Von Mai bis Juli 2017 stahlen Hacker bei der Wirtschaftsauskunftei Equifax die Daten von 143 Millionen Verbrauchern. Stellen Sie sich diese Zahl vor – 143 Millionen! Das ist fast die Hälfte der Bevölkerung der USA! Die massive Offenlegung personenbezogener Daten, darunter Geburtsdaten, Sozialversicherungsnummern und Kreditkarteninformationen, hat viele Fragen aufgeworfen: Hat Equifax die Verbraucherdaten ausreichend geschützt? Wurden die Verbraucher schnell genug informiert, dass ihre Daten gefährdet sein könnten? Wie werden die finanziellen Folgen aussehen?
Die Reaktion von Equifax hätte die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) bei Weitem nicht erfüllt. Dieses Regelwerk überträgt Unternehmen die Verantwortung für den Schutz von Verbraucherdaten. Außerdem sieht es vor, dass „angemessene“ Maßnahmen zum Schutz der Daten ergriffen und die Verbraucher im Falle einer Verletzung des Schutzes personenbezogener Daten innerhalb eines Zeitfensters von 72 Stunden – und nicht mehrere Monate später – informiert werden.
Seit ihrem Inkrafttreten im Mai 2018 hat die DSGVO nicht nur die Arbeitsweise von Organisationen verändert, sondern auch deren Sicht auf Daten. Die Verordnung hat drei Grundprinzipien:
Einwilligung: Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine entsprechende Rechtsgrundlage und vertragliche Vereinbarung oder eine sonstige rechtliche Verpflichtung besteht.
Beschränkung: Die Erhebung personenbezogener Daten ist auf ein Minimum zu beschränken und ist nur für bestimmte, eindeutige und rechtmäßige Zwecke zulässig.
Transparenz: Organisationen müssen die Einhaltung der Verordnung nachweisen und den betroffenen Personen Auskunft über die Verwendung der sie betreffenden personenbezogenen Daten geben können.
Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, und betrifft damit Unternehmen auf der ganzen Welt. Bei Verstößen gegen diese Verordnung können Geldbußen in Höhe von bis zu zwanzig Millionen Euro bzw. vier Prozent des Jahresumsatzes – je nachdem, welches der höhere Betrag ist – verhängt werden. Hinzu kommt der Schaden für Marke und Renommee des Unternehmens.
Meist wird die DSGVO nur unter dem Aspekt der Sicherheit gesehen. Immerhin ist ihr Ziel der „Datenschutz“. Neben der Ernennung von Datenschutzbeauftragten und der Umsetzung strengerer Richtlinien und Verfahren spielen jedoch auch Big Data und Analysen eine bedeutende Rolle bei der Einhaltung der Verordnung. Unternehmen müssen sich folgende Fragen stellen:
Was wissen wir über die Art der personenbezogenen Daten, die wir verarbeiten?
Welche Daten dürfen wir verarbeiten, und für welche Aufgaben?
Für welche Zwecke verwenden wir jeweils personenbezogene Daten?
Sind wir in der Lage, gegenüber den Kunden zeitnah und effizient nachzuweisen, dass wir die Verordnung einhalten?
Um diese Fragen erschöpfend beantworten zu können, brauchen Sie einen vollständigen Überblick über alle Tätigkeiten, bei denen die Verarbeitung personenbezogener Daten eine Rolle spielt. Dies macht es erforderlich, alle Tätigkeiten aufzuzeichnen, die geschäftlichen und funktionalen Prozesse abzubilden und kontinuierlich Bericht zu erstatten, um die Einhaltung der Verordnung sicherzustellen.
Den Überblick behalten: Process Mining hilft bei der korrekten Verarbeitung personenbezogener Daten.
Für die meisten Organisationen bedeutet dies schon aufgrund des schieren Ausmaßes der Aufgabe eine gewaltige Herausforderung. Hinzu kommt, dass die manuelle Entschlüsselung und Aufzeichnung der Daten ein komplexes Unterfangen ist. Wenn Sie jedoch die Ereignisprotokolle der vorhandenen IT-Systeme nutzen, lässt sich der Weg der Kundendaten durch Ihre Organisation mittels Process Mining-Technologie Schritt für Schritt rekonstruieren. Mit einer visuellen Datenmap können Sie jederzeit erkennen, ob Sie sich bei der Verarbeitung von personenbezogenen Daten im Rahmen des Gesetzes bewegen.
Ein großes Bankunternehmen zum Beispiel schloss mit Celonis eine Partnerschaft, um den Prozess zur Stammdatenverwaltung und die Verfahren zur Eröffnung neuer Konten zu überwachen. Das Unternehmen konnte daraufhin genau verfolgen, wie die ursprünglichen Daten mittels eines Online-Formulars erfasst und im Anschluss durch Daten von Kreditsicherungsagenturen und aus sozialen Medien ergänzt wurden. Die durchgängige Transparenz des gesamten Prozesses machte sichtbar, wo potenzielle Quellen für Verstöße gegen die DSGVO liegen könnten. Ganz ähnlich war es beim Kontoeröffnungsprozess. Die Bank konnte von der Kontoeröffnung bis zum Kundenservice und sonstigen Folgeaktivitäten genau nachvollziehen, wie die Daten verarbeitet und verwendet wurden.
Aber eine Echtzeitsicht auf Ihre Ist-Prozesse ist nicht der einzige Vorteil. Process Mining kann noch mehr:
Reduzierung des Zeit- und Ressourcenaufwands: Eine automatische Datenflussanalyse reduziert Routineaufgaben und senkt das Fehlerrisiko. Ergebnisse sind dadurch schneller verfügbar und zuverlässiger.
Reduzierung des Risikos von Geldbußen und Schäden für die Marke: Die vollständige Transparenz aller Prozesse, an denen personenbezogene Daten beteiligt sind, macht es leicht, gegenüber Führungskräften, Vorstand, Regulierungsbehörden und Kunden die Einhaltung der Verordnung nachzuweisen.
Steigerung der Nachhaltigkeit: Auch wenn die Best Practices für Prozesse noch so klar definiert sind, kommt es immer wieder zu Abweichungen. Wenn Sie jedoch sämtliche Aspekte Ihres Prozessflusses im Blick haben, lassen sich Ineffizienzen erkennen und beseitigen.
Lässt man die Regelungsdetails einmal beiseite, zeigt sich insgesamt, dass die DSGVO zu einer Prozessumgestaltung führen kann, die eine Einhaltung der Vorgaben ermöglicht und Ihr Unternehmen effizienter macht. Dazu müssen zunächst der Status quo ermittelt und Verbesserungsmöglichkeiten aufgezeigt werden – und hier kommt Celonis Process Mining ins Spiel.