Wie Unternehmen im Datenschutz-Dschungel den Durchblick bewahren

Wie Unternehmen im Datenschutz-Dschungel den Durchblick bewahren

von | Okt 13, 2017 | Allgemein

In vielen Unternehmen herrscht Unsicherheit über den Umgang mit der EU-Datenschutzgrund-Verordnung (DSGVO) und ihre Auswirkungen. Da käme ihnen eine „Landkarte“ zur Orientierung ganz gelegen. Wichtig ist zunächst, dass Unternehmen erkennen, welche weitreichenden Folgen die DSGVO hat. Sie rückt den Datenschutzbeauftragten der eigenen Firma ins Rampenlicht. Und auch die Unternehmensarchitektur spielt künftig beim Thema Datenschutz eine entscheidende Rolle.

Bis zum 25. Mai nächsten Jahres haben Unternehmen Zeit, die Anforderungen der neuen Datenschutz-Grundverordnung umzusetzen. Datenschutzbeauftragte sollten bei der Zusammenstellung ihrer Teams deshalb darauf achten, den Verantwortlichen für das Enterprise Architecture Management (EAM) mit ins Boot zu holen.

Orientierungshilfe Unternehmensarchitektur

Warum spielt die Unternehmensarchitektur eine so wichtige Rolle für Compliance mit der DSGVO? Um diese Frage zu beantworten, sollten wir uns zunächst damit beschäftigen, was die neue Regelung von Unternehmen, die mit EU-Bürgern Geschäfte machen, fordert.

Datenverantwortliche müssen einige wichtige Fakten zum Umgang mit personenbezogenen Daten berücksichtigen: Wie wurden sie erfasst? Und für welchen Zweck werden sie eingesetzt? Darüber hinaus gilt es sicherzustellen, dass die verwendeten Daten korrekt sind, und nur solche Daten genutzt werden, die für einen bestimmten Zweck benötigt werden. Schließlich dürfen die Daten auch nur über den Zeitraum gespeichert werden, der erforderlich ist, um eben jenen Zweck zu erreichen.

Was bedeutet das in der Praxis? In erster Linie müssen Datenschutzbeauftragte wissen, welche Daten erfasst wurden, wo sie gespeichert sind und wie sie verarbeitet werden. Dafür brauchen sie eine Übersicht – ähnlich einer Landkarte – aller Datenspeicher und Anwendungen. Darauf basierend können Unternehmen ein Verzeichnis erstellen, in dem Daten analysiert und gemäß der verschiedenen DSGVO-relevanten Attribute klassifiziert werden.

Was ist wo gespeichert?

Das Verzeichnis hält fest, welche Daten an welchem Ort zu finden sind. Es liefert Auskunft darüber, ob die Datensätze einer Person zugeordnet werden können und welche Art von Daten sie enthalten. Darunter fallen Standortinformationen, Rechnungsinformationen, Informationen zu Einkäufen, Informationen aus Communities oder Foren, Informationen zu verwendeten Geräten, zur Bonität der betroffenen Person oder zur Nachverfolgung der Benutzeraktivität.

Den Anwendungen werden verschiedene Eigenschaften zugeordnet. So wird der Zweck der Anwendung (Abrechnung, Marketinganalysen, Direktmarketing, Monitoring, Incident-Management, Personalbeschaffung oder Kundenranking) bestimmt und es wird festgehalten, ob es ein Sicherheitskonzept gibt – und wenn ja, welches. Zusätzlich sollte die Übersicht festhalten, ob es ein gesondertes Testsystem gibt und ob dieses anonymisiert ist.

Darüber hinaus enthält das Verzeichnis Informationen darüber, wie die Datensätze verarbeitet werden können: dazu zählen Speicherfristen, Löschmethoden, Verarbeitungsort, Ursprung der Daten, Zugriffsrechte, Zugriffsprotokollierung sowie Informationen darüber, an welche Personen oder Systeme Daten transferiert werden, welche Personen betroffen sind und ob es sich dabei um Privatpersonen oder Unternehmenskunden, Mitarbeiter oder Bewerber handelt.

Zurück zur Unternehmensarchitektur: Sie umfasst die Bereiche Geschäftsarchitektur, Datenarchitektur, technische Architektur und Anwendungsarchitektur – und ist somit ein guter Ausgangspunkt für ein Verzeichnis über Datenverarbeitungsprozesse. Aufgrund ihrer Struktur und Inhalte liefert sie entscheidende Einblicke in die Business- und IT-Landschaft, die Unternehmen benötigen, um sich gemäß den Vorgaben der DSGVO zu organisieren.

In der Vorbereitungsphase auf die neue Verordnung, in der noch keiner so genau weiß, was auf Unternehmen zukommen wird, ist es der leitende Enterprise Architect, der den Weg in Richtung Compliance weisen kann.

Ist Ihr Unternehmen bereit für die DSGVO? Nehmen Sie am Live Webinar teil und werden Sie fit für die neue Datenschutz-Grundverordnung. Mehr Informationen zur DSGVO bekommen Sie auch in unserem neuen Video.

Teilen:
IT-Investitionen priorisieren: Treffen Sie die richtigen Entscheidungen

IT-Investitionen priorisieren: Treffen Sie die richtigen Entscheidungen

von | Feb 14, 2017 | Allgemein

„Wer die Wahl hat, hat die Qual“ – nichts beschreibt besser, wie schwer es oft ist, eine Wahl zu treffen (vielleicht kaufe ich deshalb fast jedes Kleidungsstück in zwei unterschiedlichen Farben). Steht man vor zu vielen Alternativen, ist man regelrecht gelähmt und kann sich überhaupt nicht entscheiden. Dennoch muss müssen wir uns festlegen. In der IT müssen wir entscheiden, auf welche Business-Anforderungen wir reagieren wollen, und uns hoffentlich nicht danach richten, wer seine Stimme am lautesten erhebt oder die vollsten Taschen hat.

Wie entscheiden Sie in Ihrem Unternehmen, in welche Projekte investiert wird? Können Sie sicherstellen, dass Sie die Projekte zur Umsetzung der Unternehmensstrategie angemessen unterstützen? Messen Sie Projektvorschläge an Kennzahlen, um die Entscheidungsfindung zu erleichtern? Wahrscheinlich haben die meisten Unternehmen definierte Entscheidungsstrukturen und -prozesse, das heißt aber nicht, dass sie auch in der Lage sind fundierte Entscheidungen über IT-Investitionen zu treffen.

Das kann verschiedene Ursachen haben:

  • Sie sehen den Wald vor lauter Bäumen nicht. Die schiere Menge der Projekte – laufende und vorgeschlagene – verhindert effektive Entscheidungsprozesse. In diesem Fall sollten Projekte zu überschaubaren Portfolios zusammengefasst werden. Kriterien dafür können zum Beispiel Prioritäten im Rahmen der Digitalisierung oder vorgegebene Fertigstellungstermine sein. Solche Portfolios können auch bei der Implementierung eines bimodalen IT-Konzeptes zur Beschleunigung von IT-Projekten nützlich sein.
  • Der Business-Kontext fehlt. Projektvorschläge und auch laufende Projekte sollten mit Geschäftsstrategie und -funktionen abgeglichen werden, um zu erkennen, welche Geschäftsfunktionen ausgebaut werden müssen, damit sie die Strategie unterstützen. Sie sollten auch in der Lage sein, festzustellen, welche Projekte die Strategie nicht unterstützen, und zu prüfen, ob das Geld dafür nicht in Projekte mit größerer strategischer Bedeutung investiert werden könnte. Außerdem sollten die Projektportfolios die Kostenstrukturen des Unternehmens widerspiegeln. Auch wenn diese nicht der tatsächlichen Unternehmensstruktur entsprechen, passen Sie so die Portfolios der politischen Unternehmensrealität an und stellen sicher, dass Mitarbeiter mit Budgetverantwortung im Boot sind und Entscheidungen treffen können.
  • Es gibt keinen gesunden Mix aus Top-Down- und Bottom-Up-Kennzahlen. Zu den Sorgfaltspflichten die erfüllt werden müssen, um spätere Probleme zu vermeiden, gehören: Bottom-Up-Kennzahlen wie Renditeberechnungen, Risikoanalysen für die Projektstruktur oder (basierend auf der durchgeführten Modellierung) die Auswirkung auf die Architektur. Top-Down-Kennzahlen, etwa der Beitrag, den ein Projekt zur Umsetzung der zentralen Strategie leistet, oder die Übereinstimmung mit der digitalen Strategie des Unternehmens, mögen ein bisschen willkürlich erscheinen. Es ist aber dennoch wichtig, die betriebswirtschaftliche Seite bei der Definition dieser Kennzahlen einzubinden, damit Sie auf ihre Unterstützung zählen können.
Teilen: