[DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Diese Verordnung verändert die Art und Weise, wie Unternehmen personenbezogene Daten wie zum Beispiel von Kunden, Mitarbeitern und potenziellen Kunden verarbeiten. Um die neuen strengen Datenschutzstandards einzuhalten, müssen Organisationen ihre Prozesse und Systeme anpassen.
In unserem vor Kurzem veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms vorgestellt, das die Einhaltung der DSGVO erleichtert. Die Festlegung von Standards für die Datenerfassung ist der fünfte Schritt. Die ersten vier Schritte können Sie hier nachlesen: Entwicklung von Richtlinien, Standards und Kontrollen, Schaffung einer Datentaxonomie, Zuweisung von Dateninhabern und Identifizierung kritischer Datenelemente.
Datenerfassung unter der DSGVO
Artikel 25 der DSGVO beschäftigt sich mit dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Diese drei Aspekte des Artikels beziehen sich auf die Datenerfassung:
1. Datenminimierung: nur notwendige Daten erfassen
Laut Verordnung müssen Organisationen geeignete technische und organisatorische Maßnahmen wie Datenminimierung implementieren, um standardmäßig sicherzustellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck absolut notwendig sind.
Hier ein Beispiel: Ein Softwareunternehmen nutzt ein Onlineformular, das User ausfüllen müssen, um Software als Testversion herunterzuladen. In diesem Szenario wäre es angemessen, wenn auf dem Formular Name und E-Mail-Adresse des Nutzers angegeben werden müssen. Unangemessen wäre es, wenn das Unternehmen auch das Geburtsdatum und Personenkennzeichen abfragen würde. Die DSGVO verlangt von Unternehmen nicht nur, dass sie lediglich so viele Daten erfassen, wie unbedingt nötig sind, sondern auch dass die Daten nur bei Bedarf für die Verarbeitung genutzt und/oder gespeichert werden. Wenn die Daten nach einem bestimmten Zeitraum nicht mehr gebraucht werden, sollten sie automatisch gelöscht werden.
2. Einwilligung: die ausdrückliche Zustimmung des Benutzers erfassen
Die DSGVO sieht vor, dass die betroffene Person ausdrücklich der Nutzung ihrer personenbezogenen Daten zustimmen muss. So ist es nicht mehr möglich, einfach von dieser Einwilligung auszugehen – die Einwilligung muss jetzt eindeutig sein. Zum Beispiel können Organisationen nicht mehr standardmäßig von einer Zustimmung ausgehen und Kunden dann einfach eine Opt-out-Option bieten. Das muss genau umgekehrt sein: Sie müssen eine ausdrückliche Opt-in-Option bereitstellen. Darüber hinaus muss jedes Mal eine neue Einwilligung eingeholt werden, wenn die Organisation die Verarbeitungsweise personenbezogener Daten ändert. Ebenso muss bei der Verarbeitung besonderer Kategorien wie rassischer oder ethnischer Herkunft, sexueller Orientierung oder politischer Meinungen eine weitere Einwilligung eingeholt werden (zusätzlich zu den Einwilligungen, die bereits für grundlegende personenbezogene Daten erfasst wurden).
3. Datenschutz
Während der Datenerfassung müssen ausreichende Maßnahmen wie die Pseudonymisierung (Austausch identifizierbarer Felder innerhalb eines Datensatzes durch Pseudonyme) angewendet werden, um personenbezogene Daten zu schützen. Zum Beispiel können Teile einer Postleitzahl durch ein Pseudonym ersetzt werden, um die genaue Adresse einer Person zu verbergen. So könnte man genug Ziffern anzeigen, um darauf hinzuweisen, dass es sich um eine US-Postleitzahl handelt.
So nutzen Sie Talend für die Datenerfassung
Die Datenerfassung und entsprechende Umsetzung der DSGVO-Kontrollen ist eine der Kernfunktionen von Talend. Talend Master Data Manager (MDM), Talend Big Data und Talend Data Quality erleichtern die Erstellung eines Enterprise-Repositorys, in dem alle Informationen zur betroffenen Person einschließlich personenbezogener Daten und Einwilligungen zentral zusammengeführt werden. Dieser DSGVO-Data-Lake kann anschließend genutzt werden, um die Daten abzugleichen.
Zum Beispiel kann man mit diesen Tools von Talend feststellen, dass „James Smith“ und „Jim Smith“ tatsächlich dieselbe Person ist, obwohl nur Ersterer seine Zustimmung zum Erhalt von E-Mails gegeben hat. Der DSGVO-Data-Lake kann auch ein einziges Inventar mit allen Einwilligungen – etwa für E-Mail-Kampagnen, Cookies und Telefonverträge – umfassen. Im Repository befindet sich eine Auflistung aller Einwilligungen der betroffenen Person über alle unternehmensweiten Anwendungen hinweg. Es bietet einen Audit-Trail und einen Überblick auf Datensatzebene darüber, wie und wann die Einwilligung der betroffenen Person für die jeweilige Anwendung eingeholt wurde.
Sobald alle Informationen im DSGVO-Data-Lake zusammengeführt wurden, kann das Data-Governance-Team Services wie Datenübertragbarkeit und das Recht auf Vergessenwerden bereitstellen.
Das Data-Lake-Konzept ist mit Blick auf die DSGVO sehr effektiv, insbesondere da im Big-Data-Zeitalter die Daten aus sämtlichen Quellen hereinströmen und nicht nur aus zentral erstellten und verwalteten Systemen. In diesen Umgebungen sind eingehende Daten möglicherweise nicht vollständig strukturiert und dokumentiert. Aus diesem Grund ist eine Erfassung personenbezogener Daten aus diesen Rohdatensätzen sowie ein Crowdsourcing der Regeln zum Schutz dieser Daten durch Datenspezialisten erforderlich, die sie für ihre Machine-Learning-Modelle verarbeiten müssen.
Die nächsten Schritte zur Einhaltung der DSGVO
Die Festlegung von Standards für die Datenerfassung ist ein wichtiger Schritt, zumal die Themen Datenminimierung und Einwilligungen eine wesentliche Rolle in der DSGVO spielen. Bei der Implementierung dieser Standards müssen sowohl die Technologie als auch die Prozesse berücksichtigt werden. Das Data-Governance-Team muss entsprechende Kontrollen einrichten, sodass die Rechts- und Compliance-Abteilung die Datenerfassung für neue Projekte während der Designphase genehmigt.
Neben Standards zur Erfassung müssen auch Regeln zur Nutzung dieser Daten vereinbart werden. Genau darum geht es im nächsten Schritt unseres 16-stufigen Plans für die Umsetzung eines Data-Governance-Frameworks zur Einhaltung der DSGVO.
Um alle 16 Schritte zur Einhaltung der DSGVO kennenzulernen, sollten Sie sich das On-Demand-Webinar Practical Steps to GDPR Compliance anschauen. Weitere Themen in diesem Video sind die Entwicklung von Standards und Kontrollen, die Identifizierung von Dateninhabern und kritischen Datenelementen und noch vieles mehr.
← Schritt 4 | Schritt 6 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz