Der Aufbau eines Datenkatalogs (Enterprise Data Catalog) bietet nicht nur Vorteile für Datenanalysten, sondern auch für Datenschutz-Verantwortliche. Die Analogie der Pflege und aktiven Bewirtschaftung eines Infrastruktur-Katalogs in Zeiten von Cyber-Attacken passt hier sehr gut: Nur so können die aktiven IT-Assets im Blick gehalten werden und auf Risiken hin bewertet werden. Genauso bietet auch ein Datenkatalog die ideale Basis für Organisationen die neuen gesetzlichen Anforderungen zu erfüllen, welche mit dem neuen Datenschutzgesetz ab September 2023 in Kraft treten.
Was ist ein Datenkatalog
Wie bereits in einem früheren Blogposts erwähnt, wird ein Datenkatalog im Rahmen der Data Governance aufgebaut. Ein Datenkatalog hat den Anspruch ein Verzeichnis aller verfügbaren Daten innerhalb einer Organisation zu sein. So hilft ein Datenkatalog den Benutzern benötigte Datenquellen für Datenanalysen zu ermitteln und gefundene Datenquellen besser zu verstehen. Damit hilft ein Datenkatalog einer Organisation dabei, den Nutzen der Daten zu vergrössern.
Im Idealfall wird ein Datenkatalog als Collaboration aller Benutzer erarbeitet, so dass Metadaten und Anmerkungen aller Nutzer (Analytiker, Entwickler, Datenbank-Administratoren, usw.) in den Katalog einfliessen. Das steigert den Mehrwert für alle Nutzer und unterstützt den Aufbau einer Datenkultur in der Organisation.
Ein Datenkatalog umfasst dabei nicht einfach eine Liste von Datenbankservern, sondern schafft gerade wegen den Metadaten der Datenquellen den wahren Mehrwert. Mit Metadaten sind Beschreibungen der Quelle selbst gemeint. Dies können technische Informationen wie Verbindungsinformationen, Schemas, Tabellen, Spalten-Definitionen und weitere sein. Es können aber auch organisatorische Metadaten sein: Wer ist verantwortlich für diese Datenquelle? Wie ist der Prozess für eine Zugriffsanforderung? Und natürlich sind auch operative Metadaten möglich: wann erfolgte das letzte Update der Datenquelle? Wie viele Zugriffe gab es in welcher Zeit? Wie und von wo erfolgen die Zugriffe? All diese Metadaten helfen Benutzern dabei, die Datenquelle besser einzuschätzen, ob diese für die individuelle Analyse-Anforderung brauchbar ist.
Wie die Abbildung oben zeigt, können Benutzer nach Datenquellen suchen/browsen, lernen anhand der Metadaten Datenquellen besser einzuschätzen, sehen dort die verantwortlichen Experten und allenfalls weitere Informationen, können – je nach dem, wie der Datenkatalog aufgesetzt ist – direkt aus dem Datenkatalog heraus mit ihren Analytics-Tools die Datenquellen einbinden und schlussendlich auch Ergänzungen an den Beschreibungen vornehmen, damit auch andere Benutzer von den Erkenntnissen profitieren können.
Ein Datenkatalog kann an sich als einfache Excel-Tabelle aufgesetzt werden. Natürlich sind dann Aspekte wie Collaboration oder direkte Einbidnung in Analytics-Tools nur noch beschränkt umsetzbar. Es gibt für Datenaktaloge aber auch verschiedene spezialisierte Tools, wie z.B. Microsoft Purview.
Datenkatalog und Datenschutzgesetz
Das neue Datenschutzgesetz der Schweiz definiert, dass Schweizer Unternehmen mitunter folgende zwei Übersichten bewirtschaften:
- ein Verzeichnis der Bearbeitungstätigkeiten
Hier sind gemäss Art. 12 mindestens aufzuführen: Identität des Verantwortlichen, Bearbeitungszweck, Beschreibung der betroffenen Personen (Kategorie der Personendaten, sowie Kategorie der bearbeitenden Personen), Kategorie der Empfänger der Bearbeitungen, Aufbewahrungsdauer der Personendaten, Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit, falls Datenzugriff aus Ausland: welche Staaten mit welchen Garantien - eine Datenschutz-Folgenabschätzung
Bei der Bearbeitung von Daten mit hohen Risiken für die individuellen Personendaten ist ein Risikomanagement der Datenverarbeitungen anzulegen. Hierbei ist mindestens eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken, sowie Massnahmen zum Schutz der Daten aufzuführen.
Beide Punkte bedingen eine umfassende Übersicht über die bestehenden Datenquellen, damit der Datenschutzbeauftragte darauf aufbauend bewerten kann, ob eine Datenschutz-Folgeabschätzung durchgeführt werden muss und ob das Verzeichnis der Verarbeitungstätigkeiten die Datenquelle zu berücksichtigen hat.
Ergänzend kann der Datenschutzbeauftragte auch eine Übersicht über die Datenzugriffe einer Datenquelle erhalten, verantwortliche Personen identifizieren und Prozesse im Umgang mit den einzelnen Quellen aufnehmen, validieren oder anpassen lassen. Allenfalls identifiziert der Datenschutzbeauftragte personenbezogene Daten, welche in anonymisierter Form genügen würden. Damit reduziert man beispielsweise Risiken aus Datenschutz-Folgeabschätzung, ohne den Wert oder die Tiefe von Datenanalysen zu beeinträchtigen.
Fazit: Ein Datenkatalog hilft der ganzen Organisation
Ein Datenkatalog hilft somit nicht nur Benutzern, welche Datenanalysen durchführen möchten, sondern bildet auch die ideale Basis für den Datenschutz-Beauftragten einer Organisation, seine Verantwortung wahrzunehmen und seine Dokumente und Bewertungen möglichst lückenlos zu erstellen und damit die Datenschutzgesetz-Anforderungen zu erfüllen.