Eigene Compliance im BI-Umfeld

Self-Service BI compliant gestalten
Keine Kommentare

Der Anglizismus „Compliance“ begegnet einem recht häufig. Doch wenn nachgefragt wird, was in dem jeweiligen Unternehmen als „compliant“ bezeichnet wird, erhält man oft ein Schulterzucken oder ein „keine Ahnung“ als Antwort. Das kann nicht immer mit dem mangelnden Verständnis des Begriffs erklärt werden, sondern häufig eher mit einem Unwissen, welchen Prozessen das jeweilige Unternehmen hierbei folgt.

Der Begriff Compliance kommt aus dem Englischen und bedeutet übersetzt Einhaltung, Beachtung beziehungsweise auch Erfüllung. Im Kontext von Unternehmen geht es um die Einhaltung sowie Befolgung firmeninterner Regelungen und gesetzlicher Vorschriften. Konkret meint das unter anderem, dass Vorschriften, die sich auf die Datenschutz-Grundverordnung (DSGVO) beziehen, eingehalten und beachtet werden. Auch die Prävention von Straftaten wie Wirtschaftsverbrechen oder Spionage oder die Weitergabe von Geheimnissen, die aus der Analyse von Daten entstammen, sind hier darin zusammengefasst. Es steht nicht nur allein die Prävention im Vordergrund, sondern auch der Umgang mit Vorfällen, bei denen das Kind bereits in den Brunnen gefallen ist, und die Meldung eines solchen Vorgangs durch Dritte, wenn die Vermutung eines Verstoßes besteht.

Business Intelligence (BI) bietet eine breite Flanke zu diesem Thema, da man sich dabei umfangreich mit der Datensammlung, -analyse, -aufbereitung und Visualisierung befasst. So kann einerseits die Fantasie für potenzielle Straftaten geweckt werden, wenn die analysierende Person Einblicke in Schlupflöcher des Unternehmens erhält, die bisher nicht durch Prozesse überwacht werden. Andererseits wird der entgegengesetzte Blickwinkel geschärft, indem die Möglichkeiten verbessert werden, die Personen zu erkennen, die die Schlupflöcher ausgenutzt haben. Häufig gibt es in den jeweiligen Unternehmen spezialisierte Abteilungen, die die Entwicklung entsprechender BI-Systeme und -Lösungen durchführen. Für die jeweiligen BI-Lösungen werden meist Projekte aufgesetzt, die mit den betroffenen Datenschützern sowie der jeweiligen Managementebene diskutiert und dabei die entsprechenden Gefahren und Risiken abgewägt werden, was die zu verwendenden Daten betrifft. Viele Unternehmen stellen für die jeweiligen Datenquellen entsprechende Klassifizierungen (Gefahrenklassen) auf, in die die jeweiligen Daten eingeordnet werden, z. B. in eine hohe Klasse eingestufte Mitarbeiterdaten, Verkaufsdaten in die mittlere und Marketingdaten in eine niedrige Stufe. Das regelt, welche Daten und Regularien welchen Löschfristen unterliegen. Der Self-Service-BI-Aspekt bringt hier viele neue Gefahren ins Spiel, da die Fachabteilungen befähigt werden, selbstständig neue Datenquellen zu erschließen und sie mit bestehenden in Verbindung zu bringen, um daraus neue Analysen zu bilden (Abb. 1). In der Theorie ist dieser Prozess ein Segen, weil er die IT-/BI-Abteilungen entlastet, Prozesse beschleunigt und Kundenwert bringt. Es kommen auch viele neue Charaktere ins Spiel und die dadurch entwickelten Analysen durchlaufen selten Prozesse, die mit den Datenschützern, Geschäftsführen oder anderen eigentlich beteiligten Personen, die in einem klassischen BI-Projekt involviert wären, ernsthaft diskutiert werden.

Abb. 1: Analyse über Versicherte unter Einbeziehung aller möglichen Datenquellen

Abb. 1: Analyse über Versicherte unter Einbeziehung aller möglichen Datenquellen

Der nachfolgende Artikel soll einerseits Licht ins Dunkel bringen und Aufklärung zum Thema Gefahren bieten, die durch fehlende Compliance entstehen, andererseits mögliche Lösungswege darstellen, wie Self-Service BI in diesem Kontext dennoch zum Erfolg werden kann.

Gelegenheit macht Diebe

Es ist leider allzu wahr, dass Gelegenheit Diebe macht. Sie führt viele Menschen aus unterschiedlichsten Beweggründen, zum Beispiel Gier nach Geld, Unzufriedenheit mit dem Leben und der Gesamtsituation oder auch die Finanzierung teurer Lebensstile, auf Abwege und macht sie zu Straftätern. Wie anfangs erwähnt bietet BI hierfür einen wunderbaren Nährboden. Durch die Möglichkeit, Daten aus dem Unternehmen mit externen Daten wie denen der Kunden zu verknüpfen und eingängig zu analysieren, bekommt man ungeahnte Gelegenheiten für Straftaten wie Betrug am eigenen Unternehmen oder am eigenen Kunden durch die Analyse von Finanzströmen, um Transaktionen dann gegebenenfalls in die eigene Tasche umzuleiten. Denn durch BI werden die Blickwinkel erweitert und die Sinne geschärft, was überhaupt mit den Daten möglich ist, welche dunklen Ecken vorhanden sind und was eventuell nicht durch die operativen Systeme verhindert oder abdeckt wird. So werden durch die Analyse der Daten beispielsweise rechtswidrige Beraterverträge ohne Gegenleistung mit Bekannten oder gar der Familie erkannt oder die Möglichkeit eröffnet, solche überhaupt erst zu implementieren.

Datenschutzverstöße

Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Deutschland in Kraft, verpflichtend von jedem Unternehmen einzuhalten und kann im Fall eines Regelverstoßes zu empfindlichen Strafen für das jeweilige Unternehmen und/oder für die Einzelperson führen. Dennoch wird diese gesetzlich verpflichtende Verordnung noch zu wenig ernsthaft angewendet und umgesetzt. Im BI-Kontext etwa werden Daten gesammelt, gespeichert und dann gegebenenfalls rechtswidrig verarbeitet, wenn der Zweck nicht mit den betroffenen Personen, von denen die Daten gesammelt wurden, eindeutig definiert und vereinbart worden ist.

Somit werden zwar interne Richtlinien seitens der Geschäftsführung in Zusammenarbeit mit dem bestellten Datenschützer festgelegt, aber viel zu häufig im geschäftlichen Kontext ignoriert, um wirkungsvolle Analysen zum Kundenstamm zu erstellen und dadurch weitere Geschäftsmöglichkeiten zu identifizieren. Entsprechend werden Daten aus den Logdateien der Webseite und persönliche Daten aus den Bestellsystemen mit weiteren Daten, z. B. aus Umfragesystemen, zusammengeführt, um einen Rundumblick über den Kundenkreis zur Identifikation von möglichen weiteren Werbekampagnen zu erstellen. Ob jedoch Zweck und Speicherung all dieser Daten rechtlich mit der betroffenen Person vereinbart wurde, bleibt viel zu häufig unbeachtet und kann im schlimmsten Fall zu empfindlichen Bußgeldstrafen führen.

Self-Service Business Intelligence

Self-Service Business-Intelligence (SSBI) bietet hervorragende Werkzeuge, um an den geltenden Regularien vorbeizuarbeiten. Viele Werkzeuge können Daten aus den unterschiedlichsten Quellen laden, in Relation setzen und auswerten. Microsoft Power BI verfügt z. B. über mehr als achtzig native Datenquellenkonnektoren. Diese Tools haben zudem die Möglichkeit, sogenannte persönliche oder abteilungsbezogene Datensilos zu erschaffen, in denen die Daten dauerhaft gespeichert werden, was dann oft außerhalb der definierten zentralen Prozesse erfolgt. Und wer kennt nicht den inneren Schweinehund? Selten räumt man die Daten nach ihrer Verwendung wieder auf. Grundsätzlich ist man verpflichtet, die Datenanalyse vorab rechtlich zu prüfen, insbesondere, wenn es sich dabei um personenbezogene Daten handelt, und diese auch wieder nach den Vorschriften zu löschen. In einem Corporate-Business-Intelligence-Umfeld sind solche Prozesse in der Regel etabliert und werden umgesetzt. SSBI überträgt diese Verantwortung aber immer an den Fachanwender, der sie erstellt hat, jedoch mit solchen Prozessen nicht vertraut ist. Konkret bedeutet das, wenn dem Ersteller keine Klassifizierung der Daten transparent gemacht wird, er also beispielsweise nicht einschätzen kann, ob die Daten nur für den internen Gebrauch oder hochsensibel sind, sind entsprechende Verstöße oft schon vorprogrammiert.

Datensammlung und Datenschutz?

SSBI verführt gerne über die technischen Möglichkeiten, Datensilos aufzubauen. Zum Beispiel bietet Microsoft Power BI Technologien wie Dataflows an, mit denen Fachabteilungen relativ simpel, ohne großes technisches Know-how, Daten aus unterschiedlichsten Datenquellen wie beispielsweise dem Microsoft-CRM in einen Data Lake innerhalb der Microsoft-Cloud abspeichern können (Abb. 2). Wenn zum Beispiel die Verarbeitung und Speicherung in der Cloud bereits durch die Nutzung der Cloud bezüglich des Datenschutzes abgesichert ist, bleibt die Frage, was mit den Daten für weitere Zwecke geschehen darf. Weiterhin ist zu überlegen, wie lange die Daten gespeichert werden dürfen. Dieser Gedanke bekommt immer dann neuen Schwung, wenn ein Kunde des jeweiligen Unternehmens die Geschäftsbeziehung aufkündigt. Das hat häufig zur Folge, dass die Daten des Kunden gelöscht werden müssen. Dafür gibt es in der Regel vereinbarte Prozesse, die die Daten dann aus den jeweiligen operativen und analytischen Systemen löschen oder ausreichend anonymisieren. Jedoch hat SSBI oft Grundzüge der Schatten-IT. Das heißt, diese Prozesse der Datenverarbeitung und -speicherung sind der zentralen IT meist gar nicht im Detail bekannt und die vereinbarten Prozesse greifen hier nicht. Somit ist es in diesen Fällen sehr wichtig, solche Prozesse bei der Implementierung einer Self-Service-BI-Strategie klar zu kommunizieren sowie nach Möglichkeit eine Dokumentations- sowie Transparenzpflicht zu implementieren. So werden diese Möglichkeiten auch mit dem jeweiligen Datenschützer offen kommuniziert und das Unternehmen sowie die Mitarbeiter haben die Möglichkeit compliant zu bleiben.

Abb. 2: Self-Service-BI-Datenspeicherung

Abb. 2: Self-Service-BI-Datenspeicherung

Gefahren, Prävention und Aufdecken

Business Intelligence bietet vielen Benutzergruppen eines Unternehmens die Möglichkeit, Daten mit einem tieferen Detailblick zu analysieren und mit weiteren Datenquellen anzureichern. Aus Marketinggesichtspunkten spricht man häufig vom 360°-Blick und verspricht bessere sowie schnellere Geschäftsentscheidungen. Self-Service BI steigert dieses Potenzial umso mehr, da hier ein geübter Fachanwender in die Lage versetzt wird, ungesicherte Datenquellen mit einzubeziehen und Prozesse darauf zu lenken oder zu beeinflussen. Diese Chance kann jedoch schnell als Gefahr empfunden werden, insbesondere im Kontext Compliance. Häufig bieten diese Werkzeuge keine Nachvollziehbarkeit, wie der Anwender zum jeweiligen Schluss gekommen ist. Es ergibt sich somit die Chance für Verstöße, inner- sowie außerbetrieblich. Zusätzlich gilt zu beachten, dass die meisten Werkzeuge nur den Istzustand analysieren, das heißt, wie die Daten zum entsprechenden Zeitpunkt wirklich ausgeprägt waren ist beim nächsten Zugriff nicht mehr ersichtlich. Somit ist es bei solchen Analysen unerlässlich, sich mit der BI-/IT-Abteilung abzustimmen und die Daten zuerst in geeigneten Systemen wie einem Data Warehouse zu speichern. So wird eine Nachvollziehbarkeit der jeweiligen Datenbestände sichergestellt, die auch durch weitere Werkzeuge wie Change Data Capture (CDC) unterstützt werden kann. Zudem helfen hier Konzepte wie Data Lineage, um nachvollziehen zu können, aus welcher Quelle die Daten entstammen, die der Auswertung zugrunde liegen. Aber nicht nur Technik hilft, compliant zu bleiben. Auch herkömmliche Methoden wie das Vier-Augen-Prinzip können bei der Prävention möglicher, eventuell ungewollter Verstöße unterstützen, indem Kollegen sich durch persönliche gegenseitige Kontrolle absichern.

Maschinelles Lernen und künstliche Intelligenz

Ein weiterer, vielleicht nicht mehr so neuer Trend, ist das maschinelle Lernen. Hierzu bieten unterschiedliche Hersteller Lösungen an. Diese Technologie kann Unternehmen bei der Entwicklung und Erschließung neuer Geschäftsfelder unglaublich beschleunigen, da große Datenmengen unter Einbeziehung vieler anderer Datenquellen durch trainierte Modelle und Algorithmen „intelligent“ analysiert werden können. Der Einsatz von künstlicher Intelligenz (KI), der meist die Verwendung von großen Datenmengen aus verschiedensten Quellen mit sich bringt, kann jedoch zu unterschiedlichen Gefahren führen, wie etwa zur nicht rechtskonformen Verarbeitung von personenbezogenen Daten nach der Datenschutz-Grundverordnung (DSGVO), da mit den betroffenen Personen, deren Daten in dem Fall verarbeitet werden, der Zweck meistens nicht eindeutig vereinbart wurde. Weitere Gefahren sind die Verschleierung oder Schaffung von Schlupflöchern für kriminelles Tun. So könnten beispielsweise Wege entdeckt werden, wie Geld am einfachsten aus dem Unternehmen geführt werden kann, ohne dass das entdeckt wird, indem regelmäßig die Geldströme auf neue Arten und neuen Wegen kontrolliert werden. Demnach sollte die Einführung von maschinellem Lernen immer nach dem Vier-Augen-Prinzip durchgeführt werden und eine lückenlose Dokumentation der Prozesse sowie der Algorithmen zugrunde gelegt werden. Das schafft zudem Schutz für die Person, die das System entwickelt hat, jedoch möglicherweise nicht an dem „Verbrechen“ beteiligt war.

Aufdecken von Verstößen und Implementieren von Meldestellen

Eine der größten Herausforderungen ist sicherlich das Aufdecken von Complianceverstößen, insbesondere wenn es schon ins Strafrechtliche geht. Hierfür ist es dringend erforderlich, unkomplizierte, aber transparente Prozesse zu implementieren. Das kann unter anderem durch Meldestellen erreicht werden, denen mögliche Verstöße (auch anonym) gemeldet werden können. So können Mitarbeiter, die eine unsachgemäße Datenverwendung oder gar Straftaten bei der Verwendung von Daten vermuten, das anzeigen. Entsprechende Nachforschungen werden dann von Dritten durchgeführt, um hoffentlich nur eine Fehlinterpretation eines Vorgangs aufzudecken beziehungsweise nachzuweisen.

Auch maschinelles Lernen kann als automatisierte Lösung zu einer dauerhaften Compliance beitragen, indem automatisierte Geschäftsregeln stets angewendet werden, um Verstöße frühestmöglich zu erkennen. Das kann ebenso zu einem effizienten Monitoring beitragen. Es gibt aber auch einfache Dinge wie Microsoft SQL Server Audit Logs, die den Zugriff (lesend wie auch schreibend) auf sensible Daten aufzeigen können. Das kann einen Überblick über bisher nicht bekannte Prozesse und die Verwendung dieser Daten und ihrer unsachgemäßen Verwendung geben.

Außerdem ist es unerlässlich, dass Mitarbeiter entsprechend geschult werden und die notwendigen Prozesse implementiert und dokumentiert werden. Das kann zu einem Compliance by Design beitragen und viele Verstöße im Voraus unterbinden.

Und wie erreicht man nun Compliance?

Self-Service BI bietet hervorragende Chancen, für die Fachabteilungen schneller zu werden, die BI-Abteilungen zu entlasten und das Unternehmen nach vorne zu bringen. Dennoch ist das Thema Compliance genauso wichtig wie eine schnelle Informationsbereitstellung und ihre Entwicklung. Daher ist dringend empfohlen, bei der Implementierung von SSBI dieses Thema in der Umsetzung eines solchen Prozesses einzubeziehen und die Achtsamkeit der betroffenen Mitarbeiter zu schärfen. Wichtig ist zudem, Unterstützung im sich stetig verändernden Arbeitsumfeld mit ständig neuen technologischen Möglichkeiten zu bieten, indem eine Vier-Augen-Politik unterstützt wird, Meldestellen implementiert werden und eine offene Kommunikation angestrebt wird. Zusätzlich ist zu empfehlen, eine entsprechende Datenkategorisierung sowie einen Datenkatalog einzuführen, um Transparenz der verfügbaren Datenquellen zu bieten und den Fachanwender so zu befähigen, dass er weiß, welche Daten was bieten und wie mit diesen zu verfahren ist. Ansonsten kann es zu ungeahnten, schwerwiegenden Folgen kommen, die so nicht beabsichtigt waren, und gegebenenfalls schwerwiegende Strafen auf das Unternehmen zukommen.

 

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -