Heute findet sich das Thema „Daten“ auf jeder Managementagenda. Das Datenvolumen ist exponentiell gestiegen und Daten sind einer der wichtigsten Rohstoffe des 21. Jahrhunderts geworden. Es überrascht nicht, dass diese Medaille eine Kehrseite hat: Härtere Auflagen zwingen Unternehmen dazu, in ihr Datenmanagement zu investieren und es vor Datenmissbrauch und Cyber-Angriffen zu schützen. Diesbezüglich hat die DSGVO die höchsten Compliance-Standards gesetzt. Dieser kurze Artikel hilft Ihnen dabei, diese grundlegenden Herausforderungen zu verstehen und zu überwinden.
Worum geht es bei der DSGVO genau?
DSGVO steht für „Datenschutz-Grundverordnung“ und betrifft alle Unternehmen, die innerhalb der Europäischen Union (EU) personenbezogene Daten verarbeiten. Diese Verordnung trat am 25. Mai 2018 in Kraft und stärkt und vereinheitlicht den Datenschutz für alle Personen in der EU. Die Auflagen der DSGVO betreffen die Speicherung, die Verarbeitung, den Zugriff, die Übertragung und die Veröffentlichung von Daten. Sie definiert im Grunde, wie mit Datensubjekten umgegangen werden muss und wie auf verschiedene datenbezogene Anfragen und Ereignisse (wie Anfragen von Datensubjekten oder Datenschutzbehörden sowie Datenschutzverletzungen) reagiert werden muss. Schmerzhafte Sanktionen (4 Prozent des globalen Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Wert höher ist) veranlassen Unternehmen dazu, ihre Compliance- und Datenschutzstrategien zu überdenken. Eine weitere wichtige Tatsache ist, dass die DSGVO eine prinzipienbasierte Verordnung ist. Das bedeutet, dass Unternehmen auf Grundlage ihres spezifischen Geschäftsmodells oder ihrer Branche beurteilen müssen, inwieweit sie alle Anforderungen erfüllen müssen. Daher handelt es sich hier nicht um eine eindeutige Verordnung und es kann nicht mit einer Lösung für alle reagiert werden. Eine individuelle Beurteilung ist notwendig!
Worin liegen die größten Herausforderungen der DSGVO?
Neben den grundlegenden Anforderungen ist ein genauerer Blick auf die Data-Governance und die Datensicherheit Ihres Unternehmens der erste Schritt. Wenn Sie Daten in großem Umfang überwachen, muss ein Datenschutzbeauftragter ernannt werden. Ein weiteres Hindernis ist die Beschränkung des Zugangs zu personenbezogenen Daten. Die Identifizierung von Personen anhand von sensiblen Daten, die vor Ort oder in der Cloud gespeichert sind, ist ausschließlich ausgewählten Benutzern erlaubt, die beispielsweise in Audits eingebunden sein könnten. Daher müssen personenbezogene Daten pseudonymisiert werden oder es muss ein Governance-Konzept mit verschiedenen Zugangsebenen eingeführt werden.
Abbildung 1: Kritische Punkte in Hinblick auf die DSGVO
Der Eigentümer der personenbezogenen Daten hat eine Reihe von Rechten, darunter:
- Offenlegung der Daten Das Datensubjekt kann verlangen, die gespeicherten Daten einzusehen, zu erfahren, wo sie gespeichert sind, wer Zugriff darauf hat und wie lange Sie vorhaben, die Daten zu speichern, und es kann sogar eine Kopie der Daten verlangen (Sie müssen innerhalb eines Monats reagieren!)
- Recht auf Vergessenwerden Unternehmen müssen jegliche erhaltenen Daten dauerhaft löschen, wenn kein Grund für die Aufbewahrung besteht
- Datenübertragbarkeit Personen haben das Recht, Unternehmen zu bitten, ihre Daten an einen anderen Verarbeiter weiterzugeben, wenn sie mit einem Mitbewerber Geschäfte machen wollen
- Benachrichtigung über Verstöße Im Falle einer Datenschutzverletzung müssen die Behörden und die Dateneigner innerhalb von 72 Stunden informiert werden
Diese vier Beispiele sind nur die Spitze des Eisbergs, aber bereits hier tauchen zahlreiche Fragen auf:
- Welche Regeln der DSGVO gelten für mein Unternehmen?
- Welche Daten unterliegen der DSGVO?
- Wie wenden wir die entsprechenden Regeln auf die betroffenen Daten an?
- Wo sind die betroffenen Daten auf unterschiedlichen Systemen und Anwendungen gespeichert?
- Wie können alle Datenanforderungen in so kurzer Zeit beantwortet werden?
- Wie kann ich personenbezogene Daten einer Person in einem heterogenen Umfeld erkennen?
- Wer ist in meinem Unternehmen für Datenanfragen oder Datenschutzverletzungen zuständig?
- Wie können Prozesse der Aufbewahrung und Löschung automatisiert werden?
Beseitigen Sie Risiken mit dem CAMELOT Framework
Die Kombination von Daten, Prozessen, Governance und IT betrachtet alle Herausforderungen ganzheitlich. Unser Ziel ist es, die Bearbeitung von Anfragen in Zusammenhang mit der DSGVO und insbesondere die manuelle Löschung von Daten weitestgehend zu automatisieren.
Abbildung 2: Das übergreifende Rahmenwerk von Camelot meistert die Herausforderungen der
DGSVO Als erster Schritt wird innerhalb von 3-5 Tagen eine strukturierte Effizienzbewertung von CAMELOT durchgeführt, mit der die Reife verschiedener DSGVO-Dimensionen gemessen wird. Darauf folgt eine detaillierte Auswertung, wo genau sensible Daten gespeichert werden und welches Risiko sie darstellen. Unternehmen fehlt häufig eine zentrale Übersicht über Speicherorte, die Möglichkeit, sensible Daten rasch abzurufen und/oder automatische Datenentfernung in allen Systemen und Anwendungen.
Wir haben uns darauf spezialisiert, eine Lösung umzusetzen, die auf alle Anforderungen der DSGVO mit einem bewährten Projektansatz reagiert, seien es nun Governance, Prozesse, Daten oder IT. Andere nationale Regeln in Bezug auf die Speicherung oder die interne Compliance können je nach Unternehmen berücksichtigt werden. Das funktionsübergreifende Einbeziehen von Experten (aus den Bereichen IT, Recht, Steuer, Audit, HR und anderen Funktionsbereichen) gewährleistet, dass allen Anforderungen entsprochen wird. Damit kann die Erfolgsquote des Projektes erhöht werden. Falls Sie in Besitz einer SAB NetWeaver-Lizenz sind, steht Ihnen das SAP-ILM Retention Management kostenlos zur Verfügung. Mit unserem Know-how können wir die entsprechenden Regeln für die Aufbewahrung und Löschung implementieren und den wesentlichen Schritt der Löschung alter personenbezogener Daten automatisieren.
Die erlassene Datenschutzverordnung bringt eine Reihe von Herausforderungen mit sich und wirft in Unternehmen Fragen auf. CAMELOT als führendes Beratungsunternehmen im Bereich Informationsmanagement für Unternehmen unterstützt Sie dabei, die beste Lösung zu finden. Eine rasche Effizienzbewertung stellt fest, wie gut Sie auf die DSGVO eingestellt sind. Wir prüfen alle Dimensionen mit einer Kombination der betroffenen Daten, Prozesse in Bezug auf Datensubjekte, einem Governance-Konzept und einer geeigneten IT-Lösung und helfen Ihnen damit, der DSGVO zu entsprechen. Unternehmen müssen sich die Automatisierung zunutze machen, um die Herausforderungen in Zusammenhang mit dem wachsenden Volumen personenbezogener Daten bewältigen zu können. Das ist unser Ziel. Wenn Sie mehr darüber erfahren wollen, wie Sie mit der automatischen Archivierung und Löschung von Daten DSGVO-Compliance erreichen, zögern Sie nicht, uns zu kontaktieren.
Weitere Informationen zur DGSVO: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en
Weitere Artikel aus der Serie:
Teil I: Informationen durch den Datenlebenszyklus hindurch managen
Teil III: Voraussetzung für die Archivierung: Phase out von Informationen
