Data Governance schafft Werte Über Datenschutzstrategien, die den Gesetzen voraus sind

Autor / Redakteur: Nathan Turajski* / Elke Witmer-Goßner

Wachsende Datenmengen, zunehmende Datenschutzverletzungen und datenhungrige Anwendungen sind ohne entsprechende Schutzstrategien nicht mehr zu bewältigen. Idealerweise automatisieren diese die Einhaltung von Data Privacy und gewährleisten eine entsprechende Datentransparenz.

Firmen zum Thema

Bei Data Governance geht es nicht nur um Datenschutz und -sicherheit, sondern auch um Risikominierung sowie Qualität der Daten und deren Nutzung.
Bei Data Governance geht es nicht nur um Datenschutz und -sicherheit, sondern auch um Risikominierung sowie Qualität der Daten und deren Nutzung.
(Bild: © Андрей Яланский - stock.adobe.com)

Allerdings haben Unternehmen häufig nicht genügend personelle Ressourcen, um auf Dauer mit dieser Entwicklung Schritt zu halten. Durch die Implementierung eines zuverlässigen Data-Governance-Frameworks können sie jedoch ihre Datenschutzstrategie operationalisieren und skalieren. Damit erhöhen sie die Datenintelligenz und sind in der Lage, Datenrisiken zu reduzieren.

Doch der Mangel an bewährten Data-Governance-Verfahren, um Datenschutzstrategien durchzusetzen, frustriert Unternehmen. So kann nur ein verantwortungsvoller Umgang mit Daten bei gleichzeitigem Schutz und Transparenz eine sichere digitale Transformation einleiten.

Datenschutzgesetze unterliegen ständigem Wandel

Data Privacy ist kein Ziel, sondern ein Weg, um Risiken zu reduzieren. Gleichzeitig soll dieser Weg eine angemessene Datennutzung ermöglichen, die Transparenz erhöhen und dem Unternehmen sowie seinen Kunden das Vertrauen geben, dass personenbezogene Daten verantwortungsvoll genutzt werden. Obwohl sich jede Organisation in einem anderen Reifestadium befindet, gibt es eine Übereinstimmung bei denjenigen, die bereits bewährte Verfahren installiert haben. Nachfolgende fünf Strategien helfen Unternehmen, ihre Datenschutzprogramme zu automatisieren und zu skalieren, um mit der Welt der sich ständig ändernden Datenschutzgesetze Schritt zu halten:

1. Datenschutzgesetze in kodifizierte Unternehmensrichtlinien übersetzen

Es ist kein Zufall, dass viele Chief Privacy Officers einen juristischen Hintergrund haben oder mit juristischen Teams zusammenarbeiten, um Datenschutzbestimmungen in umsetzbare Richtlinien für die sensiblen Daten des Unternehmens zu übersetzen. Die Zeit der Spreadsheets und der statischen Mitarbeiterhandbücher ist vorbei – Datenschutzbestimmungen müssen digitalisiert werden, um elektronische Kontrollen über Systeme und Anwendungen abbilden zu können, in denen Daten gespeichert, analysiert, bearbeitet und verwendet werden.

Datenschutzbeauftragte, die mit Juristen, Chief Data Officers, CISOs und anderen zusammenarbeiten, müssen die Datenverantwortlichkeiten über den Zweck und die Absicht der Datennutzung mit kodifizierten Richtlinien abstimmen, die eine angemessene Nutzung durchsetzen. Dabei betrifft die Einhaltung von Datenschutzbestimmungen wie der DSGVO und CCPA nicht nur Unternehmen, sondern auch Drittparteien, mit denen Daten ausgetauscht werden können. Deren Unternehmensrichtlinien müssen sich an der Art und Weise orientieren, wie personenbezogene Daten gespeichert und weitergegeben, verarbeitet und verwendet sowie geschützt und transparent gemacht werden, um das Vertrauen der Kunden zu erhalten.

2. Gefahrenpotenzial identifizieren und einordnen

Nicht alle Daten sind gleich wertvoll oder identischen Risiken ausgesetzt. Intelligenter Datenschutz ist für eine höhere Effizienz in Unternehmen notwendig. So lässt sich im ersten Schritt feststellen, welche Risiken bestehen, um die Datenschutz-Governance zu operationalisieren. Die Datenermittlung klassifiziert den Datenschutz und ordnet Identitäten zu. So wird die grundlegende Frage beantwortet: „Wer hat Zugriff auf welche Daten und sollten diese durch Datenschutzkontrollen geregelt werden?“

Durch den Aufbau eines Datenkatalogs und die Zuordnung von Identitäten zu einem Data Subject Registry können Unternehmen eine der grundlegenden Anforderungen an die Datentransparenz gemäß DSGVO, CCPA und ähnlichen Gesetzen automatisieren: Denn sie können Zugriffsanfragen, sogenannte Data Subject Access Requests (DSARs), beschleunigen – und damit Kundenanfragen für deren Datenzugriff und -nutzung schnell beantworten.

3. Bewertung der Datenschutzrisiken nach Prioritätsstufe

Es mag ungewöhnlich erscheinen, Investitionen in den Datenschutz als eine Strategie zur Steigerung des Return on Investment (ROI) zu betrachten. Doch Studien haben gezeigt, dass Unternehmen für jeden ausgegebenen Datenschutz-Dollar eine zweifache oder noch höhere Rendite erzielen. Woran liegt das?

Den Grund dafür liefern minimierte Risiken, vermiedene Bußgelder und geschützte Markenreputationen. Darüber hinaus ist eine sichere Datendemokratisierung für Wertschöpfungsinitiativen der Idealzustand für Chief Data Officer und Fachbereichsverantwortliche.

Intelligenter Datenschutz bedeutet, dass metadatenbasierte Intelligenz durch angewandte KI und Machine Learning automatisiert wird, um das Risiko zu bestimmen. Darauf basierend lässt sich eine Rangfolge der wichtigsten Risikominderungsmaßnahmen mit Hilfe von Datenschutzkontrollen erstellen. Moderne Data Privacy Risk Analytics-Anwendungen unterstützen Unternehmen dabei, intelligente Entscheidungen mit Hilfe von Dashboards und Heatmaps zu treffen.

Damit lässt sich herausfinden, wo Unternehmen ihr Geld für Data-Privacy-Governance-Aktivitäten effektiver investieren können, um Pläne für die Implementierung neuer Schutzmaßnahmen zu rechtfertigen und die Transparenz zu erhöhen. Zudem unterstützen sie ihre Führungskräfte und Vorstände bei der Entscheidung hinsichtlich bestimmter Investitionen, um Datenschutzrisiken im Zuge der Entwicklung von Geschäftsstrategien zu verringern.

4. Automatisierten Datenschutz und Transparenz orchestrieren

Mit digitalisierten Datenschutzrichtlinien, der Klassifizierung und Zuordnung von personenbezogenen Daten zu Identitäten sowie der Risikobewertung und -priorisierung sind die Voraussetzungen für die Orchestrierung von Datenschutzkontrollen gegeben, die die Einhaltung der DSGVO, des CCPA und ähnlicher Datenschutzvorschriften ermöglichen.

Der nächste Schritt besteht darin, den Datenschutz anzuwenden und die Transparenz zu erhöhen. Dazu werden Risiken beseitigt oder zumindest auf ein vernünftiges Maß gesenkt. Durch Einblicke in Datenschutzrisiken stellen Unternehmen fest, ob beispielsweise eine Anonymisierung von Daten mit Lösungen wie Datenmaskierung erforderlich ist oder ob es eine langfristige Datenspeicherung einen Verschlüsselungsansatz erfordert.

Datenschutzkontrollen können auch Warnungen hinsichtlich Anomalien bei der Datennutzung ausgeben, die gegen Richtlinien verstoßen, und Skripte ausführen, die mit Support-Systemen integriert werden. Dank Automatisierung mit Intelligenz lässt sich der Ansatz für den Datenschutz skalieren und bleibt gleichzeitig flexibel für zukünftige Vorschriften und Richtlinienaktualisierungen.

5. Regelmäßige Kontrolle der Schutzmechanismen und Bericht darüber

Datenschutzaufsichtsbehörden betrachten Organisationen, die bewährte Verfahren für Data Governance anwenden und in gutem Glauben handeln, oft wohlwollender als solche, die nachlässig sind und daraufhin eine Datenschutzverletzung erleiden. Dabei ist es für alle Unternehmen von Vorteil, sich nach besten Kräften zu bemühen – allein deswegen, weil geringere Bußgelder und Kosten für die Behebung von Verstößen anfallen. Denn derartige Anstrengungen verschaffen dem Unternehmen einen umfassenderen Einblick in Daten, die dazu beitragen, die nächste Innovationswelle voranzutreiben und das Vertrauen der Verbraucher zu stärken.

Diese letzte Strategie ist von grundlegender Bedeutung für eine kontinuierliche Verbesserung, um die Datenschutzkontrollen auf der Grundlage der sich entwickelnden Datenrisiken zu aktualisieren sowie den Daten-Stakeholdern über neue Investitionen zu berichten. Darüber hinaus legt sie Aufsichtsbehörden und Prüfern dar, wie verantwortungsvoll ein Unternehmen mit personenbezogenen Daten umgeht. Eine Strategie, die jede Organisation unterstützen kann.

Datenschutz ist nicht nur Datensicherheit

Zusammenfassend lässt sich sagen: Datenschutz ist nicht einfach nur eine Frage der zuverlässigen Datensicherheit, obwohl das sicherlich ein wichtiger Teil ist. Data Privacy Governance ermöglicht auch einen skalierbaren, wiederholbaren und anpassungsfähigen Ansatz zum Schutz der Privatsphäre, um Risiken zu reduzieren. Dieser Ansatz erhöht außerdem die Transparenz, berichtet über die Datennutzung und generiert intelligente Erkenntnisse.

Mit einem geringeren Risiko der Datenexponierung, die persönliche Datenschutzrechte („Subjektrechte“) verletzen könnten, realisieren Unternehmen Wertschöpfungsprogramme basierend auf intelligenter Datennutzung und -analyse und ermöglichen so die nächste Generation von Innovationen. Gleichzeitig bleibt so das Vertrauen erhalten und wächst kontinuierlich.

Nathan Turajski, Informatica.
Nathan Turajski, Informatica.
(Bild: Informatica)

*Der Autor: Nathan Turajski ist Senior Director Data Governance for Security and Privacy bei Informatica. Er hat mehr als 20 Jahre Erfahrung in den Bereichen IT-Governance, Risiko, Compliance und Sicherheit und im Silicon Valley bereits mehrere Start-ups ins Leben gerufen, darunter Securant Technologies (übernommen von RSA Security), Postini (übernommen von Google) und Nextlabs. Außerdem leitete er vor seiner Tätigkeit bei Informatica das Produkt-Management für Trend Micro, Thales E-Security und HP.

(ID:47631099)