Zum Inhalt springen
Alle Beiträge anzeigen

Zustimmungsverwaltung: Vom Prozess zum Zweck durch Datenintelligenz

Als sich der Staub legte, seit die EU-DSGVO Obwohl das Gesetz in Kraft getreten ist und die meisten Unternehmen mit der Verwaltung ihrer Einwilligungserfassungsprozesse zurechtkommen, haben viele zunehmend damit zu kämpfen, diese Einwilligungsvereinbarungen in eine praktische Kontrolle für die Anwendungsverarbeitung und die Dateninhaber umzuwandeln.

Der Fokus bei der Einwilligung lag bisher vor allem auf dem Prozess der Erfassung und Speicherung der Einwilligung, um die grundlegenden Compliance-Anforderungen für die Protokollierung zu erfüllen. Leider hat dies die Aufmerksamkeit von den grundlegenderen Datenschutztechnik Fragen im Zusammenhang mit der Zweck zum Einholen der Einwilligungen – wie Sie die verschiedenen Einwilligungsvereinbarungen jeder betroffenen Person in einer konsolidierten Ansicht abbilden und korrelieren und kontinuierlich beurteilen können, ob die Einwilligungen gültig und für die Datenerhebung und -verarbeitung geeignet sind.

Hier kommt die Zustimmungsverwaltung ins Spiel: Durch die Erweiterung unserer einzigartigen Fähigkeit, zu verstehen, welche Daten mit welchen spezifischen Datensubjekten verknüpft sind, ermöglicht BigID Unternehmen, die Datenverarbeitung nach Datensubjekt und Attribut auf die Einhaltung der Zustimmung zu prüfen.

Unser erster Schritt zur Operationalisierung des Zwecks der Einwilligung besteht darin, eine auf die betroffene Person ausgerichtete Sicht auf alle Einwilligungsvereinbarungen bereitzustellen, die über verschiedene Anwendungen und Quellen erfasst werden. Unser oberstes Ziel ist es, die Einwilligung von einem rechtlichen (und isolierten) Artefakt in ein praktisches und überprüfbares Datenschutz Kontrolle, die ein wesentlicher Bestandteil des Privacy-by-Design-Privacy-Prinzips (PbD) ist.

Bei den ersten Vorbereitungen auf die Datenschutz-Grundverordnung (DSGVO) konzentrierten sich viele Unternehmen darauf, die Zustimmung ihrer Kunden und Verbraucher einzuholen. Dies zeigte sich in der Flut panischer E-Mails von Anbietern kurz vor Ablauf der Frist.

Doch wie geht es weiter, nachdem die Einwilligung eingeholt und protokolliert wurde? Die Anzahl der Consent-Management-Produkte, die im Wesentlichen als Datenbanken für Einwilligungsvereinbarungen und Präferenzen dienen, ist stark gestiegen. GDPR. Diese Tools sind in der Regel isoliert und Unternehmen erfassen möglicherweise mehrere Einwilligungsfälle für eine einzelne betroffene Person, sei es die Einwilligung zur Verwendung von Cookies und anderen Online-Tracking-Geräten im Rahmen der E-Privacy-Anforderungen, von mehreren mobilen oder Web-Apps oder von einer Vielzahl verbundener Geräte.  

Unter dem Kalifornisches Verbraucherschutzgesetz Das Gesetz tritt 2020 in Kraft. Unternehmen, die unter das Gesetz fallen, müssen jedoch weiterhin die Opt-out-Entscheidungen erfassen und diese Präferenzen mit den tatsächlichen Verarbeitungsvorgängen in Einklang bringen – auch wenn das Gesetz letztendlich keine gleichwertige Anforderung einer ausdrücklichen Einwilligung im Sinne der DSGVO enthält.

Die bestehenden Ansätze zur Einwilligungserfassung stellen Unternehmen vor mehrere Herausforderungen, wenn sie versuchen, diese zu operationalisieren und die Präferenzen und Bedingungen in Entscheidungen zur Datenverarbeitung und -übertragung zu integrieren:

Bei den bestehenden Ansätzen gibt es eine Reihe von Herausforderungen hinsichtlich der Operationalisierung der Einwilligung und der Integration von Einwilligungspräferenzen und -bedingungen in Entscheidungen zur Datenverarbeitung und -übertragung.

• Zustimmungschaos

Die Einwilligung wird aus mehreren Quellen eingeholt – mit begrenzten Mechanismen zur Konsolidierung oder Zusammenführung mehrerer Einwilligungsaktionen derselben betroffenen Person.

• Bewertung der Zustimmungsrichtlinie

• Datenschutzmanager möchten Compliance-Richtlinien zentral definieren und anhand aller korrelierten Einwilligungsdatensätze auswerten können  

• Gültigkeit der Einwilligung

- Der Schwerpunkt der Tools liegt auf der Protokollierung der Einwilligung, wenn diese eingeholt wurde. Doch wie sieht es mit der Identifizierung von Anwendungen aus, für die keine Einwilligung eingeholt wurde, dem Zeitpunkt der letzten Einholung der Einwilligung und der Frage, ob die Datennutzung mit den Einwilligungsbedingungen übereinstimmt?

• DSAR und Berichterstattung über Verarbeitungsaktivitäten

- Für Betriebs- und Datenschutzteams bietet das Einwilligungsmanagement keinen Mechanismus, um den Nachweis der Einwilligung in die Auskunftsanfragen der betroffenen Personen zu integrieren. Dies macht den Prozess bestenfalls manuell und erhöht das Risiko von Verstößen.

• Zustimmungsintegration für Privacy by Design
- Entwickler benötigen einen programmatischen Mechanismus, um Datenschutzrichtlinien für den Datenschutz durch Design einzubetten, aber es gibt keinen Mechanismus, um die Zustimmung in ihre Anwendungsmodelle zu integrieren.

 

 

Darüber hinaus und möglicherweise noch wichtiger für die Zukunft des Datenschutzes sind diese Produkte und Dienste von der eigentlichen Datenverarbeitung und den damit verbundenen Compliance-Aktivitäten isoliert.

 

BigID bietet bereits die Möglichkeit, Einwilligungsprotokolle in Einwilligungsverwaltungssystemen zu prüfen und die Informationen zum Verwendungszweck in unser Dateninventar, Aufzeichnungen der Verarbeitungsaktivität für die DSGVO, zu integrieren. Artikel 30 Dokumentation und Berichte zu Anfragen betroffener Personen zum Zugriff auf personenbezogene Daten.

Als erste Funktion zur Einwilligungsverwaltung führen wir nun eine Einwilligungsverwaltungskonsole ein, die eine individuelle Ansicht der Einwilligungseinholung, des Status und der Gültigkeit pro betroffene Person bietet. Durch die Zuordnung von Einwilligungen, die zu unterschiedlichen Zeitpunkten und von verschiedenen Anwendungen mit unterschiedlichem Umfang erfasst wurden, zu einer einzelnen betroffenen Person verfügen Datenschutzteams und IT-Abteilungen nun über ein Tool zur Verwaltung, Validierung und Berichterstattung des Status von Einwilligungsrichtlinien für alle betroffenen Personen und Einwilligungsquellen.

Diese Funktion erweitert unsere bestehenden Möglichkeiten, die DSGVO-Anforderungen an die Rechte betroffener Personen zu erfüllen, indem sie integrierte Berichte darüber erstellt, wann und wie die Einwilligung der betroffenen Person für bestimmte Datenerfassungsaktionen eingeholt wurde. Verbraucher können diese individualisierte und konsolidierte Darstellung zudem proaktiv nutzen, um Anwendungen zu kennzeichnen, die Daten ohne gültige Einwilligungsvereinbarung erfassen. Darüber hinaus können wir durch diese korrelierte Ansicht erkennen, wo die Einwilligung widerrufen wurde und Daten entfernt werden sollten.

Indem wir die Zustimmungsverwaltung in unsere datenorientierte Abbildung der Prozessabläufe über verbundene Datenquellen hinweg integrieren, können wir die Zustimmung zu Aufzeichnungen oder Verarbeitungsaktivitäten gemäß Artikel 30 der DSGVO pro Anwendung ermitteln und dokumentieren und markieren, wo die Zustimmung veraltet ist, nicht mit dem angegebenen Zweck übereinstimmt oder einfach nicht erfasst wird.  

Mit den neuen Einwilligungsverwaltungsfunktionen von BigID erhalten Unternehmen folgende Vorteile:

Proaktive Compliance-Überwachung und -Richtlinien

Identifizieren von Anwendungen, die keine Einwilligung einholen
Identifizieren Sie betroffene Personen, deren Einwilligung nicht gültig, aktuell und mit dem Verwendungszweck vereinbar ist

Überprüfung des Ablaufs der Einwilligung  

Finden Sie alle Datensätze von Datensubjekten mit überfälliger Einwilligung

Antrag auf Auskunft über personenbezogene Daten

Nachweis der Einwilligung erbringen
Vergleichen Sie die Einwilligung mit den tatsächlichen Verwendungszwecken und wenn die Zwecke nicht mit der Einwilligung in der Datenschutzrichtlinie übereinstimmen

Datenmapping / ROPA

Nachweis der Einwilligungserhebung durch Anwendung
Warnen Sie bei Abweichungen und leiten Sie einen Abhilfe-Workflow ein

Wenn wir vom Prozess der Einwilligungseinholung zur Validierung übergehen, bedeutet dies, dass die Einwilligungsvereinbarung selbst auch einen Nachweis darüber enthält, welche spezifischen Attribute die betroffene Person zu teilen bereit ist und welche spezifischen Aktionen sie mit den Daten erlaubt hat. Mit der Weiterentwicklung von Einwilligungsvereinbarungen, die diese expliziten logischen Parameter berücksichtigen, wird auch unsere Fähigkeit verbessert, detaillierte Erkenntnisse darüber zu gewinnen, ob individuelle Aktionen an individuellen Attributen für einzelne betroffene Personen mit den Einwilligungsparametern übereinstimmen.  

Gleichzeitig beabsichtigt BigID, die Grundlage dafür zu schaffen, dass Einwilligungen zu einem lebendigen Satz von Einschränkungen und Eingaben für den Entwicklungslebenszyklus werden. Dies geschieht durch eine Reihe von APIs und ein SDK für Datenschutzrichtlinien zur Integration der Einwilligungsanalyse in die Anwendungen und Datenpipelines.

Diese anfänglichen Funktionen, die in künftigen Versionen weiter ausgearbeitet werden, ermöglichen es Unternehmen, über die bloße Einholung von Einwilligungen hinauszugehen und eine Einwilligungsverwaltung zu entwickeln. Dabei handelt es sich um einen konsolidierten Ansatz zur programmgesteuerten, maschinenbasierten Überprüfung der Verarbeitung auf Einwilligungskonformität durch die betroffene Person und pro Datensatz/Attribut.

 

Inhalt