Europa hat einen neuen Datenschutz. Mit der General Data Protection Regulation (GDPR) wird seit dem 25. Mai 2018 der Umgang mit personenbezogenen Daten geregelt. Das bedeutet für die europäische Wirtschaft Handlungsbedarf. Viele IT-Landschaften sind immer noch nicht für das digitale Zeitalter gerüstet. Dabei steigen mit der GDPR die Anforderungen, dass Unternehmen ihre Datenverarbeitung aktiv steuern. Denn die sogenannten Betroffenenrechte ermöglichen Kunden unter anderem einen Antrag auf Auskunft, Änderung oder Löschung ihrer Daten. Und eine Frist setzt zusätzlich eine schnelle Bearbeitung voraus. Datenübersicht und Datenzugriff sind also wichtige Themen. Was der Gesetzgeber nun einfordert, ist ein effizientes Datenmanagement. Sensible Daten müssen über ihren Lifecycle gemanagt werden, damit sie auf Nachfrage zur Verfügung stehen. Das umfasst unter anderem neue Richtlinien, Mitarbeiterschulungen und eine moderne Datenarchitektur. Unternehmen sollten an dieser Stelle aber nicht den Mut verlieren, denn es sind genau die richtigen und wichtigen Hebel, die ein datengetriebenes Unternehmen umlegen muss, um sich einen Wettbewerbsvorteil zu sichern. Zuerst muss aber Klarheit über den Gegenstand der Regulierung bestehen. Was wird sich ändern?
Dies ist der erste Teil einer Blogserie über die GDPR. Der zweite Teil behandelt das Spannungsfeld zwischen GDPR und der praktischen Arbeit von Data Analytics und Business Intelligence. Dieser Blogbeitrag ist keine rechtliche Beratung und erhebt nicht den Anspruch auf Vollständigkeit.
Warum ein neues Gesetz?
Offen gesagt, die GDPR hat das Rad nicht neu erfunden. Schon seit mehr als 20 Jahren regelt die europäische Datenschutzrichtlinie in ihren nationalen Ausprägungen die Verarbeitung personenbezogener Daten. Warum also noch einmal den schwerwiegenden Gesetzgebungsprozess anstoßen? Die GDPR ist ihres Zeichens eine Verordnung, heißt also, sie gilt unmittelbar in allen EU-Mitgliedstaaten und minimiert nationalen Spielraum. Damit gewinnt der Datenschutz an neuer Bedeutung, was sich auch in einer Verschärfung des Sanktionskatalogs manifestiert, mit Bußgeldern in Höhe von 4% des globalen Konzernjahresumsatzes bzw. max. 20 Mio. Euro. Größte Veränderung ist somit die Vereinheitlichung der Anforderungen. Das vertraute Bundesdatenschutzgesetzt wird gestärkt und Behörden in ihrer Kontrolle und Aufsicht strenger. Daher erfährt das Thema Compliance wieder neuen Fahrtwind.
Inventur im Datenlager oder “Wo finde ich Herrn Mayer?”
Im Mittelpunkt der GDPR stehen sensible Daten. Sensible Daten beziehen sich auf Personen. Die GDPR bezeichnet sie als sämtliche Informationen, über die eine Person identifizierbar ist. Als Beispiel dient Herr Mayer. Herr Mayer kann selbstverständlich über seinen Namen identifiziert werden. Aber auch weitere Attribute können Aufschluss über Herrn Mayers Identität geben, wie z.B. Wohnort, IP-Adresse oder Konfessionszugehörigkeit. Sollte Herr Mayer Kunde bei einem Unternehmen sein, was er sicherlich ist, dann werden seine personenbezogenen Daten verarbeitet – und das in unterschiedlichen Abteilungen. Insbesondere ist das der Fall, wenn das eigentliche Geschäftsmodell die Verarbeitung sensibler Daten ist, wie bei Social Media oder in der Werbebranche. Auch als Mitarbeiter wird Herr Mayer seine Daten in einer Datenbank wiederfinden. Und für einen Berufswechsel lädt er als Bewerber seine vertraulichen Unterlagen in ein Bewerberportal oder sendet sie an eine E‑Mail-Adresse. So entstehen viele Speicherorte, mit vielen Einträgen über Herrn Mayers Person, seine Einkäufe, Rechnungen, Geschäftsaktivitäten usw. Laut GDPR ist Herr Mayer in all diesen Rollen Datensubjekt.
Doch was macht ein Unternehmen, wenn Herr Mayer einen Antrag auf Löschung bis zum letzten Backup seiner Daten stellt? Das Recht auf Vergessenwerden ist nämlich Teil der neuen Betroffenenrechte und kann im Rahmen eines sogenannten “Subject Access Request” gestellt werden. Ebenso kann Herr Mayer Auskunft über seine Daten verlangen. Für ein Unternehmen stellen sich dadurch zwei Fragen: “Wo sind sämtliche Daten von Herrn Mayer?” und “Wie leicht kann ich auf seine Daten zugreifen?”. Durch die Stärkung der Rechte von Datensubjekten kann die GDPR viele Einzelanfragen nach sich ziehen – eine Herausforderung für Unternehmen. Wie lässt sich also eine Anfrage mit minimalem Aufwand ausführen?

Der Zugriff auf sämtliche betroffene Datenquellen setzt voraus, dass ein Unternehmen sensible Daten auch als solche identifiziert und deklariert. Die Verortung sensibler Daten ist daher erste Handlungsanweisung der GDPR. Dieser Vorgang gleicht einer Inventur im Lager – was steckt in den Kisten? In diesem Fall, in den einzelnen Datensilos. Denn die IT-Landschaft vieler Unternehmen besteht aus einem historisch gewachsenen und geschichteten Netzwerk heterogener Speicherorte. Also keine leichte Aufgabe, dort Ordnung zu halten. Ebenso erfordert der Datenzugriff ein Zusammenspiel von mehreren Systemen. Wie leicht dieser Zugriff auf sensible Daten fällt, hängt unmittelbar von der vorliegenden Datenarchitektur ab. Sollte ein Systemwechsel zum gegebenen Zeitpunkt keine Alternative darstellen, muss ein Unternehmen eine andere Lösung finden, um die Anforderungen der GDPR möglichst einfach und kostengünstig umzusetzen.
Metadatenkatalog als technische Lösung
Metadaten sind Daten über Daten und weit mehr. Sie beschreiben nicht nur die Art der Daten, sondern ebenso ihren Ursprung, ihr zugrundeliegendes Datenmodell und ihre Beziehung zueinander. Damit sind sie der entscheidende Baustein für ein effizientes Datenmanagement und im Kontext GDPR der technische Hebel zur Compliance. Denn mit ihrer Hilfe können sensible Daten über Abteilungen und Systeme automatisiert verortet, kategorisiert und überwacht werden. Eine Technologie zur Verwaltung der wertvollen Metadaten ist der Data Catalog. Seine Funktion als Compliance-Werkzeug soll konkret anhand von drei GDPR-Anforderungen verdeutlich werden.

1. Know your personal data
Herr Mayer beantragt eine Löschung seiner Daten. Wo fängt die Suche an? Ein Data Catalog ist eine Schaltzentrale für Suchanfragen. Der Katalog indexiert Subsysteme und bietet einen Gesamtüberblick über den unternehmensinternen Datenbestand – somit auch über sensible Daten. Während die ursprüngliche Datensuche das Wissen über Datenbestände, Speicherorte und Zugriffsrechte erfordert, kann ein Data Catalog über eine einfache Stichwortsuche bedient werden. Herr Mayern findet man über Tabellen mit personenbezogenen Daten (z.B. über ein PII-Tagging). Der Data Catalog gibt zusätzlich Aufschluss über Speicherort, Datenursprung und Data Lineage, also über die Veränderung von Datenquellen. Somit sorgt der Data Catalog für einen vollständigen Überblick und Transparenz.
2. Access your data
Sobald man einen Überblick über den sensiblen Datenbestand im Unternehmen gewonnen hat, kann dieser aktiv über angeschlossene Prozesse gemanagt werden. Das Data Lineage veranschaulicht den komplexen und systemübergreifenden Datenfluss. Das schafft Verständnis für den Ursprung und die Transformationsprozesse der sensiblen Daten und dient als Vorlage, wo der Datenzugriff ansetzen muss, z.B. für Herrn Mayers Antrag auf Löschung. Transparenz ist somit die Grundlage für die Ausführung des Subject Access Request.
3. Take care of privacy
Privacy by Design bedeutet, den Datenschutz in der Konzeption zu berücksichtigen. Konkret heißt das im Umgang mit sensiblen Daten, einen Maskierungsprozess einzuführen. Metadaten bieten eine Übersicht, welche Daten anonymisiert oder pseudonymisiert werden müssen. Metadaten können also genutzt werden, um generische Prozesse zu entwickeln, die Daten automatisch maskieren. Die Suchanfrage nach sensiblen Datenbeständen wird weiterhin durch ein rollenbasiertes Vergabesystem geregelt. Denn natürlich sollten nur solche Mitarbeiter unmaskierte Daten finden, die eine Berechtigung für derartige Suchanfragen besitzen. Durch das Vergabesystem werden die Datenbestände angezeigt, sobald eine Berechtigung erteilt wurde.
Fazit
Datenmanagement und GDPR-Compliance sind zwei Seiten einer Medaille. Ein Unternehmen muss wissen, welche sensiblen Daten es verarbeitet, wo die Daten verortet sind und welche Geschichte sie haben. Ein Data Catalog trackt den Datenfluss, ermöglicht einen leichten Zugriff und minimiert den Aufwand für einen Subject Access Request. Durch das aktive Metadaten-Management gewinnt ein Unternehmen Transparenz über seine sensiblen Daten, der entscheidende Baustein für die rechtliche GDPR-Compliance und die Grundlage für Kundenvertrauen.
In Teil 2 unserer Blogserie zur GDPR wird es um die Auswirkungen des neuen Datenschutzes auf die praktische Arbeit von Data Analytics und Business Intelligence gehen.