Europa hat einen neuen Daten­schutz. Mit der Gene­ral Data Pro­tec­tion Regu­la­tion (GDPR) wird seit dem 25. Mai 2018 der Umgang mit per­so­nen­be­zo­ge­nen Daten gere­gelt. Das bedeu­tet für die euro­päi­sche Wirt­schaft Hand­lungs­be­darf. Viele IT-Land­schaf­ten sind immer noch nicht für das digi­tale Zeit­al­ter gerüs­tet. Dabei stei­gen mit der GDPR die Anfor­de­run­gen, dass Unter­neh­men ihre Daten­ver­ar­bei­tung aktiv steu­ern. Denn die soge­nann­ten Betrof­fe­nen­rechte ermög­li­chen Kun­den unter ande­rem einen Antrag auf Aus­kunft, Ände­rung oder Löschung ihrer Daten. Und eine Frist setzt zusätz­lich eine schnelle Bear­bei­tung vor­aus. Daten­über­sicht und Daten­zu­griff sind also wich­tige The­men. Was der Gesetz­ge­ber nun ein­for­dert, ist ein effi­zi­en­tes Daten­ma­nage­ment. Sen­si­ble Daten müs­sen über ihren Life­cy­cle gema­nagt wer­den, damit sie auf Nach­frage zur Ver­fü­gung ste­hen. Das umfasst unter ande­rem neue Richt­li­nien, Mit­ar­bei­ter­schu­lun­gen und eine moderne Daten­ar­chi­tek­tur. Unter­neh­men soll­ten an die­ser Stelle aber nicht den Mut ver­lie­ren, denn es sind genau die rich­ti­gen und wich­ti­gen Hebel, die ein daten­ge­trie­be­nes Unter­neh­men umle­gen muss, um sich einen Wett­be­werbs­vor­teil zu sichern. Zuerst muss aber Klar­heit über den Gegen­stand der Regu­lie­rung bestehen. Was wird sich ändern?

Dies ist der erste Teil einer Blog­se­rie über die GDPR. Der zweite Teil behan­delt das Span­nungs­feld zwi­schen GDPR und der prak­ti­schen Arbeit von Data Ana­ly­tics und Busi­ness Intel­li­gence. Die­ser Blog­bei­trag ist keine recht­li­che Bera­tung und erhebt nicht den Anspruch auf Vollständigkeit.

Warum ein neues Gesetz?

Offen gesagt, die GDPR hat das Rad nicht neu erfun­den. Schon seit mehr als 20 Jah­ren regelt die euro­päi­sche Daten­schutz­richt­li­nie in ihren natio­na­len Aus­prä­gun­gen die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Warum also noch ein­mal den schwer­wie­gen­den Gesetz­ge­bungs­pro­zess ansto­ßen? Die GDPR ist ihres Zei­chens eine Ver­ord­nung, heißt also, sie gilt unmit­tel­bar in allen EU-Mit­glied­staa­ten und mini­miert natio­na­len Spiel­raum. Damit gewinnt der Daten­schutz an neuer Bedeu­tung, was sich auch in einer Ver­schär­fung des Sank­ti­ons­ka­ta­logs mani­fes­tiert, mit Buß­gel­dern in Höhe von 4% des glo­ba­len Kon­zern­jah­res­um­sat­zes bzw. max. 20 Mio. Euro. Größte Ver­än­de­rung ist somit die Ver­ein­heit­li­chung der Anfor­de­run­gen. Das ver­traute Bun­des­da­ten­schutz­ge­setzt wird gestärkt und Behör­den in ihrer Kon­trolle und Auf­sicht stren­ger. Daher erfährt das Thema Com­pli­ance wie­der neuen Fahrtwind.

Inven­tur im Daten­la­ger oder “Wo finde ich Herrn Mayer?”

Im Mit­tel­punkt der GDPR ste­hen sen­si­ble Daten. Sen­si­ble Daten bezie­hen sich auf Per­so­nen. Die GDPR bezeich­net sie als sämt­li­che Infor­ma­tio­nen, über die eine Per­son iden­ti­fi­zier­bar ist. Als Bei­spiel dient Herr Mayer. Herr Mayer kann selbst­ver­ständ­lich über sei­nen Namen iden­ti­fi­ziert wer­den. Aber auch wei­tere Attri­bute kön­nen Auf­schluss über Herrn May­ers Iden­ti­tät geben, wie z.B. Wohn­ort, IP-Adresse oder Kon­fes­si­ons­zu­ge­hö­rig­keit. Sollte Herr Mayer Kunde bei einem Unter­neh­men sein, was er sicher­lich ist, dann wer­den seine per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet – und das in unter­schied­li­chen Abtei­lun­gen. Ins­be­son­dere ist das der Fall, wenn das eigent­li­che Geschäfts­mo­dell die Ver­ar­bei­tung sen­si­bler Daten ist, wie bei Social Media oder in der Wer­be­bran­che. Auch als Mit­ar­bei­ter wird Herr Mayer seine Daten in einer Daten­bank wie­der­fin­den. Und für einen Berufs­wech­sel lädt er als Bewer­ber seine ver­trau­li­chen Unter­la­gen in ein Bewer­ber­por­tal oder sen­det sie an eine E‑Mail-Adresse. So ent­ste­hen viele Spei­cher­orte, mit vie­len Ein­trä­gen über Herrn May­ers Per­son, seine Ein­käufe, Rech­nun­gen, Geschäfts­ak­ti­vi­tä­ten usw. Laut GDPR ist Herr Mayer in all die­sen Rol­len Datensubjekt.

Doch was macht ein Unter­neh­men, wenn Herr Mayer einen Antrag auf Löschung bis zum letz­ten Backup sei­ner Daten stellt? Das Recht auf Ver­ges­sen­wer­den ist näm­lich Teil der neuen Betrof­fe­nen­rechte und kann im Rah­men eines soge­nann­ten “Sub­ject Access Request” gestellt wer­den. Ebenso kann Herr Mayer Aus­kunft über seine Daten ver­lan­gen. Für ein Unter­neh­men stel­len sich dadurch zwei Fra­gen: “Wo sind sämt­li­che Daten von Herrn Mayer?” und “Wie leicht kann ich auf seine Daten zugrei­fen?”. Durch die Stär­kung der Rechte von Daten­sub­jek­ten kann die GDPR viele Ein­zel­an­fra­gen nach sich zie­hen – eine Her­aus­for­de­rung für Unter­neh­men. Wie lässt sich also eine Anfrage mit mini­ma­lem Auf­wand ausführen?

Metadata-to-the-Rescue-GDPR-Compliance-und-Datenmanagement-–-Teil-1-Bild1
Abbil­dung 1 Neue Rechte und neue Pflich­ten – der Sub­ject Access Request

Der Zugriff auf sämt­li­che betrof­fene Daten­quel­len setzt vor­aus, dass ein Unter­neh­men sen­si­ble Daten auch als sol­che iden­ti­fi­ziert und dekla­riert. Die Ver­or­tung sen­si­bler Daten ist daher erste Hand­lungs­an­wei­sung der GDPR. Die­ser Vor­gang gleicht einer Inven­tur im Lager – was steckt in den Kis­ten? In die­sem Fall, in den ein­zel­nen Daten­si­los. Denn die IT-Land­schaft vie­ler Unter­neh­men besteht aus einem his­to­risch gewach­se­nen und geschich­te­ten Netz­werk hete­ro­ge­ner Spei­cher­orte. Also keine leichte Auf­gabe, dort Ord­nung zu hal­ten. Ebenso erfor­dert der Daten­zu­griff ein Zusam­men­spiel von meh­re­ren Sys­te­men. Wie leicht die­ser Zugriff auf sen­si­ble Daten fällt, hängt unmit­tel­bar von der vor­lie­gen­den Daten­ar­chi­tek­tur ab. Sollte ein Sys­tem­wech­sel zum gege­be­nen Zeit­punkt keine Alter­na­tive dar­stel­len, muss ein Unter­neh­men eine andere Lösung fin­den, um die Anfor­de­run­gen der GDPR mög­lichst ein­fach und kos­ten­güns­tig umzusetzen.

Meta­da­ten­ka­ta­log als tech­ni­sche Lösung

Meta­da­ten sind Daten über Daten und weit mehr. Sie beschrei­ben nicht nur die Art der Daten, son­dern ebenso ihren Ursprung, ihr zugrun­de­lie­gen­des Daten­mo­dell und ihre Bezie­hung zuein­an­der. Damit sind sie der ent­schei­dende Bau­stein für ein effi­zi­en­tes Daten­ma­nage­ment und im Kon­text GDPR der tech­ni­sche Hebel zur Com­pli­ance. Denn mit ihrer Hilfe kön­nen sen­si­ble Daten über Abtei­lun­gen und Sys­teme auto­ma­ti­siert ver­or­tet, kate­go­ri­siert und über­wacht wer­den. Eine Tech­no­lo­gie zur Ver­wal­tung der wert­vol­len Meta­da­ten ist der Data Cata­log. Seine Funk­tion als Com­pli­ance-Werk­zeug soll kon­kret anhand von drei GDPR-Anfor­de­run­gen ver­deut­lich werden.

Metadata-to-the-Rescue-GDPR-Compliance-und-Datenmanagement-–-Teil-1-Bild2
Abbil­dung 2 Data Cata­log als Schalt­zen­trale für Suchanfragen
1. Know your per­so­nal data

Herr Mayer bean­tragt eine Löschung sei­ner Daten. Wo fängt die Suche an? Ein Data Cata­log ist eine Schalt­zen­trale für Such­an­fra­gen. Der Kata­log inde­xiert Sub­sys­teme und bie­tet einen Gesamt­über­blick über den unter­neh­mens­in­ter­nen Daten­be­stand – somit auch über sen­si­ble Daten. Wäh­rend die ursprüng­li­che Daten­su­che das Wis­sen über Daten­be­stände, Spei­cher­orte und Zugriffs­rechte erfor­dert, kann ein Data Cata­log über eine ein­fa­che Stich­wort­su­che bedient wer­den. Herr May­ern fin­det man über Tabel­len mit per­so­nen­be­zo­ge­nen Daten (z.B. über ein PII-Tag­ging). Der Data Cata­log gibt zusätz­lich Auf­schluss über Spei­cher­ort, Daten­ur­sprung und Data Lineage, also über die Ver­än­de­rung von Daten­quel­len. Somit sorgt der Data Cata­log für einen voll­stän­di­gen Über­blick und Transparenz.

2. Access your data

Sobald man einen Über­blick über den sen­si­blen Daten­be­stand im Unter­neh­men gewon­nen hat, kann die­ser aktiv über ange­schlos­sene Pro­zesse gema­nagt wer­den. Das Data Lineage ver­an­schau­licht den kom­ple­xen und sys­tem­über­grei­fen­den Daten­fluss. Das schafft Ver­ständ­nis für den Ursprung und die Trans­for­ma­ti­ons­pro­zesse der sen­si­blen Daten und dient als Vor­lage, wo der Daten­zu­griff anset­zen muss, z.B. für Herrn May­ers Antrag auf Löschung. Trans­pa­renz ist somit die Grund­lage für die Aus­füh­rung des Sub­ject Access Request.

3. Take care of privacy

Pri­vacy by Design bedeu­tet, den Daten­schutz in der Kon­zep­tion zu berück­sich­ti­gen. Kon­kret heißt das im Umgang mit sen­si­blen Daten, einen Mas­kie­rungs­pro­zess ein­zu­füh­ren. Meta­da­ten bie­ten eine Über­sicht, wel­che Daten anony­mi­siert oder pseud­ony­mi­siert wer­den müs­sen. Meta­da­ten kön­nen also genutzt wer­den, um gene­ri­sche Pro­zesse zu ent­wi­ckeln, die Daten auto­ma­tisch mas­kie­ren. Die Such­an­frage nach sen­si­blen Daten­be­stän­den wird wei­ter­hin durch ein rol­len­ba­sier­tes Ver­ga­be­sys­tem gere­gelt. Denn natür­lich soll­ten nur sol­che Mit­ar­bei­ter unmas­kierte Daten fin­den, die eine Berech­ti­gung für der­ar­tige Such­an­fra­gen besit­zen. Durch das Ver­ga­be­sys­tem wer­den die Daten­be­stände ange­zeigt, sobald eine Berech­ti­gung erteilt wurde.

Fazit

Daten­ma­nage­ment und GDPR-Com­pli­ance sind zwei Sei­ten einer Medaille. Ein Unter­neh­men muss wis­sen, wel­che sen­si­blen Daten es ver­ar­bei­tet, wo die Daten ver­or­tet sind und wel­che Geschichte sie haben. Ein Data Cata­log trackt den Daten­fluss, ermög­licht einen leich­ten Zugriff und mini­miert den Auf­wand für einen Sub­ject Access Request. Durch das aktive Meta­da­ten-Manage­ment gewinnt ein Unter­neh­men Trans­pa­renz über seine sen­si­blen Daten, der ent­schei­dende Bau­stein für die recht­li­che GDPR-Com­pli­ance und die Grund­lage für Kundenvertrauen.

In Teil 2 unse­rer Blog­se­rie zur GDPR wird es um die Aus­wir­kun­gen des neuen Daten­schut­zes auf die prak­ti­sche Arbeit von Data Ana­ly­tics und Busi­ness Intel­li­gence gehen.