Mit dem Aufbau eines Data Warehouse (DWH) müssen auch die Anforderungen der Datenschutz-Grundverordnung (DSGVO) berücksichtigt werden. Die größten Veränderungen, die die Datenschutz-Grundverordnung mit sich gebracht hat, betrifft die sogenannten Betroffenenrechte. Diese stellen unterschiedliche Anforderungen an das Data Warehouse und zeigen gleichzeitig verschiedene Handlungsfelder auf.
- Auskunftsrecht: Nutzer haben das Recht auf Auskunft über ihre verarbeiteten, personenbezogenen Daten
- Recht auf Berichtigung: Betroffene haben das Recht, die Berichtigung der personenbezogenen Daten zu verlangen
- Recht auf Löschung: Auch genannt Recht auf Vergessenwerden. Betroffene haben das Recht darauf, dass personenbezogenen Daten gelöscht werden
- Informationspflicht: Betroffene Nutzer müssen über jegliche Erhebung und Verarbeitungen transparent informiert werden
- Recht auf Datenportierung: Betroffene haben das Recht, die personenbezogenen Daten auf andere Verantwortliche übertragen zu lassen
- Recht auf Widerspruch: Betroffene können Widerspruch gegen die Verarbeitung der personenbezogenen Daten einlegen
Bausteine für den Datenschutz in BI und DWH
In vielen Prozessen im DWH spielen personenbezogene Daten eine tragende Rolle. Grund dafür sind datengetriebene Prozesse und Datenkategorien. Um den gesetzlichen Normen zu genügen und Bußgelder zu vermeiden sind für das MISS folgende Architekturbausteine nützlich, um das DWH datenschutzkonform zu gestalten.
Consent-Management-Plattform:
Das Consent-Management ist bereits bei der Erhebung der Daten unverzichtbar. Durch diese Plattform ist es möglich, die Einwilligungen von Nutzern zu speichern und zu dokumentieren, um diese anschließend in unterschiedliche Datenkategorien im Data Warehouse zuzuordnen. Die Nutzung von Einwilligungen ermöglicht zum einen die DSGVO-konforme Durchführung von personenbezogenen Datenverarbeitungsprozessen, zum anderen wird die Verarbeitung von Daten ohne bzw. ohne aktuelle Einwilligung verhindert.
Pseudonymisierungs-Engine:
Grundsätzlich entbindet eine Pseudonymisierung zwar nicht vom Datenschutz per se, jedoch stellt sie ein bewährtes Mittel dar, um kritische Prozesse, z.B. ganzheitliche Datenanalysen, geschützt durchzuführen. Dabei sind eine starke Sicherung des Pseudonymisierungs-Schlüssels und die konsequente Anwendung über alle Daten-Prozesse innerhalb des Data Warehouse nötig.
Anonymisierungs-/Lösch-Engine:
Aufgrund der Anforderungen der DSGVO darf ein Lösch-Engine in der Data-Warehouse-Architektur nicht fehlen. Dabei ist eine Anonymisierung einer Löschung gleichzusetzten. Wegen gravierender und im schlimmsten Fall irreversibler Folgen für die Reporting- bzw. Analyseabteilung sollte eine Anonymisierung einer Löschung vorgezogen werden. Um zeitaufwendige manuelle Prozesse zu vermeiden, können durch geeignete und gesetzeskonforme Konzepte sämtliche wichtigen personenbezogenen Daten identifiziert, lokalisiert und automatisch anonymisiert werden.
Auskunfts-Engine/-reports:
Um personenbezogene Daten vollständig, automatisiert und schnell zu lokalisieren und Reports zu generieren, ist ein Auskunfts-Engine nötig. Personenbezogene Daten sind oftmals über das gesamte Data Warehouse verteilt, weshalb manuelle Aktionen, auch wegen der Rechtssicherheit, vermieden werden sollten. Eine strukturierte Kategorisierung der Daten durch ein Metadaten-Management ist eine gute Basis für ein Auskunfts-Engine.
Verzeichnis der Verarbeitungstätigkeiten:
Dieses Verzeichnis dokumentiert sämtliche Verarbeitungen der personenbezogenen Daten. Um der Dokumentations- und Informationspflicht gesetzeskonform nachzukommen, ist ein aktuelles und dynamisches Verfahrens-Verzeichnis vonnöten. Beachten muss man hierbei die Vollständigkeit der Verarbeitungsbeschreibungen (Artikel 30 DSGVO). Verzeichnisse der Verarbeitungstätigkeiten müssen in die Datenschutzprozesse und in das Corporate-Verfahrensverzeichnis integriert werden. Dabei kann die Verknüpfung des Verzeichnisses mit Freigabeprozessen verknüpft werden. Sind entsprechende genehmigte Verfahren im Verzeichnis vorhanden, können so Verarbeitungen automatisch freigegeben werden.
Metadaten-Management/Data Lineage:
Ohne einer Erfassung der Informationen über die Daten und datenverarbeitenden Prozesse sind die beschriebenen Anforderungen und Lösungen für ein datenschutzkonformes Data Warehouse nicht umsetzbar. Die Entwicklung eines Daten-Katalogs zur Darstellung der Data Lineage und der datenverarbeitenden Prozesse benötigt die Etablierung eines Metadaten-Managements. Um dieses nachhaltig zu steuern ist eine Data Governance nötig.
Fazit für den Datenschutz in BI und DWH:
Sämtliche vorgestellten Bausteine sind Teil eines Lösungskonzeptes, um ein DWH entsprechend der Vorgabe der Datenschutzgrundverordnung zu betreiben. Nutzt man dabei die richtigen Architektur und setzt die genannten Bausteine um, handelt das Unternehmen nicht nur DSGVO-konform, sondern hat gleichzeitig die Chance, Kosten zu minimieren und den maximalen Nutzen aus den vorhandenen Daten zu ziehen.
ANIGMA ist Ihr Experte auf dem Gebiet BI
Business Intelligence ist für Unternehmen ein wichtiges Instrument geworden, um alle anfallenden Daten und Informationen richtig zu verarbeiten und auszuwerten. Um mehr über die Leistungen von ANIGMA, Ihren Experten für Business Intelligence und Information Excellence zu erfahren, rufen Sie uns an: 0911 80092930 oder schicken Sie uns eine E-Mail.
Wir freuen uns auf Ihre Nachricht!