Wie der Aufbau eines proaktiven Datenverwaltungsprogramms den bevorstehenden Datenschutzbestimmungen gerecht werden kann
Daten sind mächtig. Unternehmen nutzen sie, um bessere Geschäftsentscheidungen zu treffen, Abläufe zu optimieren und die Gesamtbetriebskosten zu senken. Viele der heutigen Fortune 1000-Unternehmen haben ihr Geschäft transformiert, indem sie eine digitale Transformation eingeleitet haben, bei der Daten zu ihrem wertvollsten Kapital wurden.
Natürlich müssen wertvolle Dinge geschützt werden. Daten können Veränderungen mit sich bringen, da sie oft sensible Informationen enthalten, die den betroffenen Personen Schaden zufügen können.
Datenschutzbeauftragte (CPOs) sehen sich neuen regulatorischen Anforderungen zum Schutz und zur Berichterstattung sensibler Daten gegenüber. Dies erfordert von Unternehmen dringend eine bessere Verwaltung ihrer Datenbestände. Bisher unregulierte Organisationen verbessern ihre Data-Governance-Programme, um diesem Bedarf gerecht zu werden. Im Rahmen dieser Bemühungen ist eine effizientere Zusammenarbeit von CPOs und CDOs bei der Verwaltung, dem Schutz und der Berichterstattung der Daten ihrer Organisationen erforderlich.
Der Weckruf der DSGVO und des CCPA
Mit der kürzlichen Verabschiedung der Datenschutz-Grundverordnung (DSGVO) und des California Consumer Privacy Act (CCPA) gehen die US-Datenschutzbestimmungen über die bereits zuvor regulierten Bereiche Finanzen, Gesundheit und Kinderdaten hinaus und legen fest, dass jede Organisation, die „personenbezogene Daten“ oder „persönliche Informationen“ (PI) verarbeitet, bei ihren Datenschutzpraktiken neue Compliance-Standards einhalten muss – andernfalls drohen hohe Geldstrafen.
Da der Datenschutz im Fokus steht und sich die Vorschriften weltweit weiterentwickeln (zum Zeitpunkt der Veröffentlichung dieses Artikels prüfen 61 Länder Datenschutzbestimmungen), gehen datenorientierte Unternehmen strategischer und vorausschauender an ihre Datenverwaltung heran. Unternehmen können es sich nicht mehr leisten, jede neue Datenschutzbestimmung als eigenständiges Projekt zu behandeln oder stundenlang Daten manuell für individuelle Berichte zu sammeln und zu aggregieren. Sie benötigen die richtigen Lösungen, um ihre Datenbestände im großen Maßstab zu operationalisieren und zu automatisieren.
Den blinden Fleck der Datenverwaltung aufdecken
Hier kommt Data Governance und die Rolle des Chief Data Officer (CDO) ins Spiel. Data Governance ist das Management der Qualität und Integrität von Daten im gesamten Unternehmen. Sie stellt sicher, dass die Daten Konsens und Wahrheit aufweisen und dass ihre Genauigkeit und Vollständigkeit für alle Funktionen im Unternehmen zuverlässig gewährleistet ist.
Der CDO ist für die Durchführung der notwendigen Aktivitäten zur Datenverwaltung sowie für die Gestaltung der Datenrichtlinien und Datenfreigabevereinbarungen verantwortlich. Für jedes Unternehmen, das Kunden-, Mitarbeiter- oder unternehmensrelevante Daten sammelt und verarbeitet und deren Genauigkeit, Vollständigkeit und Wahrhaftigkeit sicherstellen möchte, kann der CDO der beste Partner des CPO sein. Und in nahezu jedem Unternehmen wächst der Bedarf an der Zusammenarbeit, um die Einhaltung der Compliance-Vorgaben sicherzustellen.
Unternehmen (insbesondere solche außerhalb bisher regulierter Branchen wie Gesundheit und Finanzen) weisen derzeit möglicherweise Lücken in ihren bestehenden Datenmanagementprogrammen auf. Entweder fehlt es ihnen an historischem Wissen und Dokumentation über den gesamten Umfang ihrer Datenbestände, oder die Daten sind über eine vielfältige Technologielandschaft verteilt. Zudem kann die enorme Menge an täglich generierten Metadaten die effiziente Bearbeitung von Anfragen (einschließlich Auskunftsanfragen betroffener Personen) erschweren – und diese Probleme lassen sich nur durch eine verbesserte Datenverwaltung beheben.
Die Regierungsführung hat ihren großen Auftritt
Ordnungsgemäß verwaltete und kontrollierte Daten können alle Geschäftsfunktionen des Unternehmens unterstützen, einschließlich des Datenschutzmanagements.
Datenschutzbestimmungen mögen zwar der Auslöser sein, doch eine Lösung zur Einhaltung der DSGVO liegt offenbar im verantwortungsvollen Umgang mit Daten. Für viele Unternehmen, die bisher kein nachhaltiges Datenprogramm aufgebaut haben, steht Data Governance derzeit im Fokus. Dies ist den Fördermitteln für die DSGVO-Compliance und der grundlegenden Formalisierung der Datenverarbeitung zu verdanken, die die Verordnung im Wesentlichen fordert.
Die juristische Sprache dieser Vorschriften erfasst nicht das vollständige und ganzheitliche Bild der Verwaltung der Datenbestände einer gesamten Organisation. Beispielsweise ist die Datenermittlung personenbezogener Daten gemäß CCPA nur ein kleiner Teil der Datenverwaltungsaktivitäten. Daten, die in der Nähe personenbezogener Daten gefunden werden (sogenannte Proximity-Daten), erweitern den Datentyp, der katalogisiert und kategorisiert werden muss, um ihre Verfügbarkeit, Nutzung und ihren Kontext weiter zu dokumentieren.
Zu den Näherungsdaten können beispielsweise die IP-Adresse einer Person, zugehörige Gesundheitsdaten und sogar Cookie-Einstellungen gehören. Da diese erweiterten Datensätze auch in das CCPA-spezifische Governance-Programm einbezogen werden müssen, besteht ein proaktiver Ansatz darin, ein flexibles und umfassendes Datenprogramm zu entwickeln, das proaktiv auf verschiedene datenschutzbezogene Berichtspflichten vorbereitet.
Insgesamt müssen Unternehmen ihre begrenzten Ressourcen optimal nutzen, um eine Vielzahl von Anforderungen zu erfüllen. Dies erfordert den Aufbau eines ausgereiften Frameworks mit wiederholbaren und effizienten Prozessen, um schnell auf neue – und manchmal widersprüchliche – regulatorische Anforderungen reagieren zu können.
Wenn Datenschutz und Governance zusammenarbeiten
Es gibt mehrere Methoden, mit denen Datenschutz- und Datenbeauftragte tragfähige Programme zur Reaktion auf drohende regulatorische und datenschutzbezogene Bedrohungen erstellen können.
Definieren und klassifizieren.
Der Schwerpunkt sollte auf dem Aufbau einer Datengrundlage liegen, die durch diskrete Bausteine von Datenelementen dargestellt wird. Zu diesen Attributen gehören unter anderem:
- Definitionen
- Verwendungszweck
- Geschäftsregeln
- Geschäfts- und Datenkontrollen
- Geschäftsprozesse
- Datenqualitätsregeln und -bewertungen
- Risikoauswirkungen
- eine Eigentumsmatrix
Darüber hinaus ist ein Datenkatalog ein Inventar der verfügbaren Daten und der zugehörigen Attribute, einschließlich der Klassifizierung, die die Dateneinstellungen als vertraulich, sensibel, intern usw. beschreibt.
- Für den Data Governance Officer: Hiermit wird festgelegt, wie mit als vertraulich eingestuften Daten hinsichtlich der Zugriffsebene oder auch der Priorisierung von Governance-Projekten umzugehen ist.
- Für die Datenschutzbeauftragter: Dadurch wird das mit der Verarbeitung dieser Daten verbundene Risiko deutlich.
Tagging
Die zweite Methode der Datenverwaltung zur Regulierung des Datenschutzes ist die Aufnahme einer Kategorie in den Datenkatalog.
- Für den Data Governance Officer: Dieses Attribut beschreibt den Verwendungszweck der Daten.
- Für den Datenschutzbeauftragten: Sowohl die DSGVO als auch der CCPA schreiben vor, dass ein Unternehmen den Zweck der Verwendung dieser Daten beschreiben muss.
Identifizieren Sie die Datenherkunft.
Die dritte Methode, die Governance und Datenschutz miteinander in Einklang bringt, ist die Dokumentation des Datenflusses von Upstream zu Downstream.
- Für den Data Governance Officer: Die Datenherkunft dokumentiert und veranschaulicht den vollständigen End-to-End-Verlauf eines Datenelements, beginnend bei der „maßgeblichen“ Quelle, die die Daten erstellt hat, bis hin zu nachgelagerten Quellen und Anwendungen, die sie speichern, anzeigen oder beides.
- Für den Datenschutzbeauftragten: Dadurch werden die ursprüngliche Datenquelle oder der Ursprungsort der Datenerfassung sowie ihr Lebenszyklus im gesamten Unternehmen offengelegt.
Vollständige Compliance, echte Einblicke
Jedes Unternehmen, das Daten verarbeitet, muss dies verantwortungsvoll tun und die Daten seiner Kunden und Mitarbeiter an erste Stelle setzen. Datenschutz und Governance bilden eine wichtige Schnittstelle, an der dies möglich ist – und bieten unzählige Möglichkeiten zur Einhaltung gesetzlicher Vorschriften. Datenschutz kann zwar der finanzielle und regulatorische Anstoß für die Entscheidung eines Unternehmens sein, seine Datenbestände besser zu bewerten, doch ein solides Data-Governance-Programm kann die Grundlage für die Verwaltung und den Schutz dieser Datenbestände bilden.
Daher ist es entscheidend, dass CDOs und CPOs effektiv und regelmäßig zusammenarbeiten, um neue interne Prozesse und Verfahren zu entwickeln, die Daten effizient verwalten, schützen und auswerten. Unternehmen können Technologiesoftware implementieren, um strukturierte und unstrukturierte Daten abzubilden, alle Datenbestände zu operationalisieren und zu automatisieren, Datenduplizierung zu vermeiden, die Untersuchung von Datenschutzverletzungen zu verwalten und die erforderlichen Berichtsaktivitäten zu unterstützen.
Durch einen Bottom-up-Ansatz für Daten können CPO und CDO gemeinsam einen vertretbaren Datenschutzrahmen schaffen, der nicht nur die vollständige Einhaltung der Geschäftsvorschriften sicherstellt, sondern auch einen Mehrwert bietet, indem aus den Daten echte Erkenntnisse gewonnen werden.
Autor
