Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO werden Organisationen intensiv dahingehend geprüft, wie sie die personenbezogenen Daten von Kunden, Mitarbeitern und potenziellen Neukunden verarbeiten. Eine Nichteinhaltung der Verordnung kann hohe Geldstrafen nach sich ziehen. Daher ist es für Organisationen extrem wichtig, zu wissen, welche Daten sie erfassen, und diese Daten nur in der von der betroffenen Person genehmigten Weise zu verwenden.

In unserem vor Kurzem veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms vorgestellt, das die Einhaltung der DSGVO erleichtern soll.

Die Definition von Standards für die zulässige Nutzung ist der sechste Schritt im Rahmen dieses Plans.

Laden Sie Definition von Standards für die zulässige Nutzung für die DSGVO [DSGVO-Schritt 6] jetzt herunter.
Weitere Informationen

Datennutzung unter der DSGVO

Die DSGVO gibt eine klare Grundlage für die Nutzung personenbezogener Daten vor. Bestehende Standards reichen in vielen Fällen einfach nicht mehr aus, sodass Organisationen einen strengeren Regulierungsrahmen benötigen. Im Folgenden werfen wir einen Blick auf die zwei Grundsätze für eine zulässige Datennutzung:

Rechtmäßigkeit der Verarbeitung

Artikel 6 der DSGVO beschäftigt sich mit der Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Der Artikel beschreibt bestimmte Situationen, in denen die Verarbeitung personenbezogener Daten erlaubt ist, wie zum Beispiel:

  • Die betroffene Person hat ihre Einwilligung gegeben
  • Die Verarbeitung ist für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung erforderlich.
  • Die Verarbeitung ist notwendig, um wesentliche Interessen der betroffenen Person oder einer anderen Person zu schützen.

Für eine Implementierung muss das Data-Governance-Team durch entsprechende Kontrollen sicherstellen, dass neue Projekte, für die personenbezogene Daten erforderlich sind, während der Designphase durch die Rechts- und Compliance-Abteilung genehmigt werden. Darüber hinaus sollte eine klare unternehmensspezifische Liste solcher Situationen erstellt werden.

Wenn eine Investmentbank etwa personenbezogene Daten für Anti-Geldwäsche-Richtlinien verarbeiten möchte, muss zunächst festgelegt werden, ob sie das darf oder nicht. Solche Szenarien müssen explizit ausgearbeitet und genehmigt werden.

Bedingungen für die Einwilligung

Laut Artikel 7, Absatz 1 der DSGVO muss die verantwortliche Stelle nachweisen können, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat. Die Daten dürfen demnach nur genutzt werden, wenn die betroffene Person dies genehmigt hat, und auch nur in der Art und Weise, der die betroffene Person zugestimmt hat.

Wenn die betroffene Person etwa ihre Zustimmung nur für den Erhalt von E-Mails, aber nicht für Telefonanrufe gegeben hat, muss diese Teileinwilligung genauso erfasst werden: Die Daten dürfen entsprechend nur für E-Mail-Kampagnen genutzt werden.

In Schritt 11 erfahren Sie mehr über die Anforderungen für die Einwilligung im Rahmen der DSGVO.

Das Data-Governance-Team sollte mit der IT-, Rechts- und Compliance-Abteilung zusammenarbeiten, um ein Enterprise-Repository für Einwilligungen zu erstellen. Dieses Repository sollte praktisch ein einziges Inventar mit allen Einwilligungen einschließlich solchen für E-Mail-Kampagnen, Cookies und Telefonverträge sein.

Verzeichnis von Verarbeitungstätigkeiten

Laut Artikel 30 soll jeder Datenverantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche Verarbeitungsaktivitäten rund um personenbezogene Daten zusammen mit folgenden Angaben:
  • Zweck der Verarbeitung
  • Name des Verantwortlichen
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • Informationen über die mögliche Weitergabe personenbezogener Daten an ein Nicht-EU-Land
  • Dauer der Aufbewahrung
  • eine Beschreibung der Sicherheitsmaßnahmen für die Daten

Wie Sie mit Talend eine zulässige Datennutzung definieren

Talend Master Data Manager (MDM), Talend Big Data, und Talend Data Quality erleichtern die Erstellung eines DSGVO-Data-Lake, in dem alle Informationen zur betroffenen Person einschließlich personenbezogener Daten und Einwilligungen zentral zusammengeführt werden. Im Big-Data-Zeitalter, in dem Einwilligungen in mehreren Systemen erfasst werden können, hilft ein solcher Data-Lake, Daten aus verschiedenen Quellen abzurufen und abzugleichen.

Wie in Abbildung 1 zu sehen, werden mithilfe eines Talend-Jobs Opt-in-Daten aus einem Third-Party-Marketing-System wiedergewonnen. Diese Einwilligungsinformationen werden anschließend mithilfe von Talend MDM über alle Anwendungen hinweg, die diese benötigen, veröffentlicht. Der Job nutzt darüber hinaus Talend Data Quality, um Daten zwischen dem outgesourcten System und dem zentral verwalteten DSGVO-Katalog abzugleichen.

use standards

Abbildung 1: Ein Talend-Job kombiniert Datenqualität, Data-Stewardship und Big-Data-Integration in einer einheitlichen visuellen Umgebung. So lassen sich personenbezogene Daten erfassen, standardisieren, abgleichen, zertifizieren, schützen und weitergeben.

Diese grafisch dargestellte Datenpipeline ist voll automatisiert und lässt sich gemeinsam mit den Business-Teams nutzen. So können sich Business-Anwender mit Data Preparation an der Definition von Datenkontrollen beteiligen und/oder mit Talend Data Stewardship den Datenzertifizierungs- und -kuratierungsprozess (z. B. Löschung von Duplikaten) mitgestalten.

Talend Metadata Manager dient auch als Katalog, in dem die Standards für die zulässige Nutzung personenbezogener Datenelemente enthalten sind. Gelangt zum Beispiel ein neuer Wert wie „Halal“ für das Attribut „Essenspräferenzen“ in die Big-Data-Umgebung, können Talend-Workflows genutzt werden, um eine Genehmigung durch die Rechtsabteilung zu erhalten, weil dieses Feld möglicherweise dazu genutzt werden könnte, die Religionszugehörigkeit einer Person zu bestimmen. Dieses Thema wird ausdrücklich unter Artikel 9 der DSGVO geregelt.

Talend MDM führt ein Protokoll über Stammdaten-Updates einschließlich Einwilligungen. In Abbildung 2 kann man dem Protokoll entnehmen, dass für den Kunden Pierre Flores am 14. Juni eine Einwilligung hinzugefügt wurde. Ein genauerer Blick auf diesen Datensatz bietet Aufschluss über seine genaue Herkunft. So kann man erkennen, dass die Einwilligung über die Website erfolgte.

acceptable use standards

Abbildung 2: Talend MDM schafft einen Überblick über die Herkunft des Datensatzes und bietet somit einen Audit-Trail für Einwilligungen und andere Daten zur betroffenen Person.

Die nächsten Schritte zur Einhaltung der DSGVO

Die Definition von Standards für die zulässige Nutzung und Verarbeitung personenbezogener Daten spielt eine zentrale Rolle bei der DSGVO. Diesen Prozess erleichtern die Talend-Tools erheblich, da sie die nötigen Automatisierungsmechanismen bereitstellen, um Daten besser zu verstehen, zu speichern und zu interpretieren.

Der nächste Schritt im 16-stufigen Plan von Talend zur Umsetzung eines Data-Governance-Frameworks für die DSGVO-Compliance ist die Datenmaskierung. Bei der Datenmaskierung geht es um Verfahren wie Anonymisierung und Pseudonymisierung zum Schutz von Daten.

Um alle 16 Schritte kennenzulernen, sollten Sie sich das On-Demand-Webinar Practical Steps to GDPR Compliance anschauen. Im Video werden u. a. Themen behandelt wie die Schaffung einer Datentaxonomie, die Identifizierung von Dateninhabern und kritischen Datenelementen und die Festlegung von Standards für die Datenerfassung – um nur einige zu nennen.