Daten gelten als das moderne Öl, und der Vergleich bezieht sich nicht nur auf den Wert. So wie Vorschriften definieren, wie Kraftstoff sicher gelagert und verwendet werden soll, gibt es Gesetze für persönlich identifizierbare Informationen (PII) und auch sensible Daten.
Das Problem ist, dass Sie keine Regeln und Richtlinien auf Dinge anwenden können, von denen Sie nicht wissen, dass Sie sie haben. Um Ihre Daten zu verwalten, Sie müssen wissen, wo es gespeichert ist, wie sie verwendet werden und wie sensibel sie sind. Deshalb ist die Datenzuordnung für Governance und Compliance so wichtig.
Was ist Datenzuordnung?
In der Governance ist Datenmapping der Prozess der Dokumentation des Datenökosystems Ihres Unternehmens. Es zeigt, welche personenbezogenen Daten Sie erfassen, wo sie gespeichert werden, wie Daten zwischen Systemen verschoben werden und wie sie verwendet werden.
Kurz gesagt: Durch die Datenzuordnung wird Transparenz geschaffen, sodass Richtlinien, Compliance-Anforderungen und Sicherheitsmaßnahmen einheitlich angewendet werden können.
Stellen Sie sich einen Einzelhändler vor. Um eine Bestellung abzuwickeln, benötigt er:
- Name und Adresse des Kunden für die Lieferung
- Ihre E-Mail zur Kontobestätigung
- Eine Aufzeichnung früherer Käufe für Marketingzwecke
Fügen Sie Mitarbeiterdatensätze, Lieferantendetails und Finanztransaktionen hinzu und Sie werden sehen, wie schnell die Daten komplex werden.
Eine Governance-orientierte Übersicht klassifiziert diese verschiedenen Arten von Daten – öffentliche, persönliche und sensible. Sie zeigt Ihnen, wie PII mit Geschäftszwecken verknüpft sind und welche Rechtsgrundlagen für ihre Verarbeitung gelten.
Mit dieser einheitlichen Ansicht können Sie die richtigen Richtlinien besser auf Ihre Daten anwenden. Sie können personenbezogene Daten schützen und sicherstellen, dass sie nur für legitime Zwecke verwendet werden. Sie können außerdem sicherstellen, dass personenbezogene und sensible Daten gemäß den Vorschriften wie dem DSGVO in der EU oder die CCPA in Kalifornien.
Darüber hinaus benötigen fortgeschrittene Anwendungsfälle wie Analysen oder das Training von KI-Modellen genaue und konsistente Daten. Mapping bereitet Ihre Informationen für solche Zwecke vor.
Die Durchsetzung von Datenschutzrichtlinien für Daten ist an sich eine rein intellektuelle Übung. Die praktische Anwendung beruht stark auf Datenmapping. Dadurch erfahren Sie, wo Ihre Daten gespeichert sind und wie sie sich bewegen. Informationen werden nach ihrer Sensibilität klassifiziert. Das wiederum gibt Ihnen Aufschluss darüber, welche Richtlinien anzuwenden sind.
Alles in allem ist dieser Prozess nicht nur eine Compliance-Übung; er trägt auch zur Verbesserung Ihrer Datenqualität bei.
Wichtige Vorteile der Datenzuordnung für Governance und Compliance
Effektive Datenmapping-Praktiken helfen Ihrem Unternehmen in vielerlei Hinsicht. Hier sind einige davon:
Einhaltung gesetzlicher Vorschriften und Auditbereitschaft
Die DSGVO verpflichtet Organisationen dazu, Aufzeichnungen über die Nutzung und Verarbeitung von Daten zu führen. Zugegeben, andere Datenschutzgesetze wie der CCPA und HIPAA. Allerdings müssen auch sie von Ihnen wissen, welche personenbezogenen Daten Ihr Unternehmen speichert, warum Sie diese verarbeiten und wie diese weitergegeben werden.
Hinzu kommt, dass Prüfer und Aufsichtsbehörden nicht auf Vertrauensbasis arbeiten. Sie müssen mehr als nur Ihr Wort dafür liefern, dass Sie konforme Datenpraktiken befolgen. Eine gut gepflegte Datenkarte ist Teil Ihrer detaillierten Nachweise. Sie hilft Ihnen, Ihre Verantwortlichkeit zu demonstrieren und nachzuweisen.
Risikominderung
Kartierungshighlights Schattendaten und Schatten-IT, also Datenbanken, Tabellenkalkulationen oder Anwendungen, die außerhalb genehmigter Systeme betrieben werden. Wie Sie sicher schon gehört haben, schützt Unkenntnis des Gesetzes nicht vor Gesetzesverstößen. Ebenso bedeutet die Unkenntnis Ihrer Daten nicht, dass Sie bei der Speicherung oder Verwendung dieser Daten keine Vorschriften mehr einhalten müssen.
Die Identifizierung von Schattendaten ist der erste Schritt, um diese unter Kontrolle zu bringen und das Risiko von Datenverlusten oder -verletzungen und den daraus resultierenden Bußgeldern zu reduzieren.
Betriebseffizienz
Wenn Sie wissen, wo sich Ihre Daten befinden und wie sie fließen, können Sie Duplikate und Redundanzen vermeiden. Wenn Sie die Datenbewegungen verstehen, können Sie Ihre Prozesse überprüfen und Engpässe reduzieren.
Beim Erfassen personenbezogener Daten müssen Sie den betroffenen Personen Zugriff auf ihre Daten gewähren, sie überprüfen oder deren Löschung beantragen. Wenn Sie wissen, wo diese Daten gespeichert sind, können Sie die DSAR schneller und effizienter.
Wenn alle Ihre Daten ordentlich organisiert sind, ist es auch weniger wahrscheinlich, dass alte oder veraltete Informationen Ihren Speicherplatz verstopfen.
Unterstützung für DPIAs und RoPAs
Datenschutz-Folgenabschätzung (DSFA) ist ein gemäß der DSGVO vorgeschriebener Prozess für Verarbeitungsaktivitäten mit hohem Risiko. Dabei werden die Risiken analysiert, denen personenbezogene Daten bei ihrer Verwendung ausgesetzt sind.
Datenschutz-Folgenabschätzungen und RoPAs (mehr dazu später) verlassen Sie sich auf genaue Dateninventare und Flussdokumentation. Eine Datenkarte macht diese Aufgaben schneller, genauer und einfacher zu verwalten.
Verbesserte Datenqualität
Mapping ist eine hervorragende Möglichkeit, inkonsistente und redundante Daten auszusortieren. Es erfordert eine einheitliche Kennzeichnung der Daten, damit sie für Maschinen leicht verständlich sind. Saubere, validierte Daten verbessern nicht nur die Compliance-Berichterstattung, sondern gewährleisten auch die Zuverlässigkeit von Analysen und KI.
Überwachung durch Anbieter und Dritte
Moderne Organisationen sind abhängig von komplexe Anbieter-Ökosysteme Wo Daten geteilt werden, um Nutzern einen Mehrwert zu bieten. Die Zuordnung zeigt, wie personenbezogene Daten extern geteilt werden. So können Sie überprüfen, ob Anbieter dieselben Schutzstandards anwenden und vertragliche und gesetzliche Verpflichtungen erfüllen.
Grenzüberschreitende Compliance
Geschäftsdaten, die überschreitet regulatorische Grenzen müssen in allen Bereichen konform sein. Beispielsweise besagt die DSGVO, dass personenbezogene Daten von EU-Bürgern nur unter bestimmten Umständen in ein Land außerhalb der Europäischen Union übertragen werden dürfen.
Wenn Ihr Unternehmen in mehreren Rechtsräumen tätig ist, zeigt eine Datenkarte, wohin Daten übertragen und gespeichert werden. So erfahren Sie, wo Sie internationale Übertragungsregeln anwenden und Transparenz gegenüber Kunden und Aufsichtsbehörden gewährleisten müssen.
Natürlich sind diese Vorteile nur möglich, wenn Sie den Mapping-Prozess sorgfältig durchführen.
Datenzuordnungsprozesse und -konzepte
Der Prozess der Datenzuordnung kann grob in zwei Prozesse unterteilt werden: die Bestandsaufnahme der Daten und die Erstellung einer Datenzuordnung.
Das Inventar ist ein Katalog Ihrer Daten und ihres Speicherorts, geordnet nach Vertraulichkeit. Die Datenkarte zeigt visuell, warum Sie die Daten benötigen und wie sie fließen. Zusammen geben diese beiden Informationen Aufschluss darüber, wie Sie Ihre Geschäftsinformationen verwalten.
Um zu verstehen, wie Datenmapping in der Governance funktioniert, müssen Sie einige der wichtigsten Konzepte verstehen:
Datentypen
Eine Datenkarte sollte alle Arten von Informationen erfassen, die das Unternehmen sammelt. Dazu gehören Kunden-, Mitarbeiter- und Geschäftsdaten.
Zu den Kundendaten gehören (aber nicht ausschließlich):
- Namen
- Privat-/Geschäfts-/E-Mail-Adressen
- Telefonnummern
- Zahlungsinformationen, wie Kreditkarten- oder Bankdaten
- Bestellverlauf
- Browserverlauf
Mitarbeiterdaten können sein:
- Kontaktdaten für Personalunterlagen
- Lohn- und Bankdaten für Gehaltszahlungen
- Angaben zur Kranken- und Leistungsanmeldung für Versicherungs- und Compliance-Zwecke
- Ergebnisse von Leistungsbeurteilungen und Schulungsaufzeichnungen zur Verwaltung von Entwicklung und Fortschritt
- Notfallkontaktdaten für Anforderungen der Arbeitssicherheit
Geschäftsinformationen bestehen aus:
- Verträge und Vereinbarungen mit Anbietern, Partnern oder Kunden
- Finanzunterlagen wie Rechnungen, Hauptbücher und Steuererklärungen
- Geistiges Eigentum, einschließlich Produktdesigns, Quellcode oder Forschungsdaten
- Informationen zur Lieferkette, wie Versandmanifeste oder Lieferantenpreise
Für jede Information kann ein unterschiedliches Maß an Schutz erforderlich sein, abhängig von den geltenden Datenschutzbestimmungen und branchenspezifischen Vorschriften.
Datenquellen und -systeme
Ihr Unternehmen sammelt Daten von verschiedenen Kontaktpunkten. Kundendaten können in CRM-Plattformen wie Salesforce oder anderen Marketing-Tools erfasst und gespeichert werden. Mitarbeiterdaten können in HR-Systemen und Zahlungsabwicklern gespeichert sein.
Möglicherweise haben Sie Informationen in Cloud-Speichern, Tabellenkalkulationen oder älteren Datenbanken gespeichert. Die Daten können sich auch hinsichtlich des Formats unterscheiden. Gängige Datenformate sind SQL-Datenbanken, JSON-, XML- und CSV-Dateien.
Bei den aufgeführten Formaten handelt es sich ausschließlich um strukturierte Datenquellen. Möglicherweise haben Sie auch Informationen in unstrukturierten Formaten gespeichert, beispielsweise in E-Mails, PDFs und anderen Formaten.
Verzeichnis der Verarbeitungstätigkeiten (RoPAs)
Wenn Ihr Unternehmen unter die DSGVO fällt, müssen Sie gemäß Artikel 30 ein internes Protokoll Ihrer Datenverarbeitungsaktivitäten führen –ein Verzeichnis der VerarbeitungstätigkeitenMit anderen Worten: Sie sollten wissen, welche Datenbestände Ihr Unternehmen besitzt und wie und warum diese für interne Zwecke verwendet werden.
Datenkarten sind für die Erstellung und Pflege dieser RoPAs von entscheidender Bedeutung. Sie erfassen, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und von wem verarbeitet werden.
Datenflüsse und Herkunft
Ihr Unternehmen sammelt personenbezogene Daten zu einem bestimmten Zweck. Daher verbleiben diese niemals ungenutzt in einer Datenbank. Um ihren Zweck zu erfüllen, müssen sie durch Systeme und Anwendungen fließen.
Die Zuordnung in der Governance zeigt, wie Daten von der Quelle zum Ziel gelangen, sei es intern zwischen Anwendungen oder extern zu Anbietern.
Es dokumentiert die Herkunft, sodass Sie keine blinden Flecken haben. Darüber hinaus hilft es Ihnen, Schattendaten oder Schatten-IT zu identifizieren, indem es Ihren Datenbestand mit Ihren Systemanforderungen vergleicht.
Richtlinien und Kontrollen
Für alle von Ihnen erfassten Daten gelten bestimmte Regeln. Richtlinien zur Datenverwaltung regeln, warum Sie die Informationen benötigen, wie Sie sie nach Erfüllung ihres Zwecks vernichten und alles dazwischen.
Gemäß der DSGVO benötigen Sie für die Verarbeitung von Informationen eine Rechtsgrundlage. Die Einwilligung ist zwar eine davon, aber nicht die einzige. Weitere Rechtsgrundlagen sind vertragliche Notwendigkeit, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgaben und berechtigte Interessen.
Jedes Datenelement in einer Governance Map sollte mit der Rechtsgrundlage und seinem Geschäftszweck verknüpft sein. Beispielsweise benötigen Sie es möglicherweise, um eine Bestellung auszuführen oder die Gehaltsabrechnung zu verwalten. Die Dokumentation von Zweck und Grundlage gewährleistet die Rechenschaftspflicht und erleichtert den Compliance-Nachweis bei Audits.
Nachdem Sie persönliche und vertrauliche Informationen gesammelt haben, müssen Sie diese mit angemessenen Sicherheits- und Datenschutzmaßnahmen schützen. Diese Daten sollten bei der Speicherung und Übertragung verschlüsselt werden. Der Zugriff darauf sollte auf autorisierte Personen beschränkt sein.
Außerdem dürfen personenbezogene Daten nicht unbegrenzt gespeichert werden. Sobald ihr Zweck erfüllt ist, müssen sie vernichtet werden. Ihre Datenschutzrichtlinien müssen die Löschauslöser und Anweisungen zur sicheren Entsorgung der Informationen enthalten.
Metadaten
Datenpunkte allein sind bedeutungslos. Metadaten – Daten über Daten – liefern den Kontext, der eine Karte nutzbar macht. Sie erklären, was jedes Datenelement ist, woher es stammt, wie es klassifiziert ist und wem es gehört.
Metadaten sind ein wesentlicher Bestandteil der Datenzuordnung. Ohne sie haben Sie nur eine Reihe bedeutungsloser Felder. Darüber hinaus sind sie nicht nur für die Datenzuordnung nützlich. Metadaten sind auch unerlässlich, wenn Sie Ihre Geschäftsinformationen zum Trainieren von KI oder für Analysen verwenden möchten.
Datenqualität und Validierung
Mit der Zeit können Ihre Geschäftsdaten „verschlechtert“ werden. Sie ändern möglicherweise Formate, wodurch ältere Einträge nicht mehr mit den neuen übereinstimmen. Verschiedene Abteilungen erstellen möglicherweise Kopien für den eigenen Gebrauch, wodurch mehrere Versionen derselben Informationen entstehen. Bestimmte alte Datensätze, die nicht mehr benötigt, aber nicht gelöscht wurden, tragen zur Unordnung (und Ihrem Risiko) bei.
Datenmapping verbessert zudem die Qualität, indem es inkonsistente Daten, Redundanzen und veraltete Datensätze kennzeichnet. Saubere, validierte Daten lassen sich leichter verwalten. Es ermöglicht zudem präzise Berichte, Analysen und KI-Training.
Datenzuordnungstechniken
Es gibt nicht die eine Methode, Ihre Daten abzubilden. Die beste Methode hängt möglicherweise von der Größe Ihres Unternehmens und der Komplexität Ihres Datenökosystems ab. Im Allgemeinen gibt es drei Möglichkeiten, die Datenabbildung zu gestalten:
Manuelle Zuordnung
Unternehmen ohne automatisierte Tools verlassen sich oft auf manuelle Methoden. Sie nutzen alles Mögliche, von Tabellenkalkulationen und Flussdiagrammen bis hin zu strukturierten Fragebögen, die von Geschäftseinheiten oder Lieferanten ausgefüllt werden. Manuelle Ansätze sind kostengünstig und flexibel. Allerdings sind sie zeitaufwändig in der Pflege und übersehen oft versteckte oder Schattendaten.
Hybrides Mapping oder halbautomatisches Mapping
Viele Unternehmen kombinieren manuelle und automatisierte Techniken. Automatisierte Tools zeigen, wo sich Daten befinden und wie sie fließen. Anschließend fügen die Teams den Kontext hinzu, den die Technologie nicht selbst erschließen kann. Dieser hybride Ansatz vereint Effizienz und Genauigkeit.
Automatisiertes Mapping
Automatisierte Tools erfordern kaum manuelle Eingriffe. Sie nutzen Metadatenanalyse, Mustererkennung und zunehmend KI/ML, um Daten in Cloud-, SaaS- und lokalen Umgebungen zu erkennen und zu klassifizieren. Sie erhalten eine Echtzeitansicht personenbezogener und sensibler Daten. Das erleichtert die Aktualität von Beständen, die Unterstützung von Audits und die Einhaltung von Compliance-Fristen.
Durch die automatisierte Zuordnung werden menschliche Fehler reduziert. Außerdem lässt sie sich problemlos mit Ihrem Unternehmen skalieren, wenn dessen Umgebung komplexer wird.
Automatisiertes Datenmapping mit der Data Intelligence-Plattform von BigID
BigID automatisch entdeckt und klassifiziert sensible Daten über strukturierte, unstrukturierte und Cloud-UmgebungenDie Plattform erstellt RoPAs, unterstützt DPIAs und bildet Datenflüsse ab – einschließlich Schattendaten –, damit Sie konform bleiben, Risiken reduzieren und die Governance vereinfachen können.
Aber das ist noch nicht alles. Die Plattform bietet Ihnen alles, was Sie zur Verwaltung Ihrer Daten benötigen, einschließlich Erkennung und Klassifizierung, Zugriff und Sicherheit und mehr.
Möchten Sie erfahren, wie BigID Ihren Geschäftsdaten helfen kann? Planen Sie noch heute eine Demo.
Autor
