Einige der neuen Datenschutzanforderungen der EU-DSGVO (Datenschutz-Grundverordnung) können für Unternehmen, die diesen Anforderungen unterliegen, auf den ersten Blick abschreckend wirken. Anders als beispielsweise SOX, das den Einsatz von Kontrollen für den Datenzugriff vorschreibt, ohne Details zu nennen, verankert die DSGVO sehr konkrete Rechte für EU-Bürger im Umgang mit ihren Daten. Dies stellt für Unternehmen, die der neuen Verordnung unterliegen, eine neue Belastung in puncto Datenbuchhaltung und Rechenschaftspflicht dar. Angesichts von Bußgeldern, die bis zu 41 Milliarden US-Dollar des weltweiten Umsatzes erreichen können, sind Unternehmen hoch motiviert, nach Wegen zu suchen, die neuen Anforderungen an den Datenzugriff zu automatisieren.
Zu den Rechten der betroffenen Person gemäß DSGVO gehören:
● Das Recht einer Person auf Zugriff auf ihre Daten
● Das Recht einer Person, ihre Daten zu einem neuen Dienstanbieter zu übertragen
● Das Recht einer Person auf Löschung oder Vergessenwerden
● Das Recht einer Person auf Benachrichtigung innerhalb von 72 Stunden im Falle eines Verstoßes
Für Unternehmen ergeben sich daraus neue Verantwortlichkeiten im Zusammenhang mit den Daten von EU-Bürgern. Organisationen, die personenbezogene Daten erheben und verarbeiten, müssen diese Daten bis auf die einzelne Person nachweisen können. Dies stellt eine deutliche Abweichung von den Compliance-Anforderungen der Vergangenheit dar, in denen Unternehmen lediglich Datenschutzrichtlinien dokumentieren und allgemeine Sicherheitskontrollen nachweisen mussten. Die EU-DSGVO betont, dass Unternehmen als Verwalter von Verbraucher- und Mitarbeiterdaten nun in der Lage sein müssen, die im Unternehmen gespeicherten Daten jeder einzelnen Person nachzuweisen. Für Unternehmen stellt sich daher die Frage, wie sie dies im großen Maßstab für alle in der EU ansässigen Kunden und Mitarbeiter umsetzen können.
Ein neuer Softwareansatz für den Zugriff betroffener Personen
Während die Rechte der betroffenen Personen in den Bestimmungen der DSGVO allgemein umrissen sind – darunter Datenzugriff, Berichtigung ungenauer oder unvollständiger Daten, Sperrung von Daten, deren Richtigkeit bestritten wird, und Löschung von Daten – ist nicht festgelegt, wie Unternehmen diese Anforderungen erfüllen sollen.
In der Vergangenheit haben Unternehmen, die freiwillig Auskunftsanfragen von betroffenen Personen nachgekommen sind, dies durch manuelle Prozesse getan. Die Anfragen wurden technischen Teams zugewiesen, um Daten entdecken und anschließend über Standort und Nutzung berichten. Dieser manuelle Prozess lässt sich jedoch nicht skalieren, ist eher willkürlich als präzise und verpasst eine wichtige Chance, personenbezogene Daten auf der Grundlage von Datenintelligenz besser zu schützen.
Herkömmliche Data-Discovery-Tools helfen Unternehmen nicht dabei, mehr als nur die grundlegende Datenklassifizierung zu verstehen. Sie erfordern in der Regel einen gewissen Grad an manueller Programmierung, um die zu suchenden Datentypen festzulegen und übersehen so unbekannte Typen. Sie sind für strukturierte oder unstrukturierte Daten optimiert, aber nicht für beides. Sie sind kontextsensitiv und können daher nicht zwischen ähnlich aussehenden Datenelementen unterscheiden. Und, was vielleicht am wichtigsten ist: Sie geben weder Dateneigentum noch Datenherkunft preis. Das bedeutet, dass herkömmliche Data-Discovery-Tools nicht identifizieren können, wem welche Daten gehören, und möglicherweise große Mengen unbekannter oder nicht bekannter Daten übersehen.
Werkzeuge wie BigID Stellen Sie den üblichen Datenermittlungsprozess mit einem neuen Big-Data-Softwareansatz auf den Kopf, der speziell für die Suche und Inventarisierung personenbezogener Daten nach Betroffenen entwickelt wurde. Mithilfe von Data Science, maschinellem Lernen und Identitätskontext bietet ein Tool wie BigID einen einfachen Scanner, der personenbezogene Daten nach Betroffenen unternehmensweit und in der Cloud finden, inventarisieren und verfolgen kann.
Data Science und maschinelles Lernen treffen auf Datenschutz
Datenschutz-Automatisierungssoftware wie BigID automatisiert die Datenzuordnung. BigID scannt beispielsweise lokale und Cloud-Datenquellen, identifiziert personenbezogene Daten und katalogisiert diese anschließend nach Betroffenen in großem Umfang. Während herkömmliche Data-Discovery-Tools eine Agenten-Instrumentierung und ein gewisses Maß an individueller Codierung mit komplexen Programmiertechniken wie regulären Ausdrücken erfordern, nutzt ein Tool wie BigID unüberwachtes Lernen, um der Software zu helfen, zunächst bekannte personenbezogene Daten und die damit verbundene Beziehung zu einer betroffenen Person zu verstehen. Das System nutzt diese Lerndaten dann, um weitere personenbezogene Daten in den Datenspeichern des Unternehmens zu finden und zu katalogisieren.
Der resultierende Index liefert eine Übersicht über die Benutzerdaten mit zusätzlichen Metadaten, die Unternehmen helfen, Datenfluss, Datenspeicherung und -speicherort nachzuweisen. Anfragen betroffener Personen können in Sekundenschnelle beantwortet und problemlos einem Analysten zur weiteren Bearbeitung, beispielsweise zu Zugriff, Datenübertragbarkeit oder Löschung, zugewiesen werden. Im Falle einer Datenschutzverletzung kann ein Unternehmen einen entwendeten Datendump mit seiner Datenübersicht vergleichen, um festzustellen, ob tatsächlich eine Datenpanne vorliegt, und/oder betroffene Benutzer innerhalb von Minuten identifizieren – deutlich unter der von der DSGVO festgelegten Frist von 72 Stunden.
von @dimitrisirota