Die DSGVO mit SAS
Die (ersten) Schritte
zur Compliance
Rainer Sternecker
EU-Datenschutz-Grundverordnung (DSGVO)
• Die Verordnung ist am 24. Mai 2016 in Kraft getreten und wird zum 25. Mai 2018 wirksam.
• Die Reform stärkt Grundrechte der EU-Bürger im digitalen Raum mit Fokus auf personenbezogene Daten.
• Die Verordnung fordert Techniken wie Anonymisierung (PD* entfernen), Pseudonymisierung (PD* ersetzen) und Verschlüsselung (PD* kodieren).
• Strafen: bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes
• europa.eu/rapid/press-release_MEMO-15-6385_de.htm
Worum geht es?
*) personenbezogene Daten
Die DSGVO und wir: Vor- und Nachteile
für Bürger:
Vorteile Nachteile
Datenschutz Recht auf Vergessen Datenzugriff Recht auf Auskunft
keine
für Unternehmen: 1 Regelung statt 28 1 Aufsicht statt 28 1 Recht für alle Datenzugriff
keine
Informationspflicht Informationen an die betroffene Person bezüglich der verarbeiteten Daten, des Verantwortlichen, des Zwecks sowie der entsprechenden Aufbewahrungspflichten.
Datenübertragbarkeit Die betroffene Person hat das Recht, die sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbarem Format zu erhalten.
Berichtigung Personenbezogene Daten müssen korrekt sein und berichtigt werden (spätestens nach Aufforderung der betroffenen Person).
Löschen/Sperren Die Möglichkeit, personenbezogene Daten nach Ablauf aller entsprechenden Aufbewahrungsfristen zu löschen.
Einschränkung der Verarbeitung Die betroffene Person hat in bestimmten Fällen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.
Automatisierte Entscheidung Die betroffene Person hat bei der automatischen Entscheidung das Recht, das Eingreifen eines Menschen zu verlangen.
Themenfelder mit Bauchweh und Handlungs-/Klärungsbedarf
Welche Daten sind nochmal betroffen?Alle Daten.
Wirklich „alle“ Daten?Ja, alle Daten.
DSGVO-relevant sind: ALLE Daten, und zwar wirklich alle.
Herzlich willkommen MAX MUSTERMANN (männlich, München) zum heutigen Event!
Copyright © SAS Institute Inc. All rights reserved.
Haben wir einen Überblicküber sämtliche Datenquellen?
Wie hoch ist das Risiko-Level pro Datenquelle?
Können wir nachweisen, wo personenbezogene Daten
gespeichert sind?
Können wir nachweisen, dass wir die notwendigen
Prozesse etabliert haben?
Was sind personenbezogene Daten?
Kontrollieren wir Zugriffsrechte?
Protokollieren wir Nutzeraktivitätenfür jeden Datenbestand?
Inwiefern erschweren Duplizierung und schlechte Datenqualität das „Löschen und Vergessen”?
Wie erkennen wir personenbezogene Daten?
Haben wir Tools fürdie Dokumentation und die Protokollierung im Einsatz?
Interne HerausforderungenGegenüber Aufsichtsbehörden
Weitere Herausforderungen
Eine Person gilt als bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann.
Indirekt = Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.
EU-Datenschutz-Grundverordnung (DSGVO)
Copyright © SAS Institute Inc. All rights reserved.
• Bank Accounto Bank Identifier Code (BIC)
o IBAN
• Kreditkartennummero American Express
o VISA
o MasterCard
o Dinners Club
o Discover
o JCB
• Demographische Dateno Name
o Geschlecht
o Geburtsdatum
o Alter
o Nationalität
• Kanäleo Telefonnummer
o Adresse
o Stadt
o Land
o Email Addresse
• Behörden
Identifizierungsmerkmalo Passnummer
o Sozialversicherungsnummer
o Fahrgestellnummer
o Führerschein
• Digitale
Identifizierungsmerkmaleo IP Adresse (V4, V6)
o MAC Adresse
o X/Y Geographische
Koordinaten
• Sociale Medieno Twitter Account
o URL FaceBook
o URL Linkedin
o URL Pinterest
o URL Instagram
• Organisation
• Sensitive Dateno Gesundheit
o Politisch
o Religiös
o Philosophisch
o Genetisch
o Biometrisch
o Rasse
o Ethnisch
o Kinder
o Mitgliedschaften
Personal Data Protection Merkmale
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DWH Data Stores
Reports / AnalysenOperative Systeme Datenprozesse User
DSGVO Analyse
OperativeEntscheidungenDieses Produkt dem Kunden anbieten?
StrategischeEntscheidungenIn neue Märkte investieren?
OffenlegungenBehördenStakeholderPartner
Web
ERP
CRM
SCM
IDV - CI - Analytics
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DWH Data Stores
Reports / AnalysenOperative Systeme Datenprozesse User
DSGVO Analyse(1) Erkennen von PD
OperativeEntscheidungenDieses Produkt dem Kunden anbieten?
StrategischeEntscheidungenIn neue Märkte investieren?
OffenlegungenBehördenStakeholderPartner
Web
ERP
CRM
SCM
IDV - CI - Analytics
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DWH Data Stores
Reports / AnalysenOperative Systeme Datenprozesse User
DSGVO Analyse(2) Identifizieren und (3) Zuordnen
OperativeEntscheidungenDieses Produkt dem Kunden anbieten?
StrategischeEntscheidungenIn neue Märkte investieren?
OffenlegungenBehördenStakeholderPartner
Web
ERP
CRM
SCM
IDV - CI - Analytics
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DWH Data Stores
Reports / AnalysenOperative Systeme Datenprozesse User
DSGVO Analyse(4) Absichern und Loggen
OperativeEntscheidungenDieses Produkt dem Kunden anbieten?
StrategischeEntscheidungenIn neue Märkte investieren?
OffenlegungenBehördenStakeholderPartner
Web
ERP
CRM
SCM
IDV - CI - Analytics
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DWH Data Stores
Reports / AnalysenOperative Systeme Datenprozesse User
DSGVO Analyse(5) Überwachen
OperativeEntscheidungenDieses Produkt dem Kunden anbieten?
StrategischeEntscheidungenIn neue Märkte investieren?
OffenlegungenBehördenStakeholderPartner
Web
ERP
CRM
SCM
IDV - CI - Analytics
Copyright © SAS Inst itute Inc. A l l r ights reserved.
DSGVO mit SAS
Data Quality Lineage Business Data Network Federation Server Visual Analytics
Erkennen
• Identifizieren personenbezog. Feldinhalte (DQ- Exploration und Scan)
• Inventurliste PD-kritischerFelder
Identifizieren
• Verbinden mitden Datenfluss-Metadaten zur Dokumentation der Prozesse
• Visualisierung der Lineage
Zuordnen
• Rollenbasiertes Glossar mit Verantwortlichen
• Verknüpfung fachlicher Verfahren mit technischem Data Dictionary
Absichern
• Zentrale Zugriffs-beschränkung mit dynamischen User-Rechten
• Federation
• Pseudonymisierung
• Anonymisierung
Überwachen
• DSB-Dashboard
• Auditing-Logs
• Monitoring
• Eskalieren und Nachhalten von Verstößen per Workflow
Copyright © SAS Institute Inc. All rights reserved.
Identify data flow
Access data flow
Mitigate data flow
risksReports
ACCELERATOR FOR EU DATA PROTECTION
Copyright © SAS Institute Inc. All rights reserved.
Auffälligkeiten in der
Datenqualität sollten
ebenfalls Teil des
Reportings sein
ACCELERATOR FOR EU DATA PROTECTION
Copyright © SAS Institute Inc. All rights reserved.
Beispiel:
Aufspüren und Extrahieren mithilfe
vordefinierter DQ-Regelwerke
(SAS® Quality Knowledge Base)
ACCELERATOR FOR EU DATA PROTECTION
Copyright © SAS Institute Inc. All rights reserved.
Verknüpfung von Systemen,
Prozessen und Verantwortlichen
entlang der Datenflüsse
ACCELERATOR FOR EU DATA PROTECTION
Copyright © SAS Institute Inc. All rights reserved.
• Automatisiertes Glossar der
personenbezogenen Daten
• Definition von Begriffen und
Geschäftsobjekten, um eine
Zusammenarbeit von
Fachabteilung und IT zu
gewährleisten
• Klare Übersicht der Rollen und
Verantwortlichkeiten
ACCELERATOR FOR EU DATA PROTECTION
Copyright © SAS Institute Inc. All rights reserved.
ACCELERATOR FOR EU DATA PROTECTION
• Anonymisierung
(Entfernen der PD)
• Pseudonymisierung
(Ersetzen der PD)
• Verschlüsselung
(Encodieren der PD)