In vielen Unternehmen herrscht Unsicherheit über den Umgang mit der EU-Datenschutzgrund-Verordnung (DSGVO) und ihre Auswirkungen. Da käme ihnen eine „Landkarte“ zur Orientierung ganz gelegen. Wichtig ist zunächst, dass Unternehmen erkennen, welche weitreichenden Folgen die DSGVO hat. Sie rückt den Datenschutzbeauftragten der eigenen Firma ins Rampenlicht. Und auch die Unternehmensarchitektur spielt künftig beim Thema Datenschutz eine entscheidende Rolle.
Bis zum 25. Mai nächsten Jahres haben Unternehmen Zeit, die Anforderungen der neuen Datenschutz-Grundverordnung umzusetzen. Datenschutzbeauftragte sollten bei der Zusammenstellung ihrer Teams deshalb darauf achten, den Verantwortlichen für das Enterprise Architecture Management (EAM) mit ins Boot zu holen.
Orientierungshilfe Unternehmensarchitektur
Warum spielt die Unternehmensarchitektur eine so wichtige Rolle für Compliance mit der DSGVO? Um diese Frage zu beantworten, sollten wir uns zunächst damit beschäftigen, was die neue Regelung von Unternehmen, die mit EU-Bürgern Geschäfte machen, fordert.
Datenverantwortliche müssen einige wichtige Fakten zum Umgang mit personenbezogenen Daten berücksichtigen: Wie wurden sie erfasst? Und für welchen Zweck werden sie eingesetzt? Darüber hinaus gilt es sicherzustellen, dass die verwendeten Daten korrekt sind, und nur solche Daten genutzt werden, die für einen bestimmten Zweck benötigt werden. Schließlich dürfen die Daten auch nur über den Zeitraum gespeichert werden, der erforderlich ist, um eben jenen Zweck zu erreichen.
Was bedeutet das in der Praxis? In erster Linie müssen Datenschutzbeauftragte wissen, welche Daten erfasst wurden, wo sie gespeichert sind und wie sie verarbeitet werden. Dafür brauchen sie eine Übersicht – ähnlich einer Landkarte – aller Datenspeicher und Anwendungen. Darauf basierend können Unternehmen ein Verzeichnis erstellen, in dem Daten analysiert und gemäß der verschiedenen DSGVO-relevanten Attribute klassifiziert werden.
Was ist wo gespeichert?
Das Verzeichnis hält fest, welche Daten an welchem Ort zu finden sind. Es liefert Auskunft darüber, ob die Datensätze einer Person zugeordnet werden können und welche Art von Daten sie enthalten. Darunter fallen Standortinformationen, Rechnungsinformationen, Informationen zu Einkäufen, Informationen aus Communities oder Foren, Informationen zu verwendeten Geräten, zur Bonität der betroffenen Person oder zur Nachverfolgung der Benutzeraktivität.
Den Anwendungen werden verschiedene Eigenschaften zugeordnet. So wird der Zweck der Anwendung (Abrechnung, Marketinganalysen, Direktmarketing, Monitoring, Incident-Management, Personalbeschaffung oder Kundenranking) bestimmt und es wird festgehalten, ob es ein Sicherheitskonzept gibt – und wenn ja, welches. Zusätzlich sollte die Übersicht festhalten, ob es ein gesondertes Testsystem gibt und ob dieses anonymisiert ist.
Darüber hinaus enthält das Verzeichnis Informationen darüber, wie die Datensätze verarbeitet werden können: dazu zählen Speicherfristen, Löschmethoden, Verarbeitungsort, Ursprung der Daten, Zugriffsrechte, Zugriffsprotokollierung sowie Informationen darüber, an welche Personen oder Systeme Daten transferiert werden, welche Personen betroffen sind und ob es sich dabei um Privatpersonen oder Unternehmenskunden, Mitarbeiter oder Bewerber handelt.
Zurück zur Unternehmensarchitektur: Sie umfasst die Bereiche Geschäftsarchitektur, Datenarchitektur, technische Architektur und Anwendungsarchitektur – und ist somit ein guter Ausgangspunkt für ein Verzeichnis über Datenverarbeitungsprozesse. Aufgrund ihrer Struktur und Inhalte liefert sie entscheidende Einblicke in die Business- und IT-Landschaft, die Unternehmen benötigen, um sich gemäß den Vorgaben der DSGVO zu organisieren.
In der Vorbereitungsphase auf die neue Verordnung, in der noch keiner so genau weiß, was auf Unternehmen zukommen wird, ist es der leitende Enterprise Architect, der den Weg in Richtung Compliance weisen kann.
Ist Ihr Unternehmen bereit für die DSGVO? Nehmen Sie am Live Webinar teil und werden Sie fit für die neue Datenschutz-Grundverordnung. Mehr Informationen zur DSGVO bekommen Sie auch in unserem neuen Video.
- Wie Unternehmen im Datenschutz-Dschungel den Durchblick bewahren - 13. Oktober 2017
- IT-Investitionen priorisieren: Treffen Sie die richtigen Entscheidungen - 14. Februar 2017