business intelligence

Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Was hat das mit Business Intelligence und Analytics zu tun?

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) wird ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten gelten. Sie ist eine Verordnung der Europäischen Union, die die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Einrichtungen EU-weit vereinheitlicht. Dies soll einerseits dem Schutz von personenbezogenen Daten innerhalb der EU dienen und andererseits den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.

Ein Beitrag von Marius Gödtel

Die EU-DSGVO wird das Datenmanagement in unserer Wirtschaft verändern. Unternehmen, die Daten von EU-Verbrauchern speichern beziehungsweise verarbeiten, müssen zukünftig sehr sorgfältig und konsequent sein, wenn es um den Schutz dieser Daten geht. Im Zusammenhang mit dem Thema Business Intelligence und Business Analytics möchten wir Ihnen hier einen Überblick über die neue Datenschutz-Grundverordnung geben. Wir skizzieren dazu wesentliche Anforderungen und Lösungswege – anhand des Beispiels personenbezogener Daten.

Die Rechte der Kunden

Daten als „Unternehmenswert“ oder „Produktionsfaktor“ kennen wir bereits aus vielen Business Analytics-Projekten. Doch im Rahmen der verabschiedeten EU-DSGVO wird das Recht der Kunden auf Schutz ihrer Daten nun zusätzlich gestärkt. So haben die Kunden das „Recht auf Vergessen“ und dürfen zukünftig jederzeit erfahren, wie, wann, wo und vor allem zu welchem Zweck ihre Daten verarbeitet werden. Des Weiteren können Kunden die Verarbeitung ihrer Daten einschränken, eine Datenübertragung veranlassen und einen Widerspruch gegen die Verarbeitung einlegen.

Diese Rechte stellen Business Analytics-Systeme vor die Herausforderung, diesen Anforderungen gerecht zu werden, ohne ihren analytischen Wert zu gefährden. Durch die Umkehrung der Verantwortlichkeiten muss künftig jeder Datenverarbeitende den Nachweis über die Einhaltung des Datenschutzes erbringen. Hierzu ist ein „Verfahrensverzeichnis“ zu führen. In diesem sind Attribute wie beispielsweise Kontaktdaten, Verarbeitungszweck, Löschfristen und dergleichen zu speichern. Das Verfahrensverzeichnis muss einen vollständigen Überblick über die gesamte Datenverarbeitung liefern und es muss aktuell gehalten werden.

Maßnahmen zur Wahrung der Datensicherheit

Im Rahmen der EU-DSGVO sind folgende Maßnahmen zur Wahrung der Datensicherheit zu treffen.

  • Risikoanalyse und -bewertung sowie entsprechende Schutzmaßnahmen
  • Gewährleistungsprozesse zur Datensicherheit
  • Rechtzeitige Benachrichtigung von Betroffenen
  • Verschlüsselungsverfahren
  • Authentifizierungs- und Autorisierungsverfahren

Bestehende Business Analytics-Systeme, kurz BA-Systeme genannt, verarbeiten oftmals personenbezogene Daten (PD), etwa im Rahmen eines Profiling. Dazu können beispielsweise Faktoren gehören wie: Arbeitsleistung, wirtschaftliche Aspekte, Interessen, geografische Daten, Bewegungsmuster, Gesundheit und andere. Daraus resultieren für die betroffenen Personen Rechte wie das Widerspruchsrecht oder die Einschränkung automatisierter Entscheidungen und die Datenschutzfolgeabschätzung. Zur Wahrung dieser Rechte müssen in BA-Systemen beispielsweise folgende Maßnahmen getroffen werden:

  • Identifikation aller BA-Anwendungen (auch Individual- oder Self Service-Anwendungen)
  • Prüfung der rechtmäßigen Verarbeitung
  • Pseudonymisierung: Verschlüsselung von Daten über die Encrypt Option
  • Anonymisierung: Löschen von identifizierenden Merkmalen und Aggregationen
  • Löschkonzept: Wirksames Löschen in allen Ebenen eines BA-Systems

Um die wesentlichen Anforderungen der EU-DSGVO umzusetzen, müssen personenbezogene Daten zunächst erkannt und identifiziert werden. Anschließend sind die physikalischen Datenelemente den entsprechenden Fachanwendungen zuzuordnen und im Verfahrensverzeichnis zu vermerken. In der Folge müssen Zugriffe abgesichert werden und – um der Nachweis- und Auskunftspflicht Rechenschaft zu tragen – lückenlos auditiert sein.

Prozess zur Umsetzung des Datenschutzes bei personenbezogenen Daten laut der EU-DSGVO

Technische Lösung

Um den Prozess technisch abzubilden, sollte eine möglichst minimalinvasive Lösung gefunden werden. Hierzu bietet sich eine so genannte „Data Virtualization-Schicht“ an.

Hier können Daten aus verschiedensten Systemen in Einheiten zusammengeführt und dem Konsumenten zur Verfügung gestellt werden.

Personenbezogene Daten

Professionelle Data Virtualization-Lösungen bieten neben dieser Möglichkeit noch weitere Funktionalitäten an, die für eine Umsetzung der Anforderungen aus der EU-DSGVO hilfreich sind:

  • Benutzerdefinierte Authentifizierung oder Autorisierung
  • Datenmaskierung
  • Zentrale Administration und Monitoring
  • Audit

adesso Assessment Day zur EU-Datenschutz-Grundverordnung

Im Rahmen unseres adesso Assessment Day zur neuen EU-Datenschutz-Grundverordnung möchten wir Sie zu den Modalitäten der EU-DSGVO informieren. Unabhängig davon, ob Sie ein Business Intelligence-, Business Analytics- oder jedes andere System betreiben, als datenverarbeitendes Unternehmen ist es für Sie an der Zeit, sich intensiv mit der EU-DSGVO zu beschäftigen. In unserem Assessment Day informieren wir Sie darüber, welche Konsequenzen für Ihr Unternehmen in Bezug auf Datenschutz und Data Governance entstehen und wie Sie die neuen Regeln mit modernem Datenmanagement und führender Analytics einhalten und umsetzen können.

Bei all dem gilt zu beachten: Datenverstöße und Datenschutzverletzungen unterliegen ab Inkrafttreten des neuen Gesetzes einer deutlich verschärften Meldepflicht. So müssen Datenpannen bei personenbezogenen Daten an die Datenschutz-Behörde oder die betroffenen Personen binnen kürzester Zeit gemeldet werden (Meldepflicht!).

Dass der Bedarf an einer gezielten Auseinandersetzung in den Unternehmen mit der neuen EU-DSGVO vorhanden ist, zeigen Umfragedaten:

  • Nur 46 Prozent von 509 befragten Datenschutzverantwortlichen in Unternehmen, also weniger als die Hälfte, haben sich schon mit der neuen EU-Datenschutzverordnung beschäftigt. (Quelle: Bitkom, Oktober 2016)
  • 58 Prozent sehen die größten Herausforderungen in der Fragmentierung von Daten und dem fehlenden Einblick in die Daten. (Quelle: Veritas 2016)
  • 60 Prozent der Unternehmen haben noch nicht mit der Planung auf diesem Gebiet begonnen; nur 3 Prozent haben bereits einen Plan. (Quelle: Dell, November 2016)
  • 86 Prozent der befragten deutschen Unternehmen sagen, dass die DSGVO-Compliance eine hohe Auswirkung für ihr Geschäft haben wird. (Quelle: Dell, November 2016)

In unserem Assessment-Workshop zur EU-DSGVO

  • lernen Sie unseren Ansatz zur Umsetzung der EU-DSGVO kennen
  • informieren wir Sie über die Anforderungen der EU-DSGVO und die Maßnahmen für Ihre IT-Infrastruktur
  • machen wir Sie mit Verfahren zur Maskierung von personenbezogenen Daten vertraut
  • vermitteln wir Ihnen, wie Sie ein Audit/ Reporting für die EU-DSGVO einrichten
  • bekommen Sie eine solide Entscheidungsgrundlage an die Hand.

Verschaffen Sie sich einen Wettbewerbsvorteil, indem Sie rechtzeitig die neuen Anforderungen in Ihrem Unternehmen umsetzen! Auch Ihre Kunden erwarten einen umfassenden Datenschutz-Service und werden es Ihnen danken, wenn Sie das Datenmanagement im neuen Stil beherrschen.

In diesem Sinne möchten wir Sie von adesso dabei beraten und unterstützen, dass Ihnen die EU-DSGVO nicht als regulativer Zwang, sondern als Wettbewerbsfaktor erscheint. Und zwar als ein Faktor, dessen adäquate Anwendung Ihnen Vorteile verschaffen kann.

Über den Autor

Marius Gödtel leitet das Competence Center „Business Intelligence IT-Consulting“ bei der adesso AG. Er hat Wirtschaftsinformatik mit dem Schwerpunkt Business Intelligence studiert und beschäftigt sich mit innovativen BI-, Big Data- und Analytics-Themen. Bei adesso ist er für das Delivery bei BI-Projekten verantwortlich.

E-Mail: marius.goedtel@adesso.de

Marius Gödtel

Diese Seite speichern. Diese Seite entfernen.