DSGVO – im Graphen den Weg stark vernetzter Daten nachgehen

Nur noch wenige Wochen und die EU macht Ernst beim Datenschutz – die neue DSGVO, die ab 25. Mai in Kraft tritt, legt Unternehmen und Organisationen strenge Auflagen auf, was die Herkunft, Verarbeitung, Sicherheit, Übermittlung und Löschung von Daten angeht. Sie müssen jederzeit in der Lage sein, auf diese Daten zuzugreifen, sie offenzulegen und – wenn nötig – zuverlässig zu löschen. Gelingt Ihnen das nicht oder kommt es zu Verstößen, drohen empfindliche Geldstrafen.

Doch personenbezogene Daten sind nicht einfach zentral an einem Speicherort im Unternehmen abgelegt und warten darauf, abgefragt zu werden. Vielmehr stecken sie in den unterschiedlichsten Anwendungen, Servern und Rechenzentren, über mehrere Standorte verteilt, und werden sowohl in internen Netzwerken als auch bei externen Anbietern in der Cloud verwaltet. Auf ihrem Weg durch das Unternehmen werden sie verändert und bearbeitet, weitergeleitet, neu abgespeichert und genutzt – vom Online-Store in das CRM weiter zu Logistik und Finanzwesen über den Kundensupport und ins Marketing (siehe Abb. 1). Selten verläuft dabei der Weg personenbezogener Daten geradlinig, sondern nimmt schwer vorhersehbare Umwege. All das macht die Einhaltung der von der EU geforderten Compliance-Richtlinien zur Herausforderung.

Abb1: Rückverfolgung personenbezogener Daten über alle Unternehmenssysteme hinweg. Quelle: ©Neo4j

Wer die Aufsichtsbehörden von seiner Compliance überzeugen will, muss es schaffen, personenbezogene Daten über alle Systeme hinweg nachzuverfolgen, zu lokalisieren und zu managen. Dazu zählt auch die Beantwortung grundsätzlicher Fragen: Wann und wo wurden die Daten erstmals erfasst? Wurde in die Datenerfassung und Nutzung eingewilligt? Wo und wie wurden die Daten weiterverarbeitet? Wie werden sie genutzt und wo sind sie jetzt abgelegt?

Ein Graph sagt mehr als tausend Worte

Um den Datenpfad rückverfolgen zu können, ist eine anschauliche Visualisierung nötig, die Licht ins Datendickicht bringt und die Zusammenhänge zwischen den Daten offenlegt. Eine Möglichkeit komplexe und hochgradig heterogene Datensätzen anschaulich darzustellen, ist der Einsatz von Graphdatenbanken wie Neo4j. Graphtechnologie räumt Datenbeziehungen den gleichen Stellenwert ein wie den Daten selbst. Das Modell eines Graphen lässt sich dabei mit einem Straßennetz vergleichen und setzt sich aus „Knoten“ (z. B. „Stadt“, „Parkhaus“, „Tankstelle“) und den Verbindungen, den sogenannten „Kanten“, zusammen (z. B. „A9 nach Berlin“, „Bundestraße“). Jedem Knoten und jeder Kante lassen sich zudem Eigenschaften hinzufügen (z. B. „Präferenz der Route“, „Staugefahr“).

Das Beispiel Straßenverkehr zeigt sehr gut, wie sich im Graphen Wege, wie auf einer Landkarte, „nachfahren“ lassen. Ein Graph, der personenbezogene Daten verknüpft, könnte folgendermaßen aussehen: „E-Mail-Adresse AA von Kundin A wurde im Kundenportal X zum Zeitpunkt Y erfasst, anschließend in Anwendung Z genutzt und befindet sich nun auf Server C im Datensilo 221“. Durch die intuitiv nachvollziehbare Datenstruktur im Graphen werden die Zusammenhänge zwischen den Daten schnell offensichtlich. Jeder Datensatz oder Knoten ist dabei als Ausgangspunktmöglich. Macht beispielsweise ein Kunde von seinem Recht auf Vergessen Gebrauch, können die Datenschutzbeauftragten den Datensatz der Person identifizieren und von dort ausgehend alle anderen, weiteren mit ihr verbundenen Daten auffinden, um sie dann alle vollständig zu löschen.

Schritt für Schritt zur DSGVO-Compliance

Eine graphbasierte Gesamtlösung zur Einhaltung der DSGVO lässt sich in nur wenigen Schritten erstellen:

SCHRITT 1: Bestandsaufnahme

Zunächst sollten Unternehmen alle Systeme identifizieren, die nach DSGVO personenbezogene Daten nutzen oder möglicherweise nutzen. Dabei wird auch dokumentiert, wo und wie diese Systeme personenbezogene Daten speichern.

SCHRITT 2: Aufbau eines logischen Datenmodells

In einem logischen Modelle werden alle personenbezogenen Datenelemente sowie deren Wege innerhalb der Systeme abgebildet. Dies schließt eine Definition der Systemverbindungen sowie der beschreibenden und quantifizierenden Metadaten mit ein.

SCHRITT 3: Entwicklung und Tests

Auf Basis des erstellten Datenmodells werden Daten und Datenbeziehungen in Neo4j übertragen. Durch einfache Abfragen gemäß den DSGVO-Anforderungen lässt sich das System testen und weiterentwickeln.

SCHRITT 4: Visualisierung und Beantworten von Anfragen

Durch den Einsatz von Neo4j sowie Visualisierungs-Tools von Drittanbietern lassen sich alle Datenbewegungen zwischen Systemen visualisieren. Anfragen bezüglich der Nutzung von personenbezogenen Daten können so in kürzester Zeit beantwortet werden.

Graphtechnologie stellt damit ein hochleistungsfähiges Tool dar, um die Einhaltung der DSGVO effektiv und effizient sicherzustellen. Die Flexibilität des Datenmodells erlaubt dabei jederzeit eine Anpassung, z. B. bei geschäftlichen Veränderungen oder bei gesetzlichen Ergänzungen. Dank der hohen Skalierbarkeit lassen sich neue Kundenkontakte und Verknüpfungen zudem schnell und einfach in den Graphen einfügen. Anfragen von Aufsichtsbehörden oder Kunden lassen sich dank der Abfragen in Echtzeit direkt und schnell bearbeiten und überzeugen durch den anschaulichen Nachweis, wie, wo, und wann, welche Daten genutzt und gespeichert werden.

Abb2: Visualisierung der Zusammenhänge von vernetzten Daten am Beispiel von Gehaltsabrechnungen. Quelle: ©Neo4j

Weblinks zum Thema

• Checkliste zur DSGVO
• Datenschutz-Grundverordnung (EU-DSGVO) auf einen Blick
• Wikipedia-Artikel über die DSGVO

^{Foto/Thumbnail: ©beawolf/Depositphotos.com}