Zum Hauptinhalt springen

Datenschutz im DWH

Mehr als ein Jahr nach der Einführung der Datenschutz-Grundverordnung (DSGVO) fällt es vielen Unternehmen noch immer schwer, die Themen Data Warehouse (DWH) und Datenschutz unter einen Hut zu bringen. Die in den Unternehmen vorherrschende kundenzentrierte Datenmodellierung ist hierbei eine besondere Herausforderung. Sie führt bei vielen Anforderungen der DSGVO zu großen Problemen in nahezu allen datengetriebenen Prozessen. Doch warum ist es so schwer, die beiden Themen miteinander zu vereinen?

Betroffenenrechte – Anforderungen an das DWH

Die größten Veränderungen, die die Datenschutz-Grundverordnung mit sich bringt, entstehen durch die sogenannten Betroffenenrechte. Diese stellen unterschiedliche Anforderungen an das Data Warehouse und werfen einige neue Handlungsfelder auf. Folgender Überblick zeigt die Key Facts der wichtigsten Betroffenenrechte nach DSGVO auf:

  • Auskunftsrecht: Betroffene haben das Recht auf Auskunft über die verarbeiteten personenbezogenen Daten
  • Recht auf Berichtigung: Betroffene haben das Recht, die Berichtigung der personenbezogenen Daten zu verlangen
  • Recht auf Löschung (Recht auf Vergessenwerden): Betroffene haben das Recht auf Löschung der personenbezogenen Daten
  • Informationspflicht: Der Verantwortliche ist verpflichtet, den Betroffenen über jegliche Erhebung und Verarbeitungen transparent zu informieren
  • Recht auf Datenportierung: Betroffene haben das Recht, die personenbezogenen Daten zu anderen Verantwortlichen übertragen zu lassen
  • Recht auf Widerspruch: Betroffene haben das Recht auf Widerspruch gegen die Verarbeitung der personenbezogenen Daten

Da in fast allen Prozessen im DWH personenbezogene Daten eine tragende Rolle spielen, ist zu erkennen, wie viele datengetriebene Prozesse und Datenkategorien von den genannten Aspekten betroffen sind. Um den gesetzlichen Normen zu genügen und den hohen Bußgeldern zuvorzukommen, die gerade durch die starke Außenwirkung der Betroffenenrechte ein großes Risiko bergen, haben wir sechs DWH-Architekturbausteine identifiziert, die Ihnen den Weg zum datenschutzkonformen DWH erleichtern sollen.
 

Architekturbausteine für ein datenschutzkonformes Data Warehouse

Consent Management Platform: Bereits bei der Erhebung der Daten ist das gesetzeskonforme Consent Management unverzichtbar. Mithilfe einer Consent Management Platform ist es möglich, die Einwilligungen des Kunden zu dokumentieren, nachzuhalten und den unterschiedlichen Datenkategorien im DWH zuzuordnen. Die Nutzung von Einwilligungen ermöglicht somit die DSGVO-konforme Durchführung von sonst kritischen personenbezogenen Datenverarbeitungsprozessen. Mit der Integration des Consent Managements in den Datenhaushalt des DWHs schützen Sie sich außerdem vor der Verarbeitung von Daten, deren Einwilligungen entzogen wurden oder nicht mehr aktuell sind.

Pseudonymisierungsengine: Bei der Verarbeitung personenbezogener Daten ist eine Pseudonymisierung ein probates Mittel, um kritische Verarbeitungen mit einem gewissen Schutzniveau durchzuführen. Wichtig ist hierbei jedoch, dass die Pseudonymisierung nicht vom Datenschutz entbindet, da eine Reidentifikation jederzeit möglich ist. Die Pseudonymisierung bringt trotzdem Vorteile mit sich und ist gerade im analytischen Bereich des DWH ein häufig genutztes Mittel, um gesamtheitliche Datenanalysen durchzuführen. Eine Pseudonymisierungsengine und deren Integration in die gesamten Datenbewirtschaftungsprozesse kann hier behilflich sein. Jedoch sind die starke Absicherung des Pseudonymisierungsschlüssels und eine konsequente Anwendung über alle Datenprozesse innerhalb des DWHs dabei ein absolutes Muss.

Anonymisierungs-/Löschengine: Eine Löschengine ist aufgrund der Datenschutzanforderungen in der DWH-Architektur unumgänglich. Grundsätzlich lässt sich festhalten, dass im datenschutzrechtlichen Kontext eine Anonymisierung einer Löschung gleichzusetzen ist. Eine Anonymisierung sollte daher immer der physischen Löschung vorgezogen werden, da die durch die Löschung verursachten Folgen für Reporting- und Analyseabteilungen oft gravierend und irreversibel sind. Gerade in der Konzeption der gesetzeskonformen Löschumsetzung bei möglichst minimalem Informationsverlust liegt die größte Herausforderung. Mithilfe eines geeigneten und juristisch abgesicherten Konzepts können alle relevanten personenbezogenen Daten identifiziert, lokalisiert und automatisiert anonymisiert werden. Zeitaufwendige manuelle Prozesse werden so vermieden.

Auskunftsengine/-reports: Die Auskunftsengine dient zur automatisierten, vollständigen und schnellen Lokalisierung der personenbezogenen Daten und generiert Reports für Auskunftsersuchen. Da die personenbezogenen Daten einzelner Personen oft über das gesamte DWH verteilt sind, sind auch hier die Vermeidung von manuellen Tätigkeiten und die Steigerung der Rechtssicherheit durch die Vollständigkeit der Auskunft große Pluspunkte. Gerade die strukturierte Kategorisierung der Daten durch das Metadaten-Management ist die unverzichtbare Basis für die Auskunftsengine.

Verzeichnis der Verarbeitungstätigkeiten: Das Verzeichnis der Verarbeitungstätigkeiten dokumentiert alle Verarbeitungen mit personenbezogenen Daten. Gerade im DWH-Umfeld ist ein aktuelles und dynamisches Verfahrensverzeichnis unverzichtbar, um der Dokumentations- und Informationspflicht gemäß den gesetzlichen Vorgaben nachzukommen. Wichtig hierbei ist vor allem die Vollständigkeit der Verarbeitungsbeschreibungen nach Artikel 30 DSGVO. Die Integration des Verzeichnisses der Verarbeitungstätigkeiten in die Datenschutzprozesse und in das Corporate-Verfahrensverzeichnis sind Herausforderungen, die gemeistert werden müssen. Besonders nützlich kann hierbei die Verknüpfung des Verzeichnisses mit dem Freigabeprozess der Verarbeitungen sein. Hierbei können Verarbeitungen automatisiert freigegeben werden, wenn entsprechende genehmigte Verfahren im Verzeichnis vorhanden sind. Geeignete Tools (z. B. D-Quantum der Firma Synabi) und ein adäquates Metadaten-Management sind bei diesem Prozess sehr hilfreich.
 

d-quantum-verfahrensverzeichnis

D-Quantum Verfahrensverzeichnis

 

Metadaten-Management/Data Lineage: Die beschriebenen Anforderungen und Lösungen für ein DSGVO-konformes DWH sind ohne die Erfassung von Informationen über die Daten und datenverarbeitenden Prozesse nicht umzusetzen. Die Entwicklung eines Datenkatalogs zur Darstellung der Data Lineage und der datenverarbeitenden Prozesse erfordert die Etablierung eines Metadaten-Managements, für dessen nachhaltige Steuerung eine Data Governance Verantwortung tragen muss. Für mehr Informationen zum Thema Metadaten-Management und Data Governance empfehlen wir Ihnen unser Webinar „DSGVO und D-QUANTUM“ am 28.11.2019.

 

All diese Bausteine sind probate Mittel, um den vermeintlichen Gegensatz zwischen Datenschutz und Data Warehouse aufzubrechen. Bedient man sich der richtigen Architektur und setzt alle genannten Aspekte ordnungsgemäß um, so hilft es einem nicht nur, gesetzeskonform zu handeln, sondern gleichzeitig Kosten zu minimieren und einen maximalen Nutzen aus den vorhandenen Daten zu ziehen. Reporting- und Analyseabteilungen können dann auch weiterhin mit einem hohen Maß an Rechtssicherheit agieren und ein Maximum an Mehrwert generieren.

Falls Sie weitere Fragen zu den Bausteinen haben oder Unterstützung bei deren Umsetzung benötigen,  kontaktieren Sie unsere Experten gerne!