DSARs oder Auskunftsersuchen betroffener Personen sind in gewisser Weise die elementarste Voraussetzung, um aus der neuen Welle von Datenschutzbestimmungen wie der DSGVO und dem California Consumer Privacy Act hervorzugehen (CCPA). DSARs besagen, dass Einzelpersonen auch nach der Weitergabe an ein Unternehmen einen Rechtsanspruch auf ihre Daten haben. Diese Anforderung, oft als Datenschutzrecht bezeichnet, gewährt Einzelpersonen das grundlegende Recht, auf die Daten zuzugreifen oder sie zu löschen, wenn sie dies wünschen. Unternehmen werden effektiv zu Verwaltern personenbezogener Daten. Verbraucher, Mitarbeiter und Auftragnehmer behalten stets das Eigentum an ihren Daten.
Für Unternehmen stellt diese Umwälzung der Eigentumsverhältnisse an personenbezogenen Daten eine große Herausforderung dar. Unternehmen sammeln personenbezogene Daten an vielen Stellen im Rechenzentrum und in der Cloud. Daten werden in unterschiedlichsten Datenspeichern gesammelt und anschließend in unterschiedlichsten Anwendungen verarbeitet. Und obwohl Unternehmen Technologien zur Erfassung ihrer Datenspeicher und Anwendungen entwickelt haben, gibt es für die darin gespeicherten Daten keine vergleichbare Technologie. Erschwerend kommt hinzu, dass DSARs feststellen, PII In den riesigen Datenspeichern reicht es nicht aus. Um den Menschen Rechenschaft über ihre Daten abzulegen, ist es wichtig, zunächst alle Daten einer Person zu berücksichtigen. Das bedeutet, dass man alle Arten von Daten einsehen kann. Geschäfte und Anwendungen und identifizieren, welche Daten personenbezogen sind, wem sie gehören und ob eine Einwilligung vorliegt. Darüber hinaus erfordert es, dass ein Unternehmen nicht nur in der Lage ist, die Anfragen zu verwalten, sondern diese auch zu erfüllen, und zwar in großem Umfang.
Erschwerend kommt für Unternehmen hinzu, dass das Risiko eines Versagens nicht nur in einer möglichen Geldstrafe durch eine Regulierungsbehörde liegt. Anders als bei anderen Teilen von Datenschutzbestimmungen wie der DSGVO, wo die Einhaltung durch bestimmte Regulierungsbehörden bestimmt wird, liegt es bei den Rechten an personenbezogenen Daten letztendlich beim Verbraucher oder Mitarbeiter, über die Einhaltung zu entscheiden. Im Fall von GDPR, die Motivation für genaue und effektive DSARs Es sind nicht die 28 staatlichen Regulierungsbehörden, sondern die 500 Millionen Einwohner der EU.
Die harte Wahrheit über DSARs: Klassifizierung reicht nicht aus
Die DSGVO und ähnliche Verordnungen verankern das Recht auf personenbezogene Daten in Form von DSARs. Für Unternehmen stellt diese Verpflichtung zur Umsetzung der DSARs jedoch eine Herausforderung dar. Sie erfordert, dass ein Unternehmen alle gespeicherten Daten einer Person orten kann. In der Praxis ist dies jedoch schwierig, da die derzeitige Technologie keine kontextbezogenen personenbezogenen Daten oder PI identifizieren, nicht automatisch feststellen kann, wem sie gehören, und nicht überall nachsehen kann, wo ein Unternehmen personenbezogene Daten speichert.
In der Vergangenheit konnten Unternehmen darauf zurückgreifen, die Daten einer Person auf Anfrage manuell zu recherchieren. Die Anfragen erfolgten selten, es gab keinen Standard für die Durchführung der Aufgabe und keine Strafen für Ungenauigkeiten. Daher wurde eine Anfrage an eine Person weitergeleitet, die wiederum verschiedene Anwendungs- und Datenspeicherbesitzer um Rückmeldung zum Inhalt der einzelnen Systeme bat. Dieser Prozess hat den offensichtlichen Nachteil, dass er arbeitsintensiv, ungenau und auf eine Suche angewiesen ist, die keine kontextbezogenen personenbezogenen Daten oder PI findet. Außerdem fehlte ihm offensichtlich die Skalierbarkeit.
Mit der DSGVO setzen Unternehmen jedoch verstärkt auf Technologien zur Automatisierung des DSAR-Antrags- und -Erfüllungsprozesses. Vor dem Aufkommen spezieller Tools wie BigID bestand die Standardtechnologie aus Sicherheits- oder eDiscovery-Tools auf Basis von Datenklassifizierung. Diese Produkte wurden entwickelt, um Schlüsselwörter oder personenbezogene Daten in Dateien, E-Mails und Datenbanken zu finden, die wiederum auf der Analyse regulärer Ausdrücke basieren. Obwohl sie langsam sind, funktionierten sie recht gut für Anwendungsfälle im Zusammenhang mit PCI oder HIPAA, bei denen ein genaues Suchkriterium, ein begrenztes zu scannendes Datenvolumen und Zielsysteme wie Dateisysteme, E-Mail oder relationale Datenspeicher erforderlich waren. Für Datenschutzanwendungsfälle wie DSAR erweisen sie sich jedoch als unzureichend, da sie nicht überall suchen können, allgemeine PI nicht identifizieren können und – was am wichtigsten ist – keine Möglichkeit bieten, PI-Daten genau einer Person zuzuordnen, d. h. sie sind nicht identitätsbewusst.
Eine große Idee von BigID: DSAR-Automatisierung im großen Maßstab
Da immer mehr Rechtsräume Datenschutzbestimmungen einführen, die die gesetzlichen Datenschutzrechte von Einzelpersonen festlegen, müssen Unternehmen die Verwaltung von DSAR-Aktivitäten von der Anfrage bis zur Auftragserfüllung automatisieren. Die Automatisierung von DSARs im großen Maßstab erfordert zwei Innovationen, die mit älteren Datenklassifizierungstools bisher nicht möglich waren. Erstens müssen Unternehmen die vorhandenen Daten zu jeder Person ermitteln und inventarisieren. Zweitens müssen sie, sobald sie die Rohdaten haben, die Anfrage- und Auftragserfüllungsaktivitäten operationalisieren können, um verschiedene Anfrageportale, konfigurierbare Antworttypen, Workflows für Analysten, Batchverarbeitung für größere Mengen und die Einbindung von Einwilligungen zu ermöglichen.
Das Auffinden und Inventarisieren von Daten zu jeder einzelnen Person, über die ein Unternehmen Aufzeichnungen führt, ist keine leichte Aufgabe. Es besteht die Herausforderung, personenbezogene Daten zu identifizieren, unstrukturierte und strukturierte Daten, Big Data, Cloud-Daten usw. zu durchforsten und die Daten nach Personen sortieren zu können. Mit herkömmlicher Klassifizierung, die nur vordefinierte Datenklassen erfassen kann, ist es unmöglich, alle personenbezogenen Daten zu finden. Um PI vs. PII zu unterscheiden, muss man anhand des Kontexts dieser Person feststellen können, ob die Daten von oder über eine Person stammen. Um alle Daten von der Cloud bis zur Anwendung zu durchsuchen, ist eine neue Methode zur Abfrage von Datenspeichern erforderlich, die Abhängigkeiten im Klassifizierungsstil vermeidet. Sie muss außerdem Visualisieren Sie die Daten ohne die Daten zu kopieren oder zu duplizieren. Persönliche Daten sind hochsensibel. Unternehmen wollen ihre sensibelsten Daten nicht zentralisieren und so einen riesigen Honeypot für Kriminelle schaffen. Schließlich muss die neue Technologie in der Lage sein, Daten automatisch einer Person zuzuordnen. Während das bei eindeutig identifizierbaren Daten wie Kreditkartendaten relativ einfach ist, gestaltet sich dies bei nicht eindeutig identifizierbaren Daten wie Geburtstagen, GPS-Koordinaten, IP-Adressen, Cookies oder Einkaufspräferenzen, um nur einige zu nennen, sehr schwierig. Darüber hinaus muss die Technologie sowohl Identitäten auflösen können, um sicherzustellen, dass jeder Antragsteller alle seine Daten korrekt erhält, als auch ähnliche Identitäten disambiguieren können, um sicherzustellen, dass Personen mit gleichem Namen nicht miteinander verwechselt werden.
BigID wurde genau zu diesem Zweck entwickelt. Als erstes und wohl einziges identitätszentriertes Data-Discovery-Tool nutzt BigID modernste ML- und Scale-Out-Technologie, um gezielt PI zu finden, alle Daten zu durchsuchen und anschließend von einer Person zu inventarisieren, ohne die Daten zentralisieren zu müssen. Die Entitätsauflösung und die Möglichkeit, Personen zu disambiguieren, sind integriert.
Aber BigID geht über die reine Entdeckung hinaus und führt eine vollständige Operationalisierung durch DSAR-Erstellung und -Berichterstattung. Dazu gehören Tools zur Integration mit Unternehmensdaten-Anforderungsportalen sowie Drittanbietersystemen von Anbietern wie ServiceNow und OneTrustBigID ermöglicht Just-in-Time-Datenabruf und Berichtsformatierung. Mithilfe der BigID-Funktionen zur Einwilligungsverwaltung können Berichte zur Einwilligung erstellt werden. Analysten können Berichte mithilfe eines Workflows prüfen und freigeben. BigID bietet Tools zur Authentifizierung von Antragstellern anhand ihrer eigenen Daten. Darüber hinaus bietet BigID Massenverwaltungsfunktionen für die gleichzeitige Bearbeitung von Hunderten von DSAR-Anfragen. Administratoren können mit BigID sogar die Datenlöschung nach einer Löschanfrage bestätigen.
Datenschutz richtig gestalten
Weltweit und in den USA entstehen in rasantem Tempo neue Datenschutzbestimmungen. Zwar stellen nicht alle die gleichen Anforderungen an Unternehmen, doch haben sie alle gemeinsame Grundlagen: Unternehmen müssen wissen, welche Daten sie über Einzelpersonen haben und ob diese Daten rechtmäßig und genehmigt verwendet werden. Für Einzelpersonen werden sich diese neuen Datenschutzbestimmungen vor allem in neuen Rechten auf personenbezogene Daten niederschlagen, beispielsweise in Bezug auf Zugriff, Übertragung, Berichtigung oder Löschung der Daten. Für Unternehmen stellt die Einhaltung dieser neuen Rechte gleichzeitig die größte Herausforderung dar, da sie ihre eigenen Daten in einem bisher nie dagewesenen Detaillierungsgrad kennen müssen.
Die BigID-Technologie wurde speziell entwickelt, um Unternehmen dabei zu unterstützen, personenbezogene Daten anhand ihrer Identität in den riesigen Petabyte-Datenmengen ihrer Datenspeicher und Anwendungen zu finden. Deshalb heißt BigID BigID. Das datenschutzorientierte Auffinden und Verstehen von Daten reicht jedoch nicht aus, um die neuen Anforderungen moderner DSARs zu erfüllen. Unternehmen benötigen zudem alle operativen Funktionen, um die Daten an Einzelpersonen zu melden und darauf zu reagieren. Deshalb hat BigID die umfassendste Lösung zur Automatisierung von DSARs auf dem Markt entwickelt. Man kann nicht schützen, was man nicht finden kann. BigID hilft Unternehmen dabei, die Suche und den Schutz ihrer Kundeninformationen zu überdenken.
Autor
