


Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) wird ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten gelten. Sie ist eine Verordnung der Europäischen Union, die die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Einrichtungen EU-weit vereinheitlicht. Dies soll einerseits dem Schutz von personenbezogenen Daten innerhalb der EU dienen und andererseits den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleisten.
Ein Beitrag von Marius Gödtel
Die EU-DSGVO wird das Datenmanagement in unserer Wirtschaft verändern. Unternehmen, die Daten von EU-Verbrauchern speichern beziehungsweise verarbeiten, müssen zukünftig sehr sorgfältig und konsequent sein, wenn es um den Schutz dieser Daten geht. Im Zusammenhang mit dem Thema Business Intelligence und Business Analytics möchten wir Ihnen hier einen Überblick über die neue Datenschutz-Grundverordnung geben. Wir skizzieren dazu wesentliche Anforderungen und Lösungswege – anhand des Beispiels personenbezogener Daten.
Daten als „Unternehmenswert“ oder „Produktionsfaktor“ kennen wir bereits aus vielen Business Analytics-Projekten. Doch im Rahmen der verabschiedeten EU-DSGVO wird das Recht der Kunden auf Schutz ihrer Daten nun zusätzlich gestärkt. So haben die Kunden das „Recht auf Vergessen“ und dürfen zukünftig jederzeit erfahren, wie, wann, wo und vor allem zu welchem Zweck ihre Daten verarbeitet werden. Des Weiteren können Kunden die Verarbeitung ihrer Daten einschränken, eine Datenübertragung veranlassen und einen Widerspruch gegen die Verarbeitung einlegen.
Diese Rechte stellen Business Analytics-Systeme vor die Herausforderung, diesen Anforderungen gerecht zu werden, ohne ihren analytischen Wert zu gefährden. Durch die Umkehrung der Verantwortlichkeiten muss künftig jeder Datenverarbeitende den Nachweis über die Einhaltung des Datenschutzes erbringen. Hierzu ist ein „Verfahrensverzeichnis“ zu führen. In diesem sind Attribute wie beispielsweise Kontaktdaten, Verarbeitungszweck, Löschfristen und dergleichen zu speichern. Das Verfahrensverzeichnis muss einen vollständigen Überblick über die gesamte Datenverarbeitung liefern und es muss aktuell gehalten werden.
Im Rahmen der EU-DSGVO sind folgende Maßnahmen zur Wahrung der Datensicherheit zu treffen.
Bestehende Business Analytics-Systeme, kurz BA-Systeme genannt, verarbeiten oftmals personenbezogene Daten (PD), etwa im Rahmen eines Profiling. Dazu können beispielsweise Faktoren gehören wie: Arbeitsleistung, wirtschaftliche Aspekte, Interessen, geografische Daten, Bewegungsmuster, Gesundheit und andere. Daraus resultieren für die betroffenen Personen Rechte wie das Widerspruchsrecht oder die Einschränkung automatisierter Entscheidungen und die Datenschutzfolgeabschätzung. Zur Wahrung dieser Rechte müssen in BA-Systemen beispielsweise folgende Maßnahmen getroffen werden:
Um die wesentlichen Anforderungen der EU-DSGVO umzusetzen, müssen personenbezogene Daten zunächst erkannt und identifiziert werden. Anschließend sind die physikalischen Datenelemente den entsprechenden Fachanwendungen zuzuordnen und im Verfahrensverzeichnis zu vermerken. In der Folge müssen Zugriffe abgesichert werden und – um der Nachweis- und Auskunftspflicht Rechenschaft zu tragen – lückenlos auditiert sein.
Prozess zur Umsetzung des Datenschutzes bei personenbezogenen Daten laut der EU-DSGVO
Um den Prozess technisch abzubilden, sollte eine möglichst minimalinvasive Lösung gefunden werden. Hierzu bietet sich eine so genannte „Data Virtualization-Schicht“ an.
Hier können Daten aus verschiedensten Systemen in Einheiten zusammengeführt und dem Konsumenten zur Verfügung gestellt werden.
Professionelle Data Virtualization-Lösungen bieten neben dieser Möglichkeit noch weitere Funktionalitäten an, die für eine Umsetzung der Anforderungen aus der EU-DSGVO hilfreich sind:
Im Rahmen unseres adesso Assessment Day zur neuen EU-Datenschutz-Grundverordnung möchten wir Sie zu den Modalitäten der EU-DSGVO informieren. Unabhängig davon, ob Sie ein Business Intelligence-, Business Analytics- oder jedes andere System betreiben, als datenverarbeitendes Unternehmen ist es für Sie an der Zeit, sich intensiv mit der EU-DSGVO zu beschäftigen. In unserem Assessment Day informieren wir Sie darüber, welche Konsequenzen für Ihr Unternehmen in Bezug auf Datenschutz und Data Governance entstehen und wie Sie die neuen Regeln mit modernem Datenmanagement und führender Analytics einhalten und umsetzen können.
Bei all dem gilt zu beachten: Datenverstöße und Datenschutzverletzungen unterliegen ab Inkrafttreten des neuen Gesetzes einer deutlich verschärften Meldepflicht. So müssen Datenpannen bei personenbezogenen Daten an die Datenschutz-Behörde oder die betroffenen Personen binnen kürzester Zeit gemeldet werden (Meldepflicht!).
Dass der Bedarf an einer gezielten Auseinandersetzung in den Unternehmen mit der neuen EU-DSGVO vorhanden ist, zeigen Umfragedaten:
In unserem Assessment-Workshop zur EU-DSGVO
Verschaffen Sie sich einen Wettbewerbsvorteil, indem Sie rechtzeitig die neuen Anforderungen in Ihrem Unternehmen umsetzen! Auch Ihre Kunden erwarten einen umfassenden Datenschutz-Service und werden es Ihnen danken, wenn Sie das Datenmanagement im neuen Stil beherrschen.
In diesem Sinne möchten wir Sie von adesso dabei beraten und unterstützen, dass Ihnen die EU-DSGVO nicht als regulativer Zwang, sondern als Wettbewerbsfaktor erscheint. Und zwar als ein Faktor, dessen adäquate Anwendung Ihnen Vorteile verschaffen kann.
Marius Gödtel leitet das Competence Center „Business Intelligence IT-Consulting“ bei der adesso AG. Er hat Wirtschaftsinformatik mit dem Schwerpunkt Business Intelligence studiert und beschäftigt sich mit innovativen BI-, Big Data- und Analytics-Themen. Bei adesso ist er für das Delivery bei BI-Projekten verantwortlich.
E-Mail: marius.goedtel@adesso.de