Die DSGVO stellt Verantwortliche vor zahlreiche Herausforderungen für ihre analytischen Systeme. Unternehmen müssen klären, was personenbezogene Daten sind, was 'privacybydesign' und 'privacybydefault' sowie Pseudonymisierung und Anonymisierung bedeuten und wie die geforderte Datenqualität realisierbar ist. [...]
Die DSGVO beeinflusst Data Science und Data Warehousing in der Praxis in folgenden Bereichen: Erstens setzt die DSGVO der Verarbeitung personenbezogener Daten und der Erstellung von Verbraucherprofilen engere Grenzen. Zweitens müssen Unternehmen, die Technologien für die automatisierte Entscheidungsfindung einsetzen, den Verbrauchern ein „Recht auf eine Erklärung“ zugestehen. Drittens macht die DSGVO Unternehmen für Verzerrungen und Diskriminierungen bei automatisierten Entscheidungen verantwortlich. Viertens müssen Unternehmen beachten, dass auch bestehende Analysen mit personenbezogenen Daten mit Inkrafttreten der DSGVO illegal werden könnten.
Lösungsansätze mit offenen Technologien
Aufgrund ihrer offenen Architektur und Schnittstellen sind Open Source-Technologien dafür prädestiniert, transparente und nachvollziehbare Datenprozesse im Unternehmen zu unterstützen. Im Folgenden wird eine beispielhafte Lösung für die Umsetzung der DSGVO-Vorgaben mit offenen Lösungen beschrieben.
Die Datenbank Cloudera beinhaltet ein Metadaten Repository, das es ermöglicht, zu jeder Tabelle/Datei oder Verzeichnis Metadaten in Form von zusätzlichen Tags (z.B. „WICHTIG“) zu speichern. Diese Tags können anschließend gesucht und in der Data Lineage dargestellt werden.Wenn die zutreffenden Daten im Cloudera Navigator durch Metadaten „markiert“ wurden, sind alle „Orte“ bekannt, in denen sich DSGVO-relevante Daten befinden und wie sie weiterverarbeitet werden.Das Erstellen dieser Metadaten-Tags für die Daten sowie das Übermitteln an den Cloudera Navigator wird von der Open Source-BI-Plattform Pentaho übernommen.
Anonymisierung und Pseudonymisierung
Damit Analytiker standardmäßig nicht auf personenbezogene Daten zugreifen können, sollte eine robuste Anonymisierung implementiert werden.Anschließend sollte ein Ausnahmeprozess, der den Zugriff auf personenbezogene Daten in Ausnahmefällen unter angemessener Sicherheit zulässt, eingeführt werden. Zudem könnten die Analysen mit pseudonymisierten Daten durchgeführt werden.
Recht auf Vergessen
Stellt ein Kunde z.B. eine Anfrage für das Löschen seiner personenbezogenen Daten, ist es wichtig, zunächst einmal zu ermitteln, wo diese überhaupt gespeichert sind. Dies geschieht durch das Suchen des Metadata Tags im Navigator und anhand der Data Lineage und anschließender Übergabe an einen entsprechend entwickelten Pentaho ETL Job, der die Daten aus allen relevanten Verarbeitungsstufen löscht.
ETL im Data Lake
Daten werden im Data Lake normalerweise in verschiedenen Formen weiterverarbeitet. Hierbei ist es wichtig, die Metadata Tags weiter zu pflegen. Entfallen personenbezogene Daten, so kann das GDPR Tag wieder entfernt werden.
DSGVO Reporting
Unternehmen müssen allen Stakeholdern (Mitarbeitern, Tochterunternehmen, Kunden und Prüfern) Informationen zum Compliance-Status und Fortschrittsberichte liefern. Prüfern und Zertifizierungsstellen muss eine gesetzeskonforme Verarbeitung nachgewiesen werden und den Offenlegungspflichten gegenüber Betroffenen ist nachzukommen.All diese Informationen sind zeitnah und übersichtlich bereitzustellen. Die Kombination des Cloudera Navigators mit Pentaho hilft dabei, die Reporting-Anforderungen zu erfüllen.
Disclaimer
Die in diesem Artikel enthaltenen Informationen sind nicht als Rechtsberatung zu verstehen und sollten auch nicht als solche ausgelegt werden. Unternehmen, die der DSGVO unterliegen, dürfen sich nicht auf die hierin enthaltenen Informationen verlassen und sollten Rechtsberatung von ihrem eigenen Rechtsbeistand oder einem anderen professionellen Rechtsdienstleister einholen.
Be the first to comment