Mit Data Automation DSGVO-Herausforderungen meistern

Automatisierung der Dateninfrastruktur unterstützt Unternehmen bei der Compliance.

Illustration: Absmeier, TheDigitalArtist

Ab dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und die Umsetzungsfrist für Unternehmen endet. Damit ändert sich grundlegend, wie Organisationen ihre Daten verwalten und handhaben müssen. Die Einhaltung der DSGVO stellt eine große Herausforderung dar, doch der erste und wichtigste Schritt für Unternehmen ist, ihre Daten identifiziert und überprüft zu machen. Von hier aus gestaltet sich die Roadmap zur Einhaltung der DSGVO viel klarer.

Jedes dritte Unternehmen hat sich noch nicht mit der Datenschutzgrundverordnung beschäftigt, dies zeigte eine Umfrage des Digitalverbands Bitkom. Dabei ist die Nutzung personenbezogener Daten für viele Organisationen von zentraler Bedeutung: Nahezu jedes dritte befragte Unternehmen (32 Prozent) setzt Daten zur Verbesserung von Produkten und Dienstleistungen ein. 42 Prozent gaben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist.

Der Treiber der DSGVO ist es den Missbrauch personenbezogener Daten durch Unternehmen zu unterbinden, die versucht sein könnten, diese Daten für aufdringliche, unerwünschte Marketingaktivitäten zu nutzen. Einer der wichtigsten Grundsätze der DSGVO wird also sein, dass Unternehmen nachweisen müssen, dass alle Daten, die sie über jemanden haben, für die Führung ihres Unternehmens notwendig sind, statt für unzulässige Marketingaktivitäten verwendet zu werden. Jedoch existieren in jedem Unternehmen viele unterschiedliche und uneinheitliche Datenströme, die es schwierig machen, eine leicht überprüfbare Sicht auf die Daten zu erstellen und somit zu beweisen, warum sie für den Geschäftsbetrieb unerlässlich sind.

 

DSGVO-Anforderungen: Datenidentifikation und -extraktion zur Prüfung

Eine wesentliche Anforderung im Hinblick auf die DSGVO ist die Fähigkeit, personenbezogene Daten zu jedem Thema auf Anfrage zu lokalisieren, zu sammeln, zu extrahieren und gegebenenfalls zu löschen. Von Unternehmen wird auch erwartet, dass sie bei Bedarf ungenaue Daten korrigieren und sie gegebenenfalls in einem übersichtlichen Bericht zur Extraktion bereitstellen. Jede dieser Forderungen muss innerhalb eines Monats nach dem ursprünglichen Antrag erfüllt werden.

Das bedeutet, dass Unternehmen wissen müssen, über welche Daten sie verfügen, wo diese gespeichert sind, und dabei sicherstellen, dass die Daten in einem Format vorliegen, auf das schnell zugegriffen werden kann. Darüber hinaus müssen betroffene Daten, die über mehrere Quellen verteilt sind, leicht angepasst, gelöscht oder extrahiert werden können, wie es für die Einhaltung der DSGVO erforderlich ist. Wenn personenbezogene Daten von einem Dritten und nicht direkt von der jeweiligen Person stammen, müssen Unternehmen zudem angeben, von wem die Daten stammen. Die frühzeitige Definition von Umfang und Ausmaß bestehender Probleme liefert dabei wichtige Informationen für die DSGVO-Roadmap eines Unternehmens.

 

Datensichtung und -prüfung durch Automatisierung der Dateninfrastruktur

In Zukunft müssen alle personenbezogenen Daten also sowohl identifizierbar als auch prüfbar sein. Dies klingt nach einer Mammutaufgabe, jedoch kann eine Software zur Automatisierung der Dateninfrastruktur diese Vorgänge maßgeblich unterstützen. Auf proaktiver Basis kann Data-Automation Datenbereiche aufspüren und Problembereiche kennzeichnen. Mit ihr lassen sich alle Datensysteme innerhalb der Organisationen abbilden, was ein effektives Mittel zur Prüfung und Katalogisierung von Daten darstellt. Der Vorgang ist vollständig quellenunabhängig und analysiert sowohl Unternehmens- als auch Big Data-Quellen. Auf reaktiver Basis, ermöglicht Data-Automation eine vollständige Rückverfolgung der Daten, wenn das Unternehmen gebeten wird, einen Nachweis über bestimmte Daten zu liefern. So kann zum Beispiel eine Extraktion definiert werden, die alle Daten zu einer bestimmten Person aus allen Bereichen des Unternehmens in weniger als 30 Tagen zusammenführt.

Wenn diese Funktionen kombiniert werden, kann die Data-Automation-Software zudem rückwirkend alle Daten des Unternehmens katalogisieren und die komplexe Datenextraktion problemlos ermöglichen. Der Aufbau neuer Analysefunktionen in einem Unternehmen mit Automatisierungssoftware kann somit dabei helfen, die Einhaltung der DSGVO-Anforderungen schnell sicherzustellen.

 

Datenmanagement: Reduktion auf geschäftsrelevante personenbezogene Daten

Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Sie sollten relevant sein und sich auf den genauen Grund beschränken, aus dem sie erhoben werden. In der Vergangenheit wurden kleine Mengen von Daten, die für relevante Geschäftszwecke erhoben wurden, verwendet, um ein Profil zu erstellen, das auf entsprechenden Annahmen basiert. Dieser Algorithmus kann einen Persönlichkeitstyp mit überraschend hoher Genauigkeit aufbauen, der entsprechend vermarktet werden kann, und zwar für Zwecke, die über den Grund hinausgehen, aus dem die Daten ursprünglich gesammelt wurden.

Unternehmen müssen sich nun darüber im Klaren sein, was mit bestimmten Datensträngen innerhalb der Organisation geschieht, die Teil automatisierter Prozesse sind. Data-Automation unterstützt dabei zu ermitteln, welche Datenströme in automatisierte Workflows eingespeist werden, und zu entscheiden, ob ein Unternehmen erstens rechtfertigen kann, warum diese Daten verarbeitet werden, und zweitens, welche Aktionen das Unternehmen mit diesen Daten durchführt. Werden sie an Dritte verkauft oder dazu verwendet, um Grundlage eines Profils zu bilden, aus dem das Unternehmen Daten ableitet, die nicht speziell gesammelt oder mit Zustimmung gegeben wurden? In beiden Fällen können Bußgelder nach DSGVO erfolgen.

Ein vollständiger Audit-Trail ist unerlässlich, und die mit Erlaubnis der jeweiligen Personen gesammelten Daten müssen isoliert aufbewahrt werden. Data-Automation-Software unterstützt nicht nur bei der Verwendung automatisierter Prozesse zur besseren Kontrolle zukünftiger Datenerfassung und -manipulation, sondern warnt auch vor potenziell nicht DSGVO-konformen Daten, die ein Unternehmen derzeit besitzt und die geprüft werden sollten, um Bußgelder zu vermeiden.

 

Aufbau sicherer Daten-Ökosysteme: Relevante Daten und Systeme schützen

Ein Unternehmen, das für die Sammlung und den Besitz der Daten verantwortlich ist, muss über eine Sicherheitsstrategie verfügen, um die Daten so weit wie möglich zu schützen und sicherzustellen, dass diese Vorsichtsmaßnahmen den Mitarbeitern klar kommuniziert werden.  Es liegt in der Verantwortung des Unternehmens, den Zugriff auf alle seine gespeicherten personenbezogenen Daten zu kontrollieren.

Data Automation kann durch eine retrospektive Prüfung dabei helfen sicherzustellen, dass einheitliche und strenge Maßnahmen zum Schutz der Daten und zur Vermeidung künftiger Bußgelder getroffen werden. Weiterhin kann die Software in kürzester Zeit Data Marts und Warehouses aufbauen, die den Sicherheitsanforderungen nach DSGVO entsprechen. Die automatische Code-Generierung nach strengen Best Practices sorgt dafür, dass die Datenstrukturen sicher sind, mit kontrolliertem Benutzerzugriff und Warnmeldungen im Falle eines Verstoßes.

 

Rob Mellor, Vice President und General Manager bei WhereScape

 


 

DSGVO-konform mit datenzentrierter Strategie – Dreigeteilter Ansatz zur Erfüllung der DSGVO

Die DSGVO als Chance zur Verbesserung von Datenschutz und Sicherheit

DSGVO: Startschuss für eine datenzentrierte IT-Sicherheitsstrategie

Unternehmen verlassen sich bei der Umsetzung der DSGVO auf Datenmanagement-Technologie

DSGVO gilt auch für stoffliche Dokumente: Toxische Papiere gefährden Datenschutz

DSGVO: Datenschutz und Datensicherheit

Gestärkte Rechte der Betroffenen und neue Datenschutzerklärung nach DSGVO: Was Unternehmen jetzt tun müssen