SAP Logo LeanIX is now part of SAP
Der ultimative Guide

DSGVO für EAs

Alles darüber, was die DSGVO-Verordungen sind und was diese für Ihr Unternehmen bedeuten, wichtige Änderungen unter DSGVO und Schritte, die Enterprise Architekten für die DSGVO ergreifen können.

► Finden Sie heraus, wie die Enterprise Architektur der Schlüssel zur Überwindung Ihrer Datenschutzprobleme ist

 

Einführung

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union (EU), mit der nicht nur der Datenschutz und die Datensicherheit in Mitgliedstaaten der Europäischen Union, sondern im gesamten Europäischen Wirtschaftraum (EWR) gestärkt und vereinheitlicht werden sollen. Die Verordnung wurde von der Europäischen Kommission vorgestellt und umfasst eine Reihe von standardisierten Gesetzen, die den Schutz personenbezogener Daten aller EU-Bürger vorsieht. Auch wenn es sich um eine EU-Verordnung handelt, regelt die DSGVO zudem die Weitergabe personenbezogener Daten außerhalb der EU und des EWR.

Die DSGVO trat 2016 formal in Kraft und gilt seit 2018 unmittelbar in allen EU-Mitgliedstaaten. Da die DSGVO eine Verordnung und eben keine Richtlinie ist, ist sie seit 2018 in allen EU-Staaten geltendes Recht und muss nicht erst in nationales Recht umgesetzt werden. Die DSGVO stellt ein neues regulatorisches Rahmenwerk zum Schutz persönlicher Daten auf allen Ebenen dar und wirkt sich somit auf Organisationen, Unternehmen und Einzelpersonen im gesamten Europäischen Wirtschaftsraum aus. Für die Verarbeitung und Speicherung personenbezogener Daten müssen sich Unternehmen nun an die festgelegten Regelungen halten.

 

Was die DSGVO für Ihr Unternehmen bedeutet

Da sich die DSGVO hauptsächlich auf den Schutz personenbezogener Daten fokussiert, können EU-Bürger nun leichter nachvollziehen, was genau Unternehmen mit diesen persönlichen Informationen machen. Dies bedeutet im Umkehrschluss, dass Unternehmen ihren gesamten Geschäftsbetrieb an diese neue Verordnung anpassen müssen, um die erforderliche Transparenz zu gewährleisten. Falls Ihr Unternehmen personenbezogene Daten verarbeitet und innerhalb der EU tätig ist, müssen Sie die DSGVO einhalten. Das ist jedoch einfacher gesagt als getan.

Einerseits hat die Standardisierung, die die DSGVO mit sich bringt, viele Vorteile für die digitale Geschäftswelt. Andererseits stellt die Implementierung der Verordnung für viele Unternehmen eine große Herausforderung dar, die etwa nicht gut genug auf diese Umstellung vorbereitet sind oder denen das notwendige Wissen fehlt. Zudem kann sowohl die Komplexität als auch die Qualität der Daten den Übergang in den neuen Modus Operandi erschweren. Zurzeit gibt es immer noch eine große Anzahl von Unternehmen, die immer noch nicht vollkommen DSGVO-konform sind. DSGVO-Verstöße kommen Unternehmen teuer zu stehen und werden mit hohen Bußgeldern geahndet.

Um vollkommen DSGVO-konform zu sein, müssen Unternehmen einige komplizierte Maßnahmen ergreifen. Dies beinhaltet für viele Unternehmen u.a. eine komplette Überarbeitung ihrer Datenschutzrichtlinien, die Bereinigung der Newsletter-Mailinglisten oder die Anpassung der verwendeten Cookies und Plug-ins. Besonders zu Beginn verlangsamt ein gewisses Maß an Rechtsunsicherheit den gesamten Prozess oder stiftet Verwirrung. Da in den meisten Fällen die Hilfe von Experten erforderlich ist, müssen sich Unternehmen auf zusätzliche Kosten einstellen und ihr Datensicherheitsbudget erhöhen.

 

Wesentliche Änderungen der DSGVO

Die DSGVO hat viele Änderungen in der digitalen Geschäftslandschaft hervorgerufen – viele dieser Änderungen beziehen sich konkret auf Transparenz und die Einwilligung zur Erhebung personenbezogener Daten. Im Folgenden finden Sie eine Liste der wichtigsten Änderungen, derer sich in der EU bzw. EWR tätige Unternehmen bewusst sein sollten:

Art. 3 DSGVO: Räumlicher Anwendungsbereich

Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von Unternehmen, die in der Europäischen Union niedergelassen sind – unabhängig davon, ob die Verarbeitung inner- oder außerhalb der Europäischen Union stattfindet. So möchten die Gesetzgeber einen umfassenden Datenschutz der betroffenen Personen gewährleisten und mehr Transparenz schaffen.

Art. 7 DSGVO: Bedingungen für die Einwilligung

Unternehmen ist es nicht erlaubt, die Verarbeitung personenbezogener Daten hinter komplizierten AGB zu verstecken. Sie sind nun verpflichtet, die Einwilligung der betroffenen Person einzuholen und das Ersuchen in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu gestalten.

Art. 33 DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Selbst bei den strengsten Datenschutzmaßnahmen kann es zu Datenverstößen kommen. Wenn die Rechte und Freiheiten einer natürlichen Person in Gefahr sind, müssen Unternehmen unverzüglich und möglichst binnen 72 Stunden, nachdem die Datenschutzverletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden.

Art. 15 DSGVO: Auskunftsrecht der betroffenen Person

Die betroffene Person hat das Recht, von dem Unternehmen oder dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Dies beinhaltet u.a. eine Auskunft zur Kategorie und Speicherdauer der verarbeiteten personenbezogenen Daten sowie Informationen zum Empfänger dieser Daten.

Art. 17 DSGV: Recht auf Löschung („Recht auf Vergessenwerden“)

Die betroffene Person hat das Recht, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Dies gilt u.a. dann, wenn die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet worden sind, nicht mehr notwendig sind oder die Daten unrechtmäßig verarbeitet wurden.

Art. 20 DSGVO: Recht auf Datenübertragbarkeit

Immer wenn die betroffene Person personenbezogene Daten zur Verfügung stellt, hat sie das Recht, die betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das Unternehmen oder der Verantwortliche muss zudem sicherstellen, dass die Daten einem anderen Verantwortlichen übermittelt werden, sofern dies von der betroffenen Person erwünscht ist.

Art. 25 DSGVO: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Bei der Verarbeitung personenbezogener Daten müssen Unternehmen oder der Verantwortliche geeignete Datenschutzmaßnahmen implementieren wie etwa Pseudonymisierung, Datenminimierung oder andere geeignete technische und organisatorische Maßnahmen. So soll sichergestellt werden, dass personenbezogene Daten angemessen geschützt werden.

Art. 37 DSGVO: Benennung des Datenschutzbeauftragten

Wenn die Datenverarbeitung von einer Behörde bzw. öffentlichen Stelle oder einer

Unternehmensgruppe durchgeführt wird, muss auf jeden Fall ein Datenschutzbeauftragter ernannt werden. Die Aufgabe des Datenschutzbeauftragten besteht darin, Daten zu überwachen und sicherzustellen, dass die Datenschutzmaßnahmen dem neusten Technologiestand entsprechen.

 

Zusammenarbeit zwischen Enterprise Architekten und Datenschutzbeauftragten

Meistens wird der Datenschutzbeauftragte in der Anfangsphase der DSGVO-Implementierung Starthilfe leisten müssen. Eine Studie hat gezeigt, dass die größten Herausforderungen in Bezug auf die DSGVO-Konformität die Gewährleistung der Datenqualität (73%) und der Umgang mit der Datenkomplexität (67%) sind. Enterprise Architekten unterstützen den Datenschutzbeauftragten bei der Einhaltung von Compliance, indem sie Einblicke in alle im Unternehmen vorhandenen Daten, Prozesse und Applikationen bieten. Darüber hinaus liefern sie wichtige Informationen über die betroffenen Personen und Datenflüsse und weisen auf Risiken und potenzielle Sicherheitsverstöße hin.

Zudem ermitteln EAs, welche spezifischen Technologien erforderlich sind, um die neuen DSGVO-Maßnahmen adäquat umzusetzen und führen vor dem Roll-Out neuer Applikationen eine Datenschutz-Folgenabschätzung (DSFA) durch. Da die Integration der DSGVO das bestehende Architektur-Framework infrage stellt, müssen EAs die Enterprise Architektur neugestalten, indem sie sich Best Practices und moderner EA-Tools bedienen. Dies ist sogar eine Voraussetzung für eine reibungslose und erfolgreiche DSGVO-Implementierung.

Dennoch ist der Enterprise Architekt nicht der einzige Verantwortliche in diesem Prozess. EAs und der Datenschutzbeauftragte arbeiten eng zusammen und koordinieren alle notwendigen Schritte auf dem Weg zur DSGVO-Konformität. Gleichzeitig müssen die Führungsebene und andere wichtige Stakeholder auf dem Laufenden gehalten werden, sodass EAs als Bindeglied zwischen dem Datenschutzbeauftragten und dem restlichen Unternehmen dienen. Die Zusammenarbeit mit einem erfahrenen Enterprise Architekten beschleunigt nicht nur den gesamten Implementierungsprozess, sondern ist auch der beste Weg, um kostspielige DSGVO-Bußgelder zu vermeiden.

 

Wie Enterprise Architekten die DSGVO-Konformität sicherstellen können

Im vorherigen Abschnitt wurde bereits erläutert, wie wichtig Enterprise Architekten für die DSGVO-Implementierung in ein bestehendes Architektur-Framework sind. EAs stellen sicher, dass Unternehmen sowohl über eine geeignete Architektur verfügen als auch alle technologischen Voraussetzungen erfüllen und einen strukturierten Ansatz zum Umgang personenbezogener Daten verfolgen. Aber wie sieht dieser Arbeitsbereich des EAs in der Praxis aus? Im Folgenden sind fünf Schritte aufgeführt, die EAs bei der Gestaltung einer erfolgreichen DSGVO-Architektur unterstützen.

Identifizieren

In diesem ersten Schritt ermitteln Enterprise Architekten alle Daten, die unter der DSGVO als „personenbezogen“ gelten. Da es unterschiedliche Datenschutzgrade gibt, können EAs die im Unternehmen verarbeiteten Daten mit unterschiedlichen Attributen taggen, darunter Vertraulichkeit, Integrität oder Verfügbarkeit.

Informieren

Der EA muss den Zweck der Datenerhebung beschreiben und sicherstellen, dass die betroffenen Personen ihre Einwilligung gegeben haben. Die DSGVO verbietet die Verwendung von Daten, die Identifizierungsmerkmale wie Gesundheit, Biometrie oder persönliche Informationen über die politische Gesinnung, ethnische und religiöse Zugehörigkeit oder Gewerkschaftszugehörigkeit betreffen.

Analysieren

In diesem Schritt analysiert der EA, wie genau das Unternehmen personenbezogene Daten nutzt, einschließlich aller Applikationen, Prozesse und Benutzergruppen, die diese Daten verwenden. Diese Informationen helfen bei der Bewertung der potenziellen Sicherheitsrisiken, da der EA die größten Gefahren und Schwachstellen innerhalb der Architekturlandschaft aufdecken muss.

Kontrollmechanismen definieren

Um die im vorherigen Schritt ermittelten Gefahren bzw. Risiken zu mindern, müssen EAs nützliche Kontrollmechanismen definieren und dafür ein Budget festlegen. Es ist wichtig, die Kosten der notwendigen Datenschutzmaßnahmen im Hinblick auf die ermittelten Risiken und ihre möglichen Folgen für das Unternehmen zu bewerten.

Implementieren

Nachdem die technologischen Risiken überprüft und Kontrollmechanismen definiert worden sind, werden konkrete Sicherheitsüberprüfungen und Präventionsmaßnahmen implementiert. Am Ende dieses Prozesses muss der EA die DSGVO-Konformität und Transparenz des Unternehmens gegenüber den Aufsichtsbehörden nachweisen können

 

Fallstudie: McKesson nutzt EA, um die Einhaltung der Datenschutz-Grundverordnung nachzuweisen

Das führende Groß- und Einzelhandelsunternehmen in der Pharma- und Gesundheitsbranche McKesson dient als Paradebeispiel eines Unternehmens, das mithilfe von EA eine umfassende DSGVO-Konformität erreichen konnte. Auch wenn McKesson seinen Hauptsitz in Nordamerika hat, bedient das Unternehmen tagtäglich über 2 Millionen Kunden in 13 EU-Ländern und war daher von der neuen DSGVO der Europäischen Kommission betroffen. Andreas Bosch, Enterprise Architekt bei McKesson, implementierte erfolgreich die neue und recht komplexe Datenschutz-Grundverordnung für das Fortune 500-Unternehmen und setzte auf LeanIX, um Herausforderungen in Business und IT zu meistern

 

Fazit

In einer hochgradig digitalisierten Welt, in der die meisten Geschäftstransaktionen online stattfinden, stellt der Datenschutz eine einzigartige und vielfältige Herausforderung dar. Die DSGVO, die von der Europäischen Kommission vorgestellt und auf den Weg gebracht wurde, setzt genau an diesem Problem an und bietet ein gesetzlich verpflichtendes Rahmenwerk zur standardisierten und transparenten Verarbeitung personenbezogener Daten. Seit Mai 2018 müssen sich alle Unternehmen, die innerhalb der EU oder des Europäischen Wirtschaftsraums agieren, an die DSGVO halten.

Dennoch gibt es noch eine nicht zu unterschätzende Anzahl von Unternehmen, die diese neuen Datenschutzbestimmungen nicht erfüllen und somit riskieren, hohe Bußgelder zu zahlen – bis zu 10 Mio. EUR für kleinere Verstöße und bis zu 20 Mio. EUR für schwerwiegende Datenschutzverletzungen. Der Grund für die fehlende DSGVO-Konformität liegt häufig in Rechtsunsicherheiten, Datenkomplexität und einer starren Enterprise Architektur begründet. Deswegen sollte jedes Unternehmen einen Datenschutzbeauftragten ernennen, der während der Implementierung aller notwendigen DSGVO-Maßnahmen mit einem Enterprise Architekten zusammenarbeitet.

Ein erfahrener Enterprise Architekt kennt die Enterprise Architektur des Unternehmens in all seinen Facetten und weiß auch um mögliche Stolpersteine und Datenschutzrisiken. Mithilfe moderner EA-Tools können EAs große Datenmengen verarbeiten und gleichzeitig eine hohe Datenqualität sicherstellen. Indem sich EAs einen Überblick über alle Daten verschaffen und eine geeignete DSGVO-Architektur gestalten, können sie alle Datenschutzhürden mit Leichtigkeit nehmen und so dazu beitragen, dass ihr Unternehmen DSGVO-konform ist.

Gratis White Paper

Hilfreiche Ideen des LeanIX-Teams, wie Sie Enterprise Architecture in Ihrem Unternehmen etablieren

Vorschau der ersten Seiten

Seite: /

Vollständige Version herunterladen

WhitePaper_EASuccessKit_Resource_Page_Thumbnail-2

Gratis White Paper

Enterprise Architecture Success Kit

Download
Demo

Bringen Sie Ihre digitale Transformation ins Rollen!

Jetzt loslegen!