[DSGVO-Schritt 11] Konsolidierung der Datenherkunft
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO müssen Unternehmen sich mit der Datenherkunft beschäftigen, die Informationen ihrer Kunden, Mitarbeiter und potenziellen Kunden zurückverfolgen und einen Überblick darüber haben, wie sich personenbezogene Daten durch ihre Systeme bewegen.
In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms vorgestellt, der die Einhaltung der DSGVO erleichtern soll.
Im elften Schritt geht es um die Konsolidierung der Datenherkunft. Wenn Sie mehr über die ersten zehn Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.
Datenherkunft unter der DSGVO
Bei der Datenherkunft geht es darum, den Fluss der Daten zu verstehen: wo ihr Ursprung ist, durch welche Systeme sie gewandert sind und wo sie letzten Endes gespeichert wurden. Zur Veranschaulichung wird dies oft grafisch dargestellt.
Durch ein besseres Verständnis der Datenherkunft können Unternehmen Informationen über Datenänderungen – etwa wer die Änderung vorgenommen hat, was aktualisiert wurde, wann dies passiert ist und welches System genutzt wurde – eindeutig zurückverfolgen und so die Datenqualität verbessern.
Mit diesem Wissen können Unternehmen sicherstellen, dass sensible Daten nur an Systeme weitergeleitet werden, die mit angemessenen Datenschutzmethoden wie Anonymisierung und Pseudonymisierung ausgestattet sind. Außerdem können sie sich besser auf die behördliche Berichterstattung vorbereiten. Somit spielt die Datenherkunft eine wesentliche Rolle für die DSGVO.
Verzeichnis von Verarbeitungstätigkeiten
Artikel 30 der DSGVO verpflichtet Organisationen dazu, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Die Aufzeichnungsanforderungen gelten auch für Auftragsverarbeiter, die Daten im Auftrag einer Organisation verarbeiten.
Dieses Verzeichnis muss folgende Angaben umfassen:
- eine Beschreibung der Kategorien personenbezogener Daten
- eine Beschreibung der Kategorien von Empfängern personenbezogener Daten einschließlich Empfängern in Drittländern oder internationalen Organisationen
- Weiterleitung personenbezogener Daten an ein Drittland oder an eine internationale Organisation
Recht auf Vergessenwerden
Laut Artikel 17 der DSGVO haben betroffene Personen ein Recht auf Löschung, allgemein bekannt als „Recht auf Vergessenwerden“. Dies bedeutet, dass Unternehmen Funktionen implementieren müssen, mit denen sie die personenbezogenen Daten eines Kunden vollständig aus dem Speicher löschen können. Das ist aber nur möglich, wenn das Unternehmen alle Systeme kennt, in denen sich Kundendaten befinden.
Recht auf Datenzugriff und Datenübertragbarkeit
Laut Artikel 20 der DSGVO hat die betroffene Person ein Recht auf Datenübertragbarkeit (d. h. Kunden können all ihre Daten in einem maschinenlesbaren Format anfordern). Diese Daten können sie zu Informationszwecken oder für die Migration in eine andere Plattform nutzen. Auch hier ist die Datenherkunft fundamental, um Kunden diese Dienstleistung erbringen zu können.
Zurückverfolgung der Datenherkunft
Um die Anforderungen an die Datenherkunft unter der DSGVO zu erfüllen, müssen Unternehmen:
- eine Datentaxonomie schaffen
- Dateninhaber identifizieren
- kritische Datenelemente identifizieren
- ein klares Verständnis über die betroffenen Personen und deren Absichten haben (Schritte 5 und 6).
- Auftragsverarbeiter/Lieferanten identifizieren
Wenn diese Voraussetzungen geschaffen wurden, müssen Data-Governance-Teams als Nächstes die Funktionen für Metadatenmanagement und Datenherkunft verbessern, um die Vorgaben dieses DSGVO-Artikels einzuhalten.
Talend für die Datenherkunft
Talend Metadata Manager unterstützt Funktionen für Datenherkunft über verschiedene Plattformen wie Hadoop und NoSQL hinweg. Die komplette Datenlandschaft ist im Metadata Manager definiert. Dabei werden die Datenströme und Abhängigkeiten über einen automatisierten Mechanismus grafisch dargestellt.
Wie in Abbildung 1 beispielhaft dargestellt ist, werden die Opt-in-Daten sowohl von den CRM- als auch den MDM-Systemen genutzt. Allerdings zeigt der Metadata Manager eindeutig, dass die Zustimmung zuerst im CRM-System erfasst wurde.
Abbildung 1: Talend Metadata Manager ermöglicht eine durchgängige Sicht auf kritische Daten wie Genehmigungen. So lässt sich genau nachverfolgen, woher die Daten kommen und wohin sie gehen.
Talend Big Data Platform lässt sich auch mit Apache Atlas und Cloudera Navigator integrieren, um einen Überblick über die Herkunft von Datenströmen innerhalb eines Data-Lake zu ermöglichen. In einer komplexen Big-Data-Umgebung mit mehreren Informationsquellen ist dieses Feature besonders nützlich, um potenzielle Probleme zu isolieren.
Die nächsten Schritte bei der Datenherkunft
Die Zurückverfolgung der Datenherkunft ist sowohl für Produktionsanwendungen als auch für Test-, Back-up- und andere Umgebungen relevant. Dieses Thema spielt nicht nur für die Nutzung von Daten innerhalb eines Unternehmens eine Rolle, sondern auch für die Übertragung von EU-Daten in andere Länder oder zu anderen Anbietern. Die DSGVO gilt ebenfalls für Nicht-EU-Länder, wenn sie die Daten von EU-Bürgern verarbeiten. Vor diesem Hintergrund gilt es, das Thema Datenherkunft ganzheitlich anzugehen. Die Tools von Talend helfen dabei.
Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Verwaltung von Analysemodellen.
← Schritt 10 | Schritt 12 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung