[DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO werden Organisationen intensiv dahingehend geprüft, wie sie die personenbezogenen Daten von Kunden, Mitarbeitern und potenziellen Neukunden verarbeiten. Eine Nichteinhaltung der Verordnung kann hohe Geldstrafen nach sich ziehen. Daher ist es für Organisationen extrem wichtig, zu wissen, welche Daten sie erfassen, und diese Daten nur in der von der betroffenen Person genehmigten Weise zu verwenden.
In unserem vor Kurzem veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms vorgestellt, das die Einhaltung der DSGVO erleichtern soll.
Die Definition von Standards für die zulässige Nutzung ist der sechste Schritt im Rahmen dieses Plans.
Datennutzung unter der DSGVO
Die DSGVO gibt eine klare Grundlage für die Nutzung personenbezogener Daten vor. Bestehende Standards reichen in vielen Fällen einfach nicht mehr aus, sodass Organisationen einen strengeren Regulierungsrahmen benötigen. Im Folgenden werfen wir einen Blick auf die zwei Grundsätze für eine zulässige Datennutzung:
Rechtmäßigkeit der Verarbeitung
Artikel 6 der DSGVO beschäftigt sich mit der Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Der Artikel beschreibt bestimmte Situationen, in denen die Verarbeitung personenbezogener Daten erlaubt ist, wie zum Beispiel:
- Die betroffene Person hat ihre Einwilligung gegeben.
- Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung erforderlich.
- Die Verarbeitung ist notwendig, um wesentliche Interessen der betroffenen Person oder einer anderen Person zu schützen.
Für eine Implementierung muss das Data-Governance-Team durch entsprechende Kontrollen sicherstellen, dass neue Projekte, für die personenbezogene Daten erforderlich sind, während der Designphase durch die Rechts- und Compliance-Abteilung genehmigt werden. Darüber hinaus sollte eine klare unternehmensspezifische Liste solcher Situationen erstellt werden.
Wenn eine Investmentbank etwa personenbezogene Daten für Anti-Geldwäsche-Richtlinien verarbeiten möchte, muss zunächst festgelegt werden, ob sie das darf oder nicht. Solche Szenarien müssen explizit ausgearbeitet und genehmigt werden.
Bedingungen für die Einwilligung
Laut Artikel 7, Absatz 1 der DSGVO muss die verantwortliche Stelle nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat. Die Daten dürfen demnach nur genutzt werden, wenn die betroffene Person dies genehmigt hat, und auch nur in der Art und Weise, der die betroffene Person zugestimmt hat.
Wenn die betroffene Person etwa ihre Zustimmung nur für den Erhalt von E-Mails, aber nicht für Telefonanrufe gegeben hat, muss diese Teileinwilligung genauso erfasst werden: Die Daten dürfen entsprechend nur für E-Mail-Kampagnen genutzt werden.
In Schritt 11 erfahren Sie mehr über die Anforderungen für die Einwilligung im Rahmen der DSGVO.
Das Data-Governance-Team sollte mit der IT-, Rechts- und Compliance-Abteilung zusammenarbeiten, um ein Enterprise-Repository für Einwilligungen zu erstellen. Dieses Repository sollte praktisch ein einziges Inventar mit allen Einwilligungen einschließlich solchen für E-Mail-Kampagnen, Cookies und Telefonverträge sein.
Verzeichnis von Verarbeitungstätigkeiten
Laut Artikel 30 soll jeder Datenverantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche Verarbeitungsaktivitäten rund um personenbezogene Daten zusammen mit folgenden Angaben:
- Zweck der Verarbeitung
- Name des Verantwortlichen
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
- Informationen über die mögliche Weitergabe personenbezogener Daten an ein Nicht-EU-Land
- Dauer der Aufbewahrung
- eine Beschreibung der Sicherheitsmaßnahmen für die Daten
Wie Sie mit Talend eine zulässige Datennutzung definieren
Talend Master Data Manager (MDM), Talend Big Data, und Talend Data Quality erleichtern die Erstellung eines DSGVO-Data-Lake, in dem alle Informationen zur betroffenen Person einschließlich personenbezogener Daten und Einwilligungen zentral zusammengeführt werden. Im Big-Data-Zeitalter, in dem Einwilligungen in mehreren Systemen erfasst werden können, hilft ein solcher Data-Lake, Daten aus verschiedenen Quellen abzurufen und abzugleichen.
Wie in Abbildung 1 zu sehen, werden mithilfe eines Talend-Jobs Opt-in-Daten aus einem Third-Party-Marketing-System wiedergewonnen. Diese Einwilligungsinformationen werden anschließend mithilfe von Talend MDM über alle Anwendungen hinweg, die diese benötigen, veröffentlicht. Der Job nutzt darüber hinaus Talend Data Quality, um Daten zwischen dem outgesourcten System und dem zentral verwalteten DSGVO-Katalog abzugleichen.
Abbildung 1: Ein Talend-Job kombiniert Datenqualität, Data-Stewardship und Big-Data-Integration in einer einheitlichen visuellen Umgebung. So lassen sich personenbezogene Daten erfassen, standardisieren, abgleichen, zertifizieren, schützen und weitergeben.
Diese grafisch dargestellte Datenpipeline ist voll automatisiert und lässt sich gemeinsam mit den Business-Teams nutzen. So können sich Business-Anwender mit Data Preparation an der Definition von Datenkontrollen beteiligen und/oder mit Talend Data Stewardship den Datenzertifizierungs- und -kuratierungsprozess (z. B. Löschung von Duplikaten) mitgestalten.
Talend Metadata Manager dient auch als Katalog, in dem die Standards für die zulässige Nutzung personenbezogener Datenelemente enthalten sind. Gelangt zum Beispiel ein neuer Wert wie „Halal“ für das Attribut „Essenspräferenzen“ in die Big-Data-Umgebung, können Talend-Workflows genutzt werden, um eine Genehmigung durch die Rechtsabteilung zu erhalten, weil dieses Feld möglicherweise dazu genutzt werden könnte, die Religionszugehörigkeit einer Person zu bestimmen. Dieses Thema wird ausdrücklich unter Artikel 9 der DSGVO geregelt.
Talend MDM führt ein Protokoll über Stammdaten-Updates einschließlich Einwilligungen. In Abbildung 2 kann man dem Protokoll entnehmen, dass für den Kunden Pierre Flores am 14. Juni eine Einwilligung hinzugefügt wurde. Ein genauerer Blick auf diesen Datensatz bietet Aufschluss über seine genaue Herkunft. So kann man erkennen, dass die Einwilligung über die Website erfolgte.
Abbildung 2: Talend MDM schafft einen Überblick über die Herkunft des Datensatzes und bietet somit einen Audit-Trail für Einwilligungen und andere Daten zur betroffenen Person.
Nächste Schritte zur DSGVO-Compliance
Die Definition akzeptabler Nutzungsstandards ist der Kern dessen, worum es bei der DSGVO geht – die Art und Weise, wie personenbezogene Daten verarbeitet werden. Die Tools von Talend vereinfachen diesen Prozess erheblich, indem sie Automatisierungsmechanismen bereitstellen, um die Datenlandschaft zu verstehen, zu speichern und zu interpretieren.
Der nächste Schritt des von Talend zusammengestellten 16-Stufen-Plans zur Operationalisierung eines Data-Governance-Frameworks für die Einhaltung der DSGVO ist die Datenmaskierung. Datenmaskierung befasst sich mit Techniken wie Anonymisierung und Pseudonymisierung zum Schutz von Daten.
← Schritt 5 | Schritt 7 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung