Teams als Nächstes die Funktionen für Metadatenmanagement und Datenherkunft verbessern, um die Vorgaben dieses DSGVO-Artikels einzuhalten.

Talend für die Datenherkunft

Talend Metadata Manager unterstützt Funktionen für Datenherkunft über verschiedene Plattformen wie Hadoop und NoSQL hinweg. Die komplette Datenlandschaft ist im Metadata Manager definiert. Dabei werden die Datenströme und Abhängigkeiten über einen automatisierten Mechanismus grafisch dargestellt.

Wie in Abbildung 1 beispielhaft dargestellt ist, werden die Opt-in-Daten sowohl von den CRM- als auch den MDM-Systemen genutzt. Allerdings zeigt der Metadata Manager eindeutig, dass die Zustimmung zuerst im CRM-System erfasst wurde.

data lineage

Abbildung 1: Talend Metadata Manager ermöglicht eine durchgängige Sicht auf kritische Daten wie Genehmigungen. So lässt sich genau nachverfolgen, woher die Daten kommen und wohin sie gehen.

Talend Big Data Platform lässt sich auch mit Apache Atlas und Cloudera Navigator integrieren, um einen Überblick über die Herkunft von Datenströmen innerhalb eines Data-Lake zu ermöglichen. In einer komplexen Big-Data-Umgebung mit mehreren Informationsquellen ist dieses Feature besonders nützlich, um potenzielle Probleme zu isolieren.

Die nächsten Schritte bei der Datenherkunft

Die Zurückverfolgung der Datenherkunft ist sowohl für Produktionsanwendungen als auch für Test-, Back-up- und andere Umgebungen relevant. Dieses Thema spielt nicht nur für die Nutzung von Daten innerhalb eines Unternehmens eine Rolle, sondern auch für die Übertragung von EU-Daten in andere Länder oder zu anderen Anbietern. Die DSGVO gilt ebenfalls für Nicht-EU-Länder, wenn sie die Daten von EU-Bürgern verarbeiten. Vor diesem Hintergrund gilt es, das Thema Datenherkunft ganzheitlich anzugehen. Die Tools von Talend helfen dabei.

Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Verwaltung von Analysemodellen.

Um mehr darüber zu erfahren und alle 16 Schritte kennenzulernen, sollten Sie sich das On-Demand-Webinar Practical Steps to GDPR Compliance anschauen. Im Video geht es u. a. um Themen wie die Entwicklung von Standards und Kontrollen, die Identifizierung von Dateninhabern und kritischen Datenelementen, die Durchführung von Risikobewertungen und die Verbesserung der Datenqualität – um nur einige zu nennen.