von Andreas Schophoven | Mrz 13, 2018 | Allgemein
Unternehmen kommen in große Schwierigkeiten, wenn sie die EU-Datenschutz-Grundverordnung (DSGVO) bis Mai 2018 nicht umsetzen können. In einem vorangegangenen Blogbeitrag haben wir festgestellt, dass die DSGVO mehr als nur ein IT-Problem ist und in erster Linie Prozesse und Mitarbeiter betrifft. Massiver Technologieeinsatz löst keine Probleme, so die heute gängige Theorie. Dennoch wäre es ein Fehler, darauf zu verzichten. Darüber hinaus benötigen Unternehmen große Personalressourcen, um die EU-DSGVO erfolgreich umzusetzen. Warum das so ist, lesen Sie im folgenden Beitrag.
Schauen wir uns zunächst die Mitarbeiter in einem Unternehmen an, die mit der Datenschutz-Grundverordnung zu tun haben. Hier einige Beispiele und ihre Rollen im Rahmen der DSGVO-Compliance:
- Datenschutzbeauftragter: Er ist laut DSGVO vorgeschrieben und leitet die Maßnahmen zur Umsetzung der neuen Verordnung.
- Enterprise-Architecture-Team: Das sind die Personen, die das große Ganze sehen. Sie setzen die heterogene und dezentrale Business- und IT-Landschaft zu einem großen stimmigen Bild der Datenspeicher- und Verarbeitungstätigkeiten zusammen.
- Verantwortliche für IT-Systeme und Geschäftsprozesse: Das sind die Mitarbeiter, die über die DSGVO-Relevanz ihrer Anwendungen, Technologien und Prozesse Bescheid wissen.
- IT-Sicherheitsexperten: Sie wissen, wie man sensible Daten und Anwendungen schützt.
- Compliance-Experten: Ihr tägliches Brot ist es, Gesetze und Vorschriften in konkrete Maßnahmen zu übertragen.
- Risikomanager: Sie wägen den potenziellen Schaden und die Wahrscheinlichkeit DSGVO-bezogener Risiken ab und empfehlen Maßnahmen zur Schadensminimierung.
- Projektmanager: Sie müssen sich Gedanken darüber machen, ob laufende Projekte DSGVO-relevant sind und ob sie neu dimensioniert werden müssen.
- IT-Planer und -Strategen: Mit einem einmaligen DSGVO-Projekt ist es nicht getan, DSGVO-Compliance wird auch nach dem 25. Mai 2018 ein Thema bleiben. Compliance muss in zukünftige Business- und IT-Lösungen eingebaut werden.
- Verantwortliche für Geschäftsplanung und -strategie: Sie werden Wege finden, trotz der DSGVO-Einschränkungen Geschäfte zu machen. Die innovativsten unter ihnen werden die DSGVO nutzen, um mit ihren Kunden über die Datenschutzeinstellungen in Kontakt zu kommen. Sie werden ihnen Produkte und Services anbieten, die zu diesen Einstellungen passen.
- CEOs: Sie bezahlen die Rechnung und werden bei schweren Verletzungen der DSGVO am ehesten ihren Stuhl räumen müssen.
Die Umsetzung der DSGVO erfordert eine Plattform
Die obige Aufzählung ist bei Weitem nicht vollständig: Betroffen sind auch Mitarbeiter in HR, Marketing, technischem Support, Qualitätssicherung und viele andere. Die Liste ist lang. All diese Mitarbeiter wissen, was die Einhaltung der DSGVO in ihrem Bereich des Unternehmens bedeutet. Sie müssen bestimmte Aufgaben übernehmen und brauchen dafür eine Plattform. Bei der DSGVO geht es darum, dass alle etwas und nicht wenige alles machen. Ohne eine Plattform für die Zusammenarbeit funktioniert das nicht.
Aber lassen Sie uns noch ein bisschen tiefer in das Thema Technologie eintauchen. Personenbezogene Daten liegen meist in digitaler Form vor und werden normalerweise in IT-Systemen gespeichert und verarbeitet. Deshalb wird nur eine technologiegesteuerte Lösung Erkenntnisse zu den verteilten Daten liefern und diese beherrschen können.
Ohne Technologie sind die folgenden Aufgaben nicht zu bewältigen:
- Personenbezogene Daten identifizieren, feststellen, wie sie erfasst und wo und wie sie verarbeitet und gespeichert werden.
- Systeme, Prozesse und Daten als DSGVO-relevant klassifizieren.
- Erforderliche Informationen von Daten- und Anwendungsverantwortlichen einsammeln.
- Eine Verbindung herstellen zwischen Prozessen und den IT-Systemen, die sie tragen. So lässt sich nachvollziehen, wo es Berührungspunkte mit Kunden und Mitarbeitern gibt und wo Daten ausgetauscht werden.
- Gespeicherte Daten und Anwendungen, die diese verarbeiten, verbinden. So lassen sich Aussagen zu Datenkorrektheit, Datenminimierung und Aufbewahrungsfristen machen.
- Schnell Informationen über Daten bereitstellen: Dazu zählt der Zweck der Verarbeitung, der Empfänger, die Absicht, sie weiterzuleiten, Aufbewahrungsfristen und automatische Entscheidungen.
- Datenbewegungen nachvollziehen, um die Auswirkungen von Verletzungen korrekt einschätzen zu können.
Bei dieser Fülle an Aufgaben ist klar: Es gilt, alle verfügbaren Ressourcen auf die DSGVO anzusetzen. Der Termin rückt unausweichlich und mit großen Schritten näher. Wenn Sie ihn halten wollen, müssen Sie zu Höchstleistungen auflaufen.
Sie haben bis zum 25. Mai noch viel zu tun? Mit diesem Webinar werden Sie schnell fit für die EU-DSGVO!
von Andreas Schophoven | Mrz 6, 2018 | Allgemein
Im digitalen Zeitalter zählen Daten zu den wichtigsten Unternehmensgütern. Entsprechend wichtig ist auch der Datenschutz. Kunden wenden sich an diejenigen Unternehmen, bei welchen sie ihre Daten in Sicherheit wähnen. Wer jedoch glaubt, die Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) sei hauptsächlich eine IT-Angelegenheit, sollte einen guten Anwalt haben. Zwar spielt Technologie eine wichtige Rolle, weil sie effiziente und effektive Kontrollen ermöglicht. Doch mindestens genauso wichtig, wenn nicht noch wichtiger, sind Prozesse und Menschen.
Die häufigste Ursache für Datenschutzverletzungen ist der Mensch. Das belegen Statistiken des britischen Information Commissioner Office (ICO, Datenschutzbeauftragter). Fast zwei Drittel (62 Prozent) der Vorfälle, die beim ICO landen, sind auf menschliche Fehler zurückzuführen. Andere Ursachen, wie etwa unsichere Webseiten oder Hacking, machen zusammen nur 9 Prozent aus. Allein die Einführung neuer Cybersicherheits-Tools wird Datenschutzprobleme also nicht lösen.
Prozesse sind entscheidend für den Datenschutz
Grundvoraussetzung für jede Unternehmenstransformation ist ein klares Verständnis der Geschäftsprozesse. Auch für die Einhaltung der Datenschutzbestimmungen der DSGVO sind Prozesse der Schlüssel. Sie beschreiben, wie Unternehmen den internen und externen Datenfluss ihrer Systeme analysieren, nachvollziehen und steuern. Sie werden gebraucht, um die (Datenschutz-)Risiken zu erkennen und zu bewerten, die mit den Geschäftsprozessen und den unterstützenden Systemen verbundenen sind. Unternehmen müssen Kontrollen und Mechanismen für die Erfassung, Nutzung, Speicherung und Aufbewahrung von Daten in den Prozessen einbetten. Nur so können sie sicherstellen, dass die Daten vertraulich behandelt werden sowie korrekt und verfügbar sind, wenn man sie braucht.
Die DSGVO als Chance begreifen
Unternehmen, die sich beim Datenschutz nur auf Technologie konzentrieren, werden bald feststellen, dass dies nicht reicht. Wer dagegen auch den Faktor Mensch mit einbezieht und Anforderungen bei Prozessdesign, -ausführung und -überwachung berücksichtigt, wird anderen überlegen sein, denen dies nicht gelingt.
Unternehmen sollten die neue Verordnung also nicht als Belastung, sondern als Chance sehen. Jetzt ist der richtige Zeitpunkt, den eigenen Status quo festzustellen und sich mit geeigneten Datenschutzmaßnahmen auseinanderzusetzen. So werden Unternehmen zum attraktiven Partner für ihre Kunden.
Bereit für die EU-DSGVO? Lesen Sie unser E-Book und stellen Sie sicher, dass Sie alle nötigen Maßnahmen getroffen haben!
von Andreas Schophoven | Nov 16, 2017 | Allgemein
Ab dem 25. Mai 2018 müssen Unternehmen die Anforderungen der neuen EU-Datenschutz-Grundverordnung einhalten. Andernfalls drohen ihnen hohe Bußgelder. Die neuen Vorschriften noch fristgerecht umzusetzen ist jedoch zum Glück kein Ding der Unmöglichkeit, denn dafür gibt es konkrete Lösungen – und für Unternehmen ergeben sich sogar noch Vorteile.
In wenigen Monaten müssen alle europäischen oder in der EU tätigen Unternehmen die neuen Richtlinien der EU-Datenschutz-Grundverordnung (DSGVO) einhalten. Diese tritt am 25. Mai 2018 in Kraft und viele Unternehmen und Institutionen haben noch einiges vor sich. Sie müssen dann personenbezogene Daten von EU-Bürgern schützen und deren Datenschutzrechte wahren.
Das ist keine einfache Aufgabe: Wenn es Unternehmen nicht gelingt, die Verordnung bis zum Stichtag umzusetzen, drohen hohe Bußgelder von bis zu 4 Prozent ihres weltweiten Umsatzes. Laut dem Marktforschungsinstitut Gartner werden über 50 Prozent der Unternehmen, die von der DSGVO betroffen sind, es nicht schaffen, alle Anforderungen bis Mai 2018 vollständig zu erfüllen.
Für wen gilt die DSGVO?
Die EU-DSGVO gilt für alle Organisationen, die personenbezogene Daten innerhalb der Europäischen Union verarbeiten. Sie stärkt die Rechte betroffener Personen, verschärft die Vorschriften für die Datenverarbeitung, sieht deutlich höhere Bußgelder bei Verstößen vor und empfiehlt Zertifizierungen als möglichen Compliance-Nachweis.
Die Verordnung ersetzt und vereinheitlicht die bisher vorhandenen und zum Teil sehr unterschiedlichen Datenschutzgesetze in den einzelnen EU-Mitgliedsstaaten. Daraus ergibt sich gleichzeitig ein großer Vorteil: Für die gesamte EU gilt somit ein einheitlicher gesetzlicher Rahmen im Bezug auf personenbezogene Daten für internationale Unternehmen. In Deutschland agierende Unternehmen sind zudem bereits einen Schritt weiter, als viele andere Firmen, da der Datenschutz hierzulande bereits einem vergleichsweise hohen Standard entspricht.
Folgen und Lösungsansätze
Für große, internationale und in der EU tätige Unternehmen aller Branchen hat die DSGVO jedoch zum Teil weitreichende Folgen. Die riesigen Datenspeicher, vernetzten Systeme, Business-Netzwerke und Technologien, mit denen Unternehmen ihre Märkte und Kunden bedienen, enthalten enorme Mengen an Informationen. Nur wenige Unternehmen haben eine Übersicht über ihre verteilten Daten oder Verarbeitungstätigkeiten und wissen genau, welche Art von Daten sie speichern. Das ist aber entscheidend, um die Anforderungen der DSGVO einhalten zu können.
Die Datenschutz-Grundverordnung ist eine Reaktion auf die zunehmende Digitalisierung. Als globaler Anbieter von Produkten und Services für die digitale Transformation hat die Software AG auch Lösungen, die DSGVO effektiv und effizient umzusetzen. Das DSGVO-Framework der Software AG ermöglicht es Unternehmen, die neuen Auflagen der DSGVO fristgerecht zu erfüllen und nachhaltige Verfahren für entsprechende Compliance-Einhaltungen zu implementieren. Dazu zählen mitunter Funktionen, mit denen Unternehmen ihre Verarbeitungstätigkeiten dokumentieren können, um Daten-, Prozess- und Anwendungstransparenz herzustellen.
Darüber hinaus unterstützt die Software AG Unternehmen beim Aufbau eines Frameworks für Governance, Risikomanagement und Compliance (GRC), über das sie Richtlinien und Vorschriften für DSGVO-Compliance intern publizieren und ihre Einhaltung überwachen können. Zusätzlich ermöglicht ihnen dieses Framework, die Business- und IT-Transformation DSGVO-konform voranzutreiben.
Haben Sie die Auflagen der DSGVO im Blick? Erfahren Sie mehr über die Datenschutz-Regelung in diesem Video.
von Paula Ziehr | Okt 13, 2017 | Allgemein
In vielen Unternehmen herrscht Unsicherheit über den Umgang mit der EU-Datenschutzgrund-Verordnung (DSGVO) und ihre Auswirkungen. Da käme ihnen eine „Landkarte“ zur Orientierung ganz gelegen. Wichtig ist zunächst, dass Unternehmen erkennen, welche weitreichenden Folgen die DSGVO hat. Sie rückt den Datenschutzbeauftragten der eigenen Firma ins Rampenlicht. Und auch die Unternehmensarchitektur spielt künftig beim Thema Datenschutz eine entscheidende Rolle.
Bis zum 25. Mai nächsten Jahres haben Unternehmen Zeit, die Anforderungen der neuen Datenschutz-Grundverordnung umzusetzen. Datenschutzbeauftragte sollten bei der Zusammenstellung ihrer Teams deshalb darauf achten, den Verantwortlichen für das Enterprise Architecture Management (EAM) mit ins Boot zu holen.
Orientierungshilfe Unternehmensarchitektur
Warum spielt die Unternehmensarchitektur eine so wichtige Rolle für Compliance mit der DSGVO? Um diese Frage zu beantworten, sollten wir uns zunächst damit beschäftigen, was die neue Regelung von Unternehmen, die mit EU-Bürgern Geschäfte machen, fordert.
Datenverantwortliche müssen einige wichtige Fakten zum Umgang mit personenbezogenen Daten berücksichtigen: Wie wurden sie erfasst? Und für welchen Zweck werden sie eingesetzt? Darüber hinaus gilt es sicherzustellen, dass die verwendeten Daten korrekt sind, und nur solche Daten genutzt werden, die für einen bestimmten Zweck benötigt werden. Schließlich dürfen die Daten auch nur über den Zeitraum gespeichert werden, der erforderlich ist, um eben jenen Zweck zu erreichen.
Was bedeutet das in der Praxis? In erster Linie müssen Datenschutzbeauftragte wissen, welche Daten erfasst wurden, wo sie gespeichert sind und wie sie verarbeitet werden. Dafür brauchen sie eine Übersicht – ähnlich einer Landkarte – aller Datenspeicher und Anwendungen. Darauf basierend können Unternehmen ein Verzeichnis erstellen, in dem Daten analysiert und gemäß der verschiedenen DSGVO-relevanten Attribute klassifiziert werden.
Was ist wo gespeichert?
Das Verzeichnis hält fest, welche Daten an welchem Ort zu finden sind. Es liefert Auskunft darüber, ob die Datensätze einer Person zugeordnet werden können und welche Art von Daten sie enthalten. Darunter fallen Standortinformationen, Rechnungsinformationen, Informationen zu Einkäufen, Informationen aus Communities oder Foren, Informationen zu verwendeten Geräten, zur Bonität der betroffenen Person oder zur Nachverfolgung der Benutzeraktivität.
Den Anwendungen werden verschiedene Eigenschaften zugeordnet. So wird der Zweck der Anwendung (Abrechnung, Marketinganalysen, Direktmarketing, Monitoring, Incident-Management, Personalbeschaffung oder Kundenranking) bestimmt und es wird festgehalten, ob es ein Sicherheitskonzept gibt – und wenn ja, welches. Zusätzlich sollte die Übersicht festhalten, ob es ein gesondertes Testsystem gibt und ob dieses anonymisiert ist.
Darüber hinaus enthält das Verzeichnis Informationen darüber, wie die Datensätze verarbeitet werden können: dazu zählen Speicherfristen, Löschmethoden, Verarbeitungsort, Ursprung der Daten, Zugriffsrechte, Zugriffsprotokollierung sowie Informationen darüber, an welche Personen oder Systeme Daten transferiert werden, welche Personen betroffen sind und ob es sich dabei um Privatpersonen oder Unternehmenskunden, Mitarbeiter oder Bewerber handelt.
Zurück zur Unternehmensarchitektur: Sie umfasst die Bereiche Geschäftsarchitektur, Datenarchitektur, technische Architektur und Anwendungsarchitektur – und ist somit ein guter Ausgangspunkt für ein Verzeichnis über Datenverarbeitungsprozesse. Aufgrund ihrer Struktur und Inhalte liefert sie entscheidende Einblicke in die Business- und IT-Landschaft, die Unternehmen benötigen, um sich gemäß den Vorgaben der DSGVO zu organisieren.
In der Vorbereitungsphase auf die neue Verordnung, in der noch keiner so genau weiß, was auf Unternehmen zukommen wird, ist es der leitende Enterprise Architect, der den Weg in Richtung Compliance weisen kann.
Ist Ihr Unternehmen bereit für die DSGVO? Nehmen Sie am Live Webinar teil und werden Sie fit für die neue Datenschutz-Grundverordnung. Mehr Informationen zur DSGVO bekommen Sie auch in unserem neuen Video.
von Bärbel Strothmann-Schmitt | Mai 16, 2017 | Allgemein
Im Mai 2018 wird die Anwendung der Datenschutz-Grundverordnung der EU (EU-DSGVO) verpflichtend. Die Vorbereitung darauf ist für Unternehmen zeitraubend und aufwendig, und sehr viele haben noch gar keine Vorkehrungen getroffen. Die Analysten von Gartner gehen davon aus, dass 50 Prozent der Unternehmen, die von der EU-DSGVO betroffen sind, bis Ende 2018 die neuen Anforderungen nicht vollständig erfüllen werden.
Wer das ungute Gefühl hat, nicht ausreichend vorbereitet zu sein, und keine Sanktionen aufgrund von Verstößen riskieren will, sollte umgehend die folgenden ersten Schritte unternehmen.
- Prüfen Sie, ob die EU-DSGVO für Ihr Unternehmen gilt
Sie denken: „Für uns ist das nicht relevant, unser Unternehmen hat seinen Sitz nicht innerhalb der EU.“ Moment! Die EU-DSGVO betrifft nicht nur Unternehmen in der EU. Sie gilt für jede Organisation, die durch den Vertrieb von Gütern und Dienstleistungen – auch wenn diese kostenlos sind – personenbezogene Daten von Einwohnern der EU verarbeitet oder deren Verhaltensmuster erfasst. Das heißt: Auch viele Unternehmen außerhalb der EU sind betroffen. - Zuständigkeiten festlegen
Die EU-DSGVO sieht vor, dass Organisationen einen Datenschutzbeauftragten benennen müssen, wenn ihre Kerntätigkeit „in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ oder wenn ihre Kerntätigkeit in der „umfangreichen Verarbeitung besonderer Kategorien von Daten“ besteht. - Wie sich die EU-DSGVO auf Prozesse, Daten und Systeme auswirkt
Laut der neuen Verordnung müssen Unternehmen ermitteln und erfassen, welche Geschäftsprozesse personenbezogene Daten enthalten. Es ist Pflicht zu dokumentieren, wie die Daten verarbeitet werden, um festzustellen, welche Datenschutzrisiken mit Ihren Geschäftsprozessen und den zugrunde liegenden Systemen verbunden sind. Auch Kontrollen und Verfahren zum Schutz der Vertraulichkeit, Korrektheit und Verfügbarkeit dieser Daten gehören zu den neuen Standards. Die Effektivität Ihrer Maßnahmen muss nachweisbar sein – das erfordert kontinuierliches Testen und Überprüfen Ihrer Methoden. - Fremdfirmen und externe Anbieter
Die Auslagerung von Prozessen an Dritte entbindet Sie nicht von Ihren Pflichten zur Einhaltung der EU-DSGVO. Die Verantwortung liegt nach wie vor bei Ihnen. Wenn Fremdfirmen oder externe Anbieter in Ihre Verarbeitungsprozesse einbezogen sind, müssen Sie sicherstellen, dass auch dort die entsprechenden Kontrollmaßnahmen zum Schutz personenbezogener Daten angewendet werden. - Eindeutige, transparente Einwilligungserklärung
Die EU-DSGVO schreibt vor, dass betroffene Personen ausdrücklich der Erfassung und Verarbeitung ihrer Daten zustimmen müssen. In den meisten Fällen ist es nicht mehr zulässig, den Nutzern automatisch angekreuzte Kästchen anzuzeigen oder stilles Einverständnis vorauszusetzen. Sie müssen Ihre aktuellen Datenschutz- und Offenlegungserklärungen überprüfen und, wenn erforderlich, anpassen. - Mitteilungspflichten
Machen Sie es Ihren Kunden leicht, ihre Einwilligung zu widerrufen. Es gibt eine neue Bestimmung, die Personen ein „Recht auf Vergessen“ zusichert. Beruft sich ein Nutzer darauf, müssen Organisationen seine Daten löschen. Zusätzlich sind sie verpflichtet sicherzustellen, dass auch alle anderen Parteien, denen Sie die Daten zur Verfügung gestellt haben, diese Daten löschen. Außerdem dürfen Betroffene, ihre personenbezogenen Daten in einem lesbaren, übertragbaren Format einfordern, was Nutzern die Auswahl von (Online-)Services erleichtern soll. - Einführung von Prozessen zur Meldung von Verstößen
Nach der EU-DSGVO ist ein Verstoß gegen den Schutzes personenbezogener Daten wie folgt definiert: „Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt , die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden.“ Diese muss „unverzüglich und möglichst binnen 72 Stunden“, nachdem die Verletzung bekannt wurde, an die Aufsichtsbehörde gemeldet werden. - Grenzüberschreitender Datentransfer
Im Falle eines internationalen Datentransfers müssen Sie sicherstellen, dass Sie eine legitime Basis für die Übertragung personenbezogener Daten in Drittstaaten haben, deren Datenschutzgesetze in der EU als nicht angemessen gelten.
An der EU-Datenschutz-Grundverordnung führt kein Weg vorbei, und ihre Einhaltung erfordert eine Menge an Vorbereitung. Fangen Sie jetzt damit an!
In unserem kostenlosen Webinar zeigen wir anhand von praxisnahen Beispielen, wie Sie sich optimal auf die EU-DSGVO vorbereiten. Melden Sie sich an und machen Sie sich fit für die neue Datenschutz-Grundverordnung!