Kommentar von Stefan Reinhardt, Eccenca

Die DSGVO hebelt klassische Datenmanagement-Ansätze aus

| Autor / Redakteur: Stefan Reinhardt / Nico Litzel

Der Autor: Stefan Reinhardt ist Director Sales bei Eccenca
Der Autor: Stefan Reinhardt ist Director Sales bei Eccenca (Bild: Eccenca)

Die Datenschutzgrundverordnung (DSGVO) ist für Unternehmen kein rein juristisches Problem. Sie greift mit ihren Anforderungen direkt in die betrieblichen Abläufe ein – und wirft damit technische und organisatorische Probleme auf. Sinnvoll beantworten kann diese nur ein Umdenken des Datenmanagements.

Das wichtigste IT-Orakel hat gesprochen. Das renommierte New Yorker Analystenhaus Gartner nennt in seinen jüngst veröffentlichten „IT-Trends 2019“ das Thema „Digitale Ethik und Privatsphäre“ als einen Top-10-Trend für das kommende Jahr, Tendenz zunehmend. Die Analysten warnen, dass Unternehmen in Zukunft von Protestaktionen getroffen werden, sollten sie die Bedenken der Menschen nicht proaktiv angehen und Lösungen anbieten.

Diese Annahme wird von verschiedenen Seiten in der IT- und Datenschutzbranche unterstützt. So prophezeit F5 Networks in seinem aktuellen Bericht „Future of Multi-Cloud (FOMC)“, dass die DSGVO innerhalb der nächsten fünf Jahre durch einen weltweiten Standard für Datenschutz quasi globalisiert wird. Auf der ganz praktischen Ebene bedingt dies einen gänzlich anderen Umgang mit personenbezogenen Daten in Unternehmen.

Subject Access Requests sind nur die Spitze des Eisbergs

Das schlägt sich auch in der Betriebsführung nieder. Wer die neu entstandenen Pflichten erfüllen möchte, muss sich überlegen, wie das in den heute typischen IT- und Datenlandschaften umgesetzt werden soll. Denn diese bestehen in der Regel aus Hunderten bis Tausenden Applikationen und Verfahren, die ihre eigenen Datenmodelle, Formate und (meist relationalen) Datenbanken mit sich bringen. Bei dieser Datenstreuung und Unübersichtlichkeit hilft leider auch der wohlwollende, jedoch reichlich nichtssagende Rat nicht weiter, mit einer strukturierten Datenbank zu arbeiten sowie Ausmaß und Notwendigkeit der Daten zu beachten. Darüber hinaus bildet die Umsetzung der DSGVO-Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit nur die Spitze des Eisbergs. Interessant (und wirklich aufwendig) wird es unter den gegebenen IT-Landschaften erst bei der tagtäglichen Einhaltung der Compliance bei internen Datenverarbeitungen.

Wie stellen Unternehmen sicher, dass z. B. der Konsens-Status einer Person für einen bestimmten Verarbeitungszweck über alle Applikationen bekannt und synchronisiert ist? Darüber hinaus entstehen Herausforderungen für das Identity Management. Wie kann eine Konsensänderung von Dörte Musterfrau über alle Applikationen effizient umgesetzt werden, wenn sie in der einen Applikation als Frau Musterfrau und in einer anderen als Doerte Musterfrau geführt wird? Oder wenn die Datenfelder in den Applikationen unterschiedlich benannt sind? Sollen bei einer Beauskunftung (oder Subject Access Request) alle Application Owner beauftragt werden, in ihren jeweiligen Applikationen nach Daten der anfragenden Person zu suchen – inklusive Variationen und gegebenenfalls widersprüchlichen (weil z. B. veralteten) Daten?

Datenmanagement neu denken, ohne den Reset-Button zu drücken

Die DSGVO ist damit eine multidimensionale Herausforderung: rechtlich, in Bezug auf die Customer Relationship, marketingseitig sowie organisatorisch und technisch.

Mit dieser Bandbreite an Implikationen werden Datenschutz und der verantwortungsvolle Umgang mit personenbezogenen Daten nach innen und außen ein ausschlaggebender Alleinstellungsfaktor für Unternehmen. Sie stehen dabei vor zwei sich vermeintlich widerstrebenden Herausforderungen.

Die Lösung

  • 1. muss sich in die bestehende IT- und Datenarchitektur reibungslos integrieren, ohne dass umfassende Veränderungen am Gesamtsystem vorgenommen werden müssen.
  • 2. darf nicht aus Insellösungen oder Krücken bestehen, die Probleme in die Zukunft verlagern, langfristig zu hohen Folgekosten führen und inflexibel sind.

Die erste Herausforderung wiegt in der Regel schwerer. Kein Wunder also, dass bei der zweiten Herausforderung in der Vergangenheit meist alle Augen zugedrückt wurden. Oder das Datenchaos wurde mit Ansätzen wie einem aufwendigen Master Data Management, Data Lakes und Data Warehousing notdürftig gekittet. Sie bleiben jedoch inflexibel und vor allen Dingen teuer.

Das alte IT-Haus mit Semantikdach

Ein semantischer Unternehmenswissensgraph ermöglicht die Abbildung der komplexen Datenlandschaft in Unternehmen.
Ein semantischer Unternehmenswissensgraph ermöglicht die Abbildung der komplexen Datenlandschaft in Unternehmen. (Bild: Eccenca)

Dabei zeigt uns eine Plattform tagtäglich, wie das Chaos heterogener Daten aus einer Vielzahl von Quellen gebändigt, integriert und übersichtlich dargestellt werden kann. Der Google Knowledge Graph führt seit Mai 2012 die Kerninformationen zu einer Suchanfrage aus den Weiten des World Wide Web in einer übersichtlichen Infobox zusammen. Das funktioniert auch auf Unternehmensebene mit personenbezogenen (und sonstiger Form von) Daten – und bedarf keiner kompletten Veränderung der IT-Landschaft.

Die Stichworte sind hierbei Semantik und Metadaten. Anstelle das IT-Gebäude abzureißen, muss nur das Dach neu gedeckt werden. Die Metadaten aller Daten aus den Hunderten bis Tausenden Applikationen werden hierbei in einem zentralen semantischen Datenkatalog hinterlegt, angereichert, verlinkt und miteinander in Kontext gesetzt. Um den Aufwand gering zu halten und eine möglichst hohe Wiederverwendbarkeit zu gewährleisten, wird dabei auf standardisierte Datenschema (z. B. aus schema.org) zurückgegriffen. Im Rahmen der DSGVO-Compliance entsteht dadurch ein Unternehmens-Wissensgraph (Enterprise Knowledge Graph), der Informationen darüber bereithält:

  • ob zu einer Person Daten im Unternehmen vorliegen,
  • in welchen Applikationen diese vorliegen,
  • welche Datenkategorien in den einzelnen Applikationen gespeichert sind,
  • für welche Verarbeitungszwecke Konsens oder eine andere rechtliche Validierung vorliegen.

Damit erhalten Unternehmen vollständige, unternehmensweite Datentransparenz, ohne die bestehende IT-Infrastruktur verändern zu müssen. Die proprietären Applikationen können weiterverwendet werden. Die Originaldaten bleiben in ihren Datenmodellen. Die Application Owner müssen nicht manuell und auf gut Glück nach Daten zu einer Person suchen.

Gleichzeitig werden die Daten:

  • aus den Datensilos befreit,
  • semantisch miteinander verlinkt und
  • direkt mit den Anforderungen der DSGVO und rechtlichen Validierungen verknüpft.

Sie können also im Kontext ausgewertet werden und den Mehrwert generieren, den KI und Big Data bislang nur versprechen.

Zu einem vernünftigen DSGVO-Managementkonzept gehört auch die lückenlose Nachverfolgung aller Vorgänge und des Compliance-Standes.
Zu einem vernünftigen DSGVO-Managementkonzept gehört auch die lückenlose Nachverfolgung aller Vorgänge und des Compliance-Standes. (Bild: Eccenca)

Verbunden mit einem Ticketsystem und einer Identity Search Engine werden zudem die neuen DSGVO-Prozesse rund um die Beauskunftung schlank und zielgerichtet organisierbar. Das spart nicht nur Betriebskosten und wertvolle Arbeitszeit. Der Datenschutzbeauftragte erhält auch 100 Prozent Kontrolle über die unternehmensweite Compliance und kann diese so dauerhaft und automatisiert nachweisen.

Und da das Semantikdach – der Unternehmens-Wissensgraph – auch für alle anderen Datenprozesse genutzt werden kann, machen sich Unternehmen damit ganz nebenbei bereit für die digitale Zukunft. Mit der Basis an strukturierten, multidimensional integrierbaren und angereichten Daten werden auch die Big-Data-Herausforderungen von KI, Cognitive / Smart Supply Chain und IoT sowie neue digitale Produkten und Services für Unternehmen greifbar.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45668313 / Compliance und Datenschutz )