Rechtliche Anforderungen von Big Data. TDWI Anwenderforum , Winterthur Herbert Stauffer, Geschäftsführer BARC Schweiz GmbH

Transkript

1 Rechtliche Anforderungen von Big Data TDWI Anwenderforum , Winterthur Herbert Stauffer, Geschäftsführer BARC Schweiz GmbH

2 Inhalt Einführung Neue Daten alte Probleme Bedürfnisse Gesetzliche Grundlagen Ethik und Moral Lösungsmöglichkeiten Anforderungen der Datenschutzgesetze 4 Fallbeispiele Öffentliche Wahrnehmung Reputationsrisiken Risiken und Massnahmen Data Governance Programme als Lösung BARC

3 Einführung Verschiedene Interessen sind vorhanden

4 Holistische Sicht der Datenqualität Informationsqualität Inhaltsbezogen Korrektheit, Vollständigkeit, Objektivität, Aktualität Interpretierbarkeit Verständlichkeit, Glaubwürdigkeit, Einheitlichkeit, Eindeutigkeit Systembezogen Zugänglichkeit (Access & Security), Bearbeitbarkeit Zweckbezogen Angemessener Umfang, Relevanz, Rechtmässigkeit Informations- Qualität DQ DQ Steuerung Optimierungsschritte DQ Optimierungschritte Validierung Technisches und fachliches Profiling Cleansing z.b. de-duplicate Referenz Master Data Management, Data Dictionary Klassifizierung Relevanz, Risiken Anreicherung z.b. demografische Daten Monitoring Data Quality KPI s DQ Steuerung Technologien Profiling und DQ Suiten, Master Data Management Organisation Policies, Prozesse, Trainings BARC

5 Wünsche/Bedürfnisse des einzelnen in der Informationsgesellschaft Wunsch nach Schutz der Privatsphäre Snowden Hearthbleed Bankgeheimnis und Steuer-CD s Wunsch nach Informationen Online News-Portale Youtube, Twitter Statistiken, Umfragen Wunsch nach Beachtung Facebook, twitter «Selfies» BARC

6 Anforderungen der Regierungen Schutz der Bürger Schaffung der rechtlichen Grundlagen (Gesetze), wie Datenschutz, Humanforschung,. Geistiges Eigentum, Patente, Urheberrechte, Durchsetzen der rechtlichen Grundlagen Auskunft sicher stellen Aufbewahrungsfristen Steuereinnahmen Analysebedarf Planung und Steuerung der Entwicklung (Schule, Verkehr, ) Statistiken Bereitstellung von Informationen (OpenData) BARC

7 Probleme bei einer Big Data Initiative Quelle: BARC Big Data Analytics Survey 2014, n=306 BARC

8 Rechtliche Anforderungen Datenschutz und Datensicherheit als Herausforderung Internationale Unternehmung und nationale Gesetze

9 Datenschutzgesetze im Vergleich Datenschutzgesetz (DSG) 19. Juni 1992 (in Kraft ) Bundesdatenschutzgeset z (BDSG) 27. Januar 1977 (in Kraft ) Datenschutzgesetz 2000 (DSG 2000) 1. Januar ) 2) April Abschnitte 39 Artikel (numerisch) Absatz (alphanumerisch) 8 Abschnitte 48 Paragraphen 2 Artikel 11 Abschnitte 64 Paragraphen 3) Verordnung zum DSG (VDSG) Anhänge 1) Letzte Überarbeitung 2) Struktur/Gliederung 3) Ergänzungen BARC

10 Datenschutzgesetze sachlicher Anwendungsbereich Sachen Produkte (Patente) Tiere Immaterielle Güter, geistl. Eigentum (Autorenrechte) Geschäftsgeheimnisse normale Personendaten D+A: natürliche Personen (BDSG) CH: nat.+jur. Personen (Art 3b DSG) Informationen, die zur Identifikation einer Person dienen (Adressen, ,..) Besonders Schützenswert Gesundheit Religion Rassenzugehörigkeit Sexuelle Neigungen Art 3c DSG 4.2 DSG 2000 Persönlichkeitsprofile (Art.3d DSG) Datenschutzgesetz BARC

11 Datenschutzgesetze räumliche Anwendungsbereich 1. Datenaustausch innerhalb EU oder Ländern mit einem vergleichbaren Datenschutzgesetz und Schutz der Privatsphäre 2. Verschärferte Sonderbestimmungen in einzelnen Branchen, beispielsweise physische Speicherung innerhalb des Landes (Basel III, Solvency II, ) 3. Internationale Abkommen (Save Harbour) Datenschutzgesetze Schutz der Privatsphäre BARC Grafiken aus chip.de und Wikipedia

12 Prinzipien des Datenschutzes Verhältnismässigkeit, Richtigkeit und Zweckmässigkeit der Datensammlung Rechtmässigkeit der Datenbeschaffung Einverständniserklärung der betroffenen Person Auskunftsrecht Grundsatz des angemessenen Schutzes Trend des Datensammelns auf Vorrat (Big Data) Problem von veralteten Daten Ist eine zusätzliche Speicherung von DWH notwendig, damit Bestellprozesse abgewickelt werden können? Datenbeschaffung durch NSA, Steuer-CD s durch D Analytics in sozialen Medien (Twitter, Facebook) Implizit oder explizit möglich Was sagen AGB s zu DWH? Wie ist der Auskunftsprozess geregelt? Wie reagiert die Öffentlichkeit, wenn bekannt wird, was wir alles speichern? Berechtigungen und Prozess der Rechtevergabe Erkennung von Datendiebstahl BARC

13 Use Case 1: Externe Daten und Aufbewahrung Situation Quellen wie Opendata, Wetter, etc. sind keine geschäftsrelevanten Daten, jedoch in Verbindung mit internen Daten als Entscheidungsgrundlage (KPI s) Rechtliche Fragestellungen Formeln sind Metadaten und müssen gesichert werden Metadaten- Management Unterschiedliche Aufbewahrungsfristen je Land (Tabelle mit Gegenüberstellung einzelner Länder wie D, CH, A ) Data Ownership? Welche Verantwortung übernimmt der Ersteller? Aufbewahrungsfristen D A CH USA Geschäftl. Unterlagen 10 J. 7 J. 10 J. 12J. Besondere Fristen 6J. Handelsbrf. MwSt. 15 J. s 1 s 3 J. 1 s gelten nicht als geschäftsrelevante Dokumente (seit 2013) BARC

14 Use Case 2: Logdaten/Sensorik Situation Starke Zunahme von maschinengenerierten Daten. Möglichkeit zu präziseren Analysen. Rechtliche Fragestellungen Wer ist Data Owner? Ersteller oder Sammler? Aufbewahrungsristen: Sind Log- und Sensordaten geschäftsrelevant Möglichkeit und Risiko der nicht zulässigen Arbeitsplatzüberwachung Bildquelle: WinfWiki BARC

15 Use Case 3: Mobile Daten / Mobile Geräte Situation Cloud-Anwendungen sind heute auch im beruflichen Umfeld verbreitet: icloud, Dropbox, Office365, Vernetzung von mobilen Geräten mit Firmenanwendungen Rechtliche Fragestellungen Wo entstehen Daten? Wo ist der Source? Was ist Original? Was ist eine Datenkopie? Standort der Geräte: Dürfen Daten die Landesgrenze verlassen? In wie weit ist «Safe Harbour» wirklich ein BARC

16 Use Case 4: Soziale Media Situation Schnittstellen zu Facebook und Twitter von den meisten gängigen BI- Tools unterstützt Amazon-Empfehlungen aufgrund früherer Bestellungen Telco-Anbieter identifizieren Beeinflusser Rechtliche Fragestellungen persönliche Interessen gelten als besonders schützenswerte Daten Mit mehr Daten entstehen schützenswerte Persönlichkeitsprofile Hat der Kunde wirklich die Einwilligung gegeben «abgezockt» zu werden? BARC

17 Öffentliche Wahrnehmung Was denkt der Kunde wirklich?

18 Mehrere Negativ-Schlagzeilen Anfangs Konto-Auszug des Nachbarn erhalten. Bank Coop hat Unterlagen an falsche Adressaten verschickt. Di Panne bei Kartenzahlung: Bezüge doppelt berechnet Sämtliche Kartenzahlungen doppelt verbucht. Schuld ist ein Fehler beim Finanzstrukturanbieter SIX PWC-Mitarbeiter erhalten Lohnausweise des Kollegen Daten-Debakel bei Roche140'000 s einfach weg! Beim Basler Pharmakonzern gingen Mitte Januar s von Angestellten verloren. Die IT-Abteilung steht vor einem Rätsel. BARC

19 Widerspruch Alles was wir tun ist einzig im Interesse des Kunden! Nur soll der Kunde nicht wissen, wie viele Informationen wir über ihn sammeln und speichern und was wir damit tun. BARC

20 Reputationsrisiken Geri Müller, Jg Nationalrat der Grünen, Stadtpräsident Baden Nacktselfies aus seinem Büro an eine 33-jährige Frau Polizeieinsatz mit Verhaftung der Frau ( ) Am kommt der Fall an die Öffentlichkeit Feststellungen Sensitiver Umgang mit internen Daten Reputationsrisiken durch eigenes Fehlerverhalten oder von Mitarbeitern Shitstorms (schnelle Croud basierte Meinungsbildung) Konsequenzen Disasterplan auch für Reputationsrisiken, inkl. Shitstorms definierter Kommunikationsplan, inkl. Verantwortlichkeiten Versicherungsangebote zu Shitstorms BARC

21 Data Governance Massnahmen zum Schutz vor Risiken Data Governance als Lösung

22 Schutz vor Risiken sorgt für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten, um einen angemessenen Datenschutz zu gewährleisten.12 Insbesondere schützt er die Systeme gegen folgende Risiken: a. unbefugte oder zufällige Vernichtung; b. zufälligen Verlust; c. technische Fehler; d. Fälschung, Diebstahl oder widerrechtliche Verwendung; e. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen. BARC

23 Massnahmen VDSG a. Zugangskontrolle b. Personendatenträgerkontrolle c. Transportkontrolle d. Bekanntgabekontrolle e. Speicherkontrolle f. Benutzerkontrolle g. Zugriffskontrolle h. Eingabekontrolle BARC

24 Zusammenfassung der Anforderungen Richtigkeit Aufbewahrungsfristen Zweckmässigkeit Verhältnismässigkeit Rechtmässigkeit Security Einverständniserklärung Datenschutz Zugangskontrolle Benutzerkontrolle Zugriffkontrolle Datenträgerkontrolle Transportkontrolle Datensicherheit Eingabekontrolle Speicherkontrolle Bekanntgabekontrolle Auskunftsrecht Registrierung der Datensammlung BARC

25 Lösungsportfolio Data Governance Dataquality /Data Profilen Master Data Management Meta Aufbewahrungsfristen Data Management Richtigkeit Zweckmässigkeit Dokumente: Verhältnismässigkeit Security Classificationand Status Benennung und, Ordnungssystem Security Data Datenschutz Life Cycle Datensicherheit Retention Zugangskontrolle Policy und Trigger Eingabekontrolle Verfügbarkeit Benutzerkontrolle und Archiv Speicherkontrolle Zugriffkontrolle Verantwortlichkeiten Datenträgerkontrolle Rollenkonzept (Data Owner, Data Steward,,,) Transportkontrolle Program owner Namenskonventionen Verschlüsselungen Datenarchitektur, modelle und flüsse Rechtevergabe Rechtmässigkeit Einverständniserklärung Prozess für Auskunftsrecht Bekanntgabekontrolle Audits (Einhaltung Compliance) Auskunftsrecht Registrierung der Datensammlung BARC

26 Summary Rechtliche Anforderungen des Datenschutzes und der Aufbewahrungsristen gelten auch für Big Data Eine Herausforderung sind dabei die unterschiedlichen länderspezifischen Gesetze und Weisungen Die Komplexität der heutigen Datensammlung und deren betrieblichen Anforderungen muss sichergestellt werden. Insbesondere die damit verbundene Anforderung an die Richtigkeit und Aktualität der Datensammlung, sowie der Prozess zur Sicherstellung des Auskunftsbereitschaft. Ein Data Governance Programm unterstützt die Unternehmen auch die rechtlichen Anforderungen dauerhaft in den Griff zu bekommen. BARC

27 Verbinden Sie sich mit mir auf oder Herbert Stauffer Geschäftsführer BARC Schweiz GmbH Dipl. Organisator, ITIL Service Expert, Erwachsenenbildner SVEB1 BARC Schweiz GmbH Buchhaldenstr. 7 CH-5442 Fislisbach Tel hstauffer@barc.ch Leiter TDWI Roundtable Zürich, Leiter DQ-Fachgruppe der SAQ BARC