Grundlagen zum Data Mapping in den Zeiten der DSGVO <br>

Grundlagen zum Data Mapping in den Zeiten der DSGVO

Aufgrund des aktuell immer anspruchsvolleren Datenmanagements ist für das Navigieren in DSGVO-Daten die Implementierung zunehmend komplexer Mapping-Funktionalität notwendig.

11.06.2018, Autor: Otto Neuer

Viele Unternehmen haben sich in den letzten Wochen und Monaten auf das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) vorbereitet. Dabei bestand der erste Schritt für viele darin, sich einen Überblick über die gesamte Informationskette zu verschaffen. Dies ist der erste Pfeiler der Best Practices für das Datenmanagement, den Unternehmen zur Vorbereitung auf die neuen Vorschriften umsetzen müssen. Damit die Vorbereitung so gut wie möglich ist, müssen Firmen wissen, wo sich datenschutzrechtlichen und relevanten Daten gegenwärtig befinden. Zudem müssen sie wissen, woher sie kommen, wohin sie gehen, wie sie verarbeitet werden und wer sie am Ende nutzt. Aufgrund des aktuell immer anspruchsvolleren Datenmanagements ist für das Navigieren in diesen Daten die Implementierung zunehmend komplexer Mapping-Funktionalitäten notwendig.

Vor der Digitalisierung hatten sehr viele Unternehmen schlicht keinen Bedarf an einem dynamischen Data Mapping. Eine grobe Übersicht über die eigene Datenlandschaft in Papierform war in der Regel ausreichend. Dies ändert sich jedoch gerade aufgrund der explosionsartigen Zunahme der Datenmengen, und diese Veränderung wird noch an Fahrt gewinnen, seit die DSGVO in Kraft ist. Spätestens jetzt brauchen alle Unternehmen eine wesentlich genauere Sicht ihrer Daten. Diese wird sich dann auch nicht allein auf Angaben dazu beschränken, wo diese Daten abgelegt sind, sondern den Gesamtkontext umfassen – eine dynamische Echtzeitansicht zu den Speicherorten aller Daten. Die Unternehmen müssen dann die für die Rechte der betroffenen Benutzer erforderliche Transparenz schaffen – beispielsweise das Recht auf „Vergessenwerden“, Rechte zur Schaffung von Zugangsmöglichkeiten im erforderlichen Maß und Rechte auf Korrektur fehlerhafter Daten.

"Aufgrund der explosionsartigen Zunahme der Datenmengen und der DSGVO gibt es einen größeren Bedarf an einem dynamischen Data Mapping."

Die Klippen umschiffen: Gründliches Data Management

Die bisherigen Ausführungen erklären die Notwendigkeit von Metadatenmanagement. Aber welche Rolle spielt das Konzept des gründlichen Data Management heute? Auch hier finden wir ein wiederkehrendes Thema: Das Knüpfen von Verbindungen zwischen separaten Datenbeständen ist der Schlüssel zum Data Management im Sinne der DSGVO.

Zu den größten Auswirkungen der Verordnung gehört die Tatsache, dass die Unternehmen in Zukunft eine ganzheitlichere Sicht der von Ihnen gespeicherten personenbezogenen Daten wie auch der Verwaltung dieser Daten annehmen müssen. In der Vergangenheit haben Firmen Daten je nach Schutzbedarf verwaltet und schließlich Benutzerzustimmungen (Opt-ins) eingeholt, aber all das geschah in einem bestimmten Kontext und war auf eine Abteilung beschränkt. Wenn die Mitarbeiter im Marketing für die Verwaltung einer Kundenliste zuständig waren, die möglicherweise personenbezogene Daten enthielt, dann hätten sie die Behörden vor Ort unter Umständen darüber informieren müssen. Ebenso war die Personalabteilung – und nur sie – für den Schutz der Mitarbeiterdaten verantwortlich.

Das alles ist heute anders. Seit die DSGVO in Kraft getreten ist, brauchen Unternehmen eine umfassende Sicht der von Ihnen verwalteten personenbezogenen Daten. Ein Unternehmen kann mit ein und derselben Person nämlich in vielen verschiedenen Kontexten in Berührung kommen. Hat diese Person von dem Unternehmen Produkte oder Dienstleistungen bezogen, dann kennt man sie dort als Kunden, und Informationen über sie werden im CRM-System gespeichert sein. Sollte sie jedoch gleichzeitig auch eine Tätigkeit für das Unternehmen ausüben, dann sind Angaben über sie im Gehaltssystem abgelegt. Bezieht die Person Leistungen im Abonnement, dann sind entsprechende Daten beim Support hinterlegt, und wenn sie digitale Produkte oder Services nutzt – beispielsweise vernetzte Objekte im Internet of Things –, dann wird sowieso alles, was sie tut, irgendwo nachverfolgt.

Dies wirft ein Schlaglicht auf eine umfassendere Sicht der Daten, die sich die Unternehmen aneignen müssen, um der DSGVO Genüge zu tun. Der Schwerpunkt kann jetzt nicht mehr allein eine einzige Abteilung wie das Marketing sein, in der Daten mit Blick auf die eigenen Anforderungen verwaltet werden. Stattdessen muss es darum gehen, alle personenbezogenen Daten zu verwalten, die sich im gesamten Unternehmen konsistent auf einen ganz bestimmten Kunden oder Mitarbeiter beziehen. Das ist sicherlich ein komplexes Unterfangen. Wie können die Unternehmen es am besten in Angriff nehmen?

So erhalten Unternehmen eine ganzheitliche Sicht ihrer Daten

Die erste Phase dieses Prozesses ist die vollständige Segmentierung der Daten – die so genannte Datentaxonomie. Hierbei sollte der Schwerpunkt auf der Erstellung eines groben Überblicks über die personenbezogenen Daten liegen, die verwaltet werden müssen. Im Falle der DSGVO sind dies wahrscheinlich Daten, die sich teils auf Kunden, teils auf Mitarbeiter beziehen. Werden letztere aufgeschlüsselt, dann verfügen Firmen über Angaben etwa zu Leistungsstand, Vergütung und Zusatzleistungen, womöglich aber auch Gesundheitsdaten oder Informationen zum Familienstand. Zur Durchführung dieser Aufgabe im Rahmen eines Unternehmensglossars sind hochwertige geschäftliche Tools erforderlich.

Die nächste Phase besteht für das Unternehmen darin, die Zuständigkeit für die verschiedenen Datenbereiche zu vergeben. Dabei muss beispielsweise entschieden werden, wer sich um die Gesundheitsdaten von Mitarbeitern kümmert oder ihren Leistungsstand im Auge behält. Parallel dazu können Firmen damit beginnen, die Grundlagen ihrer Vorgehensweise zur Entwicklung einer Datenrichtlinie zu skizzieren, wozu normalerweise auch die Formulierung einer Datenaufbewahrungsstrategie gehört: Wie lange müssen bestimmte Datentypen gespeichert werden, bevor sie archiviert oder gelöscht werden können?

Zudem müssen Unternehmen nun auch damit beginnen, die Daten noch stärker aufzuschlüsseln. Wenn sie etwa vorzugsweise mit Identitätsdaten zu tun haben, dann müssen alle kritischen Datenelemente ermittelt und verarbeitet werden. Zu diesem Datentyp gehören beispielsweise Personalausweisnummern, Geburtsdaten, Geschlecht, Anzahl der Kinder und der Familienstand. Nach Abschluss dieses Vorgangs sollte Unternehmen klar sein, welche Datenbestände es in diesem Kontext kontrollieren muss. Nicht unbedingt wissen muss es dagegen, wo all diese Daten abgelegt sind, aber es muss klar sein, welche Informationen verwaltet werden müssen und welche Daten zu prüfen sind, wenn ein Kunde die Korrektur oder Löschung von Daten beantragt. Zudem kann das Unternehmen Technologien implementieren, um Verbindungen mit den Datenbeständen herzustellen, ihre Qualität zu pflegen und sicherzustellen, dass sie korrekt und aktuell sind.

Die richtigen Verbindungen herstellen – Stitching

Hinsichtlich der Einbindung von Daten müssen die Unternehmen eine spezielle Technik für das Metadatenmanagement – das so genannte „Stitching“ implementieren. Hierbei wird eine Verknüpfung des jeweiligen Datenelements mit dem physischen System vorgenommen, auf dem es verwaltet wird. Betrachtet ein Unternehmen konkret personenbezogene Daten, dann sollte das System der Personalabteilung, möglicherweise auch das Gehaltssystem unter die Lupe genommen werden. Zudem muss auch festgestellt werden, ob Identitätsdaten vielleicht auch bei der Personalbeschaffung abgelegt sind, denn jeder Mitarbeiter war schließlich auch mal ein Bewerber. Nicht vergessen werden darf auch das System für Reisekosten- und Spesenverwaltung, in dem ebenfalls sensible Daten wie beispielsweise Kreditkartennummern abgelegt sein können.

Um Compliance zu gewährleisten, müssen die Unternehmen den Stitching-Prozess durchführen. Sie müssen also eine physische Verbindung zu den von ihnen verwalteten Daten herstellen. Gegenwärtig erscheinen mehrere neue Tools auf dem Markt, die eine halbautomatische Durchführung dieses Vorgangs ermöglichen.  So können Anwender mit diesen Tools entweder – sofern der Attributname identisch ist – ein direktes Mapping der Datei vornehmen oder die Verbindung durch Erstellung von Entsprechungen herstellen. Sie helfen dabei, die logischen abstrakten Daten mit den physischen Daten zu verknüpfen. Das bedeutet auch, dass sobald ein Bewerber tatsächlich eingestellt wurde, ein Datenintegrationsprojekt durchgeführt werden kann, welches die Bewerberdaten aus dem Personalbeschaffungssystem in das Personalverwaltungssystem überführt. So lässt sich effektiv ein Datenstammbaum erstellen, der Daten unterschiedlicher Herkunft in einen Kontext setzt.

"Alle kritischen Datenelemente werden ermittelt und verarbeitet."

Das Fundament ist da

Unternehmen, die diesen Punkt erreichen, haben den größten Teil des Wegs zum konformen Metadatenmanagement bereits hinter sich gebracht. Alle Datenelemente wurden verschieden definiert und mit allen Systemen verknüpft, die diese Daten nutzen. Außerdem wurden die Abhängigkeiten und Beziehungen zwischen allen Systemen identifiziert. Durch dieses solide Fundament werden alle nachfolgenden Korrekturen am Mapping wesentlich vereinfacht. Wenn also ein Unternehmen das Format seiner Daten auf irgendeine Weise ändern muss – beispielsweise eine Umstellung von vierstelligen auf zweistellige Jahreszahlen – dann ist das nun wesentlich einfacher zu bewerkstelligen. Viele Fragen lassen sich jetzt unkompliziert beantworten: Wo liegen diese Daten eigentlich anfangs? Sollen sie im Personalverwaltungssystem umstellt werden und welche Auswirkungen hätte das an anderer Stelle? Muss der Datenintegrationsauftrag geändert werden, der die Angabe aus den Personalbeschaffungsdaten abruft oder können diese vierstelligen Jahreszahlen an die Personalverwaltungsanwendung weiter gereicht werden?

Diese Prinzipien gelten auch für die Datenmaskierung. Mithilfe von Mapping- und Datenintegrationsfunktionen kann das Unternehmen Richtlinien auf Daten anwenden. So lässt sich beispielsweise das exakte Geburtsdatum einer Person innerhalb des Systems verschleiern. Um eine Trennung zwischen jüngeren und älteren Bewerbern im Personalbeschaffungssystem zu unterbinden, ließe sich die Angabe des Geburtsdatums vollständig maskieren.

Oft wurde schon beobachtet, dass erfolgreiches Metadatenmanagement mit einer dynamischen Sicht der Daten steht und fällt. Beim Metadatenmanagement geht es nicht nur um das Mapping und die Visualisierung von Daten, sondern auch darum zu wissen, welche Maßnahmen im Problemfall zu ergreifen sind und wie diese bei Bedarf gesteuert werden. Sobald es zu Veränderungen kommt oder eine neue Regelung in Kraft tritt, sollte das für das Metadatenmanagement verwendete Tool das Unternehmen bei der Implementierung erforderlicher Maßnahmen begleiten.


Eine Technologie, deren Zeit gekommen ist

In der Vergangenheit war der Markt für das Metadatenmanagement trotz des rasanten Wachstums bei den Datenvolumina und den sich hieraus ergebenden Auswirkungen auf zahlreiche Industriebereiche weitgehend auf stark reglementierte Branchen wie den Banken- oder den Finanzdienstleistungssektor beschränkt. Aufgrund der DSGVO und der mit ihr einhergehenden Anforderungen für Unternehmen aller Art und Größe ist das Metadatenmanagement auf der Prioritätenliste aller Firmen sehr weit nach oben gerutscht. Was das bedeutet, unterscheidet sich von Unternehmen zu Unternehmen. Einige Firmen werden ihre Datenbestände mithilfe vorhandener Software dokumentieren und ihre Systeme dann nach und nach weiterentwickeln, indem sie den Schwerpunkt darauf legen, ihre Daten korrekt und aktuell zu halten. Allerdings werden sich im Laufe der Zeit, wenn die Bedeutung des hier beschriebenen Ansatzes immer offensichtlicher wird, mehr und mehr Unternehmen für die Implementierung eines echten Metadatenmanagements entscheiden – und damit für ein wachsendes Portfolio mit Technologien, die speziell hierfür entwickelt wurden.

"Durch dieses solide Fundament werden alle nachfolgenden Korrekturen am Mapping wesentlich vereinfacht."

Otto Neuer ist Vice President Sales Central Europe bei Talend.
Kontakt: Tel: +49 89 944 0275 0, sales.de@talend.com


Über Talend

Talend, führender Anbieter von Lösungen für die Cloud-Integration, befreit Daten aus traditionellen Infrastrukturen und hilft Kunden dabei, mit den richtigen Daten die Geschäftsentwicklung schneller voranzutreiben. Über 1.500 globale Kunden vertrauen auf Talend und lassen ihre Daten für sich arbeiten, wie zum Beispiel GE, HP und Domino’s. Talend ist unter führenden Marktanalysten und in Publikationen wie Forbes, InfoWorld und SD Times als Branchenführer anerkannt.

Homepage