Eines der heißesten Themen im Datenschutzmanagement im Jahr 2020 ist die Automatisierung – insbesondere die automatisierte Datenerkennung und -klassifizierung.
Ende Juni 2020 gaben zwei große Anbieter von Datenschutzsoftware Investitionen oder Partnerschaften im Bereich der Datenerkennungstechnologie bekannt: OneTrust erwarb die Datenerkennungs- und Klassifizierungssoftwarelösung Integris Software, während TrustArc und BigID, ein Unternehmen für Big Data Discovery und Intelligence, das maschinelles Lernen nutzt, ihre offizielle Partnerschaft ankündigten. Diese Schritte zielen darauf ab, die automatische Erkennung und Klassifizierung von Daten für Datenschutzprogramm-Managementsoftware zu stärken.
Datenschutzanbieter konzentrieren sich auf Automatisierung
Die Ankündigungen, die die Automatisierungsfunktionen dieser Anbieter hervorheben, waren nicht überraschend, nachdem andere Datenschutztechnologieunternehmen große Wetten auf die Automatisierung gesetzt hatten.
Im Juni 2020 kündigte Ethyca an, dass es 13,5 Millionen US-Dollar in einer Series-A-Finanzierungsrunde aufgebracht hat, um sein neues Self-Service-Tool für automatisierten Datenschutz weiter zu verbessern. Anfang des Jahres, im Februar 2020, wurde SECURITI.ai als „Innovativstes Startup“ beim renommierten Cybersecurity RSA Conference Innovation Sandbox Contest für ihr KI-gestütztes Datenschutzprodukt PRIVACI.ai ausgezeichnet, das die Datenschutzkonformität mithilfe automatischer Datenerkennung und robotischer Automatisierung über ihr Produkt Auti automatisiert. Es sei darauf hingewiesen, dass BigID auch zuvor den Preis 2018 für Datenschutz und Schutz persönlicher Daten gewonnen hat.
Unternehmen sind immer noch nicht auf den CCPA vorbereitet
Warum investieren Unternehmen in automatisierte Datenerkennung und -klassifizierung und warum gerade jetzt? Dies liegt daran, dass eine zunehmende Anzahl von Unternehmen für Datenschutzverletzungen im Zusammenhang mit sensiblen Benutzerdaten haftbar gemacht wird. Zuvor mussten sich viele große Unternehmen nur darum kümmern, die Daten von Einwohnern der Europäischen Union gemäß den 2018 in Kraft getretenen Regeln der Allgemeinen Datenschutzverordnung (GDPR) ordnungsgemäß zu verarbeiten. Jetzt müssen sich viele dieser Unternehmen auch mit dem Datenschutz der Amerikaner im Hinblick auf den California Consumer Privacy Act (CCPA) auseinandersetzen, Kaliforniens umfassendstem Verbraucherschutzgesetz, das am 1. Januar 2020 in Kraft trat und am 1. Juli 2020 durchsetzbar wurde.
Der CCPA gewährt den Einwohnern Kaliforniens das Recht zu wissen, welche Daten ein Unternehmen über sie sammelt, das Recht, den Verkauf dieser Daten zu untersagen, und das Recht, die Daten zu löschen, neben anderen Rechten. In einer Umfrage, die 2019 von der International Association of Privacy Professionals (IAPP) in Zusammenarbeit mit OneTrust durchgeführt wurde, erwartete nur etwa die Hälfte der Befragten, CCPA-bereit zu sein, wenn das Gesetz in Kraft tritt. In den Monaten vor dem Tag, an dem das Gesetz durchsetzbar wurde, haben Unternehmen versucht, konform mit dem Gesetz zu werden; es ist wahrscheinlich, dass viele versuchen, tatsächlich alle Daten im Geltungsbereich zu lokalisieren, nachdem sie versucht haben, die Breite der von ihren Unternehmen gespeicherten Daten zu verstehen.
Manuelle versus automatisierte Datenerkennung
Wie gehen Unternehmen vor, um sensible Daten in ihren Systemen zu finden? Derzeit gibt es drei Möglichkeiten für Unternehmen, sensible Datenerkennung durchzuführen – indem sie manuell danach suchen, den Prozess automatisieren oder eine Kombination aus beidem verwenden.
Manuelle Datenerkennung
Die manuelle Methode zur Erkennung sensibler Daten ist ein prozessorientierter Ansatz, der von den Mitarbeitern des Unternehmens, typischerweise Mitarbeitern der IT-Abteilung, verlangt, Umfragen oder Tabellenkalkulationen manuell auszufüllen, in denen angegeben wird, wo sensible Daten gespeichert sind.
Dieser Prozess kann sowohl mühsam als auch arbeitsintensiv sein, daher bieten einige Anbieter von Datenschutzmanagementsoftware vorgefertigte Umfragevorlagen und Workflow-Tools an, um diese mühsame Aufgabe zu verwalten. Ein Problem bei dieser Methode ist, dass die Ergebnisse schnell veraltet sind; die Ergebnisse bleiben nur bis zu dem Datum, an dem diese Umfragen abgeschlossen wurden, wahr und relevant. Menschliche Fehler, Unvollständigkeit aufgrund fragmentierten Wissens über die Datenlandschaft, einschließlich der Nutzung der Daten durch Dritte, und andere Probleme können ebenfalls die Integrität dieses Prozesses beeinträchtigen.
Automatisierte Datenerkennung
Die automatisierte Erkennung sensibler Daten ist ein technologisch getriebener Ansatz, der sich mit den Datenbanken, Anwendungen und anderen Datenrepositorien eines Unternehmens verbindet und sensible Daten automatisch durchsucht, identifiziert und klassifiziert.
Ein Nachteil dieser Methode wären Datenspeicher, die nicht leicht mit diesem Tool verbunden werden können, wie z.B. nicht standardisierte oder veraltete Datenrepositorien. Einige Anbieter überwinden diese Einschränkung, indem sie benutzerdefinierte APIs erstellen, um sich mit den Legacy-Anwendungen eines Unternehmens zu verbinden. Der Vorteil ist, dass die Ergebnisse der automatischen Datenerkennung, sobald diese Verbindungen eingerichtet sind, immer aktuell, dynamisch und leicht in der Lage sein sollten, den Datenzugriffsanfrageprozess für Zugriff, Löschung oder Portabilität zu automatisieren. Viele dieser Tools können sowohl strukturierte als auch unstrukturierte Daten finden und durch mehrere Dateiformate suchen.
Am realistischsten wäre es, wenn ein Unternehmen eine Kombination aus prozessorientierten und technologisch getriebenen Lösungen einsetzen würde, um ein genaues Verständnis darüber zu erhalten, wo sich sensible Daten befinden.
| Weiterlesen: Ein vollständiger Leitfaden zum Datenschutzmanagement → |
Automatisierte Datenerkennung zur Unterstützung der Identitätsüberprüfung des CCPA
Ein weiterer Grund, warum viele Unternehmen die Verwendung automatisierter Datenerkennung in Betracht ziehen könnten, ist die Unterstützung ihres Identitätsüberprüfungsprozesses vor der Beantwortung einer Datenzugriffsanfrage oder einer Verbraucheranforderung zum Zugriff, zur Portierung oder Löschung ihrer persönlichen Daten. Derzeit verwenden viele Unternehmen Tools zur Identitätsüberprüfung von Drittanbietern, um die Identität eines Benutzers zu authentifizieren, aber eine neuere Änderung von Artikel 4 des CCPA legt nahe, dass Unternehmen ihre eigenen Daten verwenden können, um die Identität des Benutzers zu validieren.
„Wann immer möglich, stimmen Sie die vom Verbraucher bereitgestellten Identifikationsinformationen mit den bereits vom Unternehmen gespeicherten persönlichen Informationen des Verbrauchers ab oder verwenden Sie einen Identitätsüberprüfungsdienst eines Drittanbieters, der mit diesem Abschnitt übereinstimmt.“ - CCPA, Artikel 4. Verifizierung der Anfrage, 999.323. B.1
Die Landschaft der manuellen versus automatisierten Datenerkennung
Im März 2020 wollten wir sehen, welche Unternehmen automatische Datenerkennung, manuelle Datenerkennung oder solche, die dies nicht spezifizieren, anbieten. Es sei darauf hingewiesen, dass einige Produkte beide manuelle und automatisierte Datenerkennungsfunktionen bieten.
Von den 57 Produkten, die wir im März 2020 in der Kategorie Datenschutzmanagement-Software aufgelistet hatten, boten nur 19 Produkte explizit automatische Datenerkennung an. Als wir die Liste der Datenschutzmanagementprodukte im Juli 2020 erneut überprüften, hatten wir 10 weitere Softwareprodukte hinzugefügt, was insgesamt 67 Datenschutzmanagement-Softwarelösungen auf der G2-Website ergibt. Von diesen 67 Produkten bieten jetzt 27 automatische Datenerkennung an.
Um Käufern von Datenschutzmanagementsoftware bei der Bestimmung zu helfen, welche Software für sie am besten geeignet ist – entweder manuelle oder automatisierte Datenerkennung anbietet – werden wir dieser Kategorie ein Attribut-Kontrollkästchen hinzufügen, das zeigt, welche Produkte welche Funktionalität bieten. Dieses Datenerkennungsattribut wird sichtbar, sobald die Kategorie sechs Produkte auf dem G2 Grid hat und jedes dieser sechs Produkte 10 oder mehr Bewertungen für Datenschutzmanagementsoftware hat, gemäß der G2 Grid-Scoring-Methodik.
Fazit: Automatisierung ist gekommen, um zu bleiben
Für Unternehmen, deren Geschäftsmodelle auf der Nutzung sensibler Verbraucherdaten beruhen, wäre die Hinzufügung automatisierter Datenerkennungstools zur Auffindung ihrer sensiblen Daten eine willkommene Ergänzung zu ihrem aktuellen Mix aus SaaS, anstatt ihre Informationsfachleute mit manuellen Umfragen und anderen prozessorientierten Anfragen zu belasten. Angesichts der Anzahl der Investitionen in automatisierte Datenerkennung und -klassifizierung sowie automatisierte Datenzuordnung, die wir bisher im Jahr 2020 gesehen haben, glauben wir langfristig, dass die automatisierte Erkennung der Weg der Zukunft ist.
Möchten Sie mehr über Datenschutzmanagement-Software erfahren? Erkunden Sie Datenschutzverwaltung Produkte.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
