How MetaSoul Manages Your Data

Hier geht es direkt zur deutschen Version dieses Blogs.

Attention, today’s blog post is a bit more technical đŸ€“. We were recently asked how we manage personal data with MetaSoul. Most companies usually have a central user database where all personal data is stored. The permissions on these central databases are usually very loose and only secured via standard authentication.

With MetaSoul, we establish a project-based data management system that stores your data centrally in the background but enhances it with a sophisticated authorization system. You can find out exactly what this looks like in today’s blog post.

MetaSoul data management consists of three levels: (1) the Project-Level; (2) the Governance-Level; and (3) the Data-Level. Schematically, it looks like this:

MetaSoul Data Management Overview

The Project-Level is the visible part of MetaSoul for companies. For example, every time a company develops a new product or plans a marketing campaign where personal data is collected, a new project can be created here on MetaSoul. The company can control access to personal data belonging to a project at the employee and group levels. In addition, to form fields or login functionalities that are generated for integration into the respective project, a Data-Usage-Agreement (DUA) must be created for each project. If you want to know what a data usage contract is, you can read about this topic in one of our previous blog posts.

After creation, the Data-Usage-Contracts are located in the Governance-Level. This level is technically and organizationally separated from the project level. While the profit-oriented MetaSoul GmbH manages the project level, the access and control level is, like the later explained data level, located in a non-profit foundation. In a subsequent blog post, we will explain what this GmbH/foundation model is all about. Let®s move back to the Data-Use-Agreements. Every project must have a DUA, as this is the contractual basis in the relationship between customer and company. The DUA governs who may access the data, what data may be accessed, and how long and in what manner that access is permitted. If a DUA is changed, it only applies to customers who have accepted the changed one. So, for each change, a new DUA is created within a project. This “who has access” can also include other companies, so-called data processors, registered on MetaSoul. In these cases, the DUA already includes corresponding Data Processing Agreements. One task less for companies to worry about. In addition to functioning as a contractual basis, a DUA is also responsible for controlling access to your data. Every time someone wants to access your personal data, it is checked beforehand whether this is legal, according to DUA.

Like the Data-Usage-Agreement, your personal data resides in the MetaSoul foundation and is located in the Data-Level. Each end-user has a data wallet there. Data collected identically several times about one person is merged into one wallet. When you interact with multiple services that use MetaSoul, this data wallet grows over time into your “Digital You.” Companies only get access to this - your – personal data if the respective DUA allows it.

In summary, companies enjoy the benefit of not worrying about access rules or extensive protection measures and having the contractual issues taken care of along the way. You, as an end-user, can rest assured that your personal data could not be better protected. While the project level already defines who gets access to personal data on a company level, the Data-Usage-Agreement also regulates whether access is legal and in your interest. At the same time, the place where access is initiated (GmbH) is different from where your data is stored (foundation). This is an additional control mechanism to prevent your data from being misused.

See you next time and might your personal data with you!

Stefan, David & Mathias

You have questions, want to give feedback, or are interested in specific topics? We look forward to your message. Just write us at info@metasoul.com or leave a comment down below.



Wie MetaSoul Deine Daten Verwaltet

Achtung, im heutigen Blog-Post geht es etwas technischer zur Sache 😉. Wir wurden letztens gefragt, wie wir mit MetaSoul die Nutzerdaten verwalten. Die meisten Unternehmen haben ĂŒblicherweise eine zentrale Benutzerdatenbank, in der alle Nutzerdaten gespeichert sind. Die Berechtigungen auf diese zentralen Datenbanken sind grĂ¶ĂŸtenteils sehr einfach gestrickt und nur ĂŒber Login Daten abgesichert.

Mit MetaSoul etablieren wir eine projektbasierte Datenverwaltung, welche zwar im Hintergrund deine Daten auch zentral speichert, aber um ein ausgeklĂŒgeltes Berechtigungssystem ergĂ€nzt. Wie das genau aussieht, erfahrt ihr im heutigen Blog-Post.

Die MetaSoul Datenverwaltung besteht aus drei Ebenen: (1) Die Projekt-Ebene; (2) die Zugriffs- und Steuerungs-Ebene; und (3) die Daten-Ebene. Schematisch sieht das so aus:

MetaSoul Datenverwaltung

Die Projekt-Ebene ist der sichtbare Teil von MetaSoul fĂŒr Unternehmen. Jedes Mal, wenn im Unternehmen zum Beispiel ein neues Produkt entwickelt oder eine Marketing-Kampagne geplant wird und dabei persönliche Daten erfasst werden, kann hier ein neues Projekt auf MetaSoul angelegt werden. Den Zugriff auf Daten, welche zu einem Projekt gehören, kann vom Unternehmen auf Mitarbeiter- und Gruppen-Ebene gesteuert werden. Neben Formularfeldern oder Login-FunktionalitĂ€ten, welche fĂŒr die Integration in das jeweilige Projekt generiert werden, muss zu jedem Projekt ein Daten-Nutz-Vertrag (DNV) erstellt werden. Wenn du wissen willst, was ein Daten-Nutz-Vertrag ist, kannst du das in einem unserer frĂŒheren Blog-Posts nachlesen.

Die Daten-Nutz-VertrĂ€ge liegen nach der Erstellung in der Zugriffs- und Steuerungs-Ebene. Diese Ebene ist technisch und organisatorisch von der Projekt-Eben getrennt. WĂ€hrend der Projekt-Ebene von der gewinnorientierten MetaSoul GmbH verwaltet wird, ist die Zugriffs- und Steuerungs-Ebene so wie die spĂ€ter erklĂ€rte Daten-Ebene in einer gemeinnĂŒtzigen Stiftung angesiedelt. Was es mit diesem GmbH/Stiftungsmodell auf sich hat, erklĂ€ren wir euch in einem der nachfolgenden Blog-Posts. ZurĂŒck zu den Daten-Nutz-VertrĂ€gen. Jedes Projekt muss einen DNV haben, da dies die Datenschutz-relevante Vertragsgrundlage in der Beziehung zwischen Kunde und Unternehmen ist. Im DNV ist unter anderem geregelt, wer auf die Daten zugreifen darf, auf welche Daten zugegriffen werden darf und wie lange sowie auf welche Weise dieser Zugriff erlaubt ist. Wenn ein DNV geĂ€ndert wird, zĂ€hlt dieser DNV nur fĂŒr Kunden, welche diesen auch akzeptiert haben. Es entsteht also fĂŒr jede Änderung ein neuer DNV unter einem Projekt. Dieses „Wer hat Zugriff“ kann auch andere Unternehmen, sogenannte Auftragsverarbeiter, welche auf MetaSoul registriert sind, beinhalten. In diesen FĂ€llen beinhaltet der Daten-Nutz-Vertrag bereits entsprechende AuftragsverarbeitungsvertrĂ€ge. Noch ein Punkt weniger, um den sich Unternehmen kĂŒmmern mĂŒssen. Neben der Rolle als Vertragsgrundlage ist der DNV auch fĂŒr die Zugriffssteuerung auf deine Daten verantwortlich. Jedes Mal, wenn jemand deine Daten abrufen will, wird vorher ĂŒberprĂŒft, ob dies laut DNV rechtens ist.

Wie die Daten-Nutz-VertrĂ€ge liegen auch deine Daten in der MetaSoul Stiftung und befinden sich in der Daten-Ebene. Jeder Endnutzer hat dort ein Daten-Paket. Mehrfach identisch erhobene Daten zu einer Person werden dabei in diesem Paket zusammengefĂŒhrt. Wenn du mit mehreren Diensten, welche MetaSoul nutzen, interagierst, wĂ€chst dieses Daten-Paket im Laufe der Zeit zu deinem „Digitalen Ich“. Unternehmen bekommen nur Zugriff auf diese – deine – Daten, wenn es der jeweilige Daten-Nutz-Vertrag erlaubt. Zusammengefasst genießen Unternehmen den Vorteil, dass sie sich um keine Zugriffsregeln oder umfangreiche Schutzmaßnahmen kĂŒmmern mĂŒssen und nebenbei die Vertragsthemen auch noch erledigt bekommen. Du als Endnutzer kannst dich darauf verlassen, dass deine persönlichen Daten nicht besser geschĂŒtzt sein könnten. WĂ€hrend auf der Projekt-Ebene bereits festgelegt wird, wer in einem Unternehmen Datenzugriff bekommt, regelt der Daten-Nutz-Vertrag zusĂ€tzlich, ob der Zugriff ĂŒberhaupt rechtens und in deinem Sinne ist. Gleichzeitig ist der Ort, an dem der Zugriff initiiert wird (GmbH) ein anderer, wo deine Daten gespeichert sind (Stiftung). Dies ist ein zusĂ€tzlicher Kontroll-Mechanismus, um zu verhindern, dass deine Daten missbraucht werden.

In diesem Sinne: Bis zum nÀchsten Mal und mögen eure persönlichen Daten mit euch sein!

Stefan, David & Mathias

Ihr habt Fragen, möchtet Feedback geben oder euch interessieren spezielle Themen? Wir freuen uns ĂŒber jede Nachricht. Hinterlasst uns gerne ein Kommentar oder schreibt uns auf info@metasoul.com.